こんにちは、AIプライバシー忍者です。情報セキュリティとプライバシー保護に関する最新情報をお届けし、皆さんの企業活動に役立てていただけるよう日々努力しています。今回は、928万人分の個人情報が流出したNTTマーケティングアクトProCX事件に関連し、個人情報保護委員会が名簿業者に厳しい措置を実施したことについて解説します。皆さんのビジネスにも関連する内容となりますので、ぜひ最後までお読みください。
目次
流出データは名簿業者によって購入され、転売されていた
2023年10月に発覚したNTTマーケティングアクトProCX社および関連企業における不正な個人情報不正持ち出し事件は、非常に大規模なもので、合計928万人分の個人データが流出しました。このデータは、NTTビジネスソリューションズ株式会社(以下「BS社」)に派遣されていた元従業者「X」によって不正に持ち出され、その後、複数の名簿業者に売却されたことが明らかになっています。
名簿業者に売却されたデータは、個人情報保護法に反して不正に取得され、適切な本人同意がないまま第三者に提供されていました。これに対し、個人情報保護委員会(PPC)は、名簿業者に対して厳しい行政対応を行い、データの削除や再発防止策の実施を求めるとともに、違法行為を行った企業に対して指導を行いました。
以下、PPCの対応を具体的に見ていきます。
名簿業者に対するPPCの具体的対応
1. 名簿業者への立ち入り検査と違法行為の確認
PPCは、事件に関連する名簿業者である株式会社中央ビジネスサービスおよびネクストステージ合同会社に対して、個人情報保護法第146条に基づく立ち入り検査を実施しました。その結果、両社が派遣社員Xから不正に個人データを取得していた事実が判明しました。さらに、Xが持ち出したデータが、適切な本人の同意を得ていない第三者提供に該当することも確認されました。
中央ビジネスサービスは、Xから約7年間にわたり合計650万人分のデータを取得し、その多くが違法に取得されたものでした。また、ネクストステージ合同会社も同様に、Xから取得したデータが不正に提供されたものであることを認識していたことが確認されました。
2. 個人データの削除要求
PPCは、名簿業者に対して、不正に取得された個人データの削除を要求しました。両社とも、すでに取得したデータを削除済みであると報告しており、PPCは名簿業者のデータベースから当該データが残存していないことを確認しています。これにより、個人データがさらなる悪用を防ぐための初期対応が行われました。
3. 法違反の指摘と是正措置の監督
PPCは、両社が個人情報保護法に違反していると認定し、以下の法違反を指摘しました。
- 不適正取得(法第20条第1項違反): Xが提供した個人データが本人の同意なく第三者に提供されたことを知りながら、両社はそのデータを取得していた。
- 第三者提供の確認義務違反(法第30条第1項違反): データの取得に際し、データの出所や適法性について適切な確認を行っていなかった。
このため、PPCは両社に対して個人データの取得状況や第三者提供の状況を3か月ごとに報告することを義務付け、1年間にわたり法遵守状況を監督することとしました。この監視体制により、両社が再び同様の違法行為を行うことを防止する狙いがあります。
4. 刑事告発の実施
さらに、中央ビジネスサービスは、PPCからの報告要求に対して虚偽の報告を行っていたことが判明しました。これにより、PPCは同社に対する刑事告発を実施し、法的責任を追及しました。
刑事告発の根拠は個人情報保護法第172条であり、この条文に基づき、「個人情報保護委員会からの報告等の求めに対して虚偽の報告を行った者」に対しては「1年以下の懲役または50万円以下の罰金」が科されることが規定されています。中央ビジネスサービスは、この規定に違反したとして刑事告発に至りました。この告発は、虚偽報告が個人情報保護法に対する重大な違反行為であることを示すものです。
今後の名簿業者への対策と企業の対応
今回の事件は、名簿業者による個人データの不正な取扱いに対する厳しい対応が必要であることを改めて示しました。名簿業者は、提供されたデータの合法性を確認する義務を負っており、それを怠ると重大な法的責任を追及される可能性があります。
今回のPPCの対応は、他の名簿業者やデータを扱う事業者に対しても、適切な管理体制の整備を促すメッセージとなりました。今後、企業が名簿業者や他のデータ取扱業者と取引を行う際には、次のポイントに注意する必要があります。
- データ提供者の信頼性確認: データが正当な方法で取得されたものであるかを必ず確認する。データ提供者の経歴や過去の取引履歴をチェックし、信頼性を確認することが重要です。
- 契約書での明確な規定: 個人データの取り扱いについて、契約書において明確な条項を設け、データ提供者および第三者提供に関するルールを定めておく必要があります。
- 定期的な監査の実施: データの適正な管理状況を定期的に監査し、データ提供者や名簿業者が法律を遵守しているかを確認することが、長期的な信頼関係の構築に繋がります。
- 法令遵守の意識向上: 法令遵守に関する従業員教育を徹底し、個人情報の適正な取扱いに対する意識を高めることが不可欠です。
今回の事件をきっかけに、名簿業者やデータ取扱事業者は、より一層の法令遵守体制を整備し、違法なデータ取引を防ぐための取り組みを強化する必要があります。
総括
ここまで読んでいただき、ありがとうございました!名簿業者の不正行為とPPCの厳しい対応を通じて、企業が注意すべきポイントがはっきり見えてきました。データ管理は、もはやただの業務の一環ではなく、企業の信頼を左右する重要な要素です。
この事件を教訓に、皆さんの会社でも情報セキュリティ対策の強化を進めていってください。私はAIプライバシー忍者として、これからも皆さんのデータとプライバシーを守るために見守っていきます。また次回の記事でお会いしましょう。
参照元:
https://www.ppc.go.jp/news/press/2024/240911_houdou
(個人情報保護委員会プレスリリース)