個人情報の流出が止まらない。
先日、KADOKAWAがランサムウエアの被害を受けて、書籍の受注停止、取引先への支払いの遅延、子会社が運営するニコニコ動画のサービスが停止されていたが、今度は東京ガスの子会社のネットワークに不正アクセスされて416万人分の個人情報が、流出したという。
東京ガスは17日、子会社のネットワークに不正アクセスがあり、業務委託元から提供を受けている一般消費者の個人情報約416万人分が流出した恐れがあると発表した。現時点で情報の不正利用は確認されていない。
東京商工リサーチによると、2023年に上場企業とその子会社が発表した個人情報の漏洩・紛失事故は前年比6%増の175件、漏洩した個人情報は7倍の4090万人分と大幅に増えた。6月にはKADOKAWAがランサムウエア(身代金要求型ウイルス)を含む大規模なサイバー攻撃を受けて一部サービスを停止するなど、大企業の被害が相次いでいる。
東京ガスは、これに対してどう対処するのだろうか?とホームページを確認してみると以下のようなことが書かれてあった。
これまで取引のある法人等(東京ガスまたはTGESが提供する「法人用の都市ガス、電気、サービス」のお客さま等)については、今後調査を進め状況把握の上、適切に対応させていただきます。
業務上必要な情報として業務委託元から提供を受けている一般消費者の方については、業務委託元とご相談の上、対応させていただきます。
今後情報の流出や不正利用等が確認されましたら個別にご連絡させていただきます。
個人情報保護法って罰則がある
日本には個人情報保護法なるものがあって、個人情報保護法上の義務に違反し、当該義務違反に対する個人情報保護委員会の改善命令にも違反した場合、違反行為をした個人には1年以下の懲役または100万円以下の罰金が科される。
また、違反した法人には1億円以下の罰金が科される。
しかし、これまでに何度となく個人情報が流出しているとの報道があった。
自分の記憶に残っている大きな個人情報漏洩事件は以下の3つ
- 2014年のベネッセ個人情報漏えい事件
- 2020年の楽天株式会社の個人情報漏えい
- 2021年のLINE株式会社のデータ管理問題
しかし、いずれも是正勧告、業務改善命令が出されたという内容(罰則)で終わっている。
個人情報保護法は、簡単に言うと、個人情報の取得方法・利用方法・第三者への提供制限・安全管理措置といった義務に違反した場合に罰則が適用されるというもの。
現状は、企業の個人情報に関する、安全管理措置が不十分なので個人情報が流出してしまうことが繰り返されているのだと思う。
今回の東京ガスに関しては、416万件の個人情報が流出したと言われているので、流出させた件数だけを考えると、楽天やLINEの場合よりも多いことになる。
流出させたということは、安全管理措置が不十分だと言えるはずなのに、罰則が適用されていないというのは、法律が機能していないことになる。