事業者ローンのことなら事業者ローンnabi

＜ポイント＞
◆個人データの再委託先への監督は難しい
◆流通過程で「不正な取得」はなかったか
◆パーソナルデータ活用への懸念


ベネッセホールディングスは７月９日、「こどもちゃれんじ」、「進研ゼミ」
などを運営するベネッセコーポレーションの顧客情報７６０万件が外部に漏
えいしたことが確認されたと発表しました。
ベネッセの発表では、通信教育事業を営むＩＴ事業者からのダイレクトメー
ルがベネッセの顧客に届き始め、顧客からの問い合わせが急増したのが、発
覚の経緯だったとのことです。
その事業者、ジャストシステムは自らの発表で、名簿業者から約２５７万件
のデータを購入したものの、顧客情報がベネッセから漏えいした情報である
と認識して使った事実はなく、ベネッセからの漏えい情報か否か確認する手
段もないが、そのデータの使用を中止するとしています。
報道によれば、情報の流出経路には、複数の名簿業者が介在しているとのこ
とですが、各名簿業者も「ベネッセから流出した名簿とは知らなかった。」
と警察庁に説明している模様です。
そして、１５日現在の報道では、ベネッセのデータベースの保守管理を受託
していたグループ企業からの再委託先のうち１社の派遣社員（システムエン
ジニア）が、情報の持ち出しを認め、自ら名簿業者に売り込んだと話してい
るとのことです。

個人情報保護法は、個人情報をコンピュータで検索可能に体系的に構成した
もの等を「個人情報データベース等」、これを構成する各個人情報を「個人
データ」と定義し、本人の同意なく個人データを第三者に提供することを原
則禁止しています。「等」というのは、コンピュータによらずとも、紙媒体
での名簿なども含む趣旨です。
この定義が少し複雑ですが、個人情報保護法が流出など第三者提供を禁止し
ているのは、ばらばらの個人情報ではなく、「個人情報データベース等」を
取り扱っている（５０００件以上）事業者に対し、そのデータベース等の第
三者提供を禁止する、ということを意味します。ただ、データベース等まる
ごとの流出でなく、一部（たとえ１個の個人情報でも）の流出であっても禁
止されるべきですから、条文上は、データベースの構成要素としての「個人
データ」の第三者提供を禁止しています。
ベネッセから流出した７６０万件もの顧客情報は、「個人情報データベース
等」の最たる例です。個人情報保護法は、プライバシーを中核とする個人情
報の保護を目的とはしていますが、かつてはそれほどまで保護を必要として
いませんでした。権利意識の高まりという事情もありますが、むしろ、大量
のデータを瞬時に取得、コピーすることができ、かつ、インターネットを通
じるなどして、いくらでも流通してしまうという「高度情報通信社会の進展」
が背景です。技術革新により、個人情報が危険にさらされる度合いが大きく
なったということです。
そのような危険を除去しつつ、個人情報の適正な活用を目指すのが、個人情
報保護法です。つまり、今回のベネッセの件のように、事業者に顧客情報（
データベース）を活かさせつつ、その流出を起こさせないように作られたの
が個人情報保護法ということになります。

しかし、個人情報保護法は、個人データの取り扱いを第三者に委託するとい
うことなら、本人の同意は不要としています。
本人サイドから見て、自分の個人情報を渡した事業者が責任を持つ以上は、
その扱いが委託先に任されることも想定しうるということでしょう。
したがって、事業者には委託先に対する監督責任が課されています。委託先
との間で個人情報の取り扱いに関する契約書を結んだり、誓約書を徴求した
りします。
しかし、文書を作っておけば、丸投げすればよい、というわけではありませ
ん。委託先における実際の個人情報の取り扱い状況を「監督」しなければな
りません。
とはいっても、現実問題、どのように監督するのか具体的には難しいケース
が多いでしょう。
まして、本件のように、再委託がなされた場合、その再委託先までどのよう
な監督を及ぼすか、特にＩＤを与えていたＳＥが悪意で流出したとなれば、
委託元からすれば、どこまでのことをすればいいか、非常に難しいといえま
す。単に「アクセスの記録が残るから、ペナルティを恐れて漏えいはしない
だろう」というだけでは足りない、悪意での漏えいを防ぐシステムが必要に
なってきます。監視を強めるということなのか、技術的なシステム上の解決
策を講じるべきか。
本件に関する調査のため、弁護士を委員長とする第三者委員会が設置された
とのことで、原因究明と併せ再発防止策について、どのようなレポートとな
るか関心が集まります。

また、本件では、流通経路も問題です。
複数の名簿業者が介在していたとされています。個人情報の取得に関して個
人情報保護法は、事業者は「偽りその他不正の手段により取得してはならな
い」（１７条）と定めるのみです。
どの名簿事業者も、ベネッセの顧客情報だったとは知らなかったといってい
るようです。
１７条の解釈として、名簿業者などが典型例ですが、個人情報の本人から直
接でなく、既にある名簿等のデータベース等を取得するとき、それまでの段
階で特に不正取得が疑われることがなければ、取得源や取得経路を調査する
義務まではないとされているようです。
しかし、ベネッセからの持ち出し者から最初に受け取った（多額のお金を払
ったでしょうが）名簿業者は、データの数・価値からいって、その出所がど
こなのか考え及びもしなかったのか、私は疑問に思います。
そのことは転々取得した名簿業者も同様ですし、さらには最終のエンドユー
ザーであった会社も、「適法かつ適正に取得」された情報であることを条件
に名簿業者から入手した、というだけでよいのか、という疑問を持ちます。
例えば、名簿業者が大学ＯＢあるいは団体の会員などから、名簿を譲り受け
るといっても、その大学や団体から、第三者提供が禁止されているのは容易
にわかります。その名簿の保有者が事業者ではなく、個人だから、個人情報
保護法の適用はない、というのも形式論にすぎるように思います。
営業秘密の取得や使用を禁じている不正競争防止法は、不正に取得された営
業秘密であることを知って取得や使用をしてはならないと規定すると同時に、
「重大な過失により知らないで」取得や使用をしてはならないとも定めてい
ます。
ベネッセの顧客情報を真実取得していた事業者らは「重過失」がなかったの
かと疑問に思います。「重過失」のハードルが高いのかもしれませんが。

本件の問題が発覚する前、「パーソナルデータの利活用に関する制度改正大
綱」が６月９日政府によって発表されています。
いわゆるビッグデータ、なかでもパーソナルデータの活用の促進のため、「
個人が特定される可能性を低減した」データであれば、本人の同意がなくて
も、第三者提供を可能とする措置を講じるとしています。
これまでも個人の特定ができないように加工したものは、個人情報ではない、
とされてきました。
「特定される可能性を低減する」というのは、可能性がゼロではないという
意味でしょうが、これまでの扱いを緩めるもののようです。
事例は違いますが、本件のような悪意が介在する場合、果たして、個人情報
やプライバシーが守られるのか。かなりの難問のように思われます。