1982生れ♂の日記。鬱の病歴を出さずに社会人。
パキシルなどは今服薬しておらず、それ関係は今はほぼ書いていない。
そういうのを読みたい方は↓とかどうでしょうか。
パキシルを辞めるきっかけ。
僕のシャンビリ
シャンビリしてた頃はこんなだった。
2014-07-10(Thu)
■[ニュース][私見偏見独断]ベネッセ顧客情報漏洩とジャストシステムDM送付について個人情報保護法等の側面から考えてみる
ベネッセが漏洩させた情報をなぜかジャストシステムが保有してそれを利用しDMを送付していたという案件。
今回の案件に対しては、「名簿業者から購入した個人情報を利用しDMを送る」ことに対する拒否反応が少なからず出ている。個人情報保護法上は当該行為は手続に則って行えば違法にはならないけど、そんなこと普通は知らない。そういった一般ユーザー相手に上場企業がやるにはリスクが高すぎる手法だったのではと思う。まして子供のデータだし。
ここでは個人情報保護法上どこが不適切だったのかを見ながら、「ジャストシステムが名簿屋から購入した個人情報をDM送付に使用する」ことは法に抵触するのか考えたい。
個人情報保護法第18条違反なのか?
ブコメで散見された意見だが違うと思う。個人情報保護法第18条には以下の通りある。
(取得に際しての利用目的の通知等)
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
2 個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。)に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。
個人情報を取得する際には、本人から直接書面(Webフォームの入力など電子的な記録も含む)に記載された個人情報を取得する場合は、本人に利用目的を明示する必要がある(直接取得)。一方、それ以外の場合は、あらかじめ利用目的を公表するか、取得後速やかに通知または公表すれば足りる(間接取得)。
名簿屋から個人情報を買うのは、本人から直接書面で取得する行為ではないから、当然直接取得には該当しない。よって、あらかじめ利用目的を公表しているか、取得後速やかに通知または公表しているかがポイントになる。
で、ジャストシステム社はあらかじめプライバシーポリシーで以下のように公表している。
2.個人情報を書面やWeb以外の方法で直接ご本人から取得する場合 (電話等) や、公開情報や第三者を経由して取得する場合の利用目的は、 取得の状況から利用目的が明らかである場合及び法令により利用目的の通知・公表が不要とされる場合を除き、次のとおりです。
(中略)
vi.
電話帳や市販の名簿、その他公開情報 (有価証券報告書、官報、Webサイト等) から取得した情報
ということで、ここまでは法に抵触するとは言えない。
個人情報保護法第17条には抵触するのでは??
だが、個人情報保護法第17条にこうある。
(適正な取得)
ここでいう「不正の手段」とは、利用目的を隠す、偽る、脅す、盗む、あるいは第三者提供の条件を満たしていない提供を受ける、などとされている。また、名簿業者等の第三者から個人情報の提供を受けたり購入したりする場合、その業者が第三者提供について本人の同意を得るなどの必要な措置を講じていないときは、不正な手段となる。*1
だから、流出したデータであった時点で「本人の同意を得るなどの必要な措置を講じていない」のは当然だと言える。「流出したデータを使用したと認識していない」ことが問題なのではなく、「本人の同意を得るなどの必要な措置を得ていることを確認できない情報を使用した」ことが問題なのだ。以下を見る限りそれは明らか。出所すら分からない、訳で。
通信教育大手ベネッセコーポレーションの顧客情報流出問題で、同社のデータとみられるリストをIT事業者のジャストシステム(徳島市)に販売した名簿業者「文献社」(東京都福生市)が、データの出所が不明だとして転売を不安視していたことが10日、同社への取材で分かった。文献社の担当者は「使うべきではなかった。出所が明確ではないことはジャスト社も把握していた」と説明。ただ「うちもジャスト社もベネッセのデータとは知らなかった」としている。
個人的には、プライバシーマーク取るような会社が名簿をよそから買うってのが驚きではある。できるけど、しないでしょ。
付記1
ここまで書いておきながら、実は、「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」等に関するQ&A の51には以下のQ&Aがある。
Q
(1) 名簿業者から個人の名簿を購入することは禁止されていますか。
(2) 名簿業者が当該個人情報を適正に取得していることを確認する必要はありますか。
(3) 名簿が不正取得されたものであることを知らずに買った場合は、責任を問われることはありますか。
A
(1) 購入すること自体が禁止されているわけではありません。
(2) 不正取得を疑わせるようなものでない限り、積極的に確認する必要はありません。
(3) 知らなかった場合でも、知ることができて当然である場合等には責任を問われる可能性があります。このような場合には、購入には慎重であるべきです。
(2005.7.28)
http://www.meti.go.jp/policy/it_policy/privacy/100401kaiseiq-a.pdf
これじゃジャストシステムや文献社は知らぬ存ぜぬで押し通せちゃうよなあ…。まああくまでQ&Aなのでどう司法その他が判断するかは分からんが…。
付記2
名簿屋に対して「同意もしていないのに勝手に個人情報売ってよいのか」という疑問が出るのも当然だけど、個人情報保護法上は可能。国民生活センターの説明がわかりやすい。てかこの辺が個人情報保護法で一番常識と法とが乖離してくる部分で勉強した甲斐があるというものである。*2
http://www.kokusen.go.jp/t_box/data/t_box-faq_qa2010_10.html
オプトアウト(本人の求めによる提供停止)の手続きが設けられている場合、本人からの同意を得ずに個人データを第三者に提供することが可能である。言い換えると、「第三者に自分の個人情報提供するのはやだよ」と言わない限り、「いいよ」と言ったことになる。
でもこれってオプトアウトさえあれば名簿屋同士で何世代転売してもOKということになるんじゃないか?この辺りは自分の中でも引っかかっていてよく分からない。
付記3
付記2を読んで、「じゃあベネッセがジャストシステムに直接個人情報を売ることも可能なのでは?」という疑問が湧くかもしれない。一般論でいうと、個人情報保護法上は、適切な手続(取得とオプトアウトなど)を取っていれば可能である。ただし、ベネッセにはベネッセコーポレーションなどプライバシーマークを取得しているグループ企業がある。プライバシーマーク取得に必要なJIS Q 15001においては、個人情報の第三者提供におけるオプトアウトを認めていない。
それにより、(本人の同意無しには)ベネッセが第三者に個人情報を提供することは不可能ということとなる。これは、たとえばベネッセコーポレーションの個人情報保護に関する公表文では以下の通り謳っている。
まあそもそも、ベネッセがライバル会社に名簿を合法的に売り渡したとして、そんなことをしたら取り返しの付かないイメージダウンになることは間違いないが…。
付記4
ジャストシステム社に名簿を売った文献社はめちゃくちゃすぎ。個人情報保護方針やガイドラインに反したからといって個人情報保護法に反するわけではないが、まあ個人情報扱う会社としてはおしまいと言える。
文献社の個人情報保護ガイドライン(抄)
(2)個人情報の内容
(3)個人情報の取得
個人情報は全て、適法かつ公正な手段により取得しております。当社では学校名簿・顧客名簿・流出情報の編集名簿は一切取り扱いません。センシティブな情報も一切取り扱いません。
当社の名簿リストは全国各地の市町村役場で住民基本台帳が閲覧可能な時期に入手したリストなので、情報の入手ルートや時期が明確なうえ、100%自社が開発した独自のリストになります。
文献社の説明によると、情報は都内の別の名簿業者から今年4月下旬〜5月ごろに購入。「不正なものとは分からなかった」としている。
http://www.sponichi.co.jp/society/news/2014/07/10/kiji/K20140710008538430.html
Permalink | コメント(0) | トラックバック(0) | 22:26
クリック: 3回
- 2014-07-10 IT・システム判例メモ 9/126 7%
- 2014-07-09 Security Lab (プロフェッショナル) 4/53 7%
- 2014-07-10 Nonbiri日記 4/57 7%
- 2014-07-10 altgolddesuの日記 6/108 5%
- 2014-07-09 雑種路線でいこう 6/114 5%
- 2014-07-10 niginigi3の日記 4/76 5%