知って得するサイバーセキュリティ講座｜トーテックサイバーセキュリティ研究所

2013年9月26日

サイバースペース上における企業の社会的責任を考えるとき、「データを取得することの責任」も認識しておかなければなりません。

情報を得るということは、管理する責任が増えるということを意味しています。情報を取った時点で責任が発生し、責任があるということは同時にリスクが生まれることでもあるのです。

情報を得た時点で、漏洩するリスクが発生したと認識しなければなりません。

人は誰しも他人に知られたくないことはあるものですが、サイバースペースでは思いがけずに、プライバシーが流出してしまうことがあります。

2002年に、大手エステティックサロンの、無料体験や資料請求などの応募サイトで、氏名、年齢、電話番号、メールアドレスの個人を特定できる情報とともに、スリーサイズや美容の悩みなどのアンケートに答えた内容が漏洩するという事件がありました。

応募サイトで入力された情報は、そのままウェブサーバにファイルとして保存され、しかもそのファイルのアクセス権限が適切に設定されていませんでした。その結果、他のウェブページと同様に、ウェブブラウザでURLを入力することで外部から約37,000件のデータを閲覧することが可能となっていたのです。

このことがインターネット上の匿名掲示板に書き込まれると、それに準じて誹謗中傷的な書き込みが行われたり、被害者宅にいたずら電話や迷惑メール、ダイレクトメールが届いたりするようになりました。

被害者14名がプライバシーの侵害に対して115万円の損害賠償を求め訴えを起こし、2007年に、一人当たり35,000円の損害賠償を支払う判決が出されています。

この事件が注目されたのは、個人情報漏洩の損害賠償としては高額な判決が出されたことにありますが、その理由として次の3つを挙げることができます。

まず、個人が特定できる情報とともに、エステに対する興味や身体的な特徴などの情報が漏れていたこと。
次に、初歩的な管理ミスにより情報漏洩が発生し、情報漏洩に対する十分な技術的対策が講じられていなかったこと。
最後に、精神的不安とともにいたずら電話などの実害が発生していることです。

では、どの様な考え方を元に、どの様な事前対策を講じていれば良かったのでしょうか？
次号で解説いたします。

◆ 次回は「顧客の情報を預かる責任」についてお届けします。

セミナー講演のご依頼・お問い合わせはこちらから。

過去の記事一覧

製品・サービス情報