- 2020年7月2日
中小企業が「今からできる」プライバシー保護の第2回です。これは、離職した役員の電子メールアドレスとメールボックスの閉鎖を怠っていたことに対し、ベルギー監督機関が下した制裁処分事例をベースとしています。退職者の後処理が不十分だったがゆえのケースであり、社員の入社・退職が多い中小企業で起こりやすいケースといえるでしょう。
退職した社員のメールアドレスで「個人データ収集」?
A社は社員25人の広告会社である。主なクライアントは海外のブランド品やノベルティグッズを輸入する国内外の中小輸出入業者で、クライアントとの間で輸出入計画や販売計画を共有し、ウェブを中心に広告の作成やウェブ上での販売キャンペーン、プロモーション戦略などを企画・提供している。
A社では、常にトップレベルの営業成績を残してきた海外営業部員Bが一ヶ月前に退職した。Bは営業方針を巡って上司と意見の相違があり、それが退職理由だと社内で噂されている。Bはクライアントとの間で、公私にわたり強い関係を築く営業手法をとっており、クライアントからの信頼も厚かった。社長も、法に抵触しない範囲という条件でそのようなBの営業方針に理解を示しており、会社のメールアドレスでビジネスに繋がるクライアントとの私的なやりとりも黙認していた。そのため、Bが使用していたA社メールアドレスでは、業務上の打ち合わせなどのほか、クライアントからBに私的なメールも送られており、中にはクライアントの社長家族の写真や、Bへの個人的な相談といったメールも含まれていた。A社は、Bが退職したあともBのメールアドレスを停止せず、Bのメールボックスも「業務データが含まれている」という理由で閉鎖しなかった。そのため、Bが退職したあともBあてのメールが受信できる状態が続いていた。
ある日、Bが担当していたフランスの輸出業者から、「貴社のB氏が先月退職したとのことだが、それを知らずにその後もB氏あてのメールを送っている。メールには個人データも含まれるためすぐに削除してほしい。貴社はB氏のメールアドレスを使って私の個人データをまだ集めているのではないか?また、なぜこのようなことが発生したのか説明を求める。説明が不十分な場合は、当局に申し立てる用意がある」という内容のメールが送られてきた。これを受けて社内調査を実施したところ、退職にあたってBは、「メールボックスから私的なデータはすべて削除したので、退職後はすぐにメールを停止し、メールボックスを閉鎖してほしい」と人事担当者に伝えていたことがわかった。人事担当者はBの意思を確認していたが、情報システム担当者と連携してメールアドレスを停止していなかった。また、A社はBのクライアントに対し、Bが退職したことを通知せず、Bのアドレス宛のメールに対し、メールアドレスを停止したことを通知する自動返信を設定していなかったことも判明した。このメールを受け、A社はBのメールアドレスの停止とメールボックスの閉鎖、業務データの回収を実施し、輸出業者には事態の経緯を説明するメールを送った。
この件は以上で落着したものの、社長は同じような要求が他のクライアントから送られてこないか、内心不安を感じはじめたため、プライバシー保護の専門家に相談した。専門家からは、①Bはすでに退職し、Bのメールアドレスとメールボックスが停止されていることを、Bあてのメールに自動返信する②メールボックス内の必要な業務データは速やかに回収し、それ以外のメールとその添付ファイルは削除する③退職者の電子メールの取扱いや、会社メールアドレスの私的な利用を規制する社内規則を策定する、等のアドバイスを得た。
原因と対策
このケースのモデルとなった事案は、経営を巡って対立していたある中小企業の取締役が退任するにあたり、会社のメールアドレスとメールボックスが約3年にわたってオープンな状態であり、その間、元取締役をあて先とする、個人データが含まれたメールが受信可能状態だったというものです(詳しくはBizRisの本記事をご参照ください)。
欧州GDPRでは、会社の電子メールを通じた個人データの取扱いにおいて、会社が管理者の義務を負うことになります。監督機関の制裁処分書の論旨によると、このケースでは、社員Bの私的な電子メールに含まれる個人データについて、Bの退職により会社がそれを取り扱う適法根拠が失われると考えられます。そのため、退職後には、速やかにメールアドレスを停止するとともに、メールボックスも閉鎖して、メールによって個人データが物理的に受信できないようにすることが求められます。
実際の事案では、約3年間メールが受信可能だったことが個人データ処理のデータ最小化原則に反していたこと、元取締役からメールの停止とメールボックスの閉鎖が求められていたにもかかわらず会社が応じなかったことが、データ主体の削除権(忘れられる権利)の行使を妨げていたことなどもGDPR違反であると指摘されています。退職者のメールの停止などの処置は、本人の退職後速やかに実施することが必要です。また、退職者のメールアドレスの取扱いに加え、退職者の業務に関わる個人データの処置について、社内規則を整備し、それを確実に実行するようにしましょう。
執筆:井澤 寛延(シニアコンサルタント 中小企業診断士)
お問い合わせ:bizrisk-enquiry@iij.ad.jp