個人情報、金庫ごと持ち去られる
個人情報に対する攻撃は時として思いも寄らない方面から生じます。プライバシーマーク(Pマーク)上でも通常個人情報保護となるとシステム・ネットワークセキュリティといった技術的な側面や、あるいは個人情報マネジメントシステムの整備という組織的な側面が強調されがちですが、そうではない別の側面、すなわち物理的なセキュリティの側面も忘れてはなりません。
物理的セキュリティ
物理的なセキュリティの側面とは要するに入退室の管理や個人データの盗難の防止など、事務所において物理的に施すべきセキュリティ対策の方面のことです。
個人情報に関する事故としては決して多いケースではないかもしれませんが、先日以下のようなニュースが出ていましたのでご紹介します。
顧客情報持ち去り被害例
店舗で金庫持ち去り、現金と顧客情報が被害に – ステーキのどん
レストランチェーンで金庫の盗難事件が発生したとのことですが、プライバシーマーク(Pマーク)取得会社として着目すべきなのはその中に現金のほか顧客情報も入っていたというところです。
盗難の被害にあった顧客情報ですが、キャンペーンの申し込みで取得した個人情報ということで、名前、住所、電話番号、生年月日、年齢、性別が含まれていたということのようです。
そのキャンペーンの案内チラシを見てみましたが、個人情報を記入する欄とともに「本企画以外の目的で応募用紙の記載情報を使用する事は一切ございません」という趣旨のことが書かれてあり、個人情報の利用目的に関する事項も明記されていました。個人情報保護法でもプライバシーマーク(Pマーク)の規格でも、個人情報の利用目的についてお客様の同意を得ること(場合によっては通知すること)は必要事項とされています。
とはいえ取得の段階で適正な手順を踏んでいても管理の段階で不備があれば、十分な個人情報保護体制が整備されているとはいいがたくなりますし、プライバシーマーク(Pマーク)においても不適合とされてしまいます。大切なのは個人情報の保管においても十分な物理的安全管理措置を講じることです。
施錠設備ごと盗難に対する対策
確かに個人情報を施錠できる金庫のような設備に保管していたということ自体は安全管理の面でも特段問題視されるようなことではありませんし、同じような保管方法をとっているほかのプライバシーマーク(Pマーク)取得会社においても“金庫などの施錠設備ごと盗難される”というリスクに対してまでは対策を取っていないという会社もあるかもしれません。
もちろんどこまでを対策の必要なリスクとみなし、どこからを残存リスクとして管理するかは各プライバシーマーク(Pマーク)取得会社が自社の現状に応じて判断する問題となります。
まとめ
とはいえ少なくとも今回のニュースのような事故が現実に発生している限り顧客情報などの個人情報の保管場所について各プライバシーマーク(Pマーク)取得会社が再度見直しを行い、改善が必要な箇所について手順やルールを更新するのは賢明なことといえます。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
株式会社三菱UFJ銀行で不正アクセス?原因と対策について解説!
株式会社三菱UFJ銀行は2019年10月25日に、提供しているサービス「LCMS」の認証システムで不正アクセスが発生したと公表しました。不正アクセスによって、顧客の個人情報などが流 […]
株式会社スタジオラインで不正アクセス?原因と対策について解説!
株式会社スタジオラインは2019年10月24日に、運営しているサービス「MODERN BEAUTY TOKYO」で不正アクセスが発生したと公表しました。不正アクセスによって、顧客の […]
株式会社JIMOSで不正アクセス?原因や対策について解説!
株式会社JIMOSは2019年10月15日に、運営していた「酒蔵.com」が何者かのサイバー攻撃を受けたと発表しました。サイバー攻撃によって、顧客の個人情報が流出し、二次被害が懸念 […]
ホビボックス株式会社で不正アクセス?原因と対策について解説!
ホビボックス株式会社は2019年10月9日に、運営している通信販売サービス「ECオーダー.com」が何者かによって不正アクセスを受けたと公表しました。不正アクセスによって、顧客の個 […]
