アフラックで情報漏洩
2012/03/08   コンプライアンス, 情報セキュリティ, 民法・商法, 金融・証券・保険

概要

アメリカンファミリー生命保険会社（アフラック）は3月6日、同社社員が顧客情報を記録したファイルを誤ったメールアドレスに送信していたことが判明したと発表した。これは2月27日、同社仙台総合支社の社員が、管轄する販売代理店に対して同代理店が担当する顧客情報の一部が記録されたファイルをメール送信した際に、誤ったアドレスに送信したというもの。

誤送信したファイルには、契約者2,555名の氏名、生年月日、年齢、性別、郵便番号、住所、電話番号、証券番号、保険種類、口数、契約種類、集団名、集団コード、払込方法、保険料、特約情報が記録されていた。なお、センシティブ情報、口座情報、クレジットカード情報は含まれていないとしている。同社では誤送信の判明後、直ちに誤送信先に連絡を取ろうとしたが、発表時点では連絡が取れていないとしている。

雑感

情報漏洩の代償について考えてみる。JNSA NPO日本ネットワークセキュリティ協会が発表している「情報セキュリティインシデントに関する調査報告書」に基づく計算式によると、仮に個人が簡単に特定可能な状態で保険加入記録が漏えいした場合、漏えいした個人情報の価値は一人3万円となる。2555人で7,665万円である。ちなみに、メールアドレスのみの場合は、一人１０００円である。この計算式は一つの基準として参考程度に考えるべきものだが、情報漏洩で会社に損害が発生した場合に数千万円、場合によっては億単位の損害賠償をされる恐れがある。クリックひとつでこのようなリスクが生じかねないことは、会社は従業員に教えてあげる必要があるだろう。