NDAの無い会社がクライアントのGmailアカウント送ってきた
なぜ送ってきたかと言えば経緯はあるのですが、最初は前職の会社に入るよりも更に前に受託していた案件を、引き継ぎした相手から更に引き継いだ会社からの質問でした。僕とその会社にNDAは無く、クライアントさんとも1年前に契約終了していますし、そもそも今僕は別の会社に所属していますので、本来は対応する必要は無いのですが、質問程度ならと回答していました。
図にすると、 こんな感じです。
前任者が個人情報を触れるのは漏洩では?
こちらが、引き継ぎ中に送ったメールです。
僕が内容を見れるのは漏洩で、この中にはお問い合わせフォームから来たメールが入っている、という事を書いたのですが、読み返してみると、漏洩とは書いてあるがパスワードを変えろ、とは書いていませんでした。
今になると、書いた方が丁寧だったとは思います。
なんのやりとりかは省きますが、そのアカウントでとあるビューが見える見えないの水掛け論をしてしまったのですが、
「じゃあ入ってみて下さい」とIDパスワードを送ってきたのですが、イヤそれはダメだろ
個人情報の見れるアカウント情報は、正当な理由のある相手にしか送ってはいけないですし、より細かく言えばパスワードをかけて、パスワードを別送するくらいの丁寧さが必要です。
正しくはNDAのある同士か、100歩譲って委託先同士ならギリわかるんですが、僕は委託先ではありません。
とりあえず専門家に聞こう
さて、この出来事を法務担当者に、
「こいういワケなんすけど、ログインしていいですかね?」
と相談したところ、
「クライアントが良しとしているなら、その先の顧客の同意についてはクライアント責任だから、受け取った側は大丈夫な気もするが、この人に他に面倒を起こされたら巻き込まれるかも知れないからログインしない方がいい」
との事でしたので、今回はログインしませんでした。
もし事前にクライアントに話せば、まあ引き継ぎのためなら良しと言うかも知れないとは思うのですが、もし僕が誤って漏洩を起こしたら誰の責任なのかという話ですし、もし僕が凝り固まった正義の持ち主だったら、このメールを元に先方さんのHPから調べた取引先にメールして注意喚起するような事もあり得るかも知れません。
補足
もしかしたら、お問合せメールは全て削除してからアカウントを送っているのかも知れませんが、話の感じでは無さそうですのと、メールアドレスとして生きている限り、いつどんな個人情報が入るかわかりません。また、Gmailに記憶されたメアドまで消してるかも微妙です。
また、法務からはクライアントが顧客の同意の上で良しとしてるなら良いかも知れないとのコメントでしたが、受け取る側である僕は漏洩しないのを保証していません。
※前々職の会社は保証していますが、今もう関係が途切れています
アナリティクスだけのつもりであっても、個人情報はあるかも知れないので権限付与ではなくアカウント自体を送るのは避けましょう、というお話でした。