個人情報保護士として、2週間を切ったXP問題について語ってみる

恐ろしいニュースが駆け巡っております。

大阪の企業の46%は「いまだにXPを使っている」──大阪信金調査 – ITmedia ニュース

うちの会社ではXPでしか動かない業務ソフトもあるので
1台だけXP環境を残し、それは社内LAN接続のみでインターネットから遮断。
他のPCはすべて7へアップグレード完了。
社長用には1台新たに購入。
この処理を先月に終わらせました。
当面は巷を賑わすセキュリティ問題からは開放されたかなという感じです。

弊社のような零細企業であれば台数も少ない分投資コストも僅かですむのですが、
従業員数が20-30人になってきて
独自の販売管理システムを作っていたりすると
結構やっかいなことになるでしょう。

しかし、声を大にして言いたい。
「企業こそ、今コストを掛けないと
何倍もの時間とコストを失う危険性が高い」と。

個人情報保護法が対象としている
「個人情報取扱事業者」というのは
保有個人データが5000件以上の事業者のことを指します。
一見すると、「うちは得意先が5000件も無いから関係ない」と思いそうですが、
経済産業省のサイト、Q12を見てください。
「電子メールのアドレス帳は保有個人データに当たる」と明記されています。
営業さんがいれば、最低クライアントのアドレスを
100-200件は登録していますよね?
それらを合計していけば、5000件って意外とあっさり越えてしまうのです。

セキュリティ上問題のあるXPのパソコンを使い続けているだけで
個人情報保護法違反となり、罰則が適用されることになります。

ただ、正直この罰則はそこまで重くないというか、
実際に漏洩した後で主務大臣による勧告、命令の後に処されることなので
刑事罰が適用されることは非常に稀なのではないでしょうか。

むしろ、怖いのは民事の方で、
過去には多額の賠償金を伴った判例が出ています。

「宇治市住民基本台帳データ大量漏洩事件控訴審判決」(大阪高裁判決平成13年12月25日)
 損害賠償額:15,000円(慰謝料10,000円+弁護士費用5,000円)
 流出件数:約22万人
「ヤフーBB個人情報流出事件」(大阪高裁判決平成19年6月21日)
 損害賠償額:5,500円(慰謝料4,000円+弁護士費用1,500円)
 流出件数:約450万人
「TBC個人情報流出事件」(東京高裁判決平成19年8月28日)
 損害賠償額:35,000円(慰謝料30,000円+弁護士費用5,000円)でした。
 流出件数:約3万7000件

集団訴訟の分母が流出件数とイコールではありませんが、
非常に高額な賠償の実例があることが理解できると思います。

5000件の個人情報が流出したとして、
集団訴訟で500人が原告となり、
判決で1万円の賠償が認容されたら5百万円。
それくらいのことが起きる可能性が、
どこの会社にも起きる可能性がある、という話なんです。

流出以外の実害としては、
XPのPCをbotとして、
大量のスパムメールをアドレス帳の相手に送ることが挙げられています。
受け取った方からしたら
「あなた」から送られたメールだと思って安心して
添付ファイルを開いてしまうかもしれません。
こうしてウィルスの拡散の手助けをしてしまうことにもなってしまうのです。
金銭的な被害の他に、
時間のロスと、クライアントとの信頼関係にも影響する問題になります。

泣いても笑ってもあと2週間です。
マイクロソフト公式サポートサイトはこちらです。
今からでも遅くないので、
社長さん、XPのパソコンはインターネットから遮断してください。

でも、そんなリテラシーで動いている会社なら、
いっそIT断食したほうが業務効率が上がったりして…

ABOUTこの記事をかいた人

アバター画像

株式会社ロンド工房 クリエイティブディレクター。商品の企画、製造、営業を行っている。てちょけん会長、ステラボP、K3事務局長など。