トヨタ自動車の子会社が管理していた顧客データが
10年近くインターネット上で公開状態となっていた件で、
個人情報保護委員会がトヨタ自動車に行政指導を行ったようです。
↓
(個人情報保護委員会HPより:https://www.ppc.go.jp/news/press/2023/230712_01/)
この問題が最初に報道されたときに、
ふと気になったのは、
これは「個人情報」ではなくて「個人関連情報」ではないのか??ということ。
↓
改めて個人情報保護委員会の指導文書を読んでみます。
外部から閲覧できる状態になっていたのは、
◉Connect 用のサ ーバについては、
車載機 ID、車台番号及び車両の位置情報等
◉G-Link 用のサ ーバについては、
車載機 ID、更新用地図データ及び更新用地図データの作成年月日等に関する情報
ということなので、氏名とか住所など個人を特定できるものではないような気もします。
ですが、個人情報保護委員会は、
「個人情報」として認識すべきだっと言っています。
車載機IDと車体番号、位置情報は、
それ単体ではおそらく個人は識別できないと思いますが、
これらが組み合わさったり、
他のトヨタ内のデータベースと照合したりすると、
個人が特定できてしまうということでしょうね。
(参考:個人情報の保護に関する法律についてのガイドラインに関するQ&A)
(個人情報保護委員会HP:https://www.ppc.go.jp/files/pdf/2305_APPI_QA.pdf)
今回は、氏名もクレジットカードNo.などの決済情報も漏洩していないという事例で、
こんな風に行政指導が出るのは珍しいですね。
同様の事例(え?これ、個人情報なの!?)というケースが、
他社、他業種でもありそうな気がします。
ちなみに、具体的な指導は以下の通り。
↓
↓
トヨタ自動車のHPにも再発防止策のご報告が掲載されています。
(トヨタ自動車HP:https://global.toyota/jp/newsroom/corporate/39529198.html?padid=from_tjptop_important)
「個人関連情報」だと思っていたら、
実は、何らかの情報と照合すると個人が特定できる可能性があって、
「個人情報」として取り扱う必要があった!というケースがないかどうか?
注意が必要かもしれませんね。
何よりもまずは、個人情報として認識することから。
「疑わしい場合は「個人情報」として扱う」くらいの意識の方が安全だと思います。