画像:株式会社ジャパネットホールディングスより

2008年5月15日、長崎地裁佐世保支部で大手通信販売業者「ジャパネットたかた」の個人情報漏洩事件をめぐって、同社が情報を流出させたとされる元社員を相手に損害賠償を求めていた訴訟の判決がありました。結果的に、長崎地裁佐世保支部は元社員に1.1億円の損害賠償の支払いを命じました。

この事件では、元社員が同社の情報を流出させた結果、司法の場でこのような判断が下されたわけですが、いったいどういった事件だったのでしょうか。改めてこの事例を詳しく見ていきましょう。

事件の経緯

同社によると、今回の元社員による情報漏えい事件の経緯は以下のようになっています。

1996年以降 被告である元従業員は別の社員と共謀し、企業が保有する販売目的のパソコンを盗難、さらに顧客の個人情報が入ったCD-Rを持ち出す。結果、顧客情報が外部に流出。
2004年12月 被告人、窃盗罪での執行猶予付き有罪が確定。情報漏洩に関する背任罪については、5年の時効が成立していたので不起訴処分となった。
同社では元社員2名と民事調停を行なった。

  • 1名は賠償することになり、解決
  • 1名は賠償責任を否定した為、損害賠償請求訴訟を提起
2008年5月15日 長崎地裁佐世保支部は元社員に1.1億円の損害賠償の支払いを命じた。(会社の主張通りの全額支払いが命じられた)
【1.1億円の算出根拠】
被害額を顧客1人あたり5,000円と算出し、情報流出件数の51万人をかけて25億5,000万円の損害があったと判断。25億5,000万円のうち、回収可能な額として1.1億円とした。

事件の原因(問題点)

今回のジャパネットたかたで引き起こされた事件では、問題はどこにあったのでしょうか。考えられる原因としては以下の2つです。

  1. 会社備品(パソコン)の管理が不十分で、個人に依存していた
  2. 個人情報の管理や持ち出しに関する規定が不十分であった

現在はコンプライアンスと情報リテラシーの高まりとともに、こういった状況にある企業もかなり減ったと思われますが、当時はやはり問題のある企業が多かったと考えられます。そのため、情報や機材の持ち出しが企業として十分把握できないまま、問題の発生につながった可能性が高いと言えます。

漏洩した情報は何か

今回漏洩した情報は、氏名、住所、電話番号、生年月日といった個人情報で、件数としては約51万人分という非常に多いものです。

事件後の対応はどうだったのか

情報漏洩が発生したのちの同社の対応としては以下の対応が行われています。

  • 専門チームの設置と調査の実施
  • マスコミや捜査機関への協力
  • 営業自粛の実施

また、根本的な対策として「ISMS(情報セキュリティマネジメントシステム)に基づく、セキュリティ管理体制の確立と実施」を行っています。

筆者所感

ジャパネットたかたの個人情報漏洩事件は、同社の元社員によって引き起こされたもので、かなり以前の事件ではありますが同社の対応は非常に良かったのではないでしょうか。

同社は、事件発覚後に調査チームを立ち上げて対応を進めると同時に、マスコミや捜査機関に対しては、すべての情報を公開するとともにお詫びに徹することで、世間に真摯な対応をイメージづけることが出来ました。

加えて、今後のためにISMSに基づいた社内での情報の厳密な管理・利用の体制と、問題発生時の対応について明確に規定するということを行なっています。当時はこういったISMS等による情報管理が今ほど一般的ではなく、そういった中で同社が行なった対応は非常に先進的で、先を見据えた素晴らしいものであったと考えます。

こういった対応が奏を功して、同社が再び売り上げを伸ばして大きな企業となったことは、同社のこういった対応が正しかったことをよく示しているのではないでしょうか。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。