ベネッセの個人情報流出事件。
これは企業や組織にとって、他人事ではありません。
特にB to C の企業形態である場合は深刻です。
ベネッセでは、260億円の特損を計上する事になりました。
※詳細⇒
ベネッセ、4~6月期に特損260億円計上し赤字転落 顧客情報流出事件で通期予想は「未定」に(産経新聞)
事業の規模も大きく、流出した個人情報の数も膨大だったため、260億円の特損が生じたわけですが、あくまでこれは、現状の数字であり、今後損害賠償や補償費などにより増大する可能性があります。
企業の規模によりますが、B to C の場合、少なからず多くの個人情報を保有する事になります。
個人情報が流出した場合の損失(5000人のデータが流出した場合)
ざっとの計算でこれだけかかります。
この他にかかるかもしれない費用
外部のコンサル料金 100万円
記者会見会場料金 10万円~50万円
弁護士費用 100万円
初期費用でこれだけかかります。
この他に、実際に個人情報が悪用された場合は補償費用、精神的慰謝料を請求される場合もあります。
精神的慰謝料は判例などを参考に最小で考えると
5000人×15,000円=7500万円
5000人の個人情報が流出しただけで、約1億円弱の費用がかかります。
この費用の他に社会的信用が大きくダウンします。
ベネッセの場合退会する人が後を絶たない状況で、現段階で1割~2割のユーザーが退会しているようです。この数字はベネッセの対応いかんでは今後も膨らんでいきます。
費用的な損失も大きい、社会的信用は無くなる。
個人情報が流出してしまうと組織や企業にとって良い事はありません。
最悪の場合、倒産します。
では具体的にどんな対策方法をあなたが所属する組織や企業では取っているでしょうか?
特に何の対策もしていない企業は何らかの対策を立てないと死活問題になります。
個人情報の保護を行う上で、目安になるのがプライバシーマークやISMS。
この両者の違いを簡単に言うと、下記の図のようになります。
かといって、ISMSやプライバシーマークの認証を取得しても万全ではありません。
ベネッセもプライバシーマークの認証を取得しています。
ISMSやプライバシーマークの認証を取るのはある程度苦労しますが、比較的簡単です。
問題点は、運用が出来ているか出来ていないか。
ベネッセは明らかにプライバシーマークの看板だけを背負っている状態でした。
運用が出来ていなかった為、情報の流出が起きました。
運用が出来るかどうか。
そこがポイントになります。
簡単に運用できるかのチェックをするのであれば、第3者監査を4半期ごと、半期ごとに実施するのがよいです。
第3者監査を行う事によって、外部の目のチェックが可能になり、内部監査では浮上しなかった問題点が明らかになる場合があります。
個人情報を保護するのであれば、如何に日常から「個人情報保護の意識」を持っているか、また、流出した場合、どのような事態が想定されるかを従業者に教育する事が必要です。
