経産省がSCEに行政指導、PSN運用の米SNEIにはCIO不在、監督体制に不備


 経済産業省は27日、「PlayStation Network(PSN)」の個人情報漏えい事故に関して、株式会社ソニー・コンピュータエンタテインメント(SCE)に対し、個人情報保護法に基づく指導を行ったと発表した。PSNなどのネットワーク運用を担当している米Sony Network Entertainment International(SNEI)に対する監督を、SCEが適切に行っていなかったと判断した。

 経産省によると、SCEにとって個人情報の管理委託先にあたるSNEIには、CIO(チーフ・インフォメーション・オフィサー)などの情報セキュリティ専門の責任者が置かれていなかったほか、異常発生時の報告連絡体制についての規定が整備されていないなど、組織的安全管理体制に不備があったという。また、SNEIはネットワーク事業を主に手がけ、7700万件もの個人情報を保持していながら、公知の脆弱性について自社で確認する体制も整備しておらず、技術的安全管理体制にも不備があったとしている。

 さらにSCEとSNEIとの間に、安全管理措置を遵守させるために必要な委託契約が締結されていなかったことから、個人情報の管理委託先の監督を適切に行っていなかったとして、今回、SCEに指導するに至った。また、漏えいした情報の内容および規模から極めて重大な事案だったにもかかわらず、ユーザーや経産省への連絡までに相当の時間を要したことも誠に遺憾としている。

 経産省はSCEに対して、1)委託先における組織的安全管理体制の整備、2)委託先における技術的安全管理体制の整備、3)委託先における個人情報の取り扱い状況を直接かつ適切に監督する体制の整備――といった措置を講じ、委託先に対する必要かつ適切な監督を行うことなどを求めている。

 また、他のソニーグループの企業でも相次いで個人情報の漏えい事故や漏えいにつながる事故が発生していることから、グループ内他社との情報共有や連携強化を図ること、グループ全体における個人情報の安全管理体制の向上に資することもSCEに求めている。

 なお、SCEおよびソニー株式会社では今回の情報漏えい事故を受け、SNEIにCISO(チーフ・インフォメーション・セキュリティ・オフィサー)を設置し、セキュリティ強化や事故再発防止のための対策を進めていることをすでに発表している。


関連情報


(永沢 茂)

2011/5/27 18:45