教育事業大手から子どもの情報が漏洩 企業の対応や対策は?

相談者 T.Kさん

 私の息子は小学3年生で、小学校に入った時から大手企業が提供している通信教育講座を受講しています。

 定期的に送られてくる教材はよくできており、子どもには魅力的な景品も教材と一緒に送られてくるので、子どもは毎回楽しみにしています。親として、子どもに高望みをするつもりはありませんが、それでも基礎的な学力は身につけてほしいと願っています。学校の授業では一人一人の理解度に合わせた指導は期待できませんが、通信教育の先生たちの指導と励ましのおかげで、子どもの成績はクラスでも常に上位に入っています。私が子どもの頃にはこんなサービスはなく、こういうものがあれば自分ももう少し勉強をしたのに……とつい思ってしまいます。

 さて、そんな私の家に、突然、大量のダイレクトメールが送られてくるようになりました。あて名は子どもの名前になっています。いずれも、今やっている通信教育講座と同様のサービスを行っている別の会社からでした。普段、子どもの名前を登録することなどほとんどないのに、なぜだろうと少々気味悪く思っていました。そしてある日、その謎が解けたのでした。テレビを見ると、うちの子が利用している教育講座を提供する企業の幹部が深々と頭を下げているではありませんか。何百万人もの子どもの個人情報を流出させ、おわびの記者会見を開いたようです。このニュースが流れた後、子どもの親からは抗議が殺到しました。当然だと思います。私も、自分自身の情報ならともかく、大事な子どもの情報となると黙っていられません。早速、お客さま相談窓口に電話をしてみましたが、さんざん待たされた揚げ句、応対した人は「申し訳ありません」と謝るばかりで、なぜこんなことが起きたのかといったことには答えてくれません。しかも、その時点では何の補償も考えていないようだったので、よけいに頭に血が上ってしまいました。その後しばらくして、会社側は一定の補償をするという方針に転換しましたが、その額は1件500円であり、到底納得できるものではありません。ただ、その企業にしてみれば、補償を全部合わせると約200億円の損失になり、企業業績には大きな打撃になるとのことです。

 さて、この事件は決して人ごとではありません。私が勤める会社でも多くの個人情報を取り扱っており、仮に同様の事件が起きたら、それこそ倒産しかねません。個人情報保護法が施行されたばかりの頃は、世間でも個人情報への意識が高まり、漏洩ろうえい事件が起きるたびに大騒ぎになっていましたが、最近ではみんな感覚が麻痺まひしてしまったのか、今回のような大規模漏洩事件でもない限り、それほど騒ぎにならなくなった気もします。このコーナーでも、ビッグデータをはじめとして個人情報を巡る話題がたびたび出てきますが、これを機に、個人情報の漏洩に対して、企業の対応や対策の実例などを教えていただければ幸いです。(最近の事例をもとに創作したフィクションです)

(回答)

ベネッセによる顧客情報漏洩

 今年7月9日、教育事業大手のベネッセホールディングスは、進研ゼミなどの顧客情報760万件が社外に漏洩した旨を発表しました。漏洩した情報は、受講生である子どもや保護者の氏名、住所、電話番号、子どもの生年月日・性別などであり、教育関連企業による、子どもの情報の漏洩ということで、社会的関心も高く、連日、新聞雑誌をにぎわす大事件となりました。

 漏洩した個人情報リストは、「出所不明の名簿」として複数の名簿業者間で転売され、転々流通した結果、当該名簿を入手したのは数百社とも言われており、その中には、ジャストシステムなどの大手企業までが含まれることも判明しました。同社は、ベネッセからの流出情報であると知らなかったと釈明しているようですが、上場企業が、入手経路不明の名簿を購入したという事実そのもの(企業倫理の欠如)に驚かされるとともに、極めてグレーな名簿販売ビジネスの実態にも改めて焦点があてられ、今後、登録制導入など、法による規制の話も出てきそうな状況です。

 この事件では、結局、ベネッセの顧客情報を管理していたグループ会社で、SE(システムエンジニア)として働いていた派遣社員が逮捕されましたが、この手の事件ではよくありがちな、ギャンブルなどによる借金で困窮した末の犯行とのことです。

 9月10日の記者会見によれば、流出件数は3504万件(うち連絡がついた実数は2895万件)となり、ヤフーBBの450万件(2004年)、大日本印刷の864万件(07年)などをはるかに超えて、国内における最大の個人情報漏洩事件となりました。事件を報じる新聞でも「ベネッセ信頼回復正念場」「ベネッセ立て直し多難」など、厳しい見出しが躍りました。

500円の金券

 記者会見の席上で、ベネッセは、情報流出の対象者に対し、500円の金券(全国共通図書カード)を配布する旨を発表しています。総額は最大で約175億円にのぼるとのことであり、一件一件は少額かもしれませんが、漏洩規模が大きいだけに損失も巨額になっています。ベネッセでは、システム強化費用なども含めると260億円の特別損失を計上し、15年3月期は赤字になる公算が大きいということであり、たった1人が起こした事件の代償は余りに大きかったということです。

 本連載「個人情報の流出で苦痛。慰謝料の相場は?」(2011年9月14日)において「おわびの相場はワンコインから!?」と見出しをつけて説明したように、今回提示された500円という金額は、過去の例からみて標準的なものであり決して少ないわけではありません。ただ、大切な子どもの情報が素性の知れない第三者にばらまかれたわけであり、またベネッセ社長が、事件発覚当初の記者会見で「肝心な情報は漏洩していないため金銭的な補償は考えていない」と強弁していたこともあり、保護者の被害感情が、その程度の金額で癒やされるわけもなく、ベネッセに対する非難は当分収まりそうもありません。

 なお、ベネッセ社長による発言の趣旨は、カード情報のような金銭損害に直接結びつく情報と、氏名・住所といった情報は重要性が異なるということかと思いますが、「子ども」の情報であるという視点が抜け落ちた発言であったと言わざるを得ません。ベネッセ社長は、その後の記者会見で、金銭補償をする旨を公表したことにつき、以前の記者会見の際との心変わりの理由を問われて、「情報が二転三転したとは思っていない。まずは事実確認をすべきとの経営姿勢を取っただけで、決して事の重大さに気付いて考えが変わったわけではない」「7月9日の時点で金銭補償の話をするのは、お客様から『お金で済むような問題ではない』と、おしかりを受けると考えていた。」などと述べていますが、そうであれば、そもそも賠償問題に言及しなければ良かったわけで、漏洩情報が「肝心な情報」なのかどうかや、補償そのものを否定するような発言まで行う必要は全くなかったと思われます。やはり被害者の感情を逆でする発言であったと言わざるを得ません。

お詫びの仕方でさらに炎上

 記者会見の直後から、ベネッセよりおびの案内をする書面が被害者に届き始めましたが、その内容が再び波紋を投げかけています。その書面には、お詫びの品について、「ご希望の□にv(チェック)をご記入下さい」とあり、そこに、「全国共通図書カード 500円分」と「(財)ベネッセこども基金へのご寄付」の選択肢が記載されており、「お詫びの書面にこのような選択肢を入れる神経が理解できない」といった批判が出て、炎上状態になっているのです。このような、お詫びと寄付の組み合わせは、おそらくヤフーBBの漏洩事故の際の手法を模倣したものと思われますが、ヤフーBBでは、500円分の郵便為替を送付した上で、「同封いたしましたものは、全国の主要な銀行・郵便局において換金可能なものでございます。誠に些少さしょうではございますが、お納めいただければと存じます。また、期限内に換金されないものにつきましては、情報社会の将来のための基金などに寄付させていただければと存じます」と書かれていました。いきなりお詫びのお金を受け取らずに寄付しませんかと書いていた訳ではないので、今回のベネッセの手法にはやはり疑問を感じざるを得ません。

 前述のように、営業利益の大半にあたる莫大ばくだいな金額を補償として配布するにもかかわらず、そのやり方の稚拙さで被害者からの理解を得られず、さらなる炎上を招くというのは何とも残念な話です。

情報漏洩対策について

 ベネッセ社長は、記者会見の席上で、「自社の情報セキュリティーへの過信があった」と述べていますが、確かに、ベネッセの物理的な面での情報漏洩対策は、それなりに充実していたようです。

 物理的な個人情報漏洩事故対策としてよく取りあげられるのが、<1>情報と社員の遮断、セキュリティーエリアの設置、<2>社内ルールの整備と遵守じゅんしゅの徹底、<3>Pマークの取得といった第三者機関によるチェックなどです。

 <1>に関して言えば、ヤフーBBの情報漏洩事故の際、ソフトバンク社では、顧客情報を扱う高セキュリティーエリアを設定し、認証システムによる入室制限を行い、入室者の社員ID、時間を記録し定期的に確認する、高セキュリティーエリアにある情報システム部門全てとコールセンターの一部の機器はインターネット環境と接続しない、高セキュリティーエリアへの全ての外部記憶装置の持ち込みを禁止し利用できない環境を整えるなどの体制を構築して、当時、顧客データへの常時アクセス権を持つ社員を135名から3名に大幅に減らすとともに、顧客情報へのアクセス記録を半永久的に保存する措置を導入したとされています。

 ベネッセでも、アクセス権限の制限はもちろん、私物PCの持ち込みは禁止されており、記憶媒体へのデータ書き出しは物理的にできないようにしていたようです。ただ、全ての私物の持ち込みを禁止しておらず、一般的なスマホへのデータ書き出しはできないものの、最新のスマホを使えば書き出しが可能だったことから今回の事件は発生しました。他にも、大量のデータを移す際に警告音が鳴り注意を促す仕組みを導入していながら、今回漏洩したデータベースは警告機能設定の対象外となっていたり、業務用PCからデータベースにアクセスした記録について定期的なチェックを怠っていたりと、自社における物理的なセキュリティーへの過信から、運用がおろそかになっていたと言わざるを得ません。

 <2>について言えば、おそらく、現在、個人情報に関する規定を置いていない企業や、社内教育を常時継続的に行っていない企業など存在していないと思われ、ベネッセでも当然そういった体制は取られていました。この点は、後述のように、同社がプライバシーマークを保持していたことからも明らかです。ただ、このような施策は、通常のコンプライアンス研修のような感覚で、形式的に実施されている限り、後述する「悪意ある個人」に対しては効果がないと言わざるを得ません。現に、近時の情報漏洩事件の多くは、規定類などが完全に整備されている大企業で起きています。

 <3>に関しては、前述のように、ベネッセはプライバシーマークを保有しています。プライバシーマーク(Pマーク)とは、一般財団法人日本情報経済社会推進協会(JIPDEC)により付与される評価認定制度の一つであり、日本工業規格「JIS Q 15001個人情報保護マネジメントシステム―要求事項」に適合して、個人情報について適切な保護措置を講ずる体制を整備している事業者等を認定し、その旨を示すプライバシーマークを付与し、その使用を認める制度です。

 同協会のHPでは、今回の事件を受けて、「当協会が運営するプライバシーマーク制度の付与事業者である株式会社ベネッセコーポレーション(登録番号:10190316(05))におきまして、大規模な個人情報の漏えいと思われる事故が発生した旨、公表されました。当協会としましては、この事実を重く受け止め、当該事故に関する事実関係を確認したうえで、厳正に対応いたします」とのコメントが掲載されています。ちなみに、この登録番号の後ろについている「05」の数字は、マーク付与の回数を示すものです。つまり、ベネッセは、既に何度もプライバシーマークの更新を繰り返し、そのたびに厳格な審査を受けているわけです。

求められる「悪意ある個人」への対策

 上記のように、ベネッセは、相当の物理的セキュリティー対策を講じており、関連諸規定も整備し、個人情報について適切な保護措置を講ずる体制を整備していることにつき第三者機関のお墨付きを得ていたわけであり、同社社長が述べているように、それが過信を生み今回の事件が発生したという側面があることは否めません。

 ただ、整備した体制に基づき油断なく運用していたとしても、果たして完全に事件を防げたかは疑問もあります。個人情報をどんなに厳格に管理しても、当然のことながら、その管理者である人間が存在している以上、その人間が、意図的に情報を奪い取ろうと考えれば、なかなかそれを防ぐ手立てはないからです。この「悪意ある個人」に対して、どのような対策を講じればよいかについては、従来から、各企業が悩んでいるところかと思います。

 ちなみに、2006年6月に発表された、KDDIによる、約400万人分の個人情報漏洩事件では、同社社長が記者会見をして、「我々としては当時、かなりのセキュリティー対策はやっていたという理解だったが、結果的に不十分であったことは明らか。悩ましいところだが、悪意を持ってデータをろうとすれば現状ではかなりのことをやらないと盗れないと思っているが、将来も絶対大丈夫かというと、技術の進歩に伴ってできる可能性がゼロではない。物理的な対策をきちんとやっていくのは当然として、それ以上に組織・社員の教育を含めて徹底していかなければ、個人情報の漏えいに十分な対策はとれない。物理的な対策以外にも十分に検討していきたい」とコメントしていますし、当時、ヤフーの社長が「性悪説で考えて社員を監視する」と踏み込んだ発言をして話題になったりしました。

具体的にどのように対応するか?

 この点、2009年に発生した、三菱UFJ証券による情報漏洩事故における「業務改善報告書」及び「調査報告書」が参考になります。同事件は、同社システム部部長代理が個人顧客148万人分の情報を不正に持ち出し、そのうち4万9159人分を名簿業者に売却したというものです。漏洩情報の中には、顧客の氏名・住所ばかりか、自宅や携帯の電話番号、職業、年収区分までが含まれており、漏洩後、顧客に対して、新規公開株や投資用マンションの勧誘などが昼夜の別なく頻繁になされるといった具体的被害が発生し、三菱UFJ証券は事態を重く見て、対象者全員に対し1人あたり1万円の商品券を送ることを発表しています。当時、メディアでも「異例の高額」なお詫びであると話題になったので覚えている方も多いと思います。

 さて、この事件の際に、三菱UFJ証券は、金融庁に対して、「業務改善報告書」を提出し、弁護士を中心とする調査委員会による「調査報告書」とともに公開しています。そこには、多岐にわたる再発防止策が記載されており、悪意ある個人への対策として示唆に富んだ提言がなされていますので、以下、いくつかのポイントをご紹介したいと思います。

不正に対する経営陣の厳格な姿勢を明確に打ち出す

 上記改善書では、「全職員に対して職業倫理観を徹底するために、あらゆる機会をとらえて、経営トップからのメッセージを発信し、不正に対する当社経営陣の厳格な姿勢を明確に打ち出し、職員の意識向上を図って参ります」としています。同様に調査報告書でも、「不正には厳格な対応を行う旨のトップメッセージを出すととともに、教育・研修においても不正防止の観点を強調し、不正行為は、業界及び会社の信用を大きく毀損きそんし、回復しがたい損失を受けることを理解させる。具体的な研修においては、法令違反行為・不正行為は必ず発見・摘発され社内的にも社会的にも制裁を受けること、会社としてもモニタリングを強化していることを理解させる」としています。

 人間は「得られる利益」と「失う利益」の対比で行動するわけで、当該行為により得られる利益が、それが発覚した場合に失う利益と、全く見合わないことを明確に認識していれば、その行動を思いとどまるはずです。

 従来のコンプライアンス教育は、社内ルールを守りましょうとか、コンプライアンスは企業経営のブレーキではなく売り上げ倍増に不可欠のインフラである旨を説明するなど、「プラスの要素」を強調してきました。そうではなく、事件を起こした場合に、社員自らがどのような「報い」を受けるのかという「マイナスの要素」を、研修会などを通じて徹底して認識してもらうことが、情報漏洩対策としては重要だということです。

 改善書における「不正に対する当社経営陣の厳格な姿勢を明確に打ち出す」とは、調査報告書における「法令違反行為・不正行為は必ず発見・摘発され社内的にも社会的にも制裁を受けることを理解させる」と実質的に同義であり、端的に言えば、たとえ社員であっても、懲戒解雇はもちろん、損害賠償も含めた厳しい制裁を加えるという「厳格な姿勢」を、社員研修を含む、あらゆる機会に発信して、社員が、個人情報を名簿業者に販売しても全く割に合わない、つまり「失う利益」の方が「得られる利益」よりはるかに大きいという意識を植え付けるということかと思います。

三菱UFJ証券社員は、執行猶予がつかず刑務所へ

 三菱UFJ証券における情報漏洩事件で、名簿屋に対して情報を売り渡したシステム部部長代理は、社内調査で犯行が発覚して、直ちに懲戒解雇になり、その後、不正アクセス禁止法違反で警視庁に逮捕され、最終的に東京地方裁判所は、懲役2年の実刑判決を言い渡しました。つまり、この部長代理は、前科がなかったにもかかわらず、刑事裁判で執行猶予がつかずに、収監されて刑務所での生活を余儀なくされたわけです。懲戒解雇によって多額の退職金を失い、また報道によれば、事件後、妻とは離婚し子供2人も家を出て行ったとのことであり、家族すらも失ったわけです。さらに当時、三菱UFJ証券が同人に対し70億円に及ぶとされた損害の一部を賠償請求していく予定である旨が報道されました。こうしたマイナスの要素に対して、彼が個人情報を売却した際に名簿屋から受け取った金額はわずか12万8000円にすぎません。個人情報を流出させたことに対する報いは余りに大きく、全く割に合わない結果に終わっています。同社員が、事件が露見した場合のリスクを十分に理解していれば、このような事態には決してならなかったはずです。どうせ職を失うなら、正式に自主退職して、その退職金を借金の清算にあてれば、新たな人生をやり直せたわけであり、判断を誤ったが故に、同社員は、一流企業社員としての地位も、退職金も家族も失い、逮捕されて刑務所で生活することになったわけです。

 ちなみに、企業不祥事において、企業が社員に対し、損害賠償請求するのは今や珍しいことではありません。ジャパネットたかたの個人情報漏洩事件では、企業側が情報漏洩を行った元社員に対し損害賠償請求訴訟を提起し、長崎地裁佐世保支部において、1億1000万円の損害が認められています。つまり、社員であっても会社に損害を与えた場合には、莫大な賠償請求を受けるという事実を企業トップが発信することが重要だということです。日本社会において、会社は家族であり、不祥事を起こしても家族に対してはそれほど厳しい措置はとらないという認識が根強いですが、改善書や調査報告書にあるように、社員にとって耳の痛いことでも、きちんと伝えておくべきということだと思います。それがひいては社員の身を守ることにもつながるわけです。

社員の日常の変化を見逃さず事前に対応する

 さらに、改善書では、「管理者に対し、労務管理から部下の動態観察等まで、広い範囲の研修を実施します」としています。これは、部下の日常の変化を見逃さずに、事件が発生する前に対応するということです。

 近時の個人情報漏洩事件の犯人は、往々にして、多くの借金を抱えています。報道によれば、前述三菱UFJ証券の社員は、ストレス発散のためキャバクラに通って500万円の借金を負っていたとのことです。また、今回のベネッセの事件で逮捕された社員も同様に、ギャンブルなどで170万円の借金があったとのことです。まさに「貧すれば鈍する」という故事ことわざの通りということです。多額の借金を背負って、消費者金融などから追い込まれている社員に、正常な理解力を期待することは困難です。企業としては、そのような人間を少しでも早く見つけ出して、違法行為を行う前に対処(阻止)するしかありません。つまり、会社(上司)が、社員の日常の変化を見逃さないということが不可欠になるわけです。上記の「部下の動態観察」とはそういうことです。たとえば、就業中であるにもかかわらず頻繁に携帯に連絡があり、そのたびに席を外すような部下がいたら要注意です。真面目な社員が、急に無断欠勤や遅刻を繰り返すようになるのも同様です。火のないところに煙は立たないのであり、異性関係のうわさ、夫婦関係に関する噂、株運用失敗の噂、子供の非行の噂等々「個人の生活環境」に影響を与えるようなあらゆる噂は常に見逃さずに収集し、適宜、噂の真相を確認しておくことが必要になるわけです。そして、動態観察の結果、不審な行動をとっている社員には、適切な相談機関にかかってもらうよう誘導しなければなりません。

 この点、調査報告書は非常に興味深い提言をしています。同書面には「当社にも消費者金融からの借り入れ等の理由から経済的に困窮している社員が一定数存在する可能性があるものと思われる。社員のプライバシーに配慮しつつ『悩み事相談窓口』的対応を充実し、窮状から脱出するための専門家の紹介等を行う制度が検討されて良い」と記載されています。私も、企業などで情報漏洩に関する講演や研修を行う際には、毎回冗談っぽく、「借金で困った事態になっても名簿を売るのではなく、信頼できる弁護士のところに相談に行って下さいね」と話し、会場からはいつも笑い声が起きますが、これは決して冗談などではなく、実は情報漏洩事件対策として重要なことなのです。借金のある人が、弁護士などの専門家に相談して毎月の返済を軽減し生活を立て直したり、場合によっては過払い金が戻ってきたりという話はいくらでもありますが、名簿を売って借金を完済したという話など一度も聞いたことがありません。

事件関係者の今後

 名簿業者に情報を売却した犯人は、不正競争防止法違反の疑いで逮捕されました。今後、刑事裁判が始まりますが、三菱UFJ証券の漏洩事件と比較しても、相当に重い刑罰が科せられることが予想されます。前述のように、同事件では、前科もないのに、いきなり実刑判決(懲役2年)が下されたわけですが、本件でも同様になると思われます。三菱UFJ証券では不正アクセス禁止法が適用されましたが、不正競争防止法の方が法定刑は重いので、今回の事件の犯人は、より長期の懲役刑になる可能性が高いと思われます。

 他方、関与した名簿業者は、不正に入手された情報であることを知らなかったと釈明しているようであり、果たして刑事責任を問うことができるかどうか危ぶまれています。この業界では、名簿の買い取りの際、情報を持ち込んだ者に対して盗難品でないことを誓約させるものの、意図的に、必要以上に出所を詮索しないようにしているとのことであり、世間の非難を受け、今後、登録制導入など、法による規制の動きが出てきそうです。

 顧客の情報を漏洩させたベネッセですが、少子化により教育産業の経営環境が悪化している中で起きた、今回の情報漏洩事件を受け、通信講座の新規会員の獲得が低迷していると報じられるなど、厳しい経営状況に置かれています。260億円という巨額の特別損失も計上し、果たして今後、以前のような輝きを取り戻せるかどうかは疑問と言わざるを得ません。

 なお、最後に、今回の事件によって、政府のIT総合戦略本部が進めている、ビッグデータの活用に向けた、個人情報保護法改正の動向に影響を与えるのではないかとの危惧が出ています。現在のロードマップでは、2015年1月に法案が通常国会に提出され、個人が特定できないように情報を匿名化すれば、本人の同意がなくても第三者に情報提供できる方向で法改正する予定ですが、今回の思わぬ大規模情報漏洩事件を受けて、法改正作業にも影響を与えることになるかもしれません。

 

2014年09月24日 13時12分 Copyright © The Yomiuri Shimbun

 

 


Copyright © The Yomiuri Shimbun