2022年07月14日

個人情報保護委員会からの指導について

当社は、2022年7月13日付で、個人情報保護委員会より、個人情報の保護に関する法律（以下「個人情報保護法」）第144条に基づく指導を受けたことをお知らせいたします。お客様ならびに関係者の皆様には、ご心配・ご迷惑をおかけしておりますことを改めて深くお詫び申し上げます。当社では、今回の指導を真摯に受け止め、適切な改善策を講じることで皆様からの信頼回復に努めてまいります。

個人情報保護委員会からの指導事項

1. 指導の原因となる事実

株式会社メタップスペイメント（以下「MP社」）は、決済代行業者として、加盟店を通じて一般消費者である顧客の決済情報を取り扱っているのみならず、加盟店から任意で提供を受け、多数の個人データ（顧客の個人情報）についても恒常的に取り扱っているものである。

このように、MP社が、多数の個人データを恒常的に取り扱うという性質を踏まえると、同社においては、個人データの適正な取扱いの確保について、組織としてより重点的に取り組む必要がある。

しかし、MP社では、情報セキュリティ基本規程上、個人データを含む自社が保有する情報資産について棚卸しを実施することになっていたものの、情報資産管理台帳の整備がされていなかったため、棚卸しが適切に実施されず、どのシステムにおいて情報資産を取り扱っているかすら把握していなかった。

また、個人データの取扱状況についての監査・点検も一部実施しておらず、その重要性に見合った取扱いを行っていなかった。

さらに、MP社では、内部監査規程等において規程の外形のみ整備していたものの、それを実行するための適切な人員配置等の実質を伴わず、技術的安全管理措置を含む情報セキュリティに対する内部監査が機能していなかった。

そのほか、MP社では、不正侵入を検知した際のセキュリティアラートについての十分な検証を行っていないなど、技術的安全管理措置の観点での対策が不十分であった

2. 個人情報保護法第144条に基づく指導の内容

⑴ 組織的安全管理措置

ア 経営層及び従業者は、社内手続を通じるなどして個人データを取り扱っている範囲を把握するとともに、全ての個人データについて、定期的に棚卸しを実施し、個人データの取扱状況についての監査・点検を実施すること。

イ 経営層は、技術的安全管理措置を含む情報セキュリティに対する内部監査において、能動的に関与することで、内部監査機能の強化を図ること。

⑵ 技術的安全管理措置

技術的安全管理措置に関し、貴社において既に策定した再発防止策を確実に実行すること。

以上