<< 前の記事 | アーカイブス トップへ | 次の記事 >>

時論公論 「ベネッセ事件・個人情報保護制度の見直しを」2014年07月23日 (水) 午前0:00~

三輪 誠司  解説委員

「ベネッセコーポレーション」の顧客の個人情報を大量に流出させたとして、システムエンジニアの男が逮捕された事件で、ベネッセは7月22日、流出件数はおよそ2300万件に上り、今後も増える可能性があることを明らかにしました。持ち出された情報の一部は売却されていました。なぜ、それを許してしまったのか。現在のルールの問題点と、必要な対策について考えます。
 
j140723_mado.jpg

 

 

 

 

 

 

 

今回の事件があぶりだしたことは大きく2点あります。1つは、内部関係者が企業側の信頼を裏切れば、いくらでも情報を持ち出すことができてしまうこと、2つめは、個人情報の売買をする名簿業者のマーケットが存在し、不正に情報を持ち出す内部関係者が、それを密かに売却しようという動機につながっていることです。
 
まず、内部関係者の持ち出しについて見てみます。ほとんどの企業では、従業員や企業の外の人がデータを盗み出さないよう技術的な対策を取っています。従業員番号とパスワードによって、システムへのログインを制限するといった方法です。しかし秘密情報に触れることが認められている従業員はどうでしょうか。データのバックアップを取るなどの通常の業務が、不正な目的で行われているのかどうか見分けることは難しく、内部関係者への対応が十分でない企業が多いのが現状です。
 
j140723_01.jpg

 

 

 

 

 

 

今回の事件でも、システムエンジニアは顧客情報にアクセスできる権限を与えられ、ベネッセはおよそ半年間、持ち出しを把握できませんでした。
 
個人情報を買い取っていたのが名簿業者です。名簿業者は企業の従業員や顧客名簿、学校のクラス名簿などを集め売却します。資格は必要なく業者の数もわかっていません。以前は図書館のように店を出していたところがありました。百貨店の顧客情報やワインの愛好家などをリストアップしたものなど、さまざまな個人情報を有料で閲覧させていました。
 
j140723_02.jpg

 

 

 

 

 

 

しかし平成17年の個人情報保護法の全面施行などをきっかけに、プライバシーに対する社会の意識が高まり、こうした店は姿を消しました。かわって、営業形態はインターネットに移りました。
 
j140723_03.jpg

 

 

 

 

 

 

多くの名簿業者はホームページを設けていて、個人情報を売り込みたいという人がアクセスしてくるといいます。名簿は電子データで送信され、業者は指定した口座に代金を振込ます。持ち込んだ人と顔をあわさないこともあるということです。
 
その情報を購入するのは、ダイレクトメールや電話による営業をしている企業です。個人情報保護法の施行後問い合わせが増え、売却価格も値上がりしたということです。背景には、学校や会社も、まとまった名簿を作るところが減り、企業が個人情報を入手しにくくなったことが挙げられます。プライバシー意識の高まりは、皮肉なことに名簿業者の利益拡大につながっているのです。
 
さて、今回の事件を引き起こした、内部関係者による持ち出し、そして名簿業者の売買は、食い止めることができないのでしょうか。
 
まず、内部関係者による持ち出しをどう防ぐのか。今回逮捕された男はシステム開発に携わり、会社からも信頼されていたことになります。そうした人間が今回のような重大な不正を行う恐れは完全には否定できませんから、監視を強めるしかありません。大量の個人情報にアクセスした場合、警告を出すシステムもあります。警告が出たら、上司が必ず問い合わせをするといったことも可能です。確認作業が増え、通常の業務は面倒になりますが、流出を食い止められないことの言い訳にはなりません。
 
j140723_04.jpg

 

 

 

 

 

 

さらに今回、システムエンジニアは、パソコンにスマートフォンを接続して個人情報を抜き取ったと供述しています。本来ならば、社外秘のデータを扱う場所では写真を撮られないようにするため、個人の携帯電話の持ち込みを禁止するべきです。ベネッセは内部関係者に対する過信があったと言わざるをえません。
 
内部関係者による個人情報の持ち出しは繰り返し大きな問題になっています。
 
j140723_05.jpg

 

 

 

 

 

 

平成21年には証券会社からおよそ148万人分、同じ年には陸上自衛隊の隊員ら14万人分が持ち出されました。その後も同じような問題が相次ぎ、名簿業者や同業他社に売却されています。件数の多さは企業や組織の信頼を揺るがし、顧客への賠償に追い込まれたケースもありました。何万人もの個人情報を扱うのならば、監視を強化していくことは今の時代絶対に必要なことだと言えます。
 
一方、個人情報の売買をする名簿業者への対応はどうすればいいのでしょうか。5000人以上の個人情報を管理している事業者には、個人情報保護法が適用されますが、目的どおりに機能しているのかを考えなければなりません。法律では、不正に流出したものであることを知りながら、購入することは禁じていますが、知らなかったということならば、違反にはならないことになります。
 
j140723_06.jpg

 

 

 

 

 

 

今回、個人情報を買い取っていたジャストシステムも、ベネッセから流出したものであるとは知らなかったとしていますが、子供の個人情報が大量に手に入るという点で、不正なものとは全く思わなかったという説明が納得できるでしょうか。
 
不正に出た情報ではないという形だけの確認で済ませている名簿業者もあります。このような形骸化を防ぐために考えられるのは個人情報を持ち込む人の本人確認でしょう。古物営業法では、音楽CD や書籍などを買い取る際、盗まれたものが持ち込まれることを防ぐため、本人確認が義務づけられています。同様の手段が必要ではないでしょうか。
 
次に個人情報を売る際の規定です。個人情報保護法では、原則として本人の同意が必要ですが、例外規定の問題があります。例外規定というのは、個人情報を第三者に提供することや、それを拒否する手順についてあらかじめホームページなどでわかりやすく表示していれば1人ずつ同意を得なくてもかまわないというものです。
 
j140723_07.jpg

 

 

 

 

 

 

電話帳や住宅地図などへの配慮からできたものですが、この規定がいわば乱用され、自分の個人情報が知らないうちに売却されることを許しているのです。
 
導入の経緯を考えれば、この規定は、個人の権利を大きく侵害する恐れがある業種を保護するものではありません。この規定を適用する際は、許可や届け出を必要とし、その内容を公表するなど、乱用を防ぐための仕組みが必要です。罰則の強化も必要でしょう。専門家の中には、信用情報など、極めてプライバシー性の高い個人情報は売買そのものを禁止するべきだという意見もあります。
 
政府は平成27年にも個人情報保護法の改正を検討していますが、こうした規制について踏み込んだ議論を進めてほしいと思います。
 
個人情報保護法の改正に慎重な企業などの議論を聞いていますと、不正な企業はごく一部で、規制を強化すると経済活動に影響が出てしまうという意見が聞かれます。しかし、それは一般消費者の感覚とかけ離れています。
 
個人情報をビジネスに活用する以上、正しい利用を担保するためのルールを強化するのは当然のことです。企業などに登録されている個人情報は、子供達を含む消費者やその家庭の大切なプライバシーであることを忘れてはならないと思います。
 
(三輪 誠司 解説委員)