顧客情報を開示した場合、企業はどのような責任を負うのでしょうか?

数百万人の顧客情報が漏洩

公安部は、顧客情報を漏洩したテクノロジー企業や、漏洩した乗客情報を用いてSMSメッセージでサービスを勧誘するタクシー仲介会社が相次いでいると指摘している。公安部はまた、個人情報の漏洩と売買の現状は日常的かつ公然としており、ますます複雑化していると指摘した。さらに深刻なのは、多くのデータがサイバー空間上で長期間にわたり、大量に公然と売買されていることだ。売買は個人間で行われるだけでなく、企業、組織、企業間においても行われている。

2018年、 Thegioididong.comが漏洩し、ハッカーがメールアドレス、取引履歴、さらにはカード番号といった重要情報を入手したという情報がテクノロジーフォーラムで報じられ、数百万人の顧客が不安に陥りました。Gioi Di Dongは直ちにプレスリリースを発表し、これは偽情報であり、システムは依然として安全で、通常通り稼働しており、一切影響を受けていないことを確認しました。その後、事態は徐々に沈静化しました。

2018年4月、 VNGは1億6000万件のZing IDアカウントが漏洩の危機に瀕しており、同社のゲーム顧客ファイルの一部に影響を及ぼす可能性があると記録しました。同社は、このインシデントに対し、速やかに対応し、侵入を防ぎ、技術的対策を講じることで影響を受けるユーザー数を制限すると発表しました。VNGは、多数のユーザーの情報が漏洩したことを認めつつも、「実際に影響を受けたユーザーの範囲は広くなく、ゲーム顧客に集中しており、他のVNG製品には影響しません」と述べ、顧客の権利と安全を常に確保し、顧客に発生するあらゆる問題を徹底的に解決することを約束しました。

アテナサイバーセキュリティセンターのヴォ・ド・タン氏によると、公安省が言及した具体的な事例については、企業のシステムが攻撃を受けたのか、それとも企業の従業員がデータを盗んで流出させたのかを調査する必要があるとのことです。しかし、理由が何であれ、データが漏洩したということは、企業のシステムに脆弱性があることを意味します。ここでの脆弱性は、技術的なものでも人的なものでも構いません。したがって、ネットワークのセキュリティと安全性全般の確保、あるいは顧客の個人データの保護は、24時間365日、怠ることなく定期的に監視・実施する必要があります。ハッカーはいつでも攻撃する可能性があるため、自社のシステムが常に安全であると断言できる人は誰もいません。ましてや、自社の従業員が顧客データを盗み出し、外部に売却するといった事態は考えられません。

世界には重い罰則があるが、ベトナムには制裁がほとんどない。

最近、顧客情報漏洩事件が相次いでいますが、処罰や制裁を受けた企業はほとんどありません。一方で、世界各国はこうした行為に対して非常に重い罰則を科しています。例えば、2019年7月、米連邦取引委員会は、Facebookのユーザー8,700万人分の個人データがケンブリッジ・アナリティカによって不正にアクセス・使用されたことを受け、Facebookに50億ドルの罰金を科すことを決定しました。調査によると、Facebookは2016年の大統領選挙キャンペーン中、および英国のEU離脱国民投票中に、ケンブリッジ・アナリティカが米国ユーザー5,000万人分のデータに不正にアクセスすることを許可していました。これは、ユーザーデータ漏洩事件に対する罰金としては史上世界最大額となります。

ベトナムには、情報漏洩・開示に関する罰則に関する規制が数多く存在します。現在、サイバーセキュリティ分野における行政違反に対する罰則に関する政令案（現在審議中で、政府による公布を待っています）では、個人情報保護に関する規制に違反した組織に対する罰則の上限は、2回目以降の違反に対し、ベトナムにおける前会計年度の総収入の最大5%と定められています。加えて、個人データ収集を必要とする業種については、1～3ヶ月間の営業許可の取り消しという追加罰則が科される可能性があります。

ベトナムサイバーセキュリティテクノロジーカンパニーのテクニカルディレクター、ヴー・ゴック・ソン氏は、これまで個人情報保護に関する詳細な規制がないため、法律に違反した企業や組織は行政罰のみの対象となると述べた。そのため、次期法案で提案されている総売上高の5%を上限とする罰金はベトナムに適切であり、各組織が顧客データ保護においてより大きな責任を負わなければならない抑止力となる。しかし、ソン氏によると、この罰金は世界と比較するとまだ高くはない。多くの国では、罰金は個々の違反の影響規模に基づいて評価されるためだ。例えば、小規模な企業から発生した違反であっても、多数のユーザーに深刻な影響を与える場合、罰金は依然として非常に高額になる。「ベトナムでは、個人情報漏洩の個々の事例の影響を評価する尺度がまだ存在しないため、売上高に基づく罰金を提案するのは合理的です。これは、人々の個人情報を管理・保護するプロセスにおける新たな一歩となるでしょう」とヴー・ゴック・ソン氏は述べた。

ヴォ・ド・タン氏はこれに同意し、顧客の個人情報保護行為に対する具体的な行政罰に関するより詳細な規制を公開することで、企業はネットワークセキュリティシステムの見直しを迫られるだろうと述べた。顧客情報の機密性を確保するため、技術面と人的資源の両面で定期的な評価と監視のプロセスが設けられており、これはオフィスビルや混雑した場所における防火対策の規制に類似している。政府の管理機関も、違反企業に対する検査、監督、厳正な処罰を強化する必要がある。初回の違反はマスコミで公表される可能性があり、2回目の違反には相応の行政罰が科せられ、その後、企業はネットワークセキュリティシステムを強化できるよう、一定期間のサービス停止措置が取られる可能性がある。