2024年7月8日付で東京都が「個人情報の漏えい」というプレスリリースを出しています。
・個人情報の漏えい|東京都
本リリースを読むと、「東京都産業労働局(委託元)と公益財団法人東京しごと財団(委託先)は、「シニア中小企業サポート人材プログラム」という再就職のためのプログラムを実施しているところ、このプログラムの希望者56名について、本来、個人が特定されないよう匿名加工を施した人材情報を提供すべきところ、個人が特定できる内部保存用のファイルを、488社に対しEメールで誤って送付した。」というのが本個人情報漏洩事故の概要のようです。
ところが本リリースの「漏洩した個人情報」の部分を読むと、つぎのようになっています。
3 漏えいした個人情報
本来送信予定の項目
「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」
実際に送信してしまった項目
上記に加え、「漢字氏名」「年齢」「性別」
・・・これは「匿名加工情報」(個人情報保護法2条6項)の問題なのでしょうか?つまり、東京都産業労働局および東京しごと財団は、個人情報の生データ(「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」)から氏名・年齢・性別などを除外しただけのデータを「匿名加工」した個人情報ではないデータと認識しているということなのでしょうか?(もしそうであるなら、東京都産業労働局および東京しごと財団における情報管理が心配です。)
そこで東京都産業労働局および東京しごと財団に電話で質問してみたところ、おおむね次のような回答でした。
〇「Excelで人材情報を管理しているところ、「希望職種」「希望条件」「主な職歴」「資格、自己PR」「最寄駅」などのデータから、氏名・年齢・性別を除外したデータなので「匿名加工」とプレスリリースに標記した。」いうまでもなく個人情報保護法上の「匿名加工情報」は、「次の各号に掲げる個人情報の区分に応じて当該各号に定める措置を講じて特定の個人を識別することができないように個人情報を加工して得られる個人に関する情報であって、当該個人情報を復元することができないようにしたものをいう。」(法2条6項)であり、個人データの生データのデータセットから氏名・住所などを削除しただけでは匿名加工情報とはいえず、このデータは以前として個人情報・個人データです。
〇「ただしこれらの情報を求人企業に第三者提供するにあたっては、求職者の本人同意は得ている。」
〇「「匿名加工」という記載が妥当ではないとのご意見に関しては、貴重なご意見としてうけたまわる。」
本プレスリリースによると、東京都産業労働局は再発防止策として、「個人情報の適切な取扱い及びメール送信内容のダブルチェックを改めて徹底する。」「産業労働局における、委託業務を含めた個人情報の適切な管理について、改めて注意喚起を行った。」の2点をあげていますが、まずは東京都産業労働局および東京しごと財団における個人情報保護法の再教育を実施したほうがよいのではと思いました。
PR