弁護士谷直樹/医療事件のみを取り扱う法律事務所のブログ

カテゴリ:コンプライアンス( 103 )

ソニーの個人情報漏洩事故と訴訟

b0206085_6421496.jpg

◆ ソニーの情報漏洩事故

ソニーは,PlayStation®NetworkおよびQriocity™のアカウント情報に不正な侵入を受け,2011年4月17日から19日にかけ,最大7700万人の顧客の個人情報と,最大1000万枚のクレジットカード情報が流出した可能性があると,発表しました.
「漏洩したとみられる個人情報」は,氏名,性別,住所,電子メールアドレス,生年月日,ログインID・パスワードです.
「漏洩の証拠はないが漏洩の可能性がある個人情報」は,購入履歴や請求先住所などのプロフィールデータ,ログインパスワード照合時の質問内容,クレジットカード番号・有効期限です.

サンディエゴ市内のPSNデータセンターにあるアプリケーションサーバーの既知の脆弱性を突かれたそうです.(ただし,Sony Network Entertainment Internationalは,既知の脆弱性を知らなかったそうです.)
ソニーは,米連邦捜査局(FBI)に捜査を依頼しました.

◆ 米下院エネルギー・商業委員会

米下院エネルギー・商業委員会は,4月29日,不正侵入に気付いた経緯やタイミング,当局に報告した時期,利用者への通知が遅れた理由,流出の実態,そしてクレジットカード情報が流出した証拠はないと信じる理由などについて,質問書を送り,回答を求めています. 

本件の時系列は次のとおりです.
1)米国4月19日(日本時間20日),サーバーに異常な動作を確認.
2)米国4月20日(日本時間21日),社内調査で4月17日から19日に不正アクセスが行われていたことが判明.PSNとQriocityのサービスを停止.IT情報セキュリティー会社に調査を依頼し実態の把握に着手.調査のためのミラーサーバーづくりにも着手.
3)米国4月24日(日本時間25日),解析調査会社への依頼をし高度な解析を含めての徹底調査を継続.
4)米国4月26日(日本時間27日),個人情報漏洩の可能性を発表.

ソニーは,遅くても,米国時間4月20日に社内に調査用のミラーサーバーを立てて解析を始めたときには,深刻な事態だと判断していますから,発表が遅れたことは否定し難いでしょう.

◆ 米国での訴訟

アラバマ州バーミングハムのクリストファー・ジョーンズ氏は,米国時間4月27日,「慎重に扱われるべきユーザーの個人データについて,保護,暗号化,安全な場所に保存するといった,適切な配慮をしなかった」として,金銭的な補償および無償でのクレジットカード監視を要求し,カリフォルニア州北部地区米連邦地方裁判所に訴訟を起こしました.集団訴訟(クラスアクション)をめざしています.
また,ソニーが同氏を含む顧客に情報漏洩の発生を通知するまでの時間が長すぎた点も問題視しており,クレジットカード番号の変更や口座の閉鎖,利用状況の確認などといった対応措置が必要かどうかを判断する機会が失われたとも主張しています.
(cnet japan「ソニー、PlayStation Networkの個人情報漏えいで訴えられる.」ご参照)

米国の法律事務所は,流石,提訴まで早いですね.

◆ 日本の裁判例

日本では,宇治市住民基本台帳漏洩事件の最高裁平成14年7月11日判決が知られています.
宇治市が住民基本台帳を使った乳幼児検診システムの開発を民間業者に委託したところ,再々委託先のアルバイト(大学院生)が,約22万人分の台帳をMOにコピーして複数の名簿業者に売却した事案です.
市議3人が提訴し,各慰謝料1万円と弁護士費用5千円が認められました.
日本の民事訴訟にはクラスアクションがないため,たった4万5千円しか賠償が認められなかったのです.
日本の民事裁判は,多数の被害者がいる事案について十分対応していないので,権利行使が事実上困難になっています.

◆ 日本の裁判外での解決

日本では,情報漏洩事故は僅かな金券などを支払ってすんでいます.(それでも,人数が多いと多額になりますが.)
ローソンは,56万人に500円相当の金券を支払いました.
コスモ石油は,92万人に対して500円のガソリン割引ポイントを付与しました.
サントリーは,7万5千人に500円相当の郵便為替を送りました.
ソフトバンクは,460万人に500円相当の金券を支払いました.
1000円の例もありますが,500円がほぼ定着した感じです.

◆ 感想

日本国内では,1人500円で対応できますが(それでも人数が多いとかなりの金額になります.),日本国内の生温い感覚で,情報管理,危機管理を行っていると,国外では大変なことになります.
米国などでは,過去の情報漏洩事件でクラスアクションを活用した集団訴訟が起こされています.クラスアクションが認められると巨額になりますので,和解するしかないでしょう.
さらに,もしこれがソニーバッシングにまで発展すると,市場で被る損害は甚大です.

ソニーがいままで行ってきたネットでのダーティな操作を,日本人はあまり咎めずにきたように思います.
日本人が権利主張をしなさすぎるのは,海外で活躍する日本企業にとって,必ずしも良いことではないのかもしれません.

【5月3日追記】
ソニー・オンラインエンタテインメントからも約2460万人分の氏名や住所などの個人情報が流出した可能性があるとのことです.

【5月5日追記】
カナダの利用者が10億カナダドル(約850億円)超の損害賠償を求めてソニーを提訴したとのことです.

谷直樹
次のバナーをクリックすると,弁護士ブログ165サイト中の順位がわかります.

にほんブログ村 士業ブログ 弁護士へ
にほんブログ村
by medical-law | 2011-05-02 06:46 | コンプライアンス

田辺三菱製薬とコンプライアンス(続き)

b0206085_20511762.jpg◆ 前年同期比20%増

田辺三菱製薬(本社:大阪市)の2010年4~12月期決算は,連結純利益が前年同期比20%増の392億円だった,と報じられています.1月29日日本経済新聞「開発費減少で純利益20%増 田辺三菱、4~12月」)
「もうかりまっか」「ぼちぼちでんな」というやりとりがあったかは知りませんが,結構な数字です.田辺三菱製薬は,利益をあげることについては優良企業です.

◆ コンプライアンス

田辺三菱製薬は,コンプライアンスについて,ホームページに次のとおり掲載しています.

「企業の持続的発展の土台となるものは、企業倫理と遵法精神に基づく企業活動の健全性です。田辺三菱製薬グループでは、役員・従業員が実践すべきコンプライアンスの基準(コンプライアンス行動宣言)と推進のための制度を定め、コンプライアンス推進委員会を中心とした推進体制を構築しています。」

◆ コンプライアンス行動宣言

「生命関連企業に従事する者として、社会からの信頼に応えるため、役員・従業員一人ひとりが実践すべきコンプライアンスの基準である『コンプライアンス行動宣言』を策定し、冊子にして配付しています。」ということなのですが・・・

その「コンプライアンス行動宣言」の第1項を紹介します.

「私たちは生命関連企業に従事する者として、高い倫理観をもって行動します
1-1 製薬企業としての社会的責任を自覚し、コンプライアンスを推進します
1-2 患者さんをはじめ社会の人々の信頼に応えます
1-3 有効性・安全性に十分配慮した、高品質の製品を提供します
1-4 生命倫理・動物福祉に配慮して研究・開発を行います
1-5 試験・調査の倫理性とデータの信頼性を確保します
1-6 医薬品の適正な使用をめざし、有効性・安全性・品質等の情報を的確かつ迅速に提供します」


実際に,このように行動していればよかったのですが.
企業の持続的発展のためには,どうしてコンプライアンスに反する事態が続いてるのかを検証し,有効な対策を実施することが必要でしょう.

更新の励みになりますので下記バナーのクリックをお願いします.

にほんブログ村 士業ブログ 弁護士へ
にほんブログ村
谷直樹
by medical-law | 2011-01-30 18:24 | コンプライアンス

田辺三菱製薬とコンプライアンス

b0206085_14153636.jpg田辺三菱製薬の子会社バイファ社は,2005年10月~07年3月の製剤規格試験の過程で田辺三菱製薬から出向したグループマネジャーらが主導し組織的にデータ改ざんを行い,2010 年業務停止処分を受けました.その後,田辺三菱製薬は,行き過ぎた上意下達の社内風土が不正を招いたとし,グループ内の人事交流や内部通報制度の充実,薬事法を学ぶ研修などを実施し,再発防止をはかると発表していました.

ところが,今日1月26日の朝日新聞は,「田辺三菱、また不適切試験 子会社社員が一部の薬で怠る」と報じました.

社内調査では,記録でも裏付けられたとして品質試験は行われていた,とされましたが,社外の赤松幸夫弁護士らによる再調査の結果,品質試験が行われていなかったことが判明したそうです.
田辺三菱製薬のコンプライアンス欠如は深刻です.

「田辺三菱製薬(本社・大阪市)の子会社が品質試験をしていない医療機関向けの注射薬を出荷していた、と社外の弁護士らによる調査チームが指摘し、田辺三菱が厚生労働省にこの調査結果を報告していたことが分かった。2007~10年3月の約3年間に試験担当社員が一部の試験を行わず、出荷の基準に合格したように虚偽の試験結果を記録した行為があったとしている。田辺三菱は、これらの指摘を『受け入れざるをえない重大な状況と認識している』と答えている。

 田辺三菱と別の子会社は昨年4月、薬の承認申請で試験データを改ざんしたなどとして業務停止処分を受けた。

 今回の問題で、田辺三菱側の社内調査は『試験は行われていた』としていた。だが、その後の社外の調査チームの調べに対し、試験担当社員は、試験の一部を実施しなかったことを認め、その理由を『手間がかかる』などと話した。残りの大部分の試験項目については『試験をした』などと否定したという。厚労省は、薬事法違反にあたるかどうかを判断する見通しだ。田辺三菱によると、健康被害は報告されていないという。

 問題となった子会社は『田辺三菱製薬工場』(大阪市)。同社の足利工場(栃木県足利市)が製造や試験をしている医療機関向けの注射剤『リプル注』『パルクス注』『リメタゾン静注』『パズクロス点滴静注液』の4製品で、不適切試験の疑いが持たれている。

 田辺三菱と同工場は昨年9月、品質管理部で4製品の試験の大半を1人で担当する社員が試験をしていない疑いがあるとの報告を受け、社内調査を実施。『本人もやったと言っているし、記録でも裏付けられた』として『試験は行われていた』と結論づけた。だが、朝日新聞が同工場社員らにこの疑いに関する取材をした後の昨年12月末から、田辺三菱は改めて、社外の赤松幸夫弁護士らによる調査チームでの再調査を開始した。

 調査チームは、4製品にそれぞれ行う十数項目の試験のうち、担当社員が試験をしていない疑いが持たれた4項目の試験について調べた。

 一つの試験項目は、使うべき備品の数に比べ購入量が少なかったことなどから、『全体の77%は実施していない』と判断。記録では必要な試験は行われたことになっているため、虚偽の試験結果が記入されたとみている。もう一つの項目では、機器の使用記録が3年間で1回しかなかったことなどから『試験を実施したとは思えない』とした。

 調査チームは、その他の2項目についても、試験をしたとする社員の説明が『不合理で不自然』などとして、『実施しているとは思えない』との見解を示した。昨年の社内調査の結果も『肯定できない』と結論づけた。

 リプル、パルクスを開発したLTTバイオファーマ(東京都)によると、リプル、パルクスは閉塞(へいそく)性動脈硬化症などの手術や治療に使われる代表的な薬。二つの薬は1988年に販売が開始され、二つとも田辺三菱製薬が製造しているが、パルクスは大正製薬が販売している。田辺三菱製薬によると、リプルの年間の売上高は約80億円。後発医薬品の影響で単価も下がってきたが、『過去のピーク時には二つの薬で約500億円の市場規模。そのころよりは落ちているが、依然として注射薬の定番』(LTT社)という。

 田辺三菱は『問題なしとした社内調査は、調査のノウハウなどが不十分だった。隠蔽(いんぺい)する趣旨はなかった。今後は原因究明などの調査を続ける』としている。(矢崎慶一、上沢博之) 」

【1月27日追記】
鈴木利廣弁護士は,肝炎原告団・弁護団が田辺三菱に対しC型肝炎の問題について検証し社員の安全管理教育に役立てるよう訴えたが,受け入れられなかった,自らの不祥事を検証する姿勢がない,という趣旨のコメントをしたそうです.
産経ニュースに載っています.

谷直樹
にほんブログ村の弁護士の部に参加しています.更新の励みになりますので下記バナーのクリックをお願いします.

にほんブログ村 士業ブログ 弁護士へ
にほんブログ村
by medical-law | 2011-01-26 14:23 | コンプライアンス