カルピスのキャンペーンのために収集した個人情報9万6000件の処理を委託していた委託先の従業員が,キャンペーン終了後に廃棄すべきなのに無権限で複製してレンタルサーバー上に保存していたため,そのレンタルサーバから外部流出
下記の記事が出ている。
カルピス、個人情報9万件流出か キャンペーン登録者
共同通信: 2012年7月13日
http://www.47news.jp/CN/201207/CN2012071301001410.html
個人情報保護法上の論点としては,カルピスが委託先に対する監督を十分に尽くしていたかどうかということになる。これとは別に,委託を受けた委託先が受託者として,従業者に対する監督を十分に尽くしていたかも問題となる。
しかし,当の従業員については,委託先との間に雇用契約があれば懲戒処分の問題となり得るし,損害賠償責任を免れることはできないと思われるが,処罰することは難しい。
現行の個人情報保護法制上における重大欠陥の一つだ。
なお,レンタルサーバの責任については,事案の詳細がわからないので何とも言えない。サーバ上のディスク領域にアクセス制限をかけることができ,システム上特に問題がなかったのに,当該従業員がアクセス制限をかけていなかったために誰でもアクセス可能な状態になったという場合には,レンタルサーバの提供者に法的責任があるとは言えないと考えられる。
| 固定リンク
コメント