サークルの名簿が流出した!!どんな責任が問われるの?

花帆さんはA市の吹奏楽部のサークルに所属しています。

そのサークルでは、定期的な演奏会や総会などを行っており、その招待のためにOB・OGの名簿をサイトで管理していました。

名簿は花帆さんを含め、管理責任のある特定のメンバーだけが閲覧できるようにメンバー共通のIDとパスワードを設定していました。

ある日、花帆さんはサイトを確認し、名簿が流出していることに気が付きました。

あわてて名簿登録者に連絡したところ、「何ということだ!!どうしてくれる?」と怒られてしまいました。

IMG_4321 (1)

どのような責任が発生するの?

ありましたね。こういう事件。

私も2度被害に遭ったことがあります。

ひとつ目は同窓会名簿から、二つ目は某企業の会員登録からでした。

文書で謝罪されても腹立たしく、自分の情報が漏れたことへの不安でいっぱいになりました。

ですから、このOB・OGさんが怒るというのはよくわかります。

さて、今回のケースなのですが、この吹奏楽部のサークルが、個人情報保護法の「個人情報取扱事業者」に該当するかどうかが問題になります。

個人情報取扱事業者とは一体何?

「個人情報データベース等を事業の用に供している者」とあります。

わかりやすく言えば、個人を検索することができるように作った「個人情報データベース等」を事業活動などに利用している者のことです

これは法人だけでなく、個人の事業者も当てはまります。

営利か非営利かというのも問われませんから、NPO法人も個人情報取扱事業者になります。

「個人情報データベース」に該当するものとして、事業所で日常的に使用されるメールソフトのアドレス帳や仕事で使う携帯電話の電話帳、ソフトウェア等でリスト化された従業員名簿や顧客台帳などがあります。

他に会員登録などを行なう場所では登録カードにインデックスを付けて50音順に整理しているというところもあるでしょう。

これも該当するのです。

「サークル」「事業者」になるのですか?

一般的にサークル活動は、親睦・交流を主な目的にしていて、会社や商店のような社会通念上の「事業」とは言えないことが多いのではないのでしょうか。

しかし、しかしです。

花帆さんの属する吹奏楽のサークルのように、名簿を利用して定期的な演奏会や総会などを行っている場合、「事業」に該当する可能性があるのです。

吹奏楽のサークルはその性質上、OB・OGも多いと思われます。

もし、A市の吹奏楽サークルが「個人情報取扱事業者」に該当すると認められればどうなるのでしょう?

今回のケース

メンバー共通のID、パスワードを設定し、管理していたという行為は、誰が考えても安全なアクセス制限を行っていたとは言えませんよね。

そうなると、残念ですが、個人情報保護法の安全管理義務に違反していたと判断されてしまいます。

この法律違反には罰則の規定があって、違反した場合6か月以下の懲役または30万円以下の罰金を支払うということになります。

まさかサークルに入ったがために、自分の個人情報が世に流出するなどと誰も考えないでしょう。

会員の情報を管理する立場に立つ人は、「個人情報取扱事業者」と認定されようとされまいと情報を安全に管理する責任を負っているのです。

情報の取り扱いに注意するのはもちろんのこと、安全対策をとる義務があります。

考えてみてください。

もし、流出した名簿に載っていた個人から、この管理者に対し、プライバシーの侵害で損害賠償を請求されたとしたら・・・。

共有アカウントを利用していなかったか、アカウントの管理方法に問題はなかったかなどは必ず調べられます。

今回のケースのように、複数の人が共通のID、パスワードを使用しているような場合、管理者の過失とみなされても仕方ないでしょう。

損害賠償の責任は免れない

サークルだから、同窓会だからと自分とは無関係だと思っていませんか?

軽く考えていませんか?

これから新年度を迎え、新しいスタートを切る方も多いと思います。

それに伴い、会員登録をする機会も増えるのではないでしょうか。

「あなたの個人情報は守られています」この一言を100%信じてはいけないような気がします。

もちろん個人情報保護に対し、しっかりした対策を取られている企業はたくさんあります。

しかし、「自分の情報は自分で守る」くらいの気持ちでいないといけないかなと今の私は考えています。

私の場合、個人情報漏えい後、おわびにわずかな商品券を渡されて「はい、終わり」。

某教育教材の会社では個人情報が漏えいされたとされる家庭に500円の図書カードを送り、それがお詫びのしるしで終了です。

企業の無責任さと自分の無防備さに腹が立ちました。

何度も言いますが、管理者は情報にアクセスできる人を絞る、共有アカウントにしないなどの対策を取りましょう。

そして私たち個人も、個人情報の登録、その後のID・パスワードの管理等、慎重に行うように注意しましょう。

まず自分は自分で守らなきゃ!!

コメントを残す

サブコンテンツ