個人情報、金庫ごと持ち去られる

個人情報に対する攻撃は時として思いも寄らない方面から生じます。プライバシーマーク(Pマーク)(Pマーク)上でも通常個人情報保護となるとシステム・ネットワークセキュリティといった技術的な側面や、あるいは個人情報マネジメントシステムの整備という組織的な側面が強調されがちですが、そうではない別の側面、すなわち物理的なセキュリティの側面も忘れてはなりません。
物理的セキュリティ
物理的なセキュリティの側面とは要するに入退室の管理や個人データの盗難の防止など、事務所において物理的に施すべきセキュリティ対策の方面のことです。
個人情報に関する事故としては決して多いケースではないかもしれませんが、先日以下のようなニュースが出ていましたのでご紹介します。
顧客情報持ち去り被害例
店舗で金庫持ち去り、現金と顧客情報が被害に – ステーキのどん
レストランチェーンで金庫の盗難事件が発生したとのことですが、プライバシーマーク(Pマーク)取得会社として着目すべきなのはその中に現金のほか顧客情報も入っていたというところです。
盗難の被害にあった顧客情報ですが、キャンペーンの申し込みで取得した個人情報ということで、名前、住所、電話番号、生年月日、年齢、性別が含まれていたということのようです。
そのキャンペーンの案内チラシを見てみましたが、個人情報を記入する欄とともに「本企画以外の目的で応募用紙の記載情報を使用する事は一切ございません」という趣旨のことが書かれてあり、個人情報の利用目的に関する事項も明記されていました。個人情報保護法でもプライバシーマーク(Pマーク)の規格でも、個人情報の利用目的についてお客様の同意を得ること(場合によっては通知すること)は必要事項とされています。
とはいえ取得の段階で適正な手順を踏んでいても管理の段階で不備があれば、十分な個人情報保護体制が整備されているとはいいがたくなりますし、プライバシーマーク(Pマーク)においても不適合とされてしまいます。大切なのは個人情報の保管においても十分な物理的安全管理措置を講じることです。
施錠設備ごと盗難に対する対策
確かに個人情報を施錠できる金庫のような設備に保管していたということ自体は安全管理の面でも特段問題視されるようなことではありませんし、同じような保管方法をとっているほかのプライバシーマーク(Pマーク)取得会社においても“金庫などの施錠設備ごと盗難される”というリスクに対してまでは対策を取っていないという会社もあるかもしれません。
もちろんどこまでを対策の必要なリスクとみなし、どこからを残存リスクとして管理するかは各プライバシーマーク(Pマーク)取得会社が自社の現状に応じて判断する問題となります。
まとめ
とはいえ少なくとも今回のニュースのような事故が現実に発生している限り顧客情報などの個人情報の保管場所について各プライバシーマーク(Pマーク)取得会社が再度見直しを行い、改善が必要な箇所について手順やルールを更新するのは賢明なことといえます。
・こちらの記事もおすすめです
→【Pマークって日本だけ?】
この記事を書いた人
株式会社UPF
同じテーマの記事はこちら
国内で感染が拡大しているエモテット「Emotet」についての対応
現在、国内で「Emotet(エモテット)」が猛威を振るっており、当社クライアントにおいて多数感染が報告され相談依頼が急増しております。 <IPA> https://w […]
リクナビが個人情報漏洩事故でPマーク取り消し。予想される影響
以前も発生当時に投稿させていただきましたリクナビ問題についてです。 本日動きがございましたので解説していきたいと思います。 リクルートキャリアが運営するリクナビが、就活生の内定辞退 […]
【MEDIS】健康診断事業を行う病院(診療所)のPマーク取得のメリット
個人情報を適切に取り扱う体制の構築を証明できるMEDISのPマーク。取得を検討しているものの、申請に通過するかどうか不安に感じている方もいるでしょう。今回は、健康診断事業を行う病院 […]
株式会社マーケティングアプリケーションズで不正アクセス?原因と対策を解説!
アンケートリサーチサービスなど、市場調査業界で大きなシェアを持つ「株式会社マーケティングアプリケーションズ」が2019年5月24日に、不正アクセスを受けたと発表しました。不正アクセ […]
株式会社スープレックスで不正アクセス?原因や対策について解説!
株式会社スープレックスは2019年9月10日に、運営している「なんとかデータベース(ラーメンデータベース)」が外部から不正アクセスを受けたと発表しました。不正アクセスによって、顧客 […]