なんとなく過ぎ去った感のあったアリコの情報流出事件ですが、2月末に金融庁からついに業務改善命令がでました。個人情報が持ち出された時期から既に2年が経過しているのに未だ原因究明の途中という状態です。
アリコジャパンに対する行政処分について(金融庁の発表)
http://www.fsa.go.jp/news/21/hoken/20100224-1/01.pdf (PDFファイル104KB)
この中で注目したいのは以下の項目です。
1. 保険業法第204 条第1 項に基づく業務改善命令
(2) 個人顧客情報の安全管理を徹底するための措置が委託先において十分確保されるよう、必要かつ適切な監督を行うこと。
2. 個人情報の保護に関する法律第34 条第1 項に基づく勧告
(2) 個人データの取扱いの委託を受けた者に対する必要かつ適切な監督を行うこと。
これらが意味するところは、「委託先も十分な情報取扱措置をとること」です。
2008年のJ-Sox法の施行により大企業の情報セキュリティ対策(個人情報保護も含まれる)は取られてきましたが、今回の業務改善命令では委託先への対策をも含めることを意味しています。これはアリコだけではなく、基本的にどの企業に対しても同様と考える必要があります。
スモールオフィスでは取り扱っている個人情報の数も少ない、対策にはコストもかかるという理由で後回しになっているところも多いと思います。
しかし今後は、委託元から委託先への監督が求められることを十分に意識する必要があります。
スモールオフィスでは、対策ができない=委託されなくなる、という危機感を持つことです。
金融庁の発表には、ユーザIDやパスワードの使いまわし、個人情報を扱っている認識の低さなどについても記述されています。ドキッとする人も少なくないのではありませんか?
スモールオフィスだから大丈夫、という考えは捨てて、ぜひ新年度には情報セキュリティ対策に真剣に取り組んでみましょう。
壱頁ではスモールオフィスに対する情報セキュリティ対策を応援しています。簡単に現状をチェックすることができますので、一度試してみて下さい。
小規模事業所の情報セキュリティ対策|(株)壱頁 (「5分でできる現状チェック」をクリック!)
小規模事業所の情報セキュリティ対策|(株)壱頁 (「5分でできる現状チェック」をクリック!)
投稿
アリコから流出した情報で不正利用がでましたね。。
返信削除http://headlines.yahoo.co.jp/hl?a=20100520-00000552-san-soci