顧客情報を開示した場合、企業はどのような責任を負うのでしょうか?

数百万人の顧客情報が漏洩

公安部は、顧客情報を漏洩したテクノロジー企業や、漏洩した乗客情報を用いてSMSメッセージでサービスを提供したタクシー仲介会社が相次いでいると指摘している。公安部はまた、個人情報の漏洩と売買の現状は広範囲に及んでおり、公然としており、ますます複雑化していると指摘した。さらに深刻なのは、多くのデータがサイバー空間上で長期間にわたり、大量に公然と売買されていることだ。売買は個人間で行われるだけでなく、企業、組織、企業も関与している。

2018年、 Thegioididong.comが漏洩し、ハッカーがメールアドレス、取引履歴、さらにはカード番号などの重要情報を入手したという情報がテクノロジーフォーラムで報じられ、数百万人の顧客が不安に陥りました。Gioi Di Dongは直ちにプレスリリースを発表し、これは偽情報であり、システムは依然として安全で、正常に動作しており、影響を受けていないことを確認しました。その後、事態は徐々に沈静化しました。

2018年4月、 VNGは1億6000万件のZing IDアカウントが漏洩の危険にさらされており、同社のゲーム顧客ファイルの一部に影響を及ぼす可能性があると記録しました。同社は、このインシデントへの対応、侵入防止、そして技術的対策による影響を受けるユーザー数の制限に迅速に対応したと発表しました。VNGは、多数のユーザーの情報が漏洩したことを認めつつも、「このインシデントで実際に影響を受けたユーザーの範囲は広くなく、ゲーム顧客に集中しており、他のVNG製品には影響しません」と述べ、顧客の権利と安全を常に確保し、顧客に発生するあらゆる問題を徹底的に解決することを約束しました。

アテナサイバーセキュリティセンターのヴォ・ド・タン氏によると、公安省が言及したような具体的なケースでは、企業のシステムが攻撃を受けたのか、それとも企業の従業員がデータを盗んで流出させたのかを調査する必要があるとのことです。しかし、理由が何であれ、データが漏洩したということは、企業のシステムに脆弱性があることを意味します。ここでの脆弱性は、技術的なものでも人的なものでも構いません。したがって、ネットワークのセキュリティと安全性全般の確保、あるいは顧客の個人データの保護は、24時間365日、怠ることなく定期的に監視・実施する必要があります。ハッカーはいつでも攻撃してくる可能性があるため、自社のシステムが常に安全であると断言できる人は誰もいません。ましてや、企業の従業員が顧客データを盗み出し、外部に売却するといった事態は避けられません。

世界には重い罰則があるが、ベトナムには制裁がほとんどない。

最近、顧客情報の漏洩事件が相次いでいますが、処罰や制裁を受けた企業はほとんどありません。一方で、世界各国はこうした行為に対して重い罰則を科しています。例えば、2019年7月、米連邦取引委員会は、Facebookのユーザー8,700万人分の個人データがケンブリッジ・アナリティカによって不正にアクセス・使用されたことを受け、Facebookに50億ドルの罰金を科すことを決定しました。調査によると、Facebookは2016年の大統領選挙キャンペーン中、そして2016年のイギリスのEU離脱国民投票中に、ケンブリッジ・アナリティカによる米国ユーザー5,000万人分のデータへの不正アクセスを許可していました。これは、ユーザーデータ漏洩事件に対する罰金としては世界最大額となります。

ベトナムには、情報漏洩・開示に関する罰則に関する規制が数多く存在します。現在、ネットワークセキュリティ分野における行政違反に対する罰則に関する政令案（現在審議中で、政府による公布を待っています）では、個人情報保護に関する規制に違反した組織に対する罰則の上限は、2回目以降の違反に対し、ベトナムにおける前会計年度の総収入の最大5%と規定されています。加えて、個人情報を収集する業種の営業許可を1～3ヶ月間取り消すという追加罰則が科される可能性もあります。

VNサイバーセキュリティテクノロジー社のテクニカルディレクター、ヴー・ゴック・ソン氏は、これまで個人情報保護に関する詳細な規制がないため、違反した企業や組織は行政罰のみの対象となると述べた。そのため、今回の法案で提案されている総売上高の5%を上限とする罰金はベトナムに適切であり、抑止効果も期待できるため、顧客データ保護における各組織の責任はより高まる。しかし、ソン氏によると、この罰金は世界と比較するとまだ高くはない。多くの国では、罰金は個々の違反の影響規模に基づいて評価されるためだ。例えば、小規模な企業から発生した違反であっても、多数のユーザーに深刻な影響を与える場合、罰金は依然として高額になる。「ベトナムでは、個人情報漏洩の個々の事例の影響を評価する尺度がまだ確立されていないため、売上高に基づく罰金を提案するのは合理的です。これは、人々の個人情報を管理・保護するプロセスにおける新たな一歩となるでしょう」とヴー・ゴック・ソン氏は述べた。

ヴォ・ド・タン氏はこれに同意し、顧客の個人情報保護行為に対する具体的かつ公的な行政罰に関するより詳細な規制を設けることで、企業はネットワークセキュリティシステムの見直しを迫られるだろうと述べた。顧客情報の機密性を確保するため、技術面と人的資源の両面で定期的な評価と監視のプロセスが設けられており、これはオフィスビルや混雑した場所における火災安全確保に関する規制に類似している。政府の管理機関も、違反企業に対する検査、監督、厳正な処罰を強化する必要がある。初回の違反はマスコミで公表される可能性があり、2回目の違反には相応の行政罰が科せられ、その後、企業がネットワークセキュリティシステムを強化できるよう、一定期間のサービス停止措置が取られる可能性がある。