過去最大の個人情報漏洩

　大日本印刷で、過去最大８６３万７４０５件、４３社分の得意先企業の個人情報が漏洩した。印刷会社ということもあり、各社の顧客のデータを預かり、ＤＭ用の印刷を提供する業務から、当時の派遣社員が盗み出し、詐欺グループに売っていたというからたちが悪い。
　
DNPの情報流出で社内調査の結果、43社863万件の個人情報持ち出しが判明
https://www.netsecurity.ne.jp/1_8829.html
　
　容疑者によると、「自宅でデータ処理の練習をしたいとの理由でデータを抜き出した」「ＭＯやＣＤ－Ｒなどに書き込み、バッグに入れて不正に持ち出していた」という。
　
　管理がずさんだったといわざるを得ない。しかし、平成１３年５月から１８年３月の間、派遣社員として働いていたというのだから、個人情報管理体制が叫ばれる前の話となる。個人情報保護法は、平成１５年５月に成立、平成１７年４月に施工されたのだから、ちょうどまたいでいる。
　
　問題になるのは、平成１５年以降、大日本印刷がどのような対応を取ったかということであろう。個人情報保護対策の中で、過去の漏洩が発見できなかったのか、対策以降は、漏洩がなかったのかなど皿に知りたい情報があるが、報道ではよく分からない。
　
　大日本印刷のＷＥＢサイトにアクセスしてみると、以下の対策について記述されている。
今までの対策
・  電算処理室での生体認証による入退場管理
・  監視カメラの設置
・  アクセスログの取得
・  ポケットのない作業服着用によるデータ等の持ち出し防止
・  委託先との個人情報に関する契約締結
・  定期的な内部監査の実施
　
　さらに、強化する対策
・  データ記憶媒体取扱者の極小化と社員限定
・  データ記憶媒体への書き出しエリアの分離
・  再発防止策の徹底、教育
　
　完璧なルールは作れない。ルールを作れば、その穴が見つけられる。穴のないルールは存在しない。という印象を持たざるを得ない。
　
　企業としての情報漏えい対策・リスクについては、この対策・ルールを導入し、徹底運用・管理をしてきましたが、情報が漏洩されてしまったと言えないところが辛い。
　
　各社から大日本印刷に対し、損害賠償請求を起こすと言われています。クレジットカードナンバーなどが漏洩してしまったことを考えると、賠償請求額の合計がいくらになるのか．．．想像しにくい。
　
　上記対策を取り、正しく運用していても情報漏えいが起きてしまう。起こった後に、カメラでログで見つけただの、契約で損害を請求するなど、後手後手の対策であった、抑止力の対策であったとい言わざるを得ないだろう。
　
　情報漏えいを起こさない、起こりえない対策は、非常に難しいしお金もかかる。
　
　今、問題がなくても、気づかないだけかもしれない、今にでも起こりえるかもしれないという考えで対策を立てていくことが非常に重要である。
　
　情報漏洩対策、内部統制導入・運用は、きちんと正面から向き合う姿勢が重要だと思う。