こんにちは。人材サービス総合研究所の水川浩之です。

一昨日5月9日のことになりますが、スタッフサービスの個人情報流出が報じられました。

登録スタッフ15,368名分の氏名、および住所・電話番号・メールアドレス、性別、企業名などが流出したとのことです。

元従業員が持ち出し、すでに流出した個人情報は回収済み、第三者への流出は確認されていないとのことです。

スタッフサービスさんには懇意にしている人もいるのですが、問題は問題として採り上げさせてもらいたいと思います。

事実の確認から

まずは、ことの真相から確認します。同社のプレスリリースによると以下とのことです。

ご登録者様の個人情報等の流出に関するお詫びとご報告

2017年5月9日
株式会社スタッフサービス・ホールディングス
株式会社スタッフサービス

このたび、株式会社スタッフサービス(本社:東京都千代田区、代表取締役社長:鬼頭秀彰、以下、当社)におきまして、ご登録者様の個人情報等が外部に流出していたことが判明いたしました。

このたびの情報流出の概要と対応につきまして、下記のとおりご報告いたしますとともに、ご登録者様をはじめとする関係者の皆様に、多大なるご迷惑およびご心配をおかけしますことを、深くお詫び申し上げます。

1. 情報流出の概要

本年4月19日、当社のご登録者様よりお問い合わせを受け調査をいたしましたところ、当社の元従業員がご登録者様の個人情報等を在職中に持ち出していたことが判明いたしました。当社では、本件判明以降、社内調査を進めており、流出した情報は既に回収しております。

2. 対象となる情報の内容と件数

内容: 当社のご登録者様・エントリー者様の、「氏名」に加え、「住所」・「電話番号」・「メールアドレス」のいずれか

件数: 15,368名分

※ 上記の他に「性別」・「時給金額」などの「ご登録者様・エントリー者様に直接連絡を取ることができない情報」や、一部、「企業名」などの営業情報の流出も確認しており、現在調査中です。

※ 直ちに経済的被害につながるような情報の流出はございません。(クレジットカード情報は当社では取得しておりません。)

3.これまでの経緯

4月19日 ご登録者様より当社に連絡が入り、調査を開始

4月20日 ログ解析調査により元従業員による情報流出を確認

4月21日 元従業員から持ち出された情報を回収

      データファイルに含まれる情報の件数確認と対象者の特定作業を開始

5月 1日  監督官庁である東京労働局へ本件について報告

5月 8日  プライバシーマーク審査機関である日本情報システム・ユーザー協会へ本件について報告

4. ご登録者様・エントリー者様への対応

・ 特定されたご登録者様・エントリー者様(「氏名」に加え、「住所」・「電話番号」・「メールアドレス」のいずれかを含む情報の流出があった方)へ、お詫びの書簡の発送、または、お詫びのメールの送信を本日より開始いたしました。

・ 本件に関する専用のご登録者様相談窓口を本日より設置し、電話およびメールにてお問い合わせの受付をおこないます。

複数の報道によれば、元社員は2年以上前の平成27年2月から個人情報の持ち出しを始め、今年平成29年3月末に退社。4月19日に利用者から問い合わせがあり、流出が発覚したとのことで、「自分が立ち上げた人材派遣業の営業のため持ち出した」ようです。

恐らく、報道機関の取材に対して同社が回答したものでしょう。

被害者であり、加害者でもある

内容を見る限り、元社員による犯行であり、その時点では同社は被害者の立場にあり、気の毒としか言いようがありません。

しかし、そうは言っても、1万5千人以上の派遣社員の大切な個人情報を預かる立場として、その流出を許してしまったという責任は重いと思います。

「第三者への流出は確認されていない」という報道も、同社への取材から出てきたものだろうと思いますが、ここで言う第三者とは犯行におよんだ元社員のはずです。

当事者は、派遣社員と同社であり、犯人の元社員が第三者です。ここは間違えてはいけません。

また、経済的な被害がなければよいというものでもないでしょう。

同社はプライバシーマークも取得しており、日ごろから対策を講じ、従業員教育もしていたはずですが、残念ながら、ここでは加害者として重大な違反を犯してしまったという認識が必要なのではないでしょうか。

個人情報法保護法の違反

プライバシーマークの欠格事由を考慮すると恐らく「勧告」か「厳重注意」に相当するものと思われます。

組織としての情報漏洩ではないので「認定取り消し」は免れるということになるでしょう。

しかし、個人情報法保護法に照らすと”個人情報取扱事業者”として規制対象となるので、第三者の元社員に流出をしたという事実は、安全管理措置を怠ったものとして明らかに違反と言えるでしょう。

刑事罰を受けることはないにせよ、民事上の訴訟があれば免れることはできません。違反は違反です。

欠格事由が厳しい優良派遣事業者認定

では、優良派遣事業者認定制度はどうでしょうか。同社は2015年度(平成27年度)に厚生労働省の優良派遣事業者に認定されています。

人材サービス産業協議会による認定基準のチェックリスト82項目のうち9項目が情報管理・保護に費やされており、殊の外、個人情報の扱いについては重きがおかれています。事業者の信頼性が重要という観点から当然のことでしょう。

そして、優良派遣事業者の認定取消事由は以下とされており、プライバシーマークの欠格事由を上回るほど厳しいものに設定されています。

  • 行政処分を受けた場合
  • 虚偽の記載・説明があった場合
  • その他の場合(審査に問題があった場合、重大な法令違反等)

つまり、プライバシーマークでは、過失による法令違反だけでは取り消しにならず、故意かどうかが大きな判断基準になることに対して、優良派遣事業者認定制度では重大な法令違反も取り消しの対象になるということです。法令違反は労働者派遣法だけのことを言うものではないはずです。

ここは優良派遣事業者認定制度の覚悟の強さがうかがい知れるところではありますが、1万5千人の個人情報流出は軽微な法令違反とは言いづらいものがあります。

厚生労働省がどのように判断するのかは、今後の注目点になるのではないでしょうか。

発表のタイミングの遅さ

プレスリリースを見ると、危機管理広報という観点ではきわめてセオリー通りの文面で、二次的、三次的な報道にはつながらない内容となっています。

実際に報道がされた翌日以降、この事件が蒸し返されるようなことにはなっていません。

広報担当としての初動は、概ねよかったのではないでしょうか。

同社がリクルートグループの中核をなす企業でありながらリクルートの名称が一切出ないというのも、リスクマネジメント力とも言えるのかもしれません。

ただし、流出を確認した4月20日からプレスリリースを出した5月9日まで20日近くも時間が経過しているのは感心しません。

今回はたまたま元従業員が自ら企業した派遣会社の営業に利用することが目的だったのかもしれませんが、仮に何らかの悪意のある犯行だったとしたら20日間の時間は長すぎます。

プライバシーマークに報告した翌日にプレスリリースを出したことは、非常にうがった見方をするならば審査機関から促されてのことであり、そうでなければ発表しなかったのかとも捉えられ、企業姿勢を問われることになりかねません。

経営上のダメージ

一方、経営的に見るとこれからが大変です。対応として、お詫びの書簡の発送、メールの送信と対応窓口の設置と受付を行うとされていますが、営業担当者やコーディネーターは派遣スタッフへの直接の説明に追われるでしょう。

またクライアント企業への事情の説明をすることも余儀なくされ、その間、営業活動が停止します。

クライアント企業によっては契約解除のようなことに発展することもあり、その対応にも苦慮するでしょう。

求職者の新規登録の減少や新規取引の低下から、業績上も一定程度足踏みをすることになるのではないでしょうか。

目には見えないダメージは非常に大きいものになってしまいます。

物理的な対策はない

ある報道によれば、今後の対応として同社は「個人を特定できない状態にするなどセキュリティの強化や従業員教育の徹底を図る」とのことです。

しかし、実際にはこれらの対策には限度があります。突き詰めると物理的な対策はありません。

どのような対策を講じても、悪意があれば必ず流出します。人材サービスである以上、個人情報を見ずにサービスの提供はできません。

可能な限り同様のことがないようなしくみ創りが必要であることは言うまでもありませんが、結局は、人の意識の問題です。

従業員教育としては一般的に個人情報の重要性や個人情報保護法の理解、具体的な留意点などに重点が置かれることが多いと思いますが、それだけに留まらず特に道徳観や倫理観に働きかける教育を繰り返し行うことが重要です。

他山の石ではない

スタッフサービスの件は、その内容を見ればわかるように決して他山の石ではありません。たまたま同社で起こってしまっただけのことで、いずれの事業者でもいつ起こっても不思議ではないものです。もちろん人材サービスだけに限った話でもないでしょう。

他人事とせず、改めて自社の状況を見直し、継続的にセキュリティ強化と従業員教育をすることが必要です。

売上につながらないせいか拙ブログでリスクマネジメントについて書くと、あまり反響がないのですが、経営的にはリスクマネジメントはトップクラスに重要なことです。

一歩間違えると企業の存続が危ぶまれるほどのことになりかねません。

持続的成長の観点からも、客観的な生命線のチェックをすることが必要ではないでしょうか。

お陰さまで好評発売中です!ご注文は、Amazon からお願いします。

全国の紀伊國屋書店、丸善ジュンク堂、ブックファースト、有隣堂、三省堂書店などでもご購入いただけます。

雇用が変わる

関連記事: