個人情報保護の観点から考える委託先管理

2014年9月26日経済産業省は、ベネッセコーポレーション（以下「ベネッセ」）に対し、個人情報の保護に関する法律第34条第1項の規定に基づき、「法違反行為を是正するために必要な措置をとり、個人情報の漏洩の再発防止を徹底」するよう勧告した。社員の不正で個人情報が漏洩したのではなく、委託先から個人情報が漏洩した事を強く受け止め、再発させない取り組みが求められる。本稿では本事件を個人情報保護の観点から考察し、委託先管理に関する提言を行う。

個人情報漏洩事件の概要

2014年6月、通信教育事業者が、ベネッセの顧客リストに基づいた営業活動を実施しているという顧客からの問い合わせが急増したことから、ベネッセは調査を実施した。その結果、個人情報が漏洩したことが判明し、翌月に漏洩事実を公表した。取締役副会長および取締役兼CIOが辞任するに至り、2015年3月期3四半期決算で260億円もの巨額な特別損失を計上した。

2015年1月、1人あたり5万5千円の損害賠償を求めて、被害者が東京地裁に提訴するなど事件はまだ沈静化していない。提訴人数は、徐々に増加する傾向にあり、現実的ではないが、仮に最大2,000万人超といわれる被害者全員に5万5千円の損害賠償となると、損害賠償額は1兆1千億円となり、桁外れの特別損失が発生する可能性がある。