東京都社会保険労務士会の情報漏洩対応をみて思うこと
今年の7月13日付けで、都社労士会の会員専用ページに「個人情報漏洩の可能性についてのお詫びとお知らせ」と題する記事が掲載されました。
今年の1月6日、都社労士会が運営する「社労士検索システム」上に、表示されるべきでない会員情報が閲覧できる状態であったことが判明したとのこと。
都社労士会が会員向けのページで公表した内容からは、原因は、同社労士会サイトの更新を請け負った業者のミスによるものとされています。
「社労士検索システム」とは、都社労士会が運営する社労士をお探しのお客様に向けた無料サービスのことで、対応可能業務、業種、エリア等を指定して検索ボタンを押下すれば、それにマッチした社労士が表示される仕組みです。
なお、社労士側で公開する範囲を指定することもできますが、このたび非公開の情報まで出てしまったというのが、事案の大雑把な内容です。
気になったのが、1月上旬に発覚した情報漏洩の公表が、なぜ半年以上後になったのかということ。
上記の社労士検索システムへの登録は1年単位で行われていて、社労士は都社労士会に登録費用を納める必要があります。6月は、今後1年間登録を継続するか判断するタイミングとなっていました。もし漏洩の事実がその前に公表されていれば、登録数が減少することも予測されたことから、それを回避したかったのか。
また、都社労士会の通常総会が6月にありました。会報を見る限り、問題が報告された形跡がありません。総会を「シャンシャン」で終わらせたかったため、公表を遅らせたのでしょうか。
もう一つ気になる点として、7月15日現在、公表は会員限定ページのみであるということです。
なぜ、公表範囲を限定する必要があるのでしょうか。
都社労士会は、社労士の情報セキュリティの確保を推し進める立場です。その本家である彼らによる情報漏洩が生じました。私としては、それはやむを得ないことだと思います。
けれども、その事案への対応が不十分であると言わざるを得ません。組織のガバナンスはどうなっているのでしょうか。
そして何よりも、会員である社労士を守るという基本的姿勢があれば、こんなにも公表が遅れることはなかったはず。
その一点において、とても残念に感じます。
(参考)
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
3-5-2 漏えい等事案が発覚した場合に講ずべき措置
(略)漏えい等事案の内容等に応じて、二次被害の防止、類似事案の発生防止等の観点から、事実関係及び再発防止策等について、速やかに公表することが望ましい。


