先日個人的に利用しているセミナー等の申し込みサービスを運営しているサイトから、お客様情報が流出しているとのメール連絡を受けました。流出した主な情報としては、氏名、登録メールアドレス、暗号化されたパスワードになります。
当該会社では、その後第三者調査を実施し結果がHPに公開されていますが、サーバーへの不正侵入やマルウエア等による不正データアクセスは確認されておらず、攻撃者の属性や不正アクセスの具体的方法の詳細は技術的に特定はできないとのことでした。
補足しておくと当該会社ではプライバシーポリシーの公表や、プライバシーマークの取得、事故後の第三者調査や顧客に対する連絡がしっかり実施されており、比較的個人情報保護に対する対応が実施できている会社ではないかと思います。
世間的にも、スマートフォン決済サービス「PayPay」における2,000万件超の加盟店情報の流出が昨年末大きなニュースとなりました。その他ネットで調べてみると、個人情報流出の公表は、一般企業、学校、病院、省庁、地方公共団体とあらゆるところで発生しており、中にはクレジットカードの不正利用まで発展したという事例もみられます。
個人情報の保護は社会的にもますます重要性が高まっていると言えそうです。
IPOを目指す会社においても、特にコンシューマー向けのサービスを提供している企業はプライバシーマークの取得が必須ではないかと思います。個人情報の流出は、会社の事業継続性や流出後の対応といった点で企業の財政状態や経営成績に大きな影響をあたえる事象となるため、上場審査対応というよりも事業継続性確保のため根本的に取り組むべき課題と言えます。
取得にあたって気になるのが、コストや取得期間といった点になりますが、金額については大規模事業者で取得時に約1,250千円、更新時に約950千円となっています。
また取得にあたっては
①個人情報保護マネジメントシステムの構築とその運用
②審査機関による審査
③一般財産法人日本情報経済社会推進協議会による付与
というステップを経る必要があり、②審査機関による審査及び③一般財産法人日本情報経済社会推進協議会による付与で最低4か月の期間が必要となります。①の個人情報程マネジメントの構築とその運用については各社の整備状況により対応期間が異なると思いますが、1年程度のプロジェクトとなると考え準備を進めたほうがよさそうです。
プライバシーマークの取得により、社外的には消費者や取引先からの信頼性の獲得、社内的には組織的な管理体制の確立や従業員の意識の向上が期待できるため、特にコンシューマー向けビジネスを展開する企業においては早い段階からプライバシーマークの取得に取り組むことが望まれます。
(古川)