ベネッセの顧客情報流出事件は、データを持ちだした容疑者が逮捕される流れになっている

 報道によれば、警視庁は、7月17日の段階で、顧客のデータベース管理を委託された外部会社のシステムエンジニア(SE)の男について、不正競争防止法違反(営業秘密の複製)の疑いで、逮捕状を請求する方針を固め、同日中に逮捕するのだという。

 今回は、個人情報について考えてみたい。
 2005年に個人情報保護法が全面施行されて以来、様々な場面で、名簿や個人データの扱いがすっかり様変わりしていて、私のような一般人は、その関係の事務の煩雑さにとまどうことが多い。

 私の受けている感じでは、個人情報保護法は、必ずしも「個人」の権益や人権を保護するものではない。

 無論、われわれの人権やプライバシーを守ってくれている部分も大いにあるとは思うのだが、ある地点から先の処理については、結局のところ意味不明だと思っている。

 お国は、個々人に紐づけられている情報が、営業活動や、利潤追求や、政治活動や、犯罪捜査や、調査分類の対象として利用される可能性のうちの、お国にとって望ましくない部分を排除しようと考えていて、そのことを「保護」と呼んでいるのだと思う。

 が、現実に、われわれの「何」が「何から」保護されているのかは、われわれの側からは見えない。

 ということは、結局のところ、われわれの個人情報は、その発行元である本人にとって、謎なのだ。

 このたびのベネッセの事件に似たケースは、過去にも何度か起こっていて、その度にやれ「セキュリティー意識の向上」がどうしたとか、「デジタル情報の安全管理」がハチのアタマだといった感じの教訓話が繰り返されてきた。にもかかわらず、データ漏洩は一向に減らない。

 というよりも、事件として報じられているのが、流出の発覚したケースに限られていることを考えれば、実際には、もっと大量の個人情報が不適切なルートや裏の世界に漏れ出してしまっているはずなのだ。とすれば、われわれは、この新しい事態に、個人として対応する術を身につけなければならない……という、この話も半分ぐらいはお約束の教訓話ではある。私は建て前論を言っている。

 ともあれ、警察が個人情報流出犯や、不正データ流通業者を追跡することとは別に、わたくしども想定被害者であるところの一般市民は、自分の個人情報がどんなものであるのかをよく自覚しておかなければならない。

「なあに、盗もうったって、盗まれるものなんかひとつもありゃしないさ」

 と、落語に出てくる長屋の熊さんみたいなことを言っていて済む話ではない。
 21世紀の情報犯罪者は、無一物の人間からでも、大量の個人情報を抜き出すことができる。

「盗まれたからって、しょせんデータなんだから減るわけじゃないだろ?」

 と、熊公は言うだろう。が、もしかすると、データを抜いた後の彼には、価値がないのかもしれない。なぜなら、情報が巨大な力を持つようになった世界において、価値は、個人の人格や肉体にではなく、その個人が持っている情報に依存するはずだからだ。

 今回のベネッセのケースで、「グループ企業」の「派遣社員」がキーになっている点を踏まえて、教科書的なコメントを述べるなら、

「顧客データのセキュリティーをどうこう言う前に、そのデータに関わる人間の管理を問い直すべきだ」

 ぐらいになる。
 もう少し突っ込んだ言い方をすると、顧客データを管理する業務を、グループ企業にアウトソーシングしていたことが経営戦略として適正であったのかどうかが問われなければならないということだ。

 さらに言えば、そのデータ処理を請け負っていた子会社の中で、データベースの管理を担当していたのが正社員でなく、派遣社員であったことも問題視されなければならない。

 が、大上段からのものの言い方はこのへんでやめておく。
 業務を外注することや派遣社員を重用することは、人事コストの問題でもあって、そこから先のことは私にはわからない。

 もしかして、通信教育やネット通販みたいなことをやっている会社は、業務のかなりの部分を外注に丸投げしないと利益が出ない構造になっているのかもしれない。

 だとすると、彼らは、そういう中でセキュリティーを確保する道を模索せねばならないわけだが、これは、口で言うほど簡単なことではない。
 たとえばの話、管理パスワードの発行先を限定するだけで、日常業務が停滞したり、ちょっとした作業が煩雑化するはずで、やたらとカギをかけまくるタイプのソリューションは、そういう意味で、現場の抵抗にあう。

 かといって、顧客情報を直接に扱う仕事を本社の正社員にだけやらせるというのも、あまり現実的な方策ではない。というのも、その種の企業にとっては、顧客情報を直接に扱う仕事が、業務の大半を占めているからだ。すべての業務を正社員だけでこなしていたら、高コスト体質の企業になって、生き残ることができない。

 もうひとつコメンテーターっぽいことを言うなら、今回のケースで、逮捕容疑が「不正競争防止法違反」であることからも分かる通り、個人データの流出については、法の整備が追い付いていない。

 それゆえ、個人情報が不当に売買されていることの一方の元凶である名簿業者に捜査の手が届いていない。
 彼らは、さっさと情報をロンダリング(「クレンジング」とも言うらしい。意味するところは「元データを別の方法で処理して別のデータとして流通させること」に近い)して、多くは「善意の第三者」として、「盗品とは知らずに」取り引きした体で逃げ切ってしまう。

 で、結局、管理責任において瑕疵はあるものの、半分は被害者でもあるはずのベネッセが責任を追及されることになる。

この記事は会員登録(無料)で続きをご覧いただけます
残り3538文字 / 全文文字

【初割・2カ月無料】お申し込みで…

  • 専門記者によるオリジナルコンテンツが読み放題
  • 著名経営者や有識者による動画、ウェビナーが見放題
  • 日経ビジネス最新号12年分のバックナンバーが読み放題
有料会員と登録会員(無料)の違いを詳しく見る
今すぐ会員登録(無料)ログイン