個人情報の持出と販売はスパイ防止法で逮捕~「NTT西日本の子会社から約900万件の個人情報流出か 元派遣社員を逮捕」
900万件の個人情報を持出した犯人は名簿屋に2000万円で販売していたようです。
個人情報保護法改正で流出した名簿の購入は禁止されているので、派遣社員が900万件の個人情報の販売を持ちかけてもこれは購入してはいけないものですが、個人情報の価値としてはそれだけのものですね。
派遣社員として勤務で扱った個人情報は、会社の営業秘密情報なので派遣社員が自分のPCにダウンロードして、メールで名簿屋に送信して販売したことは、スパイ行為になります。
業務データを私物のPCにダウンロードをさせてしまうことは大問題ですが、私物のPCの業務利用を許可している場合には、データをダウンロードして、メール添付で送信するような簡単な行為で900万件もの個人情報を第三者に販売しています。会社の売上を自分の財布にしまうような随分恐ろしいことをやっていますね。
NTTビジネスソリューションズは派遣社員に魔が差しても、持っていけないようなセキュリティを講じる安全管理の義務がありますから、データを私物PCにダウンロードができてしまったのは問題と考えられるでしょう。
不正競争防止法違反では10年以下の懲役または2000万円以下の罰金なので、今回の容疑者は犯罪による収益が2000万円で罰金が2000万円なら手残りなしで懲役が待っています。
ベネッセの犯人は、懲役2年6か月、罰金300万円でした。今回の容疑者が同じような量刑で懲役2年6か月で罰金300万円ぐらいになってしまうと、68歳で釈放されたときに1700万円の不正な利得が残ってしまいます。
持出した個人情報の販売収益に変換義務があるかどうかが不明ですが、もしも、利得が残っている場合には個人情報の持出にたいする罰のバランスがおかしいかもしれません。
大規模の個人情報の取り扱いが進むとデータ価値が高くなるため、犯罪のインセンティブが高くなります。
個人情報保護法の改正でデータベース提供罪ができました。ただ、持出した本人が1年以下の懲役または50万円の罰金です。これは導入の初回はあまり重くせず、改正に応じて厳罰化をすると思います。2022年の改正では法人に1億円の罰金にしています。
法人が内部の持出に対する被害だけでなく罰金を大きくすることで安全管理のモチベーションアップを狙っているのかもしれません。1億円の罰金は中小企業には大きな痛手です。
まとめると
個人情報の持出しはスパイ犯罪なみの重罰がまっています。
業務で扱う個人情報が持出できるセキュリティの抜けがもしもあっても、それに手を付ける犯罪者になってしまいます。魔が差してスパイ行為で懲役なんて嫌ですよね。お金を盗むことと一緒だと考えましょう。
企業は性悪説のセキュリティで防御
個人情報を持出する人が悪い。ですが、個人情報の持出をさせてしまった時点で企業の負けです。ヤフーの流出時に孫さんは大量のアウトソーシングを性善説で利用していたことが流出原因と考えました。性悪説で考え直した結果、アウトソーシングを全部やめて社員にして個人情報保護の教育をして、セキュリティを強化しました。
個人情報のリスクが大きくなるとアウトソーシングには不向きになるかもしれませんね。有期雇用ではなく長期に忠誠心を持てる環境の社員に個人情報保護の教育をしていれば、もしかしたら持出されなかったかもしれませんね。