1 委託先企業から個人情報が流出

 外資系生保のアリコジャパンが、2009年9月11日、業務委託先から個人情報が流出し不正使用されたことを発表したそうです(2009年9月12日日経新聞朝刊)。
 アリコジャパンの調査では、流出した個人情報は、18,184人分だそうです。

 委託先の企業名についてアリコジャパンは明らかにしていませんが、委託先は職員の関与を否定しているようです。
 個人情報の流出は、アリコジャパンのホストコンピュータにアクセスできる委託先の職員が個人情報を抜き取り社外に持ち出したことで起こったと見られています。そうすると、アリコのコンピュータにアクセスできる委託先の職員が限定されているのであれば、いずれ誰が犯人か特定できそうな気もします。
 報道によると、アリコジャパンは、個人情報流出の委託先職員が特定できれば、刑事告訴に踏み切る方針のようです。そのときは、委託先企業名も明らかになると思います。

2 個人情報とアウトソーシング

 個人情報保護法が施行されてから、情報流出を防止するために多くの企業が社内の内部統制を構築してきたと思います。アリコジャパンも例外ではないと思います。
 しかし、盲点はアウトソーシングです。業務委託する際に、委託先に対して個人情報の管理を義務付ける旨の契約を結ぶことは基本です。
 でも、それだけで安心はできません。おろらくアリコも委託先との契約で、個人情報の管理について委託先をしっかり縛っていたはずです。ですから、今回のような情報流出があった場合、アリコが委託先に対して、契約違反を理由に損害賠償を請求したり、業務委託契約を解除することは可能でしょう。

 しかし、情報が収集つしてしまった顧客との関係ではアリコの責任になります。顧客の情報管理をアリコ自身が行うのか、他社にアウトソーシングするのかは、アリコの問題だからです。

 これは非常にリスキーですね。どんなに契約で縛っても、重要な個人情報の管理に関して他社に依存することになりますから。コンプライアンスが徹底されているかどうかは委託先次第です。これでは、アリコ自身がどんなにコンプライアンスを心がける社内整備をしていようが、徹底した内部統制システムを構築していようが、委託した部分に関しては委託先の管理体制に左右されてしまいます。
 しかも、今回のアリコのケースで問題があるのは、委託先の職員がアリコのホストコンピュータにアクセスできた点です。ちょっと考えれば恐いですよね。私も法律事務所を経営していてお客様のデリケートな個人情報を取り扱っています。ほとんどの情報が他人に知られたくない情報ばかりです。いくら委託契約で縛っているからと言って、他社の職員がアクセスできるというのはかなりぞっとします。

 情報を持ち出した委託先職員の解雇(これはアリコが決める問題ではありませんが)ではすまされないですよね。
 重要な情報の管理を他社に委託する場合には、

1)情報へのアクセスを許された職員を一定の職位にある者に限定し、高額の損害賠償予約をしておく、
2)顧客番号で管理できるようにして他社に委託し、委託先の職員が顧客の特定をできないような仕組みを講じておく

 などといった対策が必要です。