経産省によると、SCEにとって個人情報の管理委託先にあたるSNEIには、CIO(チーフ・インフォメーション・オフィサー)などの情報セキュリティ専門の責任者が置かれていなかったほか、異常発生時の報告連絡体制についての規定が整備されていないなど、組織的安全管理体制に不備があったという。また、SNEIはネットワーク事業を主に手がけ、7700万件もの個人情報を保持していながら、公知の脆弱性について自社で確認する体制も整備しておらず、技術的安全管理体制にも不備があったとしている。

さらにSCEとSNEIとの間に、安全管理措置を遵守させるために必要な委託契約が締結されていなかったことから、個人情報の管理委託先の監督を適切に行っていなかったとして、今回、SCEに指導するに至った。

  • 以上、記事元より抜粋-