MENU
BIZLAW BIZLAW
Powerd by LexisNexis®
BIZLAW
BIZLAW Powerd by LexisNexis®

RSS
Google+
Twitter
Facebook
HOME

個人情報が
売買され続ける理由

筑波大学図書館情報メディア系・准教授 石井 夏生利

写真

「個人」をめぐる法と日本 第3回

2014年7月に通信教育最大手のベネッセホールディングスの顧客情報が流出し、企業における個人情報管理の問題が再びクローズアップされている中、個人情報保護を取り巻く日本の現状と課題について、この分野の第一人者的存在の筑波大学図書館情報メディア系・准教授の石井夏生利先生に話を聞きました。(取材日2014年8月6日)



関連記事
 「個人」をめぐる法と日本 第1回 個人情報を削除できるのは誰か?
 「個人」をめぐる法と日本 第2回 法改正で情報は漏れやすくなる?



お金になるのは属性と量を備えた個人情報
今も名簿屋がはびこる実態

――ベネッセで通信講座「進研ゼミ」を利用した子供や保護者の情報が約2,300万件流出した事件(2014年8月現在)がありましたが、どうしてこのようなことが起きてしまうのでしょうか?

石井 個人情報というのは1件だけならそれほど価値があるわけではありません。1件漏れてしまったとしても、その人が「気持ち悪い」という程度で終わることもあります。しかしある属性の個人情報がまとまった量存在するとなると、お金になる情報に変わります。法務部門としては情報流出によるレピュテーション(評判)リスクを考え、厳重に取り扱うよう指導しているものの、営業部門やマーケティング部門はこうした情報をできるだけ活用したいと思う場合もあるのではないでしょうか。まとまった情報は常に狙われる対象となるので、この件をきっかけに、今一度、企業法務の方は、個人情報の管理を見直してみてください。

――2003年に個人情報保護法が成立して以来、10年以上が過ぎましたが、個人情報の売買が未だに横行しているのはなぜでしょうか?

石井 日本の個人情報保護法は、取得規制が緩やかで、第三者提供にも多くの例外規定を設けていますので、個人情報を売買するデータブローカーは制約を受けずに活動することができるといえます。個人情報保護法を改正する動きがようやく日本国内でも本格化していますが、ベネッセの個人情報流出問題が起きるまでは、こうした名簿業者への取り締まりについては先送りしていました。

 日本の個人情報保護の法整備を取り巻く環境を見ていると、IT環境が進んでいるわりに、明確な理念や方向性が打ち出せていないため、他国からは理解されにくい面があると思います。ただ、法制度自体は、その性格上、問題が起きてからの後追い対応とならざるを得ないのはやむをえないところです。

識別性の高い情報でも
依然として販売し続けられている日本

――法律上、厳しい罰則を受けなくても、企業が個人情報を流出してしまうと、どんな影響があるのでしょうか。

石井 以前から言われてきたことではありますが、情報流出したことにより1件いくら支払うといった経済的な損失より、何よりダメージとなるのが企業のレピュテーションリスクです。一度、個人情報を流出した企業の評判はガタ落ちしてしまうことが多く、深刻な顧客離れを引き起こすこともあります。

 特に今回のベネッセのような、個人情報を必須とする業種や企業にとっては、新規の顧客獲得が困難になったり、既存の顧客離れを誘発しかねません。日本の法制度に厳しい罰則がないからといって、個人情報の管理を甘く見ると、企業にとって大きな死活問題に発展しかねないので注意が必要です。

2014年7月31日、ベネッセホールディングスは「業績と見通し」内で新規営業活動の停止、当期の業績予想が未定であることを公表した。また、「決算短信・説明会資料」内で2015年3月期第1四半期決算(2014年4月1日~6月30日)は136億3700万円の最終赤字となったことを公表した。前年同期は約26億円の黒字であり、4~6月期で初の赤字計上となる。

――一方、「個人情報」をうまく活用すれば大きなビジネスチャンスにつながるため、名前や住所などがない購買履歴や移動履歴を積極的に活用する企業も増えています。

石井 名前や住所が分からなければ個人情報ではないと理解する傾向がありますので、個人情報のうちの一部を取り除いて、自由に活用してしまおうという動きも確かにあります。例えば近年では、JR東日本がICカード乗車券「Suica(スイカ)」の移動履歴や購買履歴を日立製作所に販売しました。しかしこれは大きな問題となりました。

 名前や住所などの情報がなくとも、IDにひも付く形て移動履歴や購買履歴の情報を分析すれば、1人の人を導き出すおそれもあります。ヨーロッパでは、様々な要素を参照することで個人を直接間接に識別し得る情報が保護の対象になっています。日本でも、生存する特定個人を識別できる情報を保護対象にしていますが、仮に法律に違反する取扱いが行われても、命令や罰則が下されたケースはありませんので、平然と売買されているのだと思います。

――そうしたグレーゾーンに対して、これまで日本企業はどんな対応を取ってきたのでしょう?

石井 個人情報保護法に対する日本企業の対応は二極化しており、過度に恐れて情報を出したがらない企業がある一方、法にそれほどの関心もなく、従前どおり、取得した個人情報を営業や宣伝に平然と活用してしまっている企業も見受けられます。個人情報概念が曖昧であったり、潜脱的な個人情報の利用や提供であっても、条文上は制限できないケースがあることなどから、こうした二極化を招いた原因ともいえるでしょう。これまでは、独立監視機関が存在しないという大きな問題もありました。

 こうした「個人情報のグレーゾーン」は2015年の法改正によって対処される予定ですが、どのような方向性で法案が作られるのかという点では、依然として曖昧さも残っています。また、法改正による第三者機関を設置することになりましたが、どれほどの実効性を持たせられるかということも懸念があります。いずれにせよ昨今では消費者の個人情報保護に対する目が厳しいため、たとえ法律違反でないとしても、こうした事実が明るみに出た場合、批判の対象になる可能性はあります。

第4回へ続く


文/笠原崇寛
写真/柏崎佑介
編集/八島心平(BIZLAW)



この連載記事を読む
 「個人」をめぐる法と日本

石井 夏生利

Profile

石井 夏生利 [筑波大学図書館情報メディア系・准教授]

1974年神戸市生まれ。1996年司法試験合格。1997年東京都立大学(現首都大学東京)法学部法律学科卒業。1999年~2004年、ユニ・チャーム株式会社勤務。2007年中央大学大学院法学研究科国際企業関係法専攻博士後期課程修了、博士(法学)。2004年11月以降、情報セキュリティ大学院大学助手、助教、講師、准教授を経て、2010年4月より現職。




ページトップ