HOMEディーシーエヌ コラム



2014/08/20 問題の本質

内部不正による情報漏えいリスクについて
程度の差はあるが、事業者にとっては避けては通れない問題である。
ベネッセに限らず、これまでも多くの漏えい事件が発生したが
結果的には“他人事”として忘れ去られていった経緯がある。
法令改正による違法行為の明確化や罰則強化など
不正行為抑止に向けた取り組みは進められてきたが
残念ながら、この潜在的リスクがゼロになることはない。

とりわけ個人情報には換金性があること。
言い換えれば、不正行為の動機に直結していることが
こうした事件が後を絶たない大きな理由でもある。
すでに1億件近い個人情報データベースを保有する事業者も存在する。
名簿販売が目的ではないとしても
新たに取得した個人情報との突合・名寄せ、クレンジング等により
氏名、住所といった基本情報に紐付けられ
新たな価値を持ち得ることも事実である。

今回の事件でも数多くの名簿会社に転売されたことが確認されている。
情報の出所がどこかということよりも
名簿として仕入れるだけの価値があるかどうかが購入基準であり
就学児童を含む子供や親の情報には継続的な需要が見込まれたことは想像に難くない。
また名簿利用者にとってはターゲットを効率的に絞り込み
DM投下による費用対効果を考えれば名簿ビジネスの存在は好都合な一面もあるだろう。
個人情報保護法においては名簿販売というビジネスモデルの是非について
賛否両論さまざまな意見があったが、結果的にグレーゾーンを残しての施行となった。
9年経過した現在もその状況は変わっていない。

次に問題となっているのがUSBポートの利用制限である。
すでに多くの事業者においてUSBメモリの利用については
内部規程により制限、若しくは禁止されていると思われるが
USB接続デバイス(MTP接続等)については制限できていない状況もあるようだ。
導入実績の多い監視アプリでも、現時点で未対応のものもある。
今後、速やかに改修されると予想されるが
それまでの期間についてはリスクが残存することとなるため
早急に検討が必要と思われる。

また経済産業省は「経済産業省分野における個人情報保護法ガイドライン」について
9月中に改訂する旨を公表した。
主に委託先の監督や個人情報の適切な取得等について見直しがされるようだが
顧客情報の取扱いに関する再委託については制限される可能性もある。
今回の事件の影響もありパーソナルデータに関する報道が少なくなったが
CCCは2014年11月1日からの改訂内容を公表している。
従来の個人情報の利用形態について「共同利用」から「第三者提供」に変更すること。
個人情報の提供停止(オプトアウト)をTサイトで受け付ける予定とのことである。
いずれも保護法改正を見据えての取り組みだが
パーソナルデータの利活用について着々と準備が進められている。


このページのトップに戻る