20140716
(画面は同社Webサイトより)

ベネッセ事件がこれほど大きな話題になっているのは、流出した情報を使用してDMが送られた、しかもそれがジャストシステムという著名な企業だったことが理由の一つと思われます。

報道などからまとめると、今回ベネッセから流出した個人情報は下記のように流れていったようです。

A)ベネッセ

B)ベネッセのデータセンターで勤務していた派遣社員

C)名簿屋(詳細不明。複数の名簿屋を経た可能性もある)

D)株式会社パン・ワールド(名簿屋)

E)株式会社文献社(名簿屋)

F)ジャストシステム

D)のパンワールド社も、E)の文献社も、
「不正に取得された個人情報とは知らずに購入、販売した」
と言っているそうです。

当然ながら、F)のジャストシステムも同様の対応であり、
「不正に取得された個人情報とは知らなかった」とのスタンスです。

個人情報保護法17条では、「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」としており、不正な手段で個人情報を取得することは禁止されています。

では、不正な手段で個人情報を取得するとはどういうケースがあるのでしょうか?経済参照ガイドラインでは、下記のようにしています。

【個人情報取扱事業者が不正の手段により個人情報を取得している事例】
事例1)親の同意がなく、十分な判断能力を有していない子どもから、取得状況から考えて関係のない親の収入事情などの家族の個人情報を取得する場合
事例2)法第23条に規定する第三者提供制限違反をするよう強要して個人情報を取得した場合
事例3)他の事業者に指示して上記事例1)又は事例2)などの不正の手段で個人情報を取得させ、その事業者から個人情報を取得する場合
事例4)法第23条に規定する第三者提供制限違反がされようとしていることを知り、又は容易に知ることができるにもかかわらず、個人情報を取得する場合
事例5)上記事例1)又は上記事例2)などの不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合

不正な取得とみなされるかどうかは、「不正取得された個人情報であることを知っていたか、または容易に知ることができたか」がポイントになります。

C)については、明らかに怪しい個人から情報を買い取り、数百万円単位の金額を支払っているようですので、不正取得された個人情報であることを知っていたとみなされる可能性は高いと思いますが、それでも法律的に立証するのは難しいかもしれません。

そしてD)E)と情報が転売されるにつれて、不正取得された個人情報であることを知っていたか、容易に知ることができたかと言われると、しらを切れる可能性が高くなりそうです。

E)の文献社のWebサイトにはこのような記載があります。
当社のリストの元になっている非公開情報は「住民基本台帳」の記録です。2006年(平成18年)10月までは、一定の条件の元で閲覧ができました。名前、住所、生年月日、性別といった情報をリストアップしていました。しかし、その後、「住民基本台帳法」の一部改正によって住民基本台帳の閲覧は「公開原則」ではなくりました。(中略)当社のリストは、全国各地の市町村役場で閲覧可能な時期に入手しました。そのため、情報の入手ルートや時期が明確です。100%自社が開発した独自のリストとなります。

ここまで書かれると、F)のジャストシステムがベネッセから流出した個人情報とはつゆ知らず名簿を購入したという説明もある程度通用するようにも思えます。

株式会社文献社
http://www.bunken-sha.com/service/index.html

ジャストシステム社のプレスリリース
http://www.justsystems.com/jp/news/2014l/news/j07111.html?w=home

(私のコメント)
「そんなフレッシュな名簿が通常の方法で入手できるはずがないことは常識的に考えて分かるだろう」というようなツッコミは分かりますし、私も最初そう思いました。しかし、現在の法制度下で、法的責任を問えるのかというと実際には難しいのではないかと考え直しました。

今回の情報の流れを追ってみて、今さらながら名簿屋というビジネスそのものに一定の規制をかける必要があると痛感しました。最低でも盗品の流通を防ぐために古物商に取られているのと同じくらいの規制はかけるべきではないかと思います。





●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)