ONEチャンピオンシップがメールアドレスを漏洩(3)

ONEチャンピオンシップのマーケティングマネージャーによって私のメールアドレスが漏洩されてしまった話の続きです。

 

2019年4月20日、前回の記事を投稿した翌日に、マーケティングマネージャーへ状況の確認を求めるメールを送りました。
すると、3日後の23日に返信がありました。

 

土日を休みとすれば翌営業日なので、前回よりだいぶ早い反応です。
それによると、「弁護士を通じてこちらの件につきましては御対応を話し合っております」とのことです。

そしてほぼ1週間後の29日に、最終的な回答がありました。
内容については、「個人情報保護委員会」に確認をとったそうです。


個々の回答は以下の通りです。
(斜体部分が、先方の回答文です。)

 

■1、この件は、日本の法律における「個人情報の漏洩」に該当するかどうか。

発送したメールの内、一件が名前が分かるアドレスが使用されていたため、当該名前が分かるアドレスの人物に対しては、原則として漏洩という形になります。

この場合の対応として、個人情報保護法第20条に、「安全管理処置 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない」と規定されています。それに従って、問題が発生した場合は当該人物について個人情報保護委員会告示第1号のガイドラインにそって対応する予定です。

 

「個人情報保護委員会告示第1号」とは、個人情報保護委員会が公表している「個人データの漏えい等の事案が発生した場合等の対応について」というタイトルの文書です。

個人情報保護委員会については、弁護士ドットコム(株)が運営するビジネスロイヤーズのWebサイトで詳しく解説されています。

 

■2、この件は、シンガポールの法律における「個人情報の漏洩」に該当するかどうか。

ご質問はシンガポール法の問題ですが、 今回は当社は日本法人であり、開示してしまったメールアドレスの持ち主も日本人の方なので、そもそもシンガポール法は関わっていないと思料いたします。

 

ONEチャンピオンシップはシンガポール発祥ですが、日本大会については、日本法人が運営しているようです。

そういえば確かに、マーケティングマネージャーのメール署名は
「Manager, Event Marketing(Japan)
ONE Championship™」
というものでした。

■3、ONE チャンピオンシップは、日本の法律における「個人情報取扱事業者」に該当するかどうか。

個人情報取扱事業者に該当致します。

 

■4、この件を、日本の個人情報保護委員会へ報告するかどうか。

個人情報保護委員会ガイドラインP.2には報告を要しない場合として:軽微なもの(メールの誤送信等)
に該当するため、報告は必要ないそうです。
https://www.ppc.go.jp/files/pdf/iinkaikokuzi01.pdf

 

確かに、今回の件は報告の必要が無い「宛名及び送信者名以外に個人データ又は加工方法等情報が含まれていない場合」に該当します。

 

■5、この件でメールアドレスを知られた応募者へ、どのように対応するか。

二次被害を防止するため、メール受信者全員に対して削除の要請と謝罪メールのご送付を致します。

 

5月2日現在、少なくとも私宛にはまだ届いていません。
ゴールデンウィークで休んでいるのでしょうか。

とはいえ、私が最初に漏洩を指摘してからは1ヶ月以上、先方が4月7日に対象のお客様に対しては真摯にご対応させて頂く」と宣言してからでも3週間以上経っています。

弁護士へ相談しながら進めるにせよ、「削除の要請と謝罪」にこれだけ時間がかかるのは如何なものかと思います。

 

なお、「返信したことにより名前まで知られた方」への対応については、少々意外な回答がありました。

返信に関しましては、ご本人が他の皆様全員に返信することにより、そのご意思でメールアドレスや名前を開示したことになりますので、当社としてご本人の名前が第三者に知れてしまったことについて、いかなる責任を負担する必要もないと思料しております。

 

「ことになります」という書き方から、本当に意図的な開示だったのどうかを本人に確認したわけでは無いと考えられます。

ということは、誤送信されたメールだと気づかずにうっかり全返信をしてしまった場合であっても、「わざとやったんでしょ。」と見做されてしまうわけです。
少なくとも、ONEチャンピオンシップ日本法人(の弁護士)と個人情報保護委員会は、そういった見解だそうです。

気をつけなくてはいけません。

 

<つづく>