« 「過払いバブル紳士」=一部の弁護士&司法書士 産経新聞のネーミング | トップページ | 割賦販売法・特定商取引の三段対照表 パブコメ付 »

2009年10月22日 (木)

個人情報漏洩事件と通販会社のとるべき安全対策

10月15日の通販新聞(1242号)6面の連載記事をみて、営業優先の通販ビジネスの問題点を感じた。

連載は、「デジタルダイレクトの個人情報漏洩事件にみる通販各社が採るべき安全対策とは?」の第2回。

記事では、顧客の個人情報が流出してしまった場合の最善の策は、「サイトを休止すること」としながら、「サイトの休止」は簡単にできない、売り場を占めるのと同じこと=休業を意味するとして、同社がカード会社から6月に第一報を受けてからサイトを休止するまで1月半以上かかったことを擁護しているように思えてならない。

また、カード会社が情報漏れの詳細を伝えないので、調査に着手できないし、その調査もサイトを休止した上で、費用が1000万円近い費用がかかり、中小事業者にとっては企業が成り立たないということも言っている。

しかし、あまりに身勝手な主張のように思う。

カード会社は、カード情報の漏れを複数のカード利用の中から把握するので、顧客問い合わせなどから共通利用先を割り出して、警告していると思う。また、情報漏れは1社からとは限らないのでその場合は2店以外の懸念先が出てくるが、流出件数が増えてくれば必然的に区分できるものである。

カード会社から指摘を受けた以上、仮にサイトを止めざるを得ないとしても調査に着手すべきなのは、顧客の個人情報やカード会社のカード番号をデータベース化して保存している個人情報取扱事業者として当然のことではないのだろうか。

その根拠として、個人情報保護法20条の安全管理措置の規定、経済産業省の個人情報保護のガイドラインにおけるクレジットカード番号を扱う事業者の安全管理義務が挙げられほか、自社のセキュリティポリシーでISMSを取得し、個人情報の安全管理をうたっていることからの当然の帰結のように思われる。

同社の調査報告書は、こちら

しかも、同社の報告書を見ると、調査の結果昨年の2008年7月以降、1年もの期間に複数回にわたって海外のIPアドレスにより、サイトが攻撃を受けていたことが判明しているようだ。これだけの長期間自社での監視が全く不十分だったといえる。外部に監視を頼めば、調査対応の1000万円と比較すれば、安上がりだったはずだ。

中小企業にとって個人情報保護法などの要請する安全管理を行うと「成り立たない」というなら、個人情報を扱うことが必須な通販ビジネスに参入する資格がないといわれても仕方がないのではないか。

クレジットカード番号については、個別の会社にデータを蓄積しないで済み、情報漏えいのない方法(例えばPCIDSSなど)だっていくつも考えられる。

割賦販売法の改正でカード決済を取り扱う加盟店やその委託先は「カード番号等保有業者」として安全管理義務や、事故が発生した場合に公表や再発防止策を講ずべき義務が定められている。その施行が12月1日に迫っている状況の中で、何をなすべきかは明確ではないのか。次回以降はその点に明確にスポットをあて、インターネットの利用により、誰でも通販業者になれる時代における最低限の規範を打ち出されることに期待したい。

|

« 「過払いバブル紳士」=一部の弁護士&司法書士 産経新聞のネーミング | トップページ | 割賦販売法・特定商取引の三段対照表 パブコメ付 »

企業法務」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック


この記事へのトラックバック一覧です: 個人情報漏洩事件と通販会社のとるべき安全対策:

« 「過払いバブル紳士」=一部の弁護士&司法書士 産経新聞のネーミング | トップページ | 割賦販売法・特定商取引の三段対照表 パブコメ付 »