KDDIが,同社のインターネット接続サービス「DION」の顧客情報399万6789人分を漏えいした(関連記事『KDDI,顧客情報約400万件流出』)。流出が確認されたのは,2003年12月18日までにDIONに申込みをした顧客の,当時の名前,住所,電話番号。このうち2万6493人分が性別情報,9万8150人分が生年月日,44万7175人分が連絡先として登録したメールアドレスを含んでいた。

 私の知る限り,おそらく個人情報保護法施行後,最大の流出事件である。2004年にソフトバンクBBが約450万件の個人情報流出事件を引き起こしたが,それを抜きにすれば「過去の例に見てもこれほど大きな規模のものはほとんどないといってよい」(内閣府企画課個人情報保護推進室)。

 実は,私は「2003年12月18日」時点でDIONの会員だった。

 DIONは長い間,お世話になったプロバイダーだ。私の兄も長く使っていた。KDDIが流出したとする「2003年12月18日」時点の会員だった私は,早速KDDIの問い合わせ窓口に電話をしてみた。

 1回目の電話で「登録していた電話番号を教えてください」と言われたのだが,なにせ学生時代に住んでいた家だ。いきなり言われても思い出せない。すでに,そこから2度引っ越しているのだ。

 「名前で検索ができないか」と聞くと,「できない」との答え。すぐに当時の電話番号を思い出せる状況でもなかったので,いったん電話を切った。直後,当時のIP電話番号を携帯電話の電話帳に登録しているのを思い出し,2度目の電話。だが,それも無駄足に終わった。IP電話の番号では検索できないという。

 段ボール箱の隅から昔使っていた思い出の品を引っ張り出し,当時の電話番号がやっとの思いで判明したのは,それから数時間後だった。早速,3度目の電話。3度目の正直のつもりが,そのときの対応で「名前でも検索できますよ」とあっさり言われてしまった。ただし,名前で検索した場合は,本人確認のため,電話番号や住所が必要だということだった。

 3度の電話を繰り返し,ようやく私は自分の個人情報の行方を知った。結果は「名前,住所,電話番号」の3つが流出したとのこと。兄も状況は同じだった。個人情報と個人のヒモ付けが,こうも難しいとは思ってもいなかった。

KDDIは私を「追えない」

 KDDIは本件に関して,「流出が確認されたユーザーに対して金銭的なお詫びはしない予定」(KDDI)で,お詫びのメールや文書を送るとしている(ソフトバンクBBの事件では500円分の金券が配られた)。

 ただし,間違いなくそれは私や兄の元には届かない。DIONを利用していたころの住所,電話番号,メールアドレスすべてにおいて,あのときのままのものは何ひとつないのだ。KDDIは私を追跡するすべを持たない。

 こういった“難民”は,おそらく何十万といることだろう。こうしたユーザーに対してKDDIはどのような方策をとるのだろうか。おそらくユーザーからの申告がない限り,何もできない。ユーザーからの申告があっても,引っ越しを繰り返していたり,解約をしている場合,個人が特定できない可能性もある。こうなると,お互いのどちらからもヒモを手繰れなくなる。

 私のようなケースの場合,流出した情報が第三者の手に渡っても,第三者がそこから「今の私」の個人情報を手繰り寄せることは難しい。しかし,流出した情報が過去のものかどうかは関係ない。被害者として,どのような情報が流出したのか,その原因は何だったのかは知っておきたい。そうでないと,このモヤモヤっとした気持ちをぬぐうことはできない。

 ただし突き詰めて考えると,私のような“難民”を減らすのは難しいだろう。サービスを解約した後に,自分の情報を提供し続けるユーザーがいるはずはないのだ。そうなると,“難民”を減らす手立ては「サービスを解約した顧客情報はすべて削除する」ことを企業が徹底するしかない。しかし,ビジネス的な観点から,すべての企業が率先して過去の顧客情報の抹消するとは考えにくい。また,過去の情報がなくなることで,解約後の問い合わせに応じてもらえないなど,ユーザーが不便を感じる場面も出てくるだろう。

 当事者になって初めて,個人情報保護の本当の難しさを知った気がした。

※本稿は日経パソコン オンラインの「記事の芽」(6月15日公開)に掲載した記事をもとにしたものです。