GMO、不採用通知メールを誤って23,000件送信 – メールアドレスは2006年から保持

GMOは、採用担当者が応募者に対して送信する不採用通知のメールを、誤って関係の無いメールドアレス約23,300件宛に送信したことを発表。事故発生の経緯などは、GMOのWebサイト上に掲載されている。

身に覚えのないメールを受信したというお問い合わせに関して – GMOインターネット株式会社

ここで気になったのは、対象となったメールアドレスが『2006年のシステム導入時から全ての情報を保存』しており、該当の個人情報を削除する運用ルールが無かった(あるいはルールがあっても実際には守られていなかった)こと。
※Webサイト上の説明では『ルールが無かった』ように理解できる。

Q: なぜ古い個人情報が残っているのですか?
A: 現在のところ、ご応募・エントリー・紹介会社からのご紹介について2006年のシステム導入時から全ての情報を保持しております。今回の事態を重く受止め、適切な運用ルールを早急に策定し、運用させていただく方針でおります。

GMOインターネットは、プライバシーポリシーにて『個人情報の保存期間を定め、保存期間経過後又は利用目的達成後は個人情報を遅延なく消去する』としているものの、上記の事故の原因を見るに、プライバシーポリシー通りの運用は行われていなかった模様。

GMOインターネットのプライバシーポリシーは以下。

個人情報の取り扱いについて – GMOインターネット株式会社

(保存期間)
弊社は、法令で別段の定めがある場合を除き、利用目的に必要な範囲内でお客様等の個人情報の保存期間を定め、保存期間経過後又は利用目的達成後はお客様等の個人情報を遅滞なく消去します。但し、ガイドライン第10条第2項各号の一に該当する場合はこの限りではありません。

ちなみに、例外として指定されている『電気通信事業における個人情報保護に関するガイドライン』の内容は以下。今回の情報は『保存が必要な情報』には合致しない。

電気通信事業における個人情報保護に関するガイドライン(PDF)

第10条 電気通信事業者は、個人情報を取り扱うに当たっては、原則として利用目的
に必要な範囲内で保存期間を定めるものとし、当該保存期間経過後又は当該利用目的
を達成した後は、当該個人情報を遅滞なく消去するものとする。
2 前項の規定にかかわらず、電気通信事業者は、次の各号のいずれかに該当すると認
めるときは、保存期間経過後又は利用目的達成後においても当該個人情報を消去しな
いことができる。
一 法令の規定に基づき、保存しなければならないとき。
二 本人の同意があるとき。
三 電気通信事業者が自己の業務の遂行に必要な限度で個人情報を保存する場合で
あって、当該個人情報を消去しないことについて相当な理由があるとき。
四 前3号に掲げる場合のほか、当該個人情報を消去しないことについて特別の理由
があるとき。

GMOインターネットグループでは、2014年12月にも『お名前.com』サービスにおいて会員の名字、ドメイン、会員IDなどの個人情報が含むメールを、本来の会員ではない会員宛に誤って送信する個人情報の漏洩事故が発生していた。

お名前.com、他人の会員IDなど記載したメール16万4650通を誤配信 -INTERNET Watch

GMOインターネット株式会社は4日、ドメイン名登録サービス「お名前.com」で、会員向けメールマガジン16万4650通を誤配信したと発表した。

GMOは、今回の不採用メール誤配送について『お名前.com』で発生したような個人情報の漏洩は発生していない。と説明しているものの、メール配信に絡む事故が連続して発生するとユーザとしては不安なところ。