情報漏えい事故が起きた際、第一報は皆さん、注意深く追いかけますが、当事者の処遇や法人のその後について考えたことはあるでしょうか。

今回、当機構の8月掲載のブログで取り上げた事例について、具体的な経過が明らかとなりましたので紹介いたします。
「個人情報の取扱いの重要性を再認識せよ」

■リクルートキャリアのサービス「リクナビ」における内定辞退率に関するデータ販売

こちらについては皆様ご存知の通りかもしれませんが、個人情報保護委員会からの勧告、経営層による謝罪、プライバシーマークの取消しという結果となり、大きなニュースとなりました。

内定辞退率の販売の報道を受け、リクルートキャリアのサービスを利用しない事業者もでてきたとのことで、就職活動が本格化する年明け以降、更に影響が広がることになると思われます。

今回の騒動でデータを購入した企業（38社）のうち自発的に公表したのは、20社ほどです。早期に公表することで批判を最小限におさえようとした動きかもしれません。

まだ、公表を行っていない企業が、データ利用について今後明らかになった場合の社会的信用の失墜は非常に大きなものとなるでしょう。
場合によっては、意図的に隠蔽をしていたと批判を起こされる可能性も秘めています。

今回の件で個人情報保護委員会は、Cookieの利用について制限をかける方針です。
12月中旬に対応策が公表される見込みですが、影響をうける法人は多いのではないでしょうか。
（個人情報保護委員会：「個人情報保護を巡る国内外の動向」）

■平塚市議員を務める人物による、個人情報を基にした選挙活動疑惑

平塚市の市議（元・平塚市職員）が職員時代に市民の個人情報を持ち出し、選挙に利用したのではないかという問題です。

平塚市はこの市議に対し刑事告発を行うなど対応に追われると共に、市長はこの事態を受け、2ヶ月間報酬の10%を返上することとなりました。

また、市全体の情報セキュリティ対策として2600万円の対策費用を計上し、漏えい対象となった人たちへの謝罪文の送付といった対応を行いました。

セキュリティ対策は必要ではありますが、2600万も計上する必要はなかったかもしれません。

1人の軽率な行動により、ここまで事態が大きくなりましたが、決してこれは珍しいケースではありません。
ベネッセの情報漏えい事件も1人の人間がきっかけにより起きた事例です。

システムだけの監視だけでなく、個人情報保護・情報セキュリティに関する教育を行い、悪意を持たせない、環境作りが重要となります。

■川崎市職員による、誤送信に関する隠蔽行為

職員が誤送信した後に、誤送信を指摘したメールを削除し、更に上長への報告も行わなかったという事例です。
こちらは、職員への戒告処分と上長2人に対して口頭注意がなされました。

上長による教育・監視が行き届いていないということも理由の1つですが、ミスを報告しにくい環境であったならば、その責任の一端は上司だけでなく、組織全体の風土にもあるといえます。

今回3つの事例全てにおいて、長期間にわたり対応が迫られ、経済的損失もさることながら、報道されることで社会的信用の失墜へと繋がっていることが分かったかと思われます。

政府の来年度予算編成ではセキュリティ対策に関する人材教育やシステム導入など予算を増大させて対応を行うこととしていますが、事後対応の訓練といった「事故前提」での視点へと切り替わっています。
（NISC：政府のサイバーセキュリティに関する予算（令和2年度予算概算要求））

各法人においてもインシデントを起こさせない教育と、起こした場合の対応、双方をセットにして対応策を進めることが重要ではないでしょうか。