個人データを、ビジネスを守る、IIJ

【PR】事例で考える 中小企業が「今からできる」プライバシー保護(2)
「退職者の電子メールはすぐ止めよう」


中小企業が「今からできる」プライバシー保護の第2回です。これは、離職した役員の電子メールアドレスとメールボックスの閉鎖を怠っていたことに対し、ベルギー監督機関が下した制裁処分事例をベースとしています。退職者の後処理が不十分だったがゆえのケースであり、社員の入社・退職が多い中小企業で起こりやすいケースといえるでしょう。

退職した社員のメールアドレスで「個人データ収集」?

A社は社員25人の広告会社である。主なクライアントは海外のブランド品やノベルティグッズを輸入する国内外の中小輸出入業者で、クライアントとの間で輸出入計画や販売計画を共有し、ウェブを中心に広告の作成やウェブ上での販売キャンペーン、プロモーション戦略などを企画・提供している。

A社では、常にトップレベルの営業成績を残してきた海外営業部員Bが一ヶ月前に退職した。Bは営業方針を巡って上司と意見の相違があり、それが退職理由だと社内で噂されている。Bはクライアントとの間で、公私にわたり強い関係を築く営業手法をとっており、クライアントからの信頼も厚かった。社長も、法に抵触しない範囲という条件でそのようなBの営業方針に理解を示しており、会社のメールアドレスでビジネスに繋がるクライアントとの私的なやりとりも黙認していた。そのため、Bが使用していたA社メールアドレスでは、業務上の打ち合わせなどのほか、クライアントからBに私的なメールも送られており、中にはクライアントの社長家族の写真や、Bへの個人的な相談といったメールも含まれていた。A社は、Bが退職したあともBのメールアドレスを停止せず、Bのメールボックスも「業務データが含まれている」という理由で閉鎖しなかった。そのため、Bが退職したあともBあてのメールが受信できる状態が続いていた。

ある日、Bが担当していたフランスの輸出業者から、「貴社のB氏が先月退職したとのことだが、それを知らずにその後もB氏あてのメールを送っている。メールには個人データも含まれるためすぐに削除してほしい。貴社はB氏のメールアドレスを使って私の個人データをまだ集めているのではないか?また、なぜこのようなことが発生したのか説明を求める。説明が不十分な場合は、当局に申し立てる用意がある」という内容のメールが送られてきた。これを受けて社内調査を実施したところ、退職にあたってBは、「メールボックスから私的なデータはすべて削除したので、退職後はすぐにメールを停止し、メールボックスを閉鎖してほしい」と人事担当者に伝えていたことがわかった。人事担当者はBの意思を確認していたが、情報システム担当者と連携してメールアドレスを停止していなかった。また、A社はBのクライアントに対し、Bが退職したことを通知せず、Bのアドレス宛のメールに対し、メールアドレスを停止したことを通知する自動返信を設定していなかったことも判明した。このメールを受け、A社はBのメールアドレスの停止とメールボックスの閉鎖、業務データの回収を実施し、輸出業者には事態の経緯を説明するメールを送った。

この件は以上で落着したものの、社長は同じような要求が他のクライアントから送られてこないか、内心不安を感じはじめたため、プライバシー保護の専門家に相談した。専門家からは、①Bはすでに退職し、Bのメールアドレスとメールボックスが停止されていることを、Bあてのメールに自動返信する②メールボックス内の必要な業務データは速やかに回収し、それ以外のメールとその添付ファイルは削除する③退職者の電子メールの取扱いや、会社メールアドレスの私的な利用を規制する社内規則を策定する、等のアドバイスを得た。

原因と対策

このケースのモデルとなった事案は、経営を巡って対立していたある中小企業の取締役が退任するにあたり、会社のメールアドレスとメールボックスが約3年にわたってオープンな状態であり、その間、元取締役をあて先とする、個人データが含まれたメールが受信可能状態だったというものです(詳しくはBizRisの本記事をご参照ください)。

欧州GDPRでは、会社の電子メールを通じた個人データの取扱いにおいて、会社が管理者の義務を負うことになります。監督機関の制裁処分書の論旨によると、このケースでは、社員Bの私的な電子メールに含まれる個人データについて、Bの退職により会社がそれを取り扱う適法根拠が失われると考えられます。そのため、退職後には、速やかにメールアドレスを停止するとともに、メールボックスも閉鎖して、メールによって個人データが物理的に受信できないようにすることが求められます。

実際の事案では、約3年間メールが受信可能だったことが個人データ処理のデータ最小化原則に反していたこと、元取締役からメールの停止とメールボックスの閉鎖が求められていたにもかかわらず会社が応じなかったことが、データ主体の削除権(忘れられる権利)の行使を妨げていたことなどもGDPR違反であると指摘されています。退職者のメールの停止などの処置は、本人の退職後速やかに実施することが必要です。また、退職者のメールアドレスの取扱いに加え、退職者の業務に関わる個人データの処置について、社内規則を整備し、それを確実に実行するようにしましょう。

執筆:井澤 寛延(シニアコンサルタント 中小企業診断士)
お問い合わせ:bizrisk-enquiry@iij.ad.jp

関連情報

★サービス

IIJ GDPR有事対応支援サービス

インシデント発生時に72時間以内の監督機関への報告対応、社内関係部署のしかるべき連携、対データ主体の情報開示といったセンシティブかつ急を要する対応について、お客様のチームに合流してアドバイスを行います。またご依頼に基づき、実際の各種報告書面の作成等の必要な作業を行います。

IIJ DPOアウトソーシングサービス

IIJ DPOアウトソーシングサービスは、EU GDPRで求められるDPO(Data Protection Officer:データ保護責任者)のアウトソーシングサービスです。
プライバシー保護法制とITセキュリティに高い専門性を持つIIJのDPOチームが、お客様のGDPR遵守対応をサポートします。

IIJ EU代理人サービス

EUに拠点をもたずEUと取引をする企業は、管理者、処理者に関わらず、EU代理人(EU representative)を選任する義務があります。IIJ EU代理人サービスは、EU各国(27カ国と英国)のEU代理人が、EU各国の監督機関やデータ主体(EUに所在する個人)から、英語、フランス語、ドイツ語、スペイン語、イタリア語での問い合わせに対応します(その他のEU公用語も対応可能です)。また、日本語でお客様に取り次ぐと共にGDPRの専門家としてのアドバイスも行います。

IIJビジネスリスクアドバイザリーサービス

GDPRや中国CS法、カリフォルニア消費者プライバシー法に関するコンサルティングを行っている専門家が、プライバシー保護規制のちょっとした疑問からドキュメントの作成支援に至るまで、お客様の様々なご相談にお答えします

★ソリューション・コンテンツ

世界各国のプライバシー保護規制一覧(2020年9月29日更新)

IIJでは2019年4月1日公開の初版、2020年3月31日公開の更新版に続き、日本企業からお問合せの多い①31ヵ国・地域(今回新たに12ヵ国を追加)、②17調査項目(クッキー規制を含める)を対象に、西村あさひ法律事務所様の協力も得て、この度「世界各国のプライバシー保護規制の概要一覧(グローバル・オーバービュー)」の更新版(2020年9月29日時点)を作成しました。「a. プライバシー保護規制のグローバルマップ」、「b. 各国毎のプライバシー保護規制比較一覧表」、「c. 31カ国・地域毎の個別レポート」といった3種類のレポートで構成されています。

関連記事