ニュースで大きく報道されているように、「進研ゼミ」や「こどもちゃれんじ」でおなじみのベネッセコーポレーションが、約760万件の個人情報を流出させたことがわかりました。
今のところ、インターネットの不正アクセスの記録はなく、内部の関係者が不正に持ち出した可能性が高いとのことです。
流出した情報は2000万件以上にのぼるかもしれない、との報道もあります。だとすると、大半のベネッセ会員・会員候補の情報が流出したことになるでしょう。
うちの太郎もこどもちゃれんじに入っているので、名前や住所などが流出したかもしれません。
今回はちょっとカタい話ですが、この事件について書きたいと思います。
情報流出、明日は我が身
私がこのニュースを聞いて感じたのは、「えーーっ!?」とか「なにやってんだよベネッセ!」というより、「明日は我が身だ・・・」という怖さです。
ベネッセには、個人情報管理に落ち度がなかったか徹底検証してほしいですし、今後の管理体制を強化してほしいとは思います。当然です。
でも、どんなに厳重に管理しても、社員や委託先の人が情報をこっそり持ち出す可能性なんて、完全には排除できないですよね。
たまたま内部にクレイジーな人が1人いたせいで、社会からの信頼を一瞬にして失ってしまう。これは本当におそろしいことです。とくにベネッセみたいに一般消費者向けのビジネスをしている会社にとっては、死活問題になりかねないでしょう。
私も個人情報事業者にあたる企業で、本職ではないものの営業やプロモーションのような業務もする人間です。ですから、個人情報の管理に関しては「めんどくせ~な~」と思いながらも(笑) 常に気をつけてます。
それだけ気をつけていても、今回のようなことが起こる危険性は残ってしまいます。改めて考えると怖いです。ベネッセの一件は、まったく他人事ではありません。
まだ関係者が情報を持ち出したと確定したわけではありませんが、この事件を他山の石とするためにも、行く末を注意して見守りたいと思います。
名簿販売業者は適法か?
ところで今回の流出事件で興味深いのは、「ベネッセにしか登録していないはずの住所・宛名で、知らない教育情報サービスからDMが届く」という問い合わせがベネッセあてに複数寄せられたことをきっかけに、事件が判明したということです。
どうやら、ワープロソフトの「一太郎」や日本語変換ソフトの「ATOK」などで有名なIT企業・ジャストシステムが、いわゆる名簿販売業者から購入した個人情報を使ってそれらのDMを発送していたようです。
ここで気になることがあります。
個人情報を売買する名簿業者というのは、そもそもビジネスとして適法なんでしょうか?
個人情報保護法が制定され、プライバシー保護にとても敏感になっているいまの世の中で、勝手に人の名前や住所を売買するなどという仕事が、はたして認められるんでしょうか?
気になったので、Wikipediaで少し調べてみました。
以下、Wikipedia「名簿業者」の解説より。
『個人情報取扱事業者は、第三者に提供される個人データについて本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、または、本人が容易に知りうる状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
- 第三者への提供を利用目的とすること
- 第三者に提供される個人データの項目
- 第三者への提供の手段または方法
- 本人の求めに応じて当該本人が識別される個人データの第三者提供を停止すること』
なるほど。
私は名簿販売業というのは そもそも違法じゃないかと思っていましたが、要件を満たせば適法になるのですね。
ちなみに名簿業者から購入した個人情報が違法に収集された情報であった場合は、購入した業者も法的・社会的な責任を問われる危険性があるとのことです。
ジャストシステムは今回の件について、「法にのっとって名簿業者からデータを購入した」「購入した名簿が、違法に流出した個人情報であるとは知らなかった」と言っています。
これが事実なら、ただちにジャストシステムが100%違法とは言えませんが、内実によっては違法になるでしょうし、社会からはあまりいい目で見られないんじゃないでしょうか。
名簿販売業者はどうやって適法に情報を集めている?
名簿販売業は、要件を満たせば適法・・・という法律上の理屈はわかりました。
だけど・・・だけどですよ?
名簿販売業者は、そもそもどうやって上記の要件を満たしつつ個人情報を集めているんでしょうか?
法律上、個人情報を集める際には、第三者へその情報を提供するという目的を知らせる必要があります。
でも、「第三者に個人情報を転売するんで、あなたの個人情報を売ってください」なんて言われて、自分の情報を売る人なんて、まずいないですよね?(笑)
だとしたら、どうすれば個人情報を集められるのか? 私にはマジックに思えてしまいます。誰か知ってたら教えてください・・・(^^;
ちなみにWikipediaには、この疑問に関係しそうなことが少し書いてありました:
しかしながら、基本的に名簿は販売禁制品ではなく、法的に売買が制限されているものでもないため、このように名簿の保持者から騙し取ったり、窃取するなど違法な手段で取得したりしない限りは、違法性を問われることは無い。古書店などでも、他の書籍と同様に売買される性質のものである。従って卒業生から母校の名簿を売ってもらったり、社員から属する会社の社員名簿を売ってもらったりして取得することは、正当な売買行為であって何ら違法性は無い。
でもコレ、法律の素人として感覚的に言わせてもらえば、かなりヘリクツのように思えます。
だって、名簿に含まれる情報自体は、どう考えても個人を識別できる個人情報ですよね。
名簿を個人的に買うこと自体は適法だとしても、本人に用途を通知せずにその中の個人情報をビジネスとして第三者に売るのは、NGなんじゃないでしょうか?
うーん。
考えれば考えるほど、名簿業者というのはかなり法的にグレーな存在であるなあという感覚を改めて持ちました。