個人情報漏洩事件について

ベネッセコーポレーションの顧客情報2,070万件が漏洩した。(その後の報道によると、7/22現在、2,260万件になっている。) 「漏洩」という言い方は「脱法ハーブ」と同じく、罪の意識が薄い表現で、「情報窃盗」と呼ぶべきと思う。情報社会に於いて情報窃盗の罪は重い。

▼ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び(お問い合わせ窓口のご案内)、Benesse ▼ベネッセコーポレーションの個人情報漏洩の件に対する当社の対応につきまして、JUST SYSTEMS、2014.07.11 ▼個人情報漏洩事件・事故一覧、Security NEXT ▼ベネッセ、生活事業サービス利用者の情報流出も確認--総計2260万件に、2014/07/22 13:35

警視庁は、ベネッセコーポレーションの情報窃盗者である派遣社員不正競争防止法違反(営業秘密の複製)容疑で立件する方針とのことであるが、直接の情報窃盗者のみを罰し、個人情報を窃盗され漏洩された企業が個人情報提供者に謝罪金を支払えば一件落着ではない。

こうした情報窃盗・情報漏洩に関係する主体は5つある。 1.名簿業者から名簿(個人情報)を購入する会社 2.名簿業者 3.情報窃盗者 4.個人情報を盗み取られる個人情報保有会社 5.個人情報を預けっぱなしの個人情報提供者

■大量の個人情報を違法性を認識せずに購入できるのか

今時、大量の個人情報(名簿)が違法性なしに流通すること自体があり得ない。通常、利用目的以外での利用・提供をしないことを条件に個人情報が提供・収集されているなかで、直接の収集当事者以外の企業がそうした個人情報を購入し保有し利用すること自体に違法性の可能性が潜んでいるのは自明である。

個人情報を名簿業者から購入する際に、違法性を認識していない、排除している、と主張する購入業者の声があるが、極めて疑問である。例えば、ジャストシステムは、257万件余の個人情報になんらの違法性の疑問も抱かず購入したとするなら、それは会社としての個人情報の取扱姿勢に疑問を抱かずにいられない。会社としての信頼を毀損しても仕方がない。

■名簿業者は存立しうるのか

今回のベネッセコーポレーションの個人情報の売買の仲介をした「名簿業者」なるものの存在が明らかになっている。売却・換金目的で、一般の個人が情報窃盗をしても、その売却先がなければ情報窃盗する意味がなくなるが、名簿業者がそうした売却先の受け皿になっている。WEBで検索してみるとおびただしく出てくる。個人情報保護法が成立している状況下で、個人情報を売買する名簿業自体が何故存立できているのか。不思議である。

ベネッセの顧客情報「230万件」を売った「名簿業者」 訴えられる可能性はあるか?、弁護士ドットコム、2014年07月11日 14時56分 「不正に流出したものであるかどうかに関わらず、個人データの第三者提供を原則的に禁止する個人情報保護法23条に違反する可能性がありますね」

少なくとも、名簿業者に、入手した個人情報の入手経路の正当性を証明するマニフェスト(産業廃棄物管理票)のようなものを提示する義務付けが必要である。法制化に時間を要するようであれば、デファクト的に購入事業者がマニュフェスト(個人情報管理表)の提示を求めれば良い。違法性を真に排除するならこの程度のことを実践して欲しい。

■情報窃盗者を防ぐことは可能か

内部者による情報窃盗・漏洩を防ぐため、企業はシステム等のログ監視ソフトの導入により、抑止策を講じているが、人が介在する限り、技術的抑止策には限界がある。多くの企業が導入しているISMS(Information Security Management System)についてみても、「ISMS が多くの組織で形骸化している可能性がある」との調査結果(下記報告書 p.64)もある。

組織内部者の不正行為によるインシデント調査 - 調査報告書 -、情報処理推進機構、2012年7月

従って、より心理的抑止効果を発揮するには、アクセス者の限定(違法アクセス者の特定の容易化)や、監視カメラによる画像保存等が必要と思われる。さらには、今回のベネッセコーポレーション事案でも明らかになったように、当事者にしか分からないような個人情報(ダミー情報、特殊表現等)を潜り込ませておけば、窃盗・漏洩された場合でも、その出所を特定化しやすくすることができる。これは、購入事業者への購買抑止効果になる。

■個人情報の管理の仕組みに問題はないか

企業等に於いて、コンプライアンスISMS等でいくら規定しても、その管理責任部署以外、個人情報取扱事業者(5000件を超える個人情報データベース等を事業の用に供している者)となることの意味合いを実感していることは少ないのが実態ではないだろうか。

その典型例が、例えば、アンケートや各種の申込書で本当に必要な情報以外の個人情報を安易に取得することがある。収集した個人情報は適切に管理する義務およびコストが発生することを認識できていない。

さらに、今回のベネッセコーポレーション事案を見ると、2,000万件を超える個人情報の管理・運営をベネッセ本体ではなく、再々委託先の業者が行っていたことに驚く。これは、情報の価値とその情報の管理に対する認識が極めて低いと思わざるを得ない。企業にとっての重要な情報は直営で管理・監視すべきである。

いずれにしても、個人情報を収集しデータベース化する限り、意図を持った情報窃盗者・漏洩者を完全に排除することは難しいことを認識した仕組みの構築・点検を常に実施することが不可欠である。

組織における内部不正防止ガイドライン、2013年12月27日、独立行政法人情報処理推進機構

■個人情報の行く末に敏感に

個人情報を提供する側においても、どうやって自らの個人情報を守るか、常に意識しておく必要がある。

いろんなサイトへの登録、カード申し込みの登録等に於いてかなりの個人情報を提供している。例えば、Facebook等に於いて、自分の生年月日という重要な個人情報を公開している人が少なくない。同窓会、町内会、会社社員名簿等をシュレッダーにかけずにそのまま廃棄したり、販売している人も少なくない。いまや、一家に一台、シュレッダーが必要である。現状は、シュレッダーにかけて家庭ゴミ出しすると、ゴミ収集業者に「事業ゴミではないですよね」と確認されるほど、家庭でのシュレッダーは普及していない。

不要なサイト登録、カード取得を時々見直し、不要なものは退会・削除要請すべきである。また、セールスの電話が掛かってきたときは、電話番号の入手経路を確認し、削除要請をすべきである。今回のベネッセコーポレーションの個人情報にしても、子供が大きくなり、ベネッセのサービス利用を卒業したら、個人情報の削除要請をしておくべきであったと思う。

とにかく、自分の意に反する個人情報の利用・拡散がされないように自らが意思を持って対処すべきである。