2005年に個人情報保護法が施行されて以来、個人情報保護の重要性について確実に浸透してきました。守るべき対象としての個人情報という概念は一定程度定着し、個人情報を扱う多くの企業が個人情報保護ポリシーを公開し、それに基づいた情報管理を行っています。
しかし、東京商工リサーチの調査によれば、国内上場企業およびその子会社における個人情報漏洩事故件数は2014年から2019年まで横這い、そして2020年には増加傾向に転じており、個人情報漏洩がいぜんとして重要な課題であることは変わりません。
この記事では、この2件に特徴的な部分を取り上げ、さらにそこから得られる個人情報管理の重要なポイントについて解説します。
JAL・ANAのマイレージプログラムに登録された個人情報が大量流出
この事例はいわゆるサプライチェーン攻撃に属するものですが、特徴的な点は、JALやANAはSITA社との直接的な業務委託関係にないにもかかわらず被害を受けたことにあります。
今回の不正アクセスの対象となったPSSは、航空便の座席予約・販売・チェックインを管理する航空会社にとって不可欠なシステムです。SITA社は多くの航空会社にPSSを提供していますが、JALもANAもSITA社製ではなく他社のPSSを使っていました。
それでも今回の個人情報漏洩が発生したのは、JAL・ANAが属するアライアンス内でマイレージプログラムのデータが共有されていたことによります。同一アライアンス内であれば、1社のマイレージプログラムの会員が他社でも優遇されたサービスを受けることができる仕組みになっており、そのためにマイレージプログラムの会員情報はアライアンス内で共有されています。
LINEは個人情報管理の甘さを指摘されて炎上
これらの中国国内企業はLINEの開発業務や通信のモニタリング業務を実施していたもので、情報漏洩等の具体的な被害が発生しているわけではありません。 また、LINE上で交換された画像や動画を韓国内のデータセンターに保管している点もあわせて報じられていますが、こちらも具体的な被害は出ていません。
この事例では、具体的な被害が発生する前であるにも関わらず、ここまで大きくとりあげられたことがポイントです。
LINE側は、プライバシーポリシーとして「個人情報をユーザーの居住国以外の国または地域にある委託先などの第三者および第三国に移転する場合がある」と明記していました。しかし、その第三国が個人情報保護に関する考え方が日本と異なる中国となると、多くの利用者が言い知れぬ不安感を持ってしまいます。今回の件が大きく取り上げられたのは、その不安感が大きく影響したことによると思われます。
JAL・ANA・LINEでわかる個人情報管理防止のための新たな教訓
自社だけ守っていてもだめ! サプライチェーンの予想以上の広がりに備えた対策が必要
SITAと業務委託関係にあるのは、JAL・ANAと同じアライアンスに加盟している別の航空会社です。JAL・ANAはマイレージ会員の個人情報をアライアンス内で共有していたため、今回の漏洩被害を受けました。
しかし、航空業界に限らず、直接的な取引関係にないものも含めてサプライチェーンはグローバルに広がっているのが実情ですので、今回のような事例は今後も増加するでしょう。
個人情報漏洩が発生していなくても管理の甘さは問題視される
この事例を参考に、漏洩事故が発生する前に自社の個人情報管理体制をみなおすことをお勧めします。
業務委託やデータ保管においてもカントリーリスクに配慮すべき
2017年施行の「国家情報法」により、中国国内企業は中国政府からの要求があれば情報を提供する義務を負っていますので、中国国内に業務委託先を持った場合には、そこから中国政府に個人情報が流れてしまう可能性をどうしてもぬぐえません。それゆえに今回の件は大きく問題になったと思われます。
業務委託やデータ保管先の選定では、主にコスト面から海外を選択することが多いのが実際です。しかし、政治体制や情報に対する法制の違いにも十分な配慮が必要になります。
関連資料:中華人民共和国国家情報法
まとめ
- 自社だけ守っていてもだめ! サプライチェーンの予想以上の広がりに備えた対策が必要
- 個人情報漏洩が発生していなくても管理の甘さは問題視される
- 業務委託やデータ保管においてもカントリーリスクに配慮すべき
冒頭でも述べたように、個人情報に対する配慮は社会に浸透しつつあるにもかかわらず、漏洩事故は決して減少していません。それどころか、サプライチェーンのグローバルな広がりに伴い、どこに漏洩リスクが潜んでいるかわからない状況になっています。