ベネッセの顧客情報流出からみる個人情報保護の問題点

 嶋津 裕介

2014年08月01日

<ポイント>
◆個人データの再委託先への監督は難しい
◆流通過程で「不正な取得」はなかったか
◆パーソナルデータ活用への懸念

ベネッセホールディングスは7月9日、「こどもちゃれんじ」、「進研ゼミ」などを運営するベネッセコーポレーションの顧客情報760万件が外部に漏えいしたことが確認されたと発表しました。
ベネッセの発表では、通信教育事業を営むIT事業者からのダイレクトメールがベネッセの顧客に届き始め、顧客からの問い合わせが急増したのが、発覚の経緯だったとのことです。
その事業者、ジャストシステムは自らの発表で、名簿業者から約257万件のデータを購入したものの、顧客情報がベネッセから漏えいした情報であると認識して使った事実はなく、ベネッセからの漏えい情報か否か確認する手段もないが、そのデータの使用を中止するとしています。
報道によれば、情報の流出経路には、複数の名簿業者が介在しているとのことですが、各名簿業者も「ベネッセから流出した名簿とは知らなかった。」
と警察庁に説明している模様です。
そして、15日現在の報道では、ベネッセのデータベースの保守管理を受託していたグループ企業からの再委託先のうち1社の派遣社員(システムエンジニア)が、情報の持ち出しを認め、自ら名簿業者に売り込んだと話しているとのことです。

個人情報保護法は、個人情報をコンピュータで検索可能に体系的に構成したもの等を「個人情報データベース等」、これを構成する各個人情報を「個人データ」と定義し、本人の同意なく個人データを第三者に提供することを原則禁止しています。「等」というのは、コンピュータによらずとも、紙媒体での名簿なども含む趣旨です。
この定義が少し複雑ですが、個人情報保護法が流出など第三者提供を禁止しているのは、ばらばらの個人情報ではなく、「個人情報データベース等」を取り扱っている(5000件以上)事業者に対し、そのデータベース等の第三者提供を禁止する、ということを意味します。ただ、データベース等まるごとの流出でなく、一部(たとえ1個の個人情報でも)の流出であっても禁止されるべきですから、条文上は、データベースの構成要素としての「個人データ」の第三者提供を禁止しています。
ベネッセから流出した760万件もの顧客情報は、「個人情報データベース等」の最たる例です。個人情報保護法は、プライバシーを中核とする個人情報の保護を目的とはしていますが、かつてはそれほどまで保護を必要としていませんでした。権利意識の高まりという事情もありますが、むしろ、大量のデータを瞬時に取得、コピーすることができ、かつ、インターネットを通じるなどして、いくらでも流通してしまうという「高度情報通信社会の進展」が背景です。技術革新により、個人情報が危険にさらされる度合いが大きくなったということです。
そのような危険を除去しつつ、個人情報の適正な活用を目指すのが、個人情報保護法です。つまり、今回のベネッセの件のように、事業者に顧客情報(データベース)を活かさせつつ、その流出を起こさせないように作られたのが個人情報保護法ということになります。

しかし、個人情報保護法は、個人データの取り扱いを第三者に委託するということなら、本人の同意は不要としています。
本人サイドから見て、自分の個人情報を渡した事業者が責任を持つ以上は、その扱いが委託先に任されることも想定しうるということでしょう。
したがって、事業者には委託先に対する監督責任が課されています。委託先との間で個人情報の取り扱いに関する契約書を結んだり、誓約書を徴求したりします。
しかし、文書を作っておけば、丸投げすればよい、というわけではありません。委託先における実際の個人情報の取り扱い状況を「監督」しなければなりません。
とはいっても、現実問題、どのように監督するのか具体的には難しいケースが多いでしょう。
まして、本件のように、再委託がなされた場合、その再委託先までどのような監督を及ぼすか、特にIDを与えていたSEが悪意で流出したとなれば、委託元からすれば、どこまでのことをすればいいか、非常に難しいといえます。単に「アクセスの記録が残るから、ペナルティを恐れて漏えいはしないだろう」というだけでは足りない、悪意での漏えいを防ぐシステムが必要になってきます。監視を強めるということなのか、技術的なシステム上の解決策を講じるべきか。
本件に関する調査のため、弁護士を委員長とする第三者委員会が設置されたとのことで、原因究明と併せ再発防止策について、どのようなレポートとなるか関心が集まります。

また、本件では、流通経路も問題です。
複数の名簿業者が介在していたとされています。個人情報の取得に関して個人情報保護法は、事業者は「偽りその他不正の手段により取得してはならない」(17条)と定めるのみです。
どの名簿事業者も、ベネッセの顧客情報だったとは知らなかったといっているようです。
17条の解釈として、名簿業者などが典型例ですが、個人情報の本人から直接でなく、既にある名簿等のデータベース等を取得するとき、それまでの段階で特に不正取得が疑われることがなければ、取得源や取得経路を調査する義務まではないとされているようです。
しかし、ベネッセからの持ち出し者から最初に受け取った(多額のお金を払ったでしょうが)名簿業者は、データの数・価値からいって、その出所がどこなのか考え及びもしなかったのか、私は疑問に思います。
そのことは転々取得した名簿業者も同様ですし、さらには最終のエンドユーザーであった会社も、「適法かつ適正に取得」された情報であることを条件に名簿業者から入手した、というだけでよいのか、という疑問を持ちます。
例えば、名簿業者が大学OBあるいは団体の会員などから、名簿を譲り受けるといっても、その大学や団体から、第三者提供が禁止されているのは容易にわかります。その名簿の保有者が事業者ではなく、個人だから、個人情報保護法の適用はない、というのも形式論にすぎるように思います。
営業秘密の取得や使用を禁じている不正競争防止法は、不正に取得された営業秘密であることを知って取得や使用をしてはならないと規定すると同時に、「重大な過失により知らないで」取得や使用をしてはならないとも定めています。
ベネッセの顧客情報を真実取得していた事業者らは「重過失」がなかったのかと疑問に思います。「重過失」のハードルが高いのかもしれませんが。

本件の問題が発覚する前、「パーソナルデータの利活用に関する制度改正大綱」が6月9日政府によって発表されています。
いわゆるビッグデータ、なかでもパーソナルデータの活用の促進のため、「個人が特定される可能性を低減した」データであれば、本人の同意がなくても、第三者提供を可能とする措置を講じるとしています。
これまでも個人の特定ができないように加工したものは、個人情報ではない、とされてきました。
「特定される可能性を低減する」というのは、可能性がゼロではないという意味でしょうが、これまでの扱いを緩めるもののようです。
事例は違いますが、本件のような悪意が介在する場合、果たして、個人情報やプライバシーが守られるのか。かなりの難問のように思われます。