こんにちは。
弁護士の浅見隆行です。
4月17日、経産省は、電力5社に業務改善命令を出しました。
親会社である大手電力会社の社員らが、顧客への提案活動や小売供給業務に使う目的で、子会社の送配電会社が持つ新電力会社の顧客情報を不正に閲覧していたことが理由です。
本日、経済産業省は、電気事業法第2条の17第1項の規定に基づき、関西電力株式会社及び九州電力株式会社に対して、電気事業法第27条第1項の規定に基づき関西電力送配電株式会社、九州電力送配電株式会社及び中国電力ネットワーク株式会社に対して業務改善命令を発出しました。
2023.4.17 経産省
今回は、このケースを題材に、グループ会社との個人情報の管理・共有のあり方について考えます。
電力5社の個人情報の取扱い
経産省の発表資料によると、電力5社には個人情報の取扱いに問題があったことが説明されています。
まず、関西電力(親会社)と関西電力送配電(子会社)での個人情報の取扱いです。
- 関西電力送配電は顧客情報の遮断ができていなかった。そのため、関西電力が顧客情報を見ることができた。
- 関西電力は、関西電力送配電の顧客情報が見られることを幸いに、顧客情報を営業活動に使用した。
次に、九州電力(親会社)と九州電力送配電(子会社)での個人情報の取扱いです。
- 九州電力送配電と九州電力は、九州電力が九州電力送配電の顧客情報を見られることがわかっていながら、九州電力が小売供給業務のために用いることができるように、その状態にした。
- 九州電力は、九州電力送配電の顧客情報を小売供給業務のために使用した。
- 九州電力送配電ではID・パスワードの管理が徹底されていなかった。
- 九州電力は、これに乗じて、一部の従業員が九州電力送配電の顧客情報を閲覧していた(組織的に行っていた)。
最後は、中国電力(親会社)と中国電力ネットワーク(子会社)での個人情報の取扱いです。
- 中国電力ネットワークは、故意に、中国電力が顧客情報を閲覧できるようにしていた。かつ、マスキングにも漏れがあった。
関西電力は関西電力送配電の情報が遮断されていなかったのをこれ幸いと閲覧して営業活動に利用しました。
これに対して、九州電力送配電は九州電力が小売供給業務に用いることがわかっていながら顧客情報が見られる状態にし、九州電力は九州電力送配電のID・パスワードの管理が徹底されていないことをに乗じて組織的に顧客情報を見ていました。
関西電力・関西送配電に比べると、九州電力・九州電力送配電のほうが、顧客情報の取扱い、管理に対する意識が低い印象を受けます。
詳細は、経産省の発表資料を確認してください。
グループ会社との個人情報の管理・共有
電力会社のケースから学べるポイント
電力5社に対する業務改善命令の内容を見ると、グループ会社との個人情報の管理・共有で気をつけるべき5つのポイントが見えてきます。
- 他のグループ会社に個人情報を閲覧されないような遮断措置を講じる。
- 個人情報の保管に必要なID・パスワードの管理は徹底する。
- 他のグループ会社が営業活動のために欲しがっていても、自社が保管している個人情報を閲覧させていはいけない。
- 自社の営業活動に必要だとしても、他のグループ会社の個人情報を閲覧・利用してはいけない。
- 役員・従業員の個人情報に対する意識を高める。
この5つのポイントに分けて整理していきましょう。
どのような個人情報管理体制を整備するか
1と2は、自社がどのような個人情報管理体制を整備するか、という問題です。
個人情報保護法では「安全管理措置」を講じることだけが義務づけられています。具体的な内容は、個人情報保護法ガイドライン(通則編)の10に、組織的、人的、物理的、技術的の4つの側面から例示されています。
今回の電力会社のケースを参考にすると、
- たとえグループ会社であっても、個人情報を保有している会社以外の会社がデータベースを閲覧できないような管理をすること
- 個人情報を保有している会社以外の会社がデータベースを閲覧できる状態になっていることに気がついたら、その時点で、閲覧できないように対処すること(対処できる体制を整えること)
- その対処のために、気がついた人が一報を入れられる窓口を設置する
- 個人情報を保有している会社以外の会社がデータベースを閲覧していることに気がつけるアラームなどを設置する
などの体制を整備することが必要だと思います。
また、ID・パスワードの管理が適切ではなかったことも指摘されています。
昔からよく指摘されるID・パスワードを付箋に書いてPCのモニタに貼り付けておくなんていうのは、もっての外です。
よくあるのが、ID・パスワードを部署内全員が知っている。これもまた、ID・パスワードを設定した意味がなくなってしまうケースです。
今回のケースを機に、ガイドラインの内容に照らしてあわせながら、自社の個人情報の管理の状況やID・パスワードの管理の状況を、今一度確認することをオススメします。
グループ会社と個人情報を共有して良いか
3は、自社で管理している個人情報をグループ会社と共有して良いか、という問題です。提供する側の問題です。
個人情報保護法では、個人情報をグループ会社と共有するためには、個人情報の持ち主である本人から同意を得ることを原則としています。
本人の同意を得たとしても、グループ会社と自由に共有できるわけではありません。
個人情報を第三者に提供する方法は、ガイドラインによってルール化されています。
今回の電力会社のケースを参考にすると、
- 他のグループ会社から「営業活動に使いたいので個人情報を閲覧したい」と申し込まれたときに断れるようにする。もしくは、本人から同意を得た範囲内のでみ共有できるようにする
- そもそも、そのような申込みをしないように、グループ会社の役員・従業員を教育し直す
ことが必要です。
グループ会社間で情報を共有している場合には、このガイドラインの内容を見て、今一度、社内ルールや運用を見直すことをオススメします。
他のグループ会社が保有している個人情報を見て使用して良いか
4は、他のグループ会社が保有している個人情報を見て使用して良いのか、という問題です。利用する側の目線です。
これは、1と3の裏返しです。
そもそも論として、他のグループ会社が保有している個人情報については、他のグループ会社が管理する財産です。
グループ会社同士といえども、他のグループ会社の個人情報データベースを勝手に閲覧することは財産を泥棒するのと同じことです。
また、個人情報の持ち主である本人から同意を得ていなければ、グループ会社間で個人情報を共有することはできません。
他のグループ会社が保有している個人情報について、他のグループ会社が本人から同意を得ていなければ、それを見ることはできません。
見直すべき内容は3と同じです。
第三者提供に関するガイドラインを今一度確認することが必要です。
役員・従業員の意識レベルの向上
5は、役員・従業員の意識レベルを高める、という問題です。
個人情報の取扱いや管理については、どこの会社でも役員・従業員に口酸っぱく言っているはずです。それでも、今回の電力会社のようなケースが起きるということは、まだ意識レベルが低いということです。
個人情報保護法が成立したのは2003年です。もう20年が経ちます。
今の新入社員以下の若い子たちにとっては、物心がついたときから、個人情報は保護するのが当たり前という感覚です。
個人情報保護法が成立した当時に新入社員になった人でも、もう40代半ば。
そうなると、現役社会人の半数以上は、個人情報の保護は当たり前という感覚になっているはずです。
他方で、個人情報の取扱いや管理が杜撰な会社は、こうした感覚に逆行します。
「まだそんなことやってるの?」と、時代遅れの会社と見られます。
時代遅れというだけではなく、会社としての信頼・信用を失います。
そうならないためにも、特に中堅以上の世代を中心に、個人情報の保護に関する研修・教育は、繰り返し行って、意識レベルの向上を目指して下さい。
大手損保4社が約250万件の顧客の個人情報漏えいと不正取得。個人情報保護への理解不足だけではなく、業界の常識やカルチャーによって個人情報管理への意識が麻痺していたことが原因ではないか。
