ベネッセの個人情報流出のなにが問題だったのか

Sponsored Link

「オスミツキ!編集部」から作業依頼などをいただいている京都のWeb屋です。編集部からなぜか「記事書いて」と言われて、プログラム関係をいくつか書いてきました。

以前はIT企業に勤務しており、そこで大量の個人情報も扱っていました。

2000年に入ってから「個人情報保護」について社会問題化してきて、私も研修で「個人情報保護」について学ぶことが多くなってきたと記憶しています。

今回はそういった経験ももとにしながら書いています。

ベネッセの個人情報流出とは


2014-07-14_102938

2014年7月9日に発覚した今回の教育事業大手のベネッセホールディングス(HD)の通信講座「進研ゼミ」「こどもちゃれんじ」など26サービスの顧客の個人情報が約760万件、外部に流出した件は社会に大きく取り上げられました。

今回は漏えいしたのは

保護者の名前、子どもの生年月日と性別、住所、電話番号などの個人情報

だと報じられています。

これらは「個人情報」であり、取扱には十分な注意が必要ですが、漏えいしたから賠償が必要というものでもありません。

また、「営業秘密」を外部に持ち出した件で捜査は行われます(情報を持ち出したSEに対して不正競争防止法違反)が、個人情報が漏えいしたことでベネッセが刑事責任を負うものでもないのです。

個人情報の組み合わせ


個人情報とは

保護者の名前、子どもの生年月日と性別、住所、電話番号などの個人情報

といったものを示すのですが、「性別」単体では意味を持ちません

「性別」が個人情報であっても、「性別」のみが流出した場合は個人情報漏えいとは言いません。

「個人情報の保護に関する法律」では

個人情報とは、以下のような情報で個人が特定できるものと定義されています。

氏名
性別
生年月日
住所
住民票コード
携帯電話の番号
勤務場所
職業
年収
家族構成
写真
指紋、静脈パターン、虹彩、DNAの塩基配列などの生体情報
コンピュータのIPアドレス・リモートホスト

Wikiより

上記に該当しても、個人が特定できなければ個人情報には該当しないとされています。つまり、情報の数が多く流出するほど「個人情報」と定義される可能性は高くなります。

なぜ、こうなっているかというと、なんでも「個人情報だからダメ」としてしまうと、円滑な社会での情報利用ができなくなるからです。

個人情報とプライバシー情報の違い


今回、流出した情報は「個人を特定可能」な情報群です。

保護者の名前、子どもの生年月日と性別、住所、電話番号などの個人情報

この情報で探せと言われたら探せますよね。そういうものが「個人情報」になります。

しかし、これで「個人情報が流出したからプライバシーの侵害だ」ともいえないのです。

たとえば、「氏名・住所・電話番号」は公知のものである場合がほとんどです。これらは個人情報ですが、プライバシー情報ではないのです。

なにがプライバシー情報なのか完全に定義は難しいのですが、たとえば最近芸能人で「飲食店でプライベートで食事中に盗撮された」と騒いだ事件がありましたが、あれは「プライベート」ではありません。食事をしていたのは公衆の面前で、誰もが知りうる情報だからです。しかし、無断で撮影したことは「盗撮」の疑いがあります。ただ、盗撮でも隠し撮りなのかどうかもありますし、「盗撮」という扱いで損害賠償にもっていっても政治家や芸能人などの場合は「公人」とされるので損害賠償額は低くなります。

「プライバシー情報」とは


今回、ベネッセで流出した情報は「個人情報」であっても、「プライバシー情報」ではありません

「プライバシー情報」が流出したのでなければ損害賠償は難しいと言えます。

「プライバシー情報」とは以下のすべてを満たすものと定義されています。

  • 個人の私生活上の事実(それらしく受け取られる可能性のあるものも含む)に関する情報である。
  • 公知になっていない。
  • 通常は公開を望まない内容である。
  • Wikiより

    あくまでも「すべてを満たす」です。

    たとえば、アマゾンで何かを買いましたというのは、アマゾンの方なら分かる情報ですが、「プライバシー情報」に該当するので、アマゾンから購買履歴情報が流出したら、これは大事件になります。

    アマゾンや佐川、ヤマトなどが社内に独自のSE集団を抱えて社内でシステム構築している理由がよく分かるというものです。

    今回のベネッセの流出事件はさほど事件性があるとはいえない


    よって、今回の事件は事件性があったり、損害賠償が必要かという話かどうかといえば、そうでもないと言えます。

    よって、警察の捜査も「営業秘密」を外部に持ち出した件で捜査が行われます。

    しかし、企業にとっては「社会的地位の低下」をもたらすものが「個人情報流出」です。そのため、企業では2000年くらいから徹底した情報保護を行っているところもあります。

    個人情報はすべて特別なデータベースに記録


    私がIT企業出身なので、そういう話しかできないのはご了承ください。

    さて、私が以前いた会社は皆さんも大変よくご存じの大きな会社ですが、個人情報を大量に扱っているとは認識されていない会社でした。

    しかし、2000年以降に個人情報流出が社会問題化してきはじめた頃に、すでに問題の重要性を認識して、インターネットで収集したすべての個人情報になりそうな情報は

    ・暗号化
    ・データベースにアクセスできるのは特別なネットワークからのみ
    ・特別なネットワークに接続できるPCは生体認証のある部屋にのみ設置
    ・アクセス履歴はすべて保存

    ここまでやっていました。今から15年近く前の話です。

    当時でも、ここまでやっていたのは「日本ベリサイン」と私のいた会社とライバル企業くらいのものでした。

    それだけ重要になりえる個人情報を大量に扱っていたのです。

    そのため、当時出始めたばかりの「プライバシーマーク」もすぐに取得して企業サイトに掲載したりもしました。「プライバシーマーク」自体の審査は項目は多いのですが、じゃそれをやったから絶対に漏れないのかというとそういうものではありません。抜け道なんて、いくらでもあるのです。「プライバシーマーク」でお墨付きを得たからといって、100%安全というわけではないのは当たり前です。

    対策をしていない会社がほとんど


    ここまで対策をしている企業は今現在でもほとんどありません。私のいた企業はIT企業でネットワークの知識があった会社なので、ネットワークやデータベースの構築は自前で簡単にできました。

    そして、情報流出が外部からのハッキングではなく「社内関係者から漏えいする」ということを早い段階から認識していました。

    しかし、普通の企業ではそうはいかないのです。

    今回のベネッセの場合は

    完全子会社のシステム管理会社「シンフォーム」に派遣で来たSEが入手して名簿業者に売却

    を行っていますので、根本的な対策ができていないのです。

    「シンフォーム」はテレビ報道では「外部会社」とされていますが、グループ会社です。

    問題点はどこか?


    今回の非は完全に「ベネッセ」にあります。「ジャストシステム」は悪くありません。

    ・ベネッセで収集した情報を
    ・完全子会社のシステム管理会社「シンフォーム」に派遣で来たSEが入手し
    ・名簿業者に売却
    ・その名簿をジャストシステムが購入
    ・名簿を使ってDMを送付して疑惑が浮上

    問題は、個人情報になりえる情報のデータベースを子会社とはいえ、派遣社員が持ち出せる管理体制にしかしていなかったことに問題の発生に至る原因があります。

    損害賠償は必要か?


    これについては、元マクドナルドの原田会長兼社長は「損害賠償はしない」と発表しました。

    理由は「クレジットカードの番号などセンシティブ(重要)な情報は流出していない。信頼を回復する方がもっと大事だ」と説明されました。

    これに対して非難や補償を求める声が多いのですが、流出した情報は原田氏の言うように重要なものとは言い切れません。

    よって、損害賠償まで至るものでもありません。

    過去、ソフトバンクなどは500円程度の賠償をした例もありますが、そういった賠償は必要とはいえません。

    クレジットカード番号や購買履歴がなかったことは幸いしています。

    500円といえど大量になると多額な損失になりますが、お金で社会的信用が回復(忘れてもらえる?)できるなら、そうするほうが簡単です。

    しかし、今回は総額が大きくなりそうですし、損害賠償しないというのは賢明な判断といえます。

    企業にとっては「社会的地位の低下」をもたらすものが「個人情報流出」です。ベネッセは以後同じ問題を起こさない対策を行う方が優先すべきことなのです。

    Sponsored Link

    最新記事はトップページで!

    京都発・地方が盛り上がるグルメや観光に撮影ロケ地の話題を提供!


    購読するならRSSをご利用ください!

    RSSはこちらをご利用ください。


    マスコミ各社様の記事使用規約についてはこちらをご覧ください。

    当ブログでは掲示板やSNSなど他メディアでURLや記事を紹介することはございませんので、掲示板などで記事を紹介されていても一切無関係です。誤解なきようお願いいたします。
    当ブログで転載しているTweetはTwitter社の規約(2013/10)に準じた形式(API利用)によって許可された範囲で行われています。また、Tweet内容の所有権はTwitter社の規約によりTweet元のアカウント所有者にあります。そのため、当ブログでその所有権を主張するものではありません。Tweet内容については責任は負いませんので予めご了承ください。