ベネッセコーポレーションの情報漏えいに関する現時点での気づき  2014年07月18日(金)

皆様もすでにご案内のところかと思いますが、通信教育大手のベネッセコーポレーションの保有する大量の顧客情報が漏えいし、事件となっています。

ことの発端は、5月末くらいからネット上でつぶやかれたジャストシステムによるダイレクトメールになります。
この中で、ベネッセの教材申込みにしか使っていない住所の書き方をしたものが、ジャストシステムから来ている、そのため、ベネッセから情報が漏れているのでは?というところから、俺も私も、となった次第です。

現在までの報道の内容を見るに、今回の事件は以下のような段階を踏んでいます。

1 外注先の社員がベネッセの統合顧客データベースにアクセスし、権限の範囲を超えてダウンロードを行って、名簿業者に数百万円で売り渡した。

2 名簿事業者の手に渡ったデータは、幾たびの転売を経て、ジャストシステムの手元に届いた。
ジャストシステムは、入手方法を確認せずに、名簿事業者から購入した。

3 ジャストシステムは、当該名簿情報をダイレクトメールに使用した。

4 情報漏えいが露見

とのことのようです。
この事案は、個人情報の大量流出として世の中を騒がせていますが、いくつかの視点で課題が指摘されています。

●情報システムの運用管理面
 ベネッセは、外部からの不正アクセスには細心の注意を払っており、セキュリティ対策は万全なつもりでした。
しかしながら、古くからの外注事業者に対して警戒しておらず、データのダウンロードを許してしまった、とのことです。
(さらに、システムについて熟知しており、セキュリティを解除できてしまったようです。)
 長くてよく知っているから安心、という属人的な管理は、個人に魔が差した際には脆弱であるということが言えます。
適切な監査も必要ですし、相互牽制を必要だと思います。

●オプトアウト制度の瑕疵
 個人情報を取得する際に、情報の利用に関して本人同意が必要です。
また、活用において不服がある場合には、申し立てることで、事業者に対して活用をやめさせることができます。これを「オプトアウト」と言います。
しかしながら、名簿事業者に売り渡された個人情報は、転売を繰り返すことで、本人の同意とは関係ないところに活用されてしまいます。
この場合、オプトアウトをしたところで、名簿は削除されません。
これは、個人情報保護法が名簿の転売を容認した制度設計をしており、本来守るべき個人の権利ではなく、手続きを重視したことに起因します。
誰のための法律だったのか、今一度議論が必要なところです。

●消費者の個人情報へ意識の低さ
これは、オプトアウトに関連します。
ダイレクトメールが来るということは、個人情報が流通していることの証左です。
しかしながら、多くの方はダイレクトメールを捨ててしまい、個人情報がどのような経路で入手されたかの調査はしません。
オプトアウトも多くの方がしないのではないでしょうか。
これでは、名簿の売買について、個人が容認していることになるため、制度も効力を発揮しません。
そうならないためにも、一人一人が個人情報について意識を高めることが必要です。
たとえば、カードなどの入会において住所の書き方を工夫することで、どこから名簿が漏れたか知ることができます。
例)
 霞が関3-2-2
 霞が関3丁目2-2号
 霞が関三丁目2番2号
などのように記述を変えることで、名簿の入手先を特定することができます。

●IT業界と法律への意識の低さ
今回の騒動が明らかになった直後に、ジャストシステムはデータの削除を公表しました。
しかしながら、事件性がある場合には、当該データは証拠となることが明白です。
誠意を見せたとみることもできますが、データは複写可能であることや復活もできることから、証拠の隠ぺいを企図したのではないかと見るほうが、技術を知る者にはしっくりきます。
そのため、早々にデータの削除を宣言した老舗IT企業に対して、多くの批判が集中しました。
(その後、削除宣言は撤回されました。)
このように、咄嗟の行動が、法律などよりも技術を優先してしまうところは問題です。
情報システムに下す命令一つを間違えただけで法律を犯してしまうことがあることもあるわけです。その際に法的な根拠をもって行動できれば、関係者にも説明責任を果たすことは容易なのですが、技術を過信して小手先でなんとかしようとしてしまう例を聞くことがあります。
また、IT業界において、法律の専門家と言われる方はまだまだ多くはありません。

上記のように、いろいろな視点で議論ができる貴重な場を、今回の事案は提供してくれています。
社会にITが随分と浸透してきていますので、今後の関係者の動向に注目したいところです。

以上