明治安田生命で個人情報流出事案がありました。顧客情報以外の個人情報の流出というのは、ちょっと珍しいです。
「個人情報の流出に関するお詫びとお知らせ」
http://www.meijiyasuda.co.jp/profile/release/2008/pdf/20081027.pdf
（明治安田生命保険相互会社　ニュースリリース　2008.10.27）

１．流出の経緯・原因等
弊社大阪営業関連組織の採用担当職員の自宅にある個人所有のパソコンが、ワクチンソフトの不徹底からウィルスに感染したことにより、同パソコンで入力作業した２００９年４月の大阪営業関連組織への入社希望者、入社内定者の方々の個人情報等が、ファイル交換ソフト「Ｗｉｎｎｙ」経由でネットワーク上に流出したものです。
　　　　　（中略）
３．流出した情報の内容・規模
（１）２００９年４月の大阪営業関連組織入社希望者に関する情報
・入社を希望した学生について、氏名・出身大学、約２，０００名分（なお、個人によっては、住所、電話、メールアドレス、面接時の所見等が含まれている可能性もございます。）
（２）２００９年４月大阪営業関連組織入社内定者
・内定懇親会の出席者について、氏名、大学、写真 ４５名分
（３） その他
・お客さま対応のポイント等販売に関する社内教材等

愚かな社員がいるもんだというのが最初の感想です。しかし、冷静に考えればどんなに禁止だと言ったとしても1000人に何人かの割合でこのようなことをしようと考える人が出るのは寧ろ自然なことのような気がします。明治安田生命ほど社員が多い会社なら、誰もがこれらの情報にアクセスできて、それを取り出すことができるようになっていたのなら、この事件は起こるべくして起こったものと言えます。
リリース資料を読んだ感じでは、システム的な仕組みで流出できないように抑え込む部分が希薄だったように思えます。今回の件は、自宅のＰＣに Winny があったことやウィルスに感染していたことではなく、社外に易々と無断で情報を持ちだせたことが問題です。
通常は、モラルや罰則×システム的な仕組みで効果的に情報流出を防ぐのが妥当ですが、どうも明治安田生命は前者に頼り過ぎている印象を受けます。
再発防止策で『各種取扱いルールの再徹底を図ってまいります』と言っていますが、人に頼るだけルールではなく、きちんとアクセス制御をすることを前提としたルールでなければ意味がありません。少なくとも、ＸＸという情報は誰がどのレベルで参照／更新できるのか整理した上で、その権限を持った人だけが参照／更新できるように仕組みを構築しないと再発防止とは言えないと思います。勿論、誰がどの情報にいつアクセスしたのか分かるようにしておくのは当然です。
　
もう１つ気になったのが、個人情報とは何かについてきちんと教育されていないのではないかという懸念です。とかく、保険会社では個人情報＝顧客情報と誤解しがちで、顧客情報以外の個人情報について扱いが手薄になりがちです。
情報を取り扱う社員の認識も、この部分についていい加減なものになっているかもしれなく、今回問題を起こした社員は単なる氷山の一角なだけかもしれません。