金融庁、個人情報漏洩でアリコに行政処分 - 漏洩範囲や実行者は未だ不明

金融庁は、2009年7月に個人情報の漏洩が判明したアリコジャパンに対して、行政処分を行った。

問題となったのは、同社において2009年7月にクレジットカードの番号や有効期限といった個人情報約3万2000件の漏洩が発生した事件。同社では委託先が持ち出したとしているが、詳しい流出経路や被害の範囲、原因などは判明していない。

同庁では保険業法と個人情報保護法に基づき報告を求め、その結果、ホストへのIDやパスワードが使い回しされるなど委託先におけるずさんな管理が判明。

さらに同社においても、委託先に対する確認や検証を実施しておらず、牽制や是正が不十分だったり、アクセス権限の設定やログの保存が不十分であるなど不備が見つかった。

事故の原因について、個人顧客情報保護の担当部門で個人情報の漏洩リスクを分析しておらず、対策を実施していなかったことや、経営陣の検証や適切な指示が行われていなかったと同庁は指摘。

保険業法における業務改善命令と、個人情報保護法に基づく勧告を行い、個人顧客情報の管理態勢を強化や再発防止策の実施検証や、委託先の監督、原因究明、経営陣における責任の明確化するよう命令や勧告を発し、3月24日までに書面による報告などを求めている。

また同庁は、今回の個人顧客情報の漏洩事故を踏まえ、「保険会社向けの総合的な監督指針」の改正を目指すほか、クレジットカードの情報管理について強化を予定しているという。

（Security NEXT - 2010/02/24 ）ツイート