教育最大手のベネッセコーポレーションの個人情報が漏えいし、ジャストシステムなどがその情報を名簿業者から購入してダイレクトメールを送っていた問題は、現在警察による捜査が続いており、全容は明らかになっていない。ベネッセの発表によれば、漏えいした個人の情報は約2300万件に及ぶという。
あとは捜査の進展を待つだけだが、今回の個人情報漏えい事件には、いくつかの論点があるのでここで整理したい。
まず、ベネッセの情報漏えいはなぜ起きたのか、という点だ。漏えいしたのは、「進研ゼミ」や「こどもちゃれんじ」など通信教育の子どもの情報が中心とされてきたが、その後、ベネッセのウェブサービスである「ベネッセウィメンズパーク」、「ベネッセライフスマイルショップ」の会員情報も流出していたことが明らかになっている。
情報は、データベースの運用管理を任されていた孫請けから流出した。報道では、犯人の派遣社員は金欲しさに情報を盗んだと供述しているという。ベネッセはデータベースをグループ会社に委託し、さらにそこから複数の会社に管理・運用を任せていたようだ。その中で、管理権限を持つ社員が複数回ログインし、貸与PCから情報をスマートフォンに保存していたという。
データベースの情報は、USBメモリなどの外部メディアには保存できないように設定されていたが、スマートフォンをUSBで接続して、MTPデバイスとして接続すると、その制限を回避できたらしい。
個人情報に限らず、企業の情報流出において、こうした内部犯の犯行を防ぐのは難しい。そのための対策もいくつもあるが、すべてを完璧に実施するには金銭的にも企業の状況的にも難しい例は多い。とはいえ、ベネッセは業界最大手で、大量の個人情報を預かり、しかもその個人情報は競争力の源泉の1つであるはず。そのため、そうした対策は実施していたはずだが、結果として有効に機能しなかった。
今回の犯人は、セキュリティ対策の設計の不備を突いて、大量の個人情報を盗んだ。その不備がなぜ起きたのか、犯人に複数のデータベースで個人情報にアクセスできる権限を与えたことは正しい判断だったか、複数回にわたり、数千万件にも及ぶデータが盗まれても気付かなかったことに問題はなかったか、そうした疑問点を今後検証していく必要があるだろう。
今回の事件では、犯人が個人情報を販売したのは名簿業者で、そこからさらに別の名簿業者に渡り、ジャストシステムやECCといった企業が名簿を購入している。ベネッセのように、長く教育関連事業を行っていると、比較的情報は集まりやすい。
受講者だけでなく、イベントなどでも個人情報は収集できるが、ジャストシステムのような新規参入など、十分な情報がない企業も多い。そうした場合、想定している顧客層の個人情報をまとめた名簿の存在は、新たな顧客獲得のための1つのツールとして活用される。名簿業者から名簿を購入する行為自体には、現状で法的な問題があるわけではない。
ただ、名簿業者の信頼性は、購入する側も検証する必要があるだろう。個人情報保護法の施行、そして住民基本台帳の閲覧制限によって、個人情報の収集は難しくなっている。過去に収集した情報も更新することは難しい。
現行の個人情報保護法では、名簿業者の存在自体は条件さえクリアすれば合法で、個人情報の取引も合法ではある。ジャストシステムらに販売した名簿業者も別の業者から購入したとされており、違法性の認識はなかったようだ。同様に、ジャストシステムらにも違法に入手されたものという認識はなかったという。
しかし、現在は「合法的に多数の子どもの情報を名簿化して販売する」ためには、アンケートなどで個人情報を集めて、それを第三者に販売する許諾をとるといった方法ぐらいしかない。それ以外で、少なくとも2006年以降に生まれた子どもの情報を大規模に収集、販売する手段は極端に少ないはずだ。
そうなると購入者側は、その年代が含まれる名簿は、違法に入手された個人情報が入っている可能性を警戒してもいいはずだ。また、名簿業者が合法化するためには、オプトアウトの仕組みを公開し、要請に対応しなければならないので、少なくとも、ウェブサイトなどにオプトアウトへの対応が記載されているか、購入者側がチェックする必要があるだろう。
これを怠ると、例えどんなに違法な手段で入手された情報であろうとも、「違法と認識しない」仲介業者を経れば、それが自由に使えてしまい、ロンダリングが可能になってしまう。逆に言えば、そういったチェックを怠っていた場合、今回のジャストシステムのように、批判される可能性もある。問題が発生した場合の損害になりかねないため、購入側も一定の調査は必要だ。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
CES2024で示した未来
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ビジネスの推進には必須!
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
近い将来「キャッシュレスがベース」に--インフキュリオン社長らが語る「現金大国」に押し寄せる変化
「S.RIDE」が目指す「タクシーが捕まる世界」--タクシー配車のエスライド、ビジネス向け好調
物流の現場でデータドリブンな文化を創る--「2024年問題」に向け、大和物流が挑む効率化とは
「ビットコイン」に資産性はあるのか--積立サービスを始めたメルカリ、担当CEOに聞いた
培養肉の課題は多大なコスト--うなぎ開発のForsea Foodsに聞く商品化までの道のり
過去の歴史から学ぶ持続可能な事業とは--陽と人と日本郵政グループ、農業と物流の課題解決へ
通信品質対策にHAPS、銀行にdポイント--6月就任のNTTドコモ新社長、前田氏に聞く
「代理店でもコンサルでもない」I&COが企業の課題を解決する
「当たり前の作業を見直す」ことでパレット管理を効率化--TOTOとユーピーアールが物流2024年問題に挑む
ハウスコム田村社長に聞く--「ひと昔前よりはいい」ではだめ、風通しの良い職場が顧客満足度を高める
「Twitch」ダン・クランシーCEOに聞く--演劇専攻やGoogle在籍で得たもの、VTuberの存在感や日本市場の展望
アップルの新しいジェスチャー操作を写真で紹介--「うなずいて応答」など 
日本のキャッシュレス化の未来--「現金大国」が世界に追いつくための課題と道筋 
気候変動対策に挑む注目のクリーンテック企業【アグリ、フードテック、素材、循環資源編】