
経済産業省は、5月27日付で、史上最大規模の個人情報漏えい事件を起こした株式会社ソニー・コンピュータエンタテインメント(以下、SCEJと略します)に対して、個人情報保護法第33条に基づく助言を実施したと発表しました。下記に内容を要約します。
4月26日にSCEJから経産省に連絡があり、その後3回にわたり、任意の事情聴取を行い、5月1日付で個人情報保護法32条に基づく報告の徴収を行って、詳細なデータを得たとのことです。
その内容から、経産省としては、SCEJが個人情報の取扱いをソニーの米国法人に委託した際の「委託先の監督」が適切ではなかったと判断したとのことです。
なお、適切ではなかったポイントは下記の3点で、いずれも基本的なことが行われていなかったことが分かります。
1)委託先の米国法人にはセキュリティの責任者がおらず、異常時の緊急連絡体制も整備されていないなど、組織的安全管理に不備があった。
2)既知の脆弱性に対して委託先の米国法人内部で確認する体制もなく、技術的安全管理に不備があった。
3)SCEJと委託先の米国法人との間での安全管理に関する契約が締結されておらず、委託先の監督体制が整えられていなかった。
上記の状況を踏まえて、経産省が行った指導内容は下記の通りです。
1)委託先の監督に関して、下記の措置を講じ、再発防止策を実施すること。
(顱飽兮先における組織的安全管理体制の整備
(髻飽兮先における技術的安全管理体制の整備
(鵝飽兮先における個人情報の取扱状況を直接かつ適切に監督する体制
の整備
2)クレジットカードを利用するサービスの再開にあたっては、消費者の安心及び安心確保のための措置を講ずること。
3)ソニーグループ全体で個人情報の漏洩事故が相次いでいる状況を踏まえ、グループ全体での情報共有及び連携強化を図り、グループ全体における個人情報の安全管理体制を向上すること。
(私のコメント)
大変まっとうな内容の指導だと思います。ソニーには、グループ全体で情報セキュリティに関する取り組みを見直していただきたいと思います。
http://www.meti.go.jp/press/2011/05/20110527005/20110527005.pdf
なお、細かい話になりますが、法律上の条文では個人情報保護法33条に基づく主務大臣の行為は「助言」です。しかし、今回の経産省のプレスリリースでは「指導」となっており、微妙に違っています。次に厳しい処分は、34条の「勧告」なのですが、経産省としては勧告は厳しすぎると判断したのかなと思います。