お客様の安全・安心と経営基盤の強化を支援する 株式会社アステックインタナショナル

先日、大変興味深い情報セキュリティの事件が発生しました。

GMOインターネットが「不採用通知」2万3000人に誤送信
http://www.itmedia.co.jp/news/articles/1503/02/news061.html

この事件の概要は、過去に同社にエントリーしたことのある人のメールアドレスに不採用通知のメールを誤送信したというものです。

さて、ここでなぜ「過去に同社にエントリーしたことのある人のメールアドレス」をいまだに持っているのだろうという疑問が生まれます。

同社は以下のように回答しています。
https://www.gmo.jp/info/alert/index150227.php

Q: なぜ古い個人情報が残っているのですか?
A: 現在のところ、ご応募・エントリー・紹介会社からのご紹介について2006年のシステム導入時から
   全ての情報を保持しております。今回の事態を重く受止め、適切な運用ルールを早急に策定し、
   運用させていただく方針でおります。

上記のように回答されてますが、結局なぜその情報を持っていたのかの説明は無いようです。
つまり、これは目的も理由もなく持っていたということになります。

この事件の興味深いところは、要らぬ情報を持っていると余計なリスクにさらされるということを見事なまでに顕在化させた点です。

情報の保有については、個人情報も含め、顧客のセキュリティ要求や経営的戦略の中で保持しておくかを判断する必要があります。

顧客から受注した仕事において、秘密保持契約書や仕様書内に業務終了後半年後には消去してくださいなどと書かれている場合はないですか?そういうのが書かれていたらそれが顧客のセキュリティ要求なのです。その場合は基本的にそれを順守しなければなりません。もし保持したいなら顧客とちゃんと交渉してください。その記録を文書化した情報として保持するとなおよいでしょう(後で言った言わないのトラブルにならないように)。
顧客の要求にはないけど、活用する情報なら経営的な判断により保持することを決定してください。ただし保持するのであれば、その情報の管理責任があるということも認識してください。

そういうものでなければ、情報は破棄し、要らぬリスクを保有しないようにしたほうがよいでしょう。

この事件を機に、御社の中で不要な情報を持っていないか棚卸してはいかがですか?