有価証券報告書の開示規制が強化されたことを以前の記事で取り上げたが、規制強化を受けて、各企業の「事業等のリスク」の開示が非常に充実している。その中でも、私が個人的に参考になる記載事例について、不定期に取り上げていきたい。今回は、「Zホールディングス株式会社」の「プライバシーに関わるリスク」の記載。以下、Zホールディングス株式会社の2020年3月期の有価証券報告書を抜粋したものに、私が参考になるポイントをマーカーで表示している。
(10) プライバシーに関わるリスク
当社グループではプライバシーポリシーをユーザーに公開し、サービスを通じ取得したパーソナルデータをプライバシーポリシーに準拠し利用しています。パーソナルデータは、アクセス権限を持つ担当者を必要最小限に絞る等複数の対策を組み合わせ、保護しています。しかしながら、これらの対策が及ばず、情報セキュリティが侵害された場合、サービスの停止または縮退により、当社グループの業績に影響を与えるだけでなく、当社グループの信用失墜につながる可能性があります。
さらに、パーソナルデータでも氏名や住所、電話番号等の「個人情報」の情報セキュリティが侵害された場合、 上記リスクに加え、法的紛争に発展する可能性があります。一部についてはユーザー自身の個人情報の照会・変更・削除等をユーザー自身がシステムから行える機能を提供しており、問い合わせに回答するためにやむを得ない場合等に限り、必要最小限の情報を隔離された居室のみで取り扱う等の対策を講じ、その他の役員、従業者等が個 人情報を参照できない対策を導入しています。
また、個人情報を社外に業務委託する場合は、個人情報委託先選定基準を定め、一定水準以上の情報セキュリ ティ対策を実施できる業務委託先に限定して委託し、委託中は個人情報委託先の監督・監査を定期的に行っています。しかしながら、これらの対策が及ばず、情報漏洩、情報破壊や改ざん等の被害等が発生した場合、信用の低下や損害賠償請求等の法的紛争が発生する可能性があります。加えて、ユーザーにおけるパーソナルデータへの関心の高まりを受け、当社グループより適法に個人情報の提供を受けたパートナーが、個人情報を漏洩したような場合において、当社グループに法的な責任はないとしても、社会的な責任を問われ、当社グループの信用失墜につながる可能性があります。
また、銀行口座番号、クレジットカード番号等が漏洩した場合、ブランドイメージが低下したり、法的紛争に発展したりする可能性があります。当社グループでは「Yahoo!ウォレット」等の決済金融系サービスやユーザーの本人確認のために銀行口座番号、クレジットカード番号等をお預かりし、または利用しています。これらの情報が第三者に悪用された場合、ユーザーに経済的被害を直接与える可能性があるとの認識のもと、当社では、さらに隔離したシステムでこれらの情報を機微な個人情報として厳重に管理しています。
クレジットカード情報については、それらを取り扱う決済金融系サービス「Yahoo!ウォレット」と当社におけるほぼ全てのクレジットカード決済の加盟店管理業務において、クレジットカード決済に関する会員情報や取引情報および決済プロセス等におけるグローバルスタンダードのセキュリティ基準である「PCI DSS」のなかでも最も厳し い「レベル1」の認定を取得しています。しかしながら、これらの施策によっても情報セキュリティが完全に保たれる保証はなく、万が一情報漏洩等の諸問題が発生した場合、当社グループの業績に影響を与えるだけでなく、当 社グループの信用失墜につながる可能性があります。 個人情報が「Yahoo!ショッピング」、「ヤフオク!」等の出店ストアから情報漏洩した場合、業績に影響を及ぼす可能性があります。当社グループであるヤフー(株)が提供する、 「Yahoo!ショッピング」や「ヤフオク!」等のB to C取引では、購入者が入力した個人情報は、商品を販売したストアに送られ、各ストアが個人情報の収集主体として 責任を持って管理しています。また、購入者の個人情報や購入情報がストアから別の個人や団体に開示されることがないように、ストアに対して、購入者の個人情報およびプライバシー情報について商品の送付や販促目的以外に 利用をすることを固く禁じており、適切な管理をするよう適宜指導を行っています。なお、ストアのクレジットカード決済にあたっては、ストアにて当社グループの運営する決済手段を利用するか、直接カード会社と決済契約 を締結するかいずれかの方法を取っています。当社グループの決済サービスを利用しているストアの場合、購入者 が入力したクレジットカード番号等は当社グループを通じてカード会社に送信されますので、各ストアに保存されることはありません。一方、直接カード会社と決済契約をしているストアについては、購入者が入力したクレジッ トカード番号等の管理に関して、他の個人情報と同様に厳重な指導と注意喚起を行っています。しかしながら、これらの対策が及ばず、情報漏洩の被害等が発生した場合、当社グループの責任の有無にかかわらず、信用失墜によるユーザーの減少に伴い、当社グループ業績に影響を与える可能性があります。
マーカーは、リスクに対する対応策を示している。プライバシーに関するリスクは、特に、BtoCビジネスのウェブプラットフォームを運営する事業者にとっては特に配慮が必要である。その中、Zホールディングスは、上記のとおり、プライバシーの中身やビジネスごとの取り扱いに配慮しながら、丁寧に記述している。
各リスクにおいて、どのような対応策を講じているのかを記述している。特に、「パーソナルデータでも氏名や住所、電話番号等の「個人情報」の情報セキュリティが侵害された場合、 上記リスクに加え、法的紛争に発展する可能性があります。一部についてはユーザー自身の個人情報の照会・変更・削除等をユーザー自身がシステムから行える機能を提供しており、問い合わせに回答するためにやむを得ない場合等に限り、必要最小限の情報を隔離された居室のみで取り扱う等の対策を講じ、その他の役員、従業者等が個 人情報を参照できない対策を導入しています」との箇所は、ユーザー自らが個人情報の管理をシステム上行うことができる仕組みを取り入れていることを示しており、同社の個人情報に対するユーザー目線の対応を行っていることが明らかとなっている。
Zホールディングスは、プライバシーリスクを、自社にとって重大なものと自覚し、その対応策を徹底していることが見て取れる。ITベンチャー企業でも、同社の「事業等のリスク」を参考にして、プライバシーリスクへの対応策の参考になる。
