プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年07月

16
(画面は同社Webサイトより)

ベネッセ社からの大規模な情報流出に関して、その後のリリースや報道などで明らかになった経緯をまとめておきます。

(1)情報の持ち出しにはAndroidスマホが使用された

今回の事件では、情報の持ち出しにAndroidスマホが使用されたといいます。容疑者に貸与されていた業務用ノートパソコンは、USBメモリが使用できないようなロックがかかっていましたが、使用された最近のAndroidスマホは別の方式でPCにマウントできたために、このロックをすり抜けたようです。容疑者は、たまたま充電しようと接続した際にこの抜け道に気付き、情報の持ち出しを計画したといいます。

従来の方式>MSC(Mass Storage Class)※USBメモリで使用されている転送方式
新しい方式>MTP(Media Transfer Protocol)※新たにスマホ用に開発された方式

なお、今回の事件を受けて、多くの企業ではMTP方式での情報の持ち出しをロックするシステムの導入を急いでいるようですが、対応しているセキュリティ製品は少ないようです。

(2)流出件数は1億件超?

容疑者は昨年の7月に上記の抜け道に気付いた直後から、約1年間に渡り何度も個人情報を持ち出したとのことですが、その流出件数の総数はとても莫大な数字になっているようです。

ベネッセ社によると、名簿業者に販売された個人情報は当初発表時の760万件から620万件に減少したとのことです。ただし、逮捕された時点で容疑者のスマートフォンに残っていた個人情報は2260万件とのことですし、過去1年間の間に持ち出された個人情報の総件数は1億件を超えるという報道もあり、詳細はまだよく分かっていません。

(3)名簿業者の購入金額は1件あたり25銭

報道によると、容疑者が15回にわたって販売した個人情報は1019万件で、名簿業者が払った対価は約250万円とのことです。1件あたり25銭(0.25円)ということになります。

(4)5万件以上の苦情・問合せが殺到

ベネッセ社によると、今回の事件公表以来、同社には約5万件の苦情・問い合わせがあり、うち約3000件の退会申し出があったそうです。

(5)お詫び金として200億円を用意したと発表

「お詫び金は考えていない」とした当初の方針を見直し、ベネッセ社は200億円の補償用資金を用意したそうです。2000万人に500円の金券を配ると100億円が見込まれるので、その倍の金額を用意したといいます。確かに金券を送る費用その他を考えるとこのくらいは必要になると思われます。

(6)ジャストシステムとECCにも経産省が事情聴取を実施

ジャストシステムに加えて、株式会社ECC(大阪市北区)も今回流出した個人情報を購入して販促活動に使用したと報道されていますが、この両者に対して、経済産業省は任意で事情を聴取したとのことです。ベネッセ社に対しては個人情報保護法第32条に基づく報告の徴収となっていますが、これらの2社に対しては任意での事情聴取のようです。

(私のコメント)
今回の事件をきっかけとして、「名簿屋」ビジネスに対して、一定の規制がかけられることを希望します。従来の個人情報保護法ではグレーゾーンとして存続してきた訳ですが、もうこんな事件が繰り返されるべきではありません。ちょうど個人情報保護法の見直し作業が行われているところでもあり、何とか取り込んでいただきたいと思います。

17
(画像はプライバシーマーク制度公式Webサイトより)

ベネッセからの大規模な個人情報流出事件に関して、
プライバシーマーク制度を管理運営している
一般財団法人日本情報経済社会推進協会(JIPDEC)は、
今回の事件に関係している
・株式会社ベネッセコーポレーション
・株式会社ジャストシステム
の2社に対する対応を開始したと発表しました。

これは上記2社がプライバシーマークの認定事業者であることに
よるものです。

http://privacymark.jp/news/2014/0710/index.html
http://privacymark.jp/news/2014/0717/index.html

(私のコメント)
また、NHKの報道によると、JIPDECは今回の事件を受けて、
プライバシーマークにおける審査の体制や指針を見直すと
のことです。こちらについては詳細は不明ですが、今後の
動きに注目したいと思います。


20140716
(画面は同社Webサイトより)

ベネッセ事件がこれほど大きな話題になっているのは、流出した情報を使用してDMが送られた、しかもそれがジャストシステムという著名な企業だったことが理由の一つと思われます。

報道などからまとめると、今回ベネッセから流出した個人情報は下記のように流れていったようです。

A)ベネッセ

B)ベネッセのデータセンターで勤務していた派遣社員

C)名簿屋(詳細不明。複数の名簿屋を経た可能性もある)

D)株式会社パン・ワールド(名簿屋)

E)株式会社文献社(名簿屋)

F)ジャストシステム

D)のパンワールド社も、E)の文献社も、
「不正に取得された個人情報とは知らずに購入、販売した」
と言っているそうです。

当然ながら、F)のジャストシステムも同様の対応であり、
「不正に取得された個人情報とは知らなかった」とのスタンスです。

個人情報保護法17条では、「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」としており、不正な手段で個人情報を取得することは禁止されています。

では、不正な手段で個人情報を取得するとはどういうケースがあるのでしょうか?経済参照ガイドラインでは、下記のようにしています。

【個人情報取扱事業者が不正の手段により個人情報を取得している事例】
事例1)親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合
事例2)法第23条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合
事例3)他の事業者に指示して上記事例1)又は事例2)などの不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合
事例4)法第23条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
事例5)上記事例1)又は上記事例2)などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合

不正な取得とみなされるかどうかは、「不正取得された個人情報であることを知っていたか、または容易に知ることができたか」がポイントになります。

C)については、明らかに怪しい個人から情報を買い取り、数百万円単位の金額を支払っているようですので、不正取得された個人情報であることを知っていたとみなされる可能性は高いと思いますが、それでも法律的に立証するのは難しいかもしれません。

そしてD)E)と情報が転売されるにつれて、不正取得された個人情報であることを知っていたか、容易に知ることができたかと言われると、しらを切れる可能性が高くなりそうです。

E)の文献社のWebサイトにはこのような記載があります。
当社のリストの元になっている非公開情報は「住民基本台帳」の記録です。2006年(平成18年)10月までは、一定の条件の元で閲覧ができました。名前、住所、生年月日、性別といった情報をリストアップしていました。しかし、その後、「住民基本台帳法」の一部改正によって住民基本台帳の閲覧は「公開原則」ではなくりました。(中略)当社のリストは、全国各地の市町村役場で閲覧可能な時期に入手しました。そのため、情報の入手ルートや時期が明確です。100%自社が開発した独自のリストとなります。

ここまで書かれると、F)のジャストシステムがベネッセから流出した個人情報とはつゆ知らず名簿を購入したという説明もある程度通用するようにも思えます。

株式会社文献社
http://www.bunken-sha.com/service/index.html

ジャストシステム社のプレスリリース
http://www.justsystems.com/jp/news/2014l/news/j07111.html?w=home

(私のコメント)
「そんなフレッシュな名簿が通常の方法で入手できるはずがないことは常識的に考えて分かるだろう」というようなツッコミは分かりますし、私も最初そう思いました。しかし、現在の法制度下で、法的責任を問えるのかというと実際には難しいのではないかと考え直しました。

今回の情報の流れを追ってみて、今さらながら名簿屋というビジネスそのものに一定の規制をかける必要があると痛感しました。最低でも盗品の流通を防ぐために古物商に取られているのと同じくらいの規制はかけるべきではないかと思います。


16
(画面は同社Webサイトより)

マスコミでも大きな話題となっているベネッセからの個人情報流出事件について、まとめておきます。

今回流出した情報は、同社の通信教育サービス等の利用者の情報約760万件であり、項目としては「郵便番号」「住所」「電話番号(自宅または携帯)」「保護者の名前(漢字・カタカナ)」「子供の名前(漢字・カタカナ)」「子供の生年月日」「子供の性別」だそうです。流出したのは実際の利用者の情報であり、イベントなどで集めた見込み客情報は流出していないとのことです。

原因としては社外からの不正アクセスではなく、データベースへのアクセス権を持つ内部の関係者が持ちだした可能性が高いものの、警察の捜査も始まっていることから同社としては詳細な情報は開示しないとしています。

同社では、6月26日以降、ベネッセに登録した情報に対して他社(ジャストシステムのことと思われる)からダイレクトメールが届いたとの問い合わせが相次ぎ、調査会社を使って調べたところ、同社の顧客データベースと同じ内容が名簿屋で販売されていることが分かったといいます。事態の重大さに気づいた同社は7月9日に原田社長による記者会見を開いた次第です。

http://www.benesse-hd.co.jp/ja/about/release_20140709.pdf
http://www.benesse.co.jp/bcinfo/
http://www.benesse.co.jp/bcinfo/faq.html

なお、経済産業省は、同社に対して個人情報保護法に基づく報告の徴収を行ったそうです。
http://www.meti.go.jp/press/2014/07/20140710003/20140710003.html

(私のコメント)
久しぶりの大型流出事件です。しかも名簿屋に販売されて、著名な会社が実際にその情報を使ってダイレクトメールを送ったために大きな騒ぎになっています(これに関しては別の記事にまとめます)。
ベネッセとしては、個人情報保護法の安全管理義務違反、または委託先の監督義務違反などで責任を問われる事態になるとは思います。プライバシーマークの方でも何らかの処分が下ることでしょう。それでも、お詫びして事態の収集を図り、二度とこのようなことを起こさないよう再発防止に努めるしかないと思います。



03

本Blogにおいても何回か記事にしていますが、昨年より、政府において「パーソナルデータ利活用に関する制度見直し」の検討が続いています。とても分かりにくいと思うのですが、これこそが個人情報保護法の改正作業です。

そして今回の改正作業の一つの区切りとなる「パーソナルデータの利活用に関する制度改正大綱」という文書が6月24日に出ていますので、遅ればせながら取り上げたいと思います。

なお、この文書については、「事務局案」が出た際に本Blogで記事として取り上げましたので、その時からの変化点を見てみたいと思います(赤い部分が変化点です)。なお、以下の内容は全て私による要約です。正確さは保証しませんので、興味をもった方は原文を読んでください。

●今回の改正の趣旨
(1)情報通信技術の飛躍的発展により、ビッグデータの分析による新ビジネスの興隆が期待されるが、特にパーソナルデータの取扱に関して、個人情報保護法が対応しきれていないために混乱が生じている。
(2)一方で、個人情報やプライバシーに関する消費者の意識も拡大しており、より一層の安心感をうむ制度が求められている。
(3)また、OECDガイドラインの改正、米国のプライバシー権利章典の公表、EUの個人データ保護規則など、海外での個人情報保護、プライバシーに関する動きを踏まえて、日本も制度を調和させる必要がある。

●今回具体的に検討されている内容
1.個人データを、本人識別性が低減するように加工し、個人の権利利益が侵害されるおそれに留意した取り扱いをする場合には、本人の同意がなくても第三者提供や目的外利用を認める。
2.社会的差別の原因となるおそれがある人種、信条、社会的身分、前科、前歴などの情報を機微情報として定め、原則として取り扱いを禁止するなどについて検討する(本人同意がある場合は例外とする)。
3.データの突合や分析により本人が認知しないところで個人情報が生成されるケースに対して、事業者として必要な措置を定める。
4.利用目的の変更の際には、全員の同意が必要となっている現状を見直し、オプトアウト型の手続きを認めるなど検討する。
5.「第三者提供に関するオプトアウト規定」を使って第三者提供を行う場合には、第三者機関に必要事項を届け出て、第三者機関が公表する仕組みを導入する。
6.個人情報の保存期間の公表を義務付けるのあり方について検討する
7.パーソナルデータの利活用と、個人情報・プライバシー保護の両立のために、民間主導で自主規制団体を作って、ルールを定めるなどの取り組みを行わせる。自主規制団体は、第三者機関が認定する。
8.国境を超えた情報流通を行う事業者に対して、専門の民間団体が相手国のプライバシー保護水準との適合性を審査して認証する仕組みを創設する。民間団体は第三者機関が認定する。
9.パーソナルデータの保護と利活用をバランスよく推進するための独立した第三者機関を設置する。具体的には番号法で創設された特定個人情報保護委員会を組み替えることで、この第三者機関とする。
10.第三者機関の創設にあたり、従来から主務大臣が果たしてきた役割や権限を移譲していくこととなるが、役割分担を明確にして効率的に運用する(この部分は大変曖昧な記述になっています)。
11.現行法では認められていなかった個人情報の開示等の「請求権」を明確に定める。
12.外国の事業者についても、個人情報保護法の適用対象に入れる。
13.外国の事業者に個人データを提供する際には安全管理のための契約締結を義務付ける。
14.外国の事業者から提供を受けた個人データを外国の第三者に提供することを禁止する(詳細不明です)。
15.取り扱う個人情報の人数が5000人未満の小規模事業者について、個人情報取扱事業者の例外としてきた規定を廃止する。
16.いわゆる名簿屋に対する措置を継続検討課題とする。

ということで、かなりいろいろな部分について見直しが入ることになりそうです。

パーソナルデータの利活用に関する制度改正大綱
http://www.kantei.go.jp/jp/singi/it2/info/h260625_siryou2.pdf

なお、すでにパブリックコメントも始まっていますので、ご意見のある方はコメントされることをおススメします。7月24日締め切りです。

「パーソナルデータの利活用に関する制度改正大綱」に対する意見募集について
http://www.kantei.go.jp/jp/singi/it2/info/h260625.html

(私のコメント)
展開が早くて少し追いつけていなかったのですが、ようやく大綱の最終文書をチェックできました。事務局案から大きな変化はなかったようですが、名簿屋に関する項目が追加されていたのは本当にタイムリーなことだなと思いました。

(以前の記事)
個人情報保護法2015年改正>パーソナルデータの利活用に関する制度改正大綱(事務局案)を読み解く
http://www.pmarknews.info/archives/51944598.html

↑このページのトップヘ