アフラックとチューリッヒで大規模な個人情報漏洩事件が発生

アフラックとチューリッヒの委託先からの個人情報漏洩

大手保険会社の「アフラック生命保険株式会社」と「チューリッヒ保険会社」は1月9日に大規模な個人情報漏洩が発生したと発表しました。
アフラック社は「新がん保険」「スーパーがん保険」「スーパーがん保険Vタイプ」に加入している130万人以上の個人情報※1、チューリッヒは現在および過去において「スーパー自動車保険」に加入した75万人以上の個人情報※2、合計200万人以上の個人情報が漏洩しました。

今回の漏洩事件は、両社共に外部サイトに顧客情報が公開されていたことから判明しました。また委託先の企業が利用しているサーバへの不正アクセスが原因であることが分かっており、アフラック社は漏洩した個人情報は該当のサーバ上から既に削除済みであるとしています。

委託先の企業から個人情報が漏洩した場合、委託元の責任は?

今回の事故のように、セキュリティは自社だけが対策を強化したとしても不十分で、委託先の企業から漏洩するケースも考えられます。昨年に発生した尼崎市のUSBメモリ紛失事故※3、2018年に発生した東京ガスの業務用端末の紛失事故※4、2014年に発生したベネッセの個人情報漏洩事件※5など、委託先による個人情報漏洩のインシデントは以前から今もなお発生しています。

委託先から個人情報の漏洩が発生した場合、委託元の企業は委託先に対して監督責任があります。そのため、もし個人情報漏洩の対象者から損害賠償請求などが行われた場合、委託元に支払い責任が発生する可能性があります。
業務を外部企業へ委託する際は委託先から個人情報が漏洩しないように、受託業務の経験や実績、PマークやISMSなどの第三者認定の取得がある企業を選定すること、秘密保持契約を締結することはもちろんのこと、個人情報の取り扱いなどに関する教育やセキュリティに関するアンケートを定期的に実施するなど、委託先への継続的な管理が求められます。

個人情報漏洩の事件事故が発生すると、その企業は社会的信頼が大きく失われ顧客離れなどのビジネスの機会損失に繋がります。その他にも、原因調査のための費用、個人情報漏洩の対象者への謝罪金や損害賠償などが発生するケースがあり、最終的に多額の費用が発生する場合があります。

委託先からの個人情報漏洩は委託元にも責任が発生しうることを認識し、個人情報漏洩が発生しないように委託先を含めた情報漏洩対策が必要となります。

参考

※1 個人情報流出に関するお詫びとお知らせ(アフラック生命保険株式会社)

※2 個人情報漏えいに関するお詫びとお知らせ(チューリッヒ保険会社)

※3 兵庫県尼崎市、全市民46万人分の個人情報が含まれるUSBを紛失 [コラム]

※4東京ガス : 重要なお知らせ / お客さま情報が入った業務用携帯端末および制服の紛失について

※5 ベネッセ個人情報流出事件 – Wikipedia