ベネッセの顧客情報流出事件に学ぶ個人情報保護の基礎

通信教育大手のベネッセの顧客情報流出のニュースが流れています。

なにより流出件数が国内過去最大規模ですので、実はそちらの専門でもある私にとってはかなり衝撃的なニュースです。

――　引用ここから　―――――――――

通信教育大手のベネッセホールディングスは９日、通信教育の顧客情報が外部に漏洩していることを確認したと発表した。最大２０７０万件を収容するデータベース（ＤＢ）の個人情報すべてが漏洩している可能性もあり、すでに７６０万件の流出が確認されるなど、大規模な事態となっている。東京都内で会見した原田泳幸会長兼社長は「再発防止と、情報の拡散防止に真摯に取り組む」と謝罪した。

今回の問題は６月下旬に、顧客から「ベネッセにしか登録していない住所に、他の教育産業会社からのダイレクトメール（ＤＭ）が届いている」とした苦情が相次ぎ、それをもとに調査を開始して発覚。今月７日までに個人情報が、名簿業者に大量に漏洩していることを確認した。

社外からの不正アクセスなどのハッキングではなく、グループ社員以外の内部者の関与が推定されているという。だが、警察の捜査も始まっているため、「（関与者が）社員ではない」（原田氏）こと以外の詳細は開示していない。

原田氏は、個人情報を購入してＤＭを発送している通信教育事業者に対し、「悪意を持っての流出情報の使用」と批判した上で、情報の拡散防止などへの協力を求めると同時に、協力が得られない場合は、告訴も辞さないと強調した。

産経新聞『ベネッセが顧客情報漏洩を発表　最大２０７０万件流出も』
http://www.iza.ne.jp/kiji/economy/news/140709/ecn14070918280036-n1.html

――　引用ここまで　―――――――――

別記事によれば、
――　引用ここから　―――――――――

ベネッセコーポレーションは7月9日、約760万人の顧客情報が外部に漏えいしたと発表した。漏えい規模は最大で約2070万人に及ぶ可能性がある。グループ社員以外のデータベースアクセス権を持つ内部者の関与が疑われ、警察が捜査を開始している。

～中略～

漏えい元は確認された情報を格納している特定のデータベースで、同社はこのデータベースの稼働を停止し、さらなる漏えいをさせない措置を講じた。それ以外のデータベースでは異常が無いとしている。

原因については、同社グループ社員以外のデータベースアクセス権を持つ内部者の関与を推定しているとし、7月7日に所轄の警察署による捜査が開始された。同社では捜査に全面協力するとともに、漏えいが確認された顧客に対応について連絡を行っている。利用者へのサービスやサポートは継続して提供するものの、新規顧客への販売活動は情報セキュリティ会社による監査で安全性が確認されるまで停止するという。

～中略～

漏えい元は特定されたものの、その原因や経路などについては警察の捜査に支障をきたす恐れがあるとして、同社は詳細状況を明らかにしていない。不正アクセス対策では外部のセキュリティ企業に委託して24時間体制の監視を行っているが、これまでの調査で異常は確認されず、内部者の関与が推定されるという。

情報システムの運用は、ISMSを取得しているグループ企業のシンフォームズが行っており、個人情報の取り扱いは全社員への教育実施や各組織に個人情報責任者を設置するなどの運用を徹底していたという。外部監査も定期的に実施し、プライバシーマークを取得する形で個人情報を取り扱ってきたと同社では説明している。

IT Media『詳報・ベネッセで760万人の個人情報漏えい、内部者関与の疑い』
http://www.itmedia.co.jp/enterprise/articles/1407/09/news150.html

――　引用ここまで　―――――――――

“犯人”が、外部でもなく、内部のグループ会社でもなければ、
内部のグループ会社に出入りしていた“外注業者”ということになります。
記事を読む限り、ほとんど特定できているのでしょうね。

“情報セキュリティの内部犯行は完全には防げない”が私の持論ですが、
それでも、大量のデータを抜きだすには、予防できるポイントがあります。
入退館管理とか、媒体管理とかで、管理のツメが甘いところがあったのでしょう。

さて、こういった情報セキュリティの不祥事は会社をツブしかねません。

事業の規模が小さいからとはいえ、情報セキュリティ（特に個人情報保護）を
手抜きすることは極めて危険です。

と、いうわけで、今日は、明日からできる個人情報保護の基礎として、
ある意味の究極の予防策をご紹介します。

それは、・・・

“必要ない個人情報は、集めない・持たない”です

今回のケースでみてみましょう。

今回、流出した個人情報を名簿屋から買ってDMを発送した通信教育業者というのは、
続報でジャストシステム系のスマイルゼミであることが判明していいます。
ではこのスマイルゼミ側になにか落ち度はあるのでしょうか？

大前提となるのは、個人情報保護法の第十八条です。

――　引用ここから　―――――――――

第十八条

１　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

２　個人情報取扱事業者は、前項の規定にかかわらず、本人との間で契約を締結することに伴って契約書その他の書面（電子的方式、磁気的方式その他人の知覚によっては認識することができない方式で作られる記録を含む。以下この項において同じ。）に記載された当該本人の個人情報を取得する場合その他本人から直接書面に記載された当該本人の個人情報を取得する場合は、あらかじめ、本人に対し、その利用目的を明示しなければならない。ただし、人の生命、身体又は財産の保護のために緊急に必要がある場合は、この限りでない。

――　引用ここまで　―――――――――

すごく簡単に要約しますと・・・

・個人情報を集める際には、なんのために使うのかを本人に通知して同意を得ましょう。
・もし、同意を得ないで個人情報を集めた場合には、速やかに利用目的を本人に通知しましょう。

ということです。

この実践に対して、経済産業省のガイドラインでは、次のようなQAを出しています。

――　引用ここから　―――――――――

Q.　市販の人名録を使ってダイレクトメールを送付したいのですが、その人名録の利用目的を当該ダイレクトメールに記載して送付したいと考えています。人名録を買ってどれくらいの期日までにダイレクトメールを送付すれば、法第18条第１項にいう「速やかに」に該当しますか。

A.　すべての場合に通じるような一定の期日の定めはありません。「速やかに」とは、事情が許容する限り最も早期にという意味です。したがって、合理的な遅延の理由がない場合には、取得後可能な限り早期に通知する必要があります。

Q. 名簿業者から個人の名簿を購入することは禁止されていますか。
A. 購入すること自体が禁止されているわけではありません。

Q. 名簿業者が当該個人情報を適正に取得していることを確認する必要はありますか。
A. 不正取得を疑わせるようなものでない限り、積極的に確認する必要はありません。

Q. 名簿が不正取得されたものであることを知らずに買った場合は、責任を問われることはありますか。
A. 知らなかった場合でも、知ることができて当然である場合等には責任を問われる可能性があります。このような場合には、購入には慎重であるべきです。

――　引用ここまで　―――――――――

というワケで、ジャストシステム側が名簿を買ったことも、その買った名簿に対してDMを送ることも適法です。
ただし、そのDMでは、“あなたの情報は、あなたにDMで売り込みをする目的で、名簿屋から買いました”といった旨の通知をしなければなりません。
（まぁそう書いていたかどうかはわかりませんが）

さておき、

“原田氏は、個人情報を購入してＤＭを発送している通信教育事業者に対し、
「悪意を持っての流出情報の使用」と批判した上で”というのは、
被害者ぶった論点ズラシです。

ジャストシステム側が、ベネッセにスパイ活動をして、
顧客情報を盗んだワケではないのです。
ジャストシステム側が、適切に個人情報を扱う分には、
なんらベネッセ側から非難される筋合いはありません。

とはいえ・・・・

DMを送られた側は、ベネッセ側に怒りと不信を感じるのは当然として、
ジャストシステム側にも、怒りと不信を覚えています。
ここが重要なポイントです。

このように相手が怒りと不信を覚えるような営業方法は、
たとえ適法でも、短期的に効果がある程度あったとしても、
最終的にお客様と良好な関係を築くという点ではマイナスです。

繰り返しになりますが、“必要ない個人情報は、集めない・持たない”です
名簿屋から買うような個人情報は、事業者側にとっても“必要ない”とは
考えられないでしょうか？
安くもないし、使っても悪い評判を招くだけのものです。

名簿を買うくらいならば、その予算で、見込み客の方から連絡をしてくれるような、
見込み客開拓の広告（専門用語でリード・ジェネレーション広告）を打つべきです。