失ったもの

pmark-anchor 2014年11月29日 土曜日

11月26日付でベネッセコーポレーションは
プライバシーマーク制度発足以来、2社目の取消事業者となった。
予想された結果だが、同社のウェブサイトには
「よくいただくご相談とその回答」として同日にアップされている。

 Q.プライバシーマークの取り消し措置とはどのようなものですか。
  また、どのように捉えているのでしょうか。

 回答

  この度のお客様情報の漏えいを受けて、一般財団法人日本情報経済社会推進
  協会(JIPDEC)プライバシーマーク推進センターより、「プライバシーマーク
  付与の取り消し措置」を決定した旨、通知がありました。
  この措置は、事故発生時の当社の管理状況に関する報告に基づくものです。
  弊社としては、既に提出が完了しております経済産業省への改善報告書に記載した
  情報セキュリティ対策を引き続き鋭意進めていくとともに、全グループをあげて
  再発防止に徹底して取り組み、信頼回復に努めてまいります。

JIPDECの「プライバシーマーク付与に関する規約」では
(プライバシーマーク付与の取消し)
 第15条 付与機関は、次のいずれかに該当するときは、付与事業者に対する
     プライバシーマーク付与の取消しを行うことができる。
   七 第12条の規定による調査に基づき、付与事業者が個人情報の取扱いにおいて
     発生させた事故等が、「プライバシーマーク制度における欠格事項及び判断
     基準」により付与の取消し相当と判断されたとき。

ベネッセの場合は、欠格事項の判断基準として
事故の類型は「漏えい」、事故原因としては運用の不備、委託先の監督責任が考えられる。
また、事故の影響はすでに報道の通り社会的な大問題となっている。
筆者が危惧するのはこれだけ大量の個人情報(就学児童含む)が漏えいした場合
実質的な収束はないということである。
同社の失った社会的信頼性と経済的損失も計り知れないが
真の被害者は漏えい事故に巻き込まれた多くの利用者であり
無限連鎖的に拡散してしまったと思われる個人情報は
今後もカタチを変え、名簿として販売され、利用される可能性は否めない。

ジャストシステムの場合は、10月10日付で「勧告措置」となった。
欠格レベルは10段階あり、取消しの場合はレベル10。
勧告の場合はレベル6~7となるため、同社はこれに該当する。
DMリストを販売したのは株式会社文献社という会社で
昭和30年設立の老舗のようであるがウェブサイトの情報には疑義がある。
 
 (情報リストの入手先)
  当社のリストの元になっている非公開情報は「住民基本台帳」の記録です。
  2006年(平成18年)10月までは、一定の条件の元で閲覧ができました。
  名前、住所、生年月日、性別といった情報をリストアップしていました。
  しかし、その後、「住民基本台帳法」の一部改正によって住民基本台帳の
  閲覧は「公開原則」ではなくりました。
  当社のリストは、全国各地の市町村役場で閲覧可能な時期に入手しました。
  そのため、情報の入手ルートや時期が明確です。100%自社が開発した
  独自のリストとなります。

と、今も書かれているが事実と異なる。

ジャストシステムは今年2月に東証一部に上場。
小学生向け通信教育「スマイルゼミ」という専用のタブレットで
インターネット接続して学ぶオンライン通信教育講座を展開中。
文献社より購入した257万3,068件のデータは
このサービス利用者の新規獲得を狙ったものと思われる。

7月12日に同社から送信されたお詫びメールには

 データベースを購入してダイレクトメールを発送する場合には、
 その外部事業者との間で当該個人情報は、適法かつ公正に入手
 したものであることを条件とした契約を締結しております。
 
 今回の文献社からの購入において、データの入手経路を確認しながら、
 最終的にはデータの出所が明らかになっていない状況で契約に至り、
 購入していたことが判明いたしました。

 当社は、文献社から取得したデータが、株式会社ベネッセコーポレーシ
 ョンから流出した情報であるか否かを確認する手段を有していないため、
 現時点においても、そのような事実を確認できているわけではありません。

と書かれおり、いろいろと思惑のある内容となっている。
結果的にはJIPDECの判断通り、出所が明らかでないリストを購入して
ダイレクトメールを送付することは目的外利用の可能性が高く
当然ながらJISQ15001に対する違反でもある。

今回の裁定はこうした事態に対する今後への警鐘の意味を含め妥当なものと思われる。
プライバシーマークについてよく聞かれた質問に
「認証取得すればどんなメリットがあるのか」というものがある。
メリットは享受するものではなく
メリットが出るようにマネジメントしていくことが重要であると筆者は思う。
選択する消費者の目はいつも厳しい。
企業コンプライアンスも中身が伴わなければ絵に描いた餅である。
両者が納得できる接点を同マーク制度が担ってきたことは事実であり
企業間取引においても“信頼の証”となるよう期待するものである。

情報セキュリティコンサルタント 岸本

コメントは受け付けていません。