A社は商品の一部を通信販売しており、顧客情報をサーバー内にデータベースとして保管している。顧客からは電話で注文を受け、このデータベースで顧客情報を検索し対応している。
テレビで有名なタレントMが当社顧客であることを知った受電部門の社員Bは、夜間一人で残業していた時に、タレントMの名前でデータベースを検索し、過去の通販利用実績を閲覧した。職場の先輩たちも時々芸能人検索をしているので、社員Bも受電部門の特権であると思っていた。
その後、社員BはタレントMの通販の利用実績を、知人のみに開放している自分のSNSに投稿した。そのSNSを見た知人が他の知り合いに情報を拡散し、結果としてA社が不適切に個人情報を閲覧しているとネットのニュースになってしまった。
「今日の事例」は個人情報のデータベースの検索がテーマです。
情報が格納されているデータベースにアクセスする権限を持っていると、その権限を利用して、「人の情報を見てみたい」という気持ちは誰もが持つものかと思います。しかし、そこにリスクは潜んでいるのです。芸能関係に限らず、有名人の個人情報を取扱う企業は少なくないと思いますので、この事例を通して、リスクについて考えてみましょう。
まず、問題となるポイントについて見てみます。
①個人情報を業務外の理由で閲覧したこと
・個人情報の目的外利用は個人情報保護法違反になります
②個人情報の検索・閲覧に関する社内統制の欠如
・目的外利用禁止のルール制定や社員への周知が必要です
③不適切な閲覧の監視などの牽制効果の欠如
④会社関連情報を個人のSNSに投稿したこと
・人の個人情報を勝手に投稿してしまったこと
・SNSの開示限定(友だちのみ)を前提とした投稿は危険であること
「不適切な個人情報の閲覧」やその情報を基にした「SNSでの炎上」などは比較的容易に起こり得る事例です。上記のリスクポイントを踏まえて、このような事象が発生する可能性を少なくする方法を考えてみて下さい。
今回の事例で、不適切な閲覧をしたこと、ネットニュースになってしまったことにより発生する結果は何でしょうか?
①個人情報保護法違反懸念
・個人情報は目的外の利用は禁止されています。業務と関係ない検索や閲覧は、「目的外利用」とみなされ、法令違反となる懸念があります。
②企業の信用の失墜
・個人情報の管理体制が甘く、不適切に取り扱う企業として、信用が失墜します。
③タレントMによる名誉棄損、損害賠償請求
・個人の利用実績がSNS投稿され、広く知れ渡ったことにより、名誉棄損で訴えられたり、損害を請求される可能性があります。
今回の事例は特に受電部門を持つ会社にありがちな事例です。
顧客情報を閲覧できる特権をいかに業務遂行の為だけに限定するかは難しいテーマかと思いますが、事故発生時の影響やビジネスへのインパクトが大きいテーマでもありますので、十分な対策を考えておきましょう。