個人情報漏えいの事実の隠蔽について

締切済

質問者：no-lico
質問日時：2010/10/05 15:26
回答数：3件

個人情報漏えいの事実の隠蔽について

個人情報漏えいしていると思われる企業が「うちから漏えいした事実はない」と言い張っている場合、
その事実はその企業の過失ではないということに結論付けられてしまうのでしょうか。

また、確実にその企業より情報漏えいが発生しているということを、
客観的に証明するための最も効果的な方法は何でしょうか？
ちなみに現時点で、この企業に個人情報を渡した(取引をした)複数の個人顧客が
第三者の手に渡っていることが確認されています。

もしも、上記の「漏えいの事実の隠蔽」が可能な場合、個人情報保護法をはじめとする
プライバシー保護関連法などは一切意味をなさなくなってしまうと思うのですが。

以上よろしくお願いします。

通報する

この質問への回答は締め切られました。

質問の本文を隠す

回答 (3件)

最新から表示
回答順に表示

No.3

回答者： neKo_deux
回答日時：2010/10/05 18:35

> 個人情報漏えいしていると思われる企業が「うちから漏えいした事実はない」と言い張っている場合、

> その事実はその企業の過失ではないということに結論付けられてしまうのでしょうか。

「思われる」ってだけでは、どうにもならないです。

> また、確実にその企業より情報漏えいが発生しているということを、
> 客観的に証明するための最も効果的な方法は何でしょうか？
> ちなみに現時点で、この企業に個人情報を渡した(取引をした)複数の個人顧客が
> 第三者の手に渡っていることが確認されています。

その第三者から、情報の入手元に関しての証言を得るとか。

漏えい以前に対策を行う、漏えいしている個人情報の内容が確認できるって前提なら、

実際の個人情報：千代田区千代田１丁目１番地　山田太郎
↓
架空の個人情報：千代田区千代田１丁目１番地　山田多郎

なんかで登録しとく事によって、対象の業者しか知りえない情報の形で情報漏えいしてるって話にするとか。

--
> もしも、上記の「漏えいの事実の隠蔽」が可能な場合、個人情報保護法をはじめとする
> プライバシー保護関連法などは一切意味をなさなくなってしまうと思うのですが。

個人情報保護法が担保しているのは、

個人情報の保護に関する法律
| （第三者提供の制限）
| 第二十三条　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個
| 人データを第三者に提供してはならない。

で「会社として」第三者に提供するなって話で、従業員が勝手に持ち出してとかって場合には、別の話です。

そうならないために、

| （安全管理措置）
| 第二十条　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人
| データの安全管理のために必要かつ適切な措置を講じなければならない。

で、そういう事が起こらないように情報の管理、従業員への教育を行うって事になってますが、ぶっちゃけ特定の社員が悪意を持って行動するような事をどうこうするのは不可能です。

> 「うちから漏えいした事実はない」と言い張っている場合、

って事なら、せいぜい、
・どういう手順、確認内容で情報漏えいの事実がない事を確認したのか？
・情報漏えいを起こさないために、普段からどういう対策を行っているのか？
とかって事の根拠を確認とか。

従業員への聞き取り調査を実施したとかって回答があるのなら、「漏えいした事実はない」」って回答があった日付と、実際の調査の日時の矛盾を突付くとか。

この回答への補足

ありがとうございます。
現時点で以下は確認できています。

1. 確実にその業者にしか公開していない情報が漏えいしている(架空の住所の登録、と類似した方法での確認です)
2. その業者はある程度セキュリティ対策を行っているようですが、情報漏えいの観点からは十分とはいえません(このあたりに関しては詳しいです)
3. 複数の同様の個人情報漏えいがあり(被害者が複数)、共通しているのがこの業者

結局は漏えいの事実を突き止めることはできないのでしょう。
従業員個人の故意の持ち出しは、多くの場合はその事実を突き止めることは不可能ですから。

例え5,000以下の個人情報しか保持していなかったとしても(保持件数等は確認できません)、
親会社があったりする場合には、コンプライアンス的観点から対処を行うのが通常ですが、
小規模企業の場合、その縛りもないので、やりたい放題になってしまいます。
そのリスクを十分理解したうえでの個人情報提供が必要と言うことですね。

補足日時：2010/10/06 08:35

通報する