ベネッセコーポレーションから通信教育サービスの利用者の個人情報が大量に流出した事件が世の中を騒がせています。
パンワールドという名簿業者から文献社という名簿業者を経由して、ジャストシステムに売られたようです。
ジャストシステムは、この情報をもとにしてダイレクトメールを送ったため、事件が発覚しました。
一部の利用者が、マンション名などの表記を独特のものにして、データ流出に備えていたためにわかったようです。
個人情報については、個人情報保護法が2005年に施行され、取り扱いが厳しくなっています。それにもかかわらず、名簿業者が個人情報を含む名簿を販売することは許されるようです。
そこで、個人情報保護法の条文を調べてみました。そこには、次の条文があります。
第十五条 個人情報取扱事業者は、個人情報を取り扱うに当たっては、その利用の目的(以下「利用目的」という。)をできる限り特定しなければならない。
名簿業者の個人情報利用の目的は販売することでしょうか?
第十六条 個人情報取扱事業者は、あらかじめ本人の同意を得ないで、前条の規定により特定された利用目的の達成に必要な範囲を超えて、個人情報を取り扱ってはならない。
名簿業者は、はじめから個人情報利用の目的を販売においているため、本人の同意を得ないで個人情報を販売できるということでしょうか?
第十七条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
これについては、パンワールド、文献社、ジャストシステムともに、「ベネッセから流出した情報とは知らなかった」としています。
でも、次の条文はどうなのでしょう?
第十八条 個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
名簿業者は、あらかじめ個人情報の販売を利用目的としているため、個人情報を取得しても、本人に通知する必要はないということでしょうか?
または個人情報を販売すると公表しているから、本人に通知は不要ということでしょうか?
こうやってみると、個人情報を自分の手で集めた会社は、本人の同意なしで個人情報を売ることはできませんが、個人情報を買った名簿業者は個人情報を売れるように法律をつくったということがわかります。
個人情報を販売する名簿業者を生き残らせることを意図して、個人情報保護法はつくられたようです。
これはどう考えてもおかしいです。個人情報の扱いを厳しく制限しながら、個人情報の売買を野放しにしています。
今回の事件の責任は、このような法律をつくった官僚と国会にもあると言えます。
セキュリティは、かける費用と効果の見合いです。セキュリティを高めれば高めるほど運用は煩雑になります。
悪意のある者から、データの盗難を完全に防ぐことはできません。
データを盗んでも売り先がない状況を作り出すことは、セキュリティ向上に大きな効果があります。
個人情報を含む名簿の売買は禁止すべきです。
【2014年7月13日追記】
個人情報を含む名簿の売買が禁止されていない理由を次の記事に書きました。
