69

ベネッセ・ジャストシステム事件
ベネッセコーポレーションが手がけている通信教育サービスの利用者の個人情報が大量に流出し、ジャストシステムが、東京の名簿業者から購入した、ベネッセから流出したとみられる個人情報を基にダイレクトメールを送っていたことが明らかになった事件。

ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び(お問い合わせ窓口のご案内)
http://www.benesse.co.jp/bcinfo/

株式会社ジャストシステム
ベネッセコーポレーションの個人情報漏洩の件に対する当社の対応につきまして
http://www.justsystems.com/jp/news/2014l/news/j07111.html?w=home

Hiromitsu Takagi @HiromitsuTakagi
さて、ベネッセ・ジャストシステム事件について。 まず、「個人情報をお金で売買する名簿業者が合法とされている現状に疑問」という声があったが、この感情の原因は2つに分ける必要がある。
Hiromitsu Takagi @HiromitsuTakagi
一つは、金で売買することが不正競争防止法の営業秘密侵害罪を誘発することになる点で、個人情報を取り扱う全ての企業の信頼を損ねる(その原因には、利用者である各個人の信頼がある)から、けしからんというものであり、もう一つは、自分の情報が金で売買されることがけしからんという感情であろう。
Hiromitsu Takagi @HiromitsuTakagi
後者の「自分の情報が金で売買されることがけしからん」という感情は、さらに、本来なら自分も代金をもらえて然るべきところ取りっぱぐれているのだ(俺にも金よこせ)という場合と、人権に関わるものを金で取引するなというものに分けられる。
Hiromitsu Takagi @HiromitsuTakagi
これらのうち、「俺にも金よこせ」という、個人情報を金銭的価値と捉える場合、金を払えば(もしくはそれ相当のサービスを提供すれば)個人情報を使ってよいとなる一方、見合わない形でビッグデータ利用することは認められないという結果を招く。私はこの立場をとらない。
Hiromitsu Takagi @HiromitsuTakagi
「人権に関わるものを金で取引するな」の立場を取った場合は、個人データを、一人ひとりのデータでないもの(非識別非特定情報)に加工すれば、それに当てはまらない(利用してよい)ことになる。
Hiromitsu Takagi @HiromitsuTakagi
例えば、POSデータの売買が現に行なわれている(例えば bcnranking.jp )が、こうしたデータが生み出されるのは利用者の行動によるものであるから、「俺にも金よこせ」の立場に立つと、無断でやるなということになりかねない。(私はこの立場をとらない。)
Hiromitsu Takagi @HiromitsuTakagi
次に、NHKニュースで、ベネッセから個人情報が漏れた親子のインタビュー映像が氏名付きで流れた件について、「本末転倒」といった、出演者を馬鹿にする発言(本件問題自体の存在を疑問視する声)が散見されたが、次のように考える必要がある。
Hiromitsu Takagi @HiromitsuTakagi
一組目の親子の母親は、「信頼していて大きな会社だったのでびっくりしたしショック。自分の情報がどこに使われるかわからない。特に子どものことなのでどう使われるか気になる」と話している。ここでは陽には述べられていないが、このような事態が起きるということは、今後も起き得るということで…
Hiromitsu Takagi @HiromitsuTakagi
…ことであり、今回は、氏名、住所、電話番号、生年月日、性別と、ベネッセの利用者であるという情報しか漏れていないが、今後、成績や子どもの個性に関わる情報も漏えいし得ることを予感させるものであり、そここそに問題があるのだから、顔と氏名を出して苦言を述べることと、その心配は矛盾しない。
Hiromitsu Takagi @HiromitsuTakagi
二組目は、実家住所に届いたためベネッセが流出元と推定されるとする立場の出演だった。住所が漏れてダイレクトメールが来ることを被害と言えるのかという意見がある中、住所が漏れただけで困る人もいるところ、この母親は、他人に出ているであろう被害に同情する立場とすれば自己の出演と矛盾しない。
Hiromitsu Takagi @HiromitsuTakagi
また、二組目の母親は、「今回のようなことがあると、次からは控えようかなって思う」とも述べており、これは一組目について示した「今後、成績や子どもの個性に関わる情報も漏えいし得ることを予感させるもの」と同じであろう。
Hiromitsu Takagi @HiromitsuTakagi
「ダイレクトメールなんて捨てればいいじゃない。何が問題なの?」という声があるが、それに呼応する形で、「住所が漏れるだけでも困る人だっている」(それは事実であるが)という方向へ向かうのは筋が悪い。これは、個人情報保護法制が氏名連絡先情報保護法制であるとの勘違いと同期している。
Hiromitsu Takagi @HiromitsuTakagi
10年前、個人情報保護法が、政治的に住基ネットの稼働開始のために必要として成立を急がされたことにより、住所氏名の保護法だとの誤解が発生(住基ネットは住所・氏名・生年月日・性別の4情報しか持たない)し広がったが、起草者の逐条解説を見るにつけ、そうではないことがわかる。
Hiromitsu Takagi @HiromitsuTakagi
今回の事件でも、隠すから取引価値が生ずるのであり、隠さなければよいし、過去は隠していなかった。隠さないようにせよ、という声がチラホラ見られる。この理屈が、個人情報保護法そのものを不要だと否定するために言われることもある。これは、氏名連絡先情報保護法との勘違いによるものだろう。
Hiromitsu Takagi @HiromitsuTakagi
確かに、氏名連絡先情報は公開でもよいじゃないかという考え方も一理ある。固定電話と住所はNTT電話帳としてオプトアウト方式で公開情報となっているし、住宅地図も同様。本当に困る人はオプトアウトしているだろう。だが、問題となるのは、そこに様々な属性情報が付いた場合だ。
Hiromitsu Takagi @HiromitsuTakagi
名簿屋では、特定の商品の購入者リストを販売している。今日では流出モノとしか思えない代物である。その商品しだいでは、こういう名簿が販売されること自体がプライバシー侵害であることは明らかだが、本人が気付けないので訴訟も起きていない。
Hiromitsu Takagi @HiromitsuTakagi
今回の事件では、氏名・連絡先・生年月日情報が漏れたわけだが、加えて「ベネッセ利用者」という属性情報も漏れている。名簿屋がジャストシステムに販売する際、その属性も含まれていたかは定かでない。ダイレクトメール営業の世界でも、ターゲティング広告同様に、送付先を絞るために、…
Hiromitsu Takagi @HiromitsuTakagi
…送付先を絞るために、より細やかな個人の属性情報を求めるようになるだろう。既にある程度そうなっているだろうし、今後どんどん深化していく可能性がある。そここそが、個人情報保護法制で保護しなければならないところである。
Hiromitsu Takagi @HiromitsuTakagi
そこで私は、3月にパーソナルデータ検討会事務局からヒアリングを受けた際、23条2項のオプトアウトでの第三者提供について、氏名連絡先情報のみから構成されるデータに限定する改正を提案した。しかし、①既にビジネスになっているし、②そのようなデータの区分けを条文化するのは不可能とされた。
Hiromitsu Takagi @HiromitsuTakagi
この論点は検討会でも複数の委員から指摘があり、最後までもつれた。事務局からは名簿業者の届出制という解決策が出されたが、それで解決するのはダイレクトメール事案(届いたことで気付く)や詐欺幇助の事案(警察が動く)だけであり、商品購入者リスト販売によるプライバシー侵害の件は解決しない。
Hiromitsu Takagi @HiromitsuTakagi
最終的に大綱では、「個人データの第三者提供におけるオプトアウト規定については、運用上の問題が指摘されているところ、現行法の趣旨を踏まえた運用を図ることとする。」との文が付け加える形になった。これが何を意味するのかが重要である。
Hiromitsu Takagi @HiromitsuTakagi
この「現行法の趣旨」は逐条解説の以下のことと捉える。「取り扱われる個人情報の性質や利用目的等から、本人に重大な権利利益の侵害をもたらすおそれのある分野、業種等については、第三者提供に際して事前の本人同意を求める本条第1項に立ち戻るなどの特別の施策や運用が図られることが望ましい。」
Hiromitsu Takagi @HiromitsuTakagi
そもそも現行法は、第三者提供は本人同意が必要(23条1項)としておきながら、2項でオプトアウトで提供できると大穴を空けており、何のために1項を設けたんだ?という疑問が生ずる。その点、起草者らの逐条解説は、ちゃんと前記のように、場合によって「第1項に立ち戻れ」と書いているのである。
Hiromitsu Takagi @HiromitsuTakagi
私は名簿業者の全部を殺すのではなく、本人に重大な権利利益の侵害をもたらすおそれのある名簿について流通を禁止する(本人同意なしの)提案をしたが、区分け不可能との理由で通らなかった。そして今回の事件が明るみになった。このままいくと、名簿業者の全部が潰される方向へいくかもしれない。
残りを読む(13)

コメント

Ikunao Sugiyama @Dursan 2014年7月13日
多分続くよね。なんかすっきりしない終わり
A.Wada @senryoAIIT 2014年7月13日
まとめを更新しました。追加ツイートがあれば随時、更新します。
A.Wada @senryoAIIT 2014年7月14日
まとめを更新しました。最後のツイートまで入れました。
Tsuyoshi CHO @tsuyoshi_cho 2014年7月15日
基本ジャストシステムは善意の第三者な気がするのでタイトルに若干違和感がるが、中で言及されてるならそうなるか
A.Wada @senryoAIIT 2014年7月23日
まとめを更新しました。質疑応答を追加しました。
A.Wada @senryoAIIT 2014年7月23日
まとめを更新しました。ツイートを追加しました。
ログインして広告を非表示にする
ログインして広告を非表示にする