進研ゼミで成長した元福武書店、現在のベネッセコーポレーションから、会員である子供の名簿や、お母さん、妊婦さんらの名簿が盗まれ、売却されるという事件が起こりました。
犯人はベネッセのデータベースの運用や管理を請け負う企業で働いていた男性。生活に困っていたため、お金目当てで顧客情報を名簿屋に売ったとのこと。
この件に関して、ちきりんが感じた点をまとめておきます。
1.名簿を買った企業名が報道されると抑止力があるよね
今回、名簿を買った企業として最初にジャストシステム、その後、英会話大手の ECC の名前が報道されました。いずれも「ベネッセから不正に持ち出された個人情報だとは知らなかった」とのこと。
これ、罪にはならなくとも、「名簿屋から個人情報を買って DM を送ってる会社」として報道されるわけで、企業イメージへのダメージは小さくありません。
データが不正なモノだと知らなかったのは事実だろうし、必ずしも彼らが自分から「子供の情報を買いたい」と、名簿屋を訪れたわけじゃないかもしれない。
世の中には、「ダイレクトメールの制作から発送まで一括して請け負います! 一件○○円」みたいな会社がたくさんあります。そういう会社が、子供向けの事業をやっている企業に対して
「関東地方の小学生 1万人に DM を送りませんか? チラシのデザインご提案と見積もりは一切無料です!」みたいな感じで、営業をかけてくるんです。
新規顧客を増やしたい企業はそういう提案を受け、「ちょっとやってみるか」ってな感じで DM を発注する。「名簿を買う・個人情報を買う」という感覚ではなく、あくまで「プロモーションの一環として DM を発注する」だけです。
ですが今回のように、「その業者が持っていた名簿が、どこからか不正に流出したものだと発覚した場合、自社名がテレビで報道される!」
となれば、どの企業も(少なくとも名前の通った大企業は)相当、慎重になるでしょう。
業者から DM 発送の売り込みがあっても、「 DM はどんな名簿にもとづいて発送するつもりか? その名簿の出所はどこか?」と、確認する企業も増えるはず。結果として名簿屋や DM 屋も、怪しげなデータの買取りに慎重になる。
今回も、(犯人からデータ購入を持ちかけられた際、)出所の明らかでないデータは購入できないと断った名簿屋もあると報道されていましたが、
「最終的な情報の使用会社名が公表される」となれば、データを買う側の顧客企業がより厳密に出所確認をするようになり、ひいては名簿屋も、出所の不確かなデータを購入しにくくなるでしょう。
不正流出名簿の抑止策に関しては、データ取り扱い管理の強化(いわゆるセキュリティの強化)がよく叫ばれるわけですが、あたしとしては、換金市場側からプレッシャーを掛けるのも、ひとつの効果的な抑止方法なのかなと思った次第です。
2.情報流出の補償額 ひとり500円ってのは思考停止にも見える
大規模な個人情報の流出事件は、これまでにもたくさん起こっています。そして情報を流出させてしまった企業は、情報が漏れた個人にたいして、
・お詫びのメールや手紙を送る
・ひとり数百円の金券や割引券を送る
といった補償を行ってきました。
今回のベネッセも、同様の補償を行うと言ってます。
でも・・・皆さん、コレ、どー思います?
ちきりんとしては、自分の情報が流出した時にたかだか 500円の金券を貰っても一体どーなの??って気もするんですよね。とはいえ、全員に数万円の補償をしろといったら、企業は成り立ちません。私としても、そこまでを求めたいわけじゃない。
じゃー、どーするか?
もうちょっと別の補償方法を考えたらどうでしょう?
たとえば今回ベネッセは「全体で 200億円を原資として補償資金にする」と発表しました。この 200億円を全員に均等に配るのではなく、総額としてプールしておいて、
・今後、個人情報の流出を原因として現実的な被害を被った人への補償金原資にするとか、
・個人情報を売買する名簿屋業界に適正化ルールを導入するための団体を設立して運営資金にするとか
情報を漏洩させた企業が拠出したお金をまとめて、なんらかもうちょっと意義あることに使うっていう方法もあるんじゃないの?って気がします。
何百万、何千万人もの人に 500円の金券を配るなんて、事務費や郵送費ばっかりかかって一体、誰がトクするのか全然わかりません。
こんな方法がホントに「一番良い補償方法である」と、どの企業も(自分のアタマで考えて)そーゆー結論に達してるんですかね?
「とりあえず過去の事例と同じ補償をしておくか」的な思考停止を感じてしまうのは、私だけではないでしょう。
ちなみに、今はこんな保険もあるんですけど→ 「個人情報漏洩保険」 補償額が 数億円から10億円と小さい。大企業の場合は、自前で備えてくださいってことなのかもしれません。
3.究極の防衛策は数年ごとの引っ越し??
個人情報を大量に集めているのは、企業と行政とその他の団体です。
これらの出所から個人情報のデータが出てくるパターンは、
1)不正に持ち出されたり、ハッキングで流出する
2)個々人の許可を得て、合法的に使える名簿が作られる
3)個人情報保護法が無かった時代や、セキュリティが甘かった時代に(当時としては合法的に)集められた情報が、その後も売買される
の 3種類があります。
1)は、法律やセキュリティを強化して防止するしかありませんが、今後とも無くならないでしょう。
2)もどんどん増えるでしょう。ネット上のアンケート、スマホ上で求められる会員登録、様々な媒体に載っている懸賞応募から、コンビニやショッピングモールでもらうアンケート葉書への回答まで、自分の情報を(任意で、自分の意志で、進んで)提供している個人はたくさんいます。
こういった人たちの多くが、規約の中に細かく(わかりにくく)書いてある個人情報の使用に関する条項をちゃんと読んでいません。
自分のデータが「当社および当社が委託した企業による新商品やサービスのご案内に使われる」ことに「同意する」のボタンを押し、「会員登録を以て( or アンケートへの回答を以て)規約に同意したこととみなします」という一文を気にもしない。
「合計 10万名様に総額○○万円が当たります!」とか、「今、アンケートに答えてくださった方には、もれなく○○が!」という懸賞に応募する人の氏名は、「ちょっとしたオマケに飛びつく人の名簿」として、簡単に、合法的に作ることができるのです。
3)今後は減っていくとは思いますが、過去に大規模に流出した名簿は、これからも当面、有効です。特に住所が固定している人(あまり引っ越しをしない人)に関しては、何年前のモノでも使えます。
30年前にはどの学校も、住所や電話番号、親と子の名前が記載されたクラス名簿を作っていました。各クラスにひとりくらいは、ごく僅かな対価と引き替えにその名簿を、名簿屋に売る親が存在しています。
地域の名簿屋さんというのは、こういう名簿を毎年、全クラス分、集めており、それによって「この地域の、今年○歳になる子供の情報」を完全に把握しているんです。
そしてそのデータに基づき、16歳の時には夏期講習の DM が、19歳になれば成人式の着物の DM 、そして29歳になれば、結婚相談所の案内が送られます。
つまり名簿って、5年後でも 10年後でも、けっこう使えるものなんです。10歳の子供なら、親の家を出る19歳までの10年間は(親が持ち家を買っていれば)同じ住所に住んでるわけですしね。
名簿なんてダダ漏れだった 30年前に 18歳だったという高校の名簿が流通している(現在 48歳の)人の場合、20年後には 68歳になってることは自明ですから、今から 20年後にその名簿を見た(買った)「高齢者向け施設の営業マン」が、家にやってくる、みたいなことだって起こりえます。
名簿の有効期限は私たちが想像するより長く、特に住所が変わってないと、ダイレクトメールどころか訪問販売にも使えます。
こう考えていると、正直言ってこのご時世、情報を漏れないように管理するなんて不可能で、一番いい方法は、「数年ごとに引っ越す」ことなんじゃないかとさえ思えてきます。
そんじゃーね