個人情報売買は、個人情報保護法の欠陥(オプトアウト)が原因

 「ベネッセコーポレーション」の顧客情報流出事件の報道が盛んですね。
 個人情報保護法は、2003年(平成15年)5月23日に成立し、一般企業に直接関わり罰則を含む第4〜6章以外の規定は即日施行されました。2年後の2005年(平成17年)4月1日に全面施行されましたが、yuu2は、当時自社導入に関与する立場にあったことから、少しは詳しく勉強させていただいていました。
 そして、当初から、立法の主旨が、今回の様な事件を防ぎ、個人情報の保護をすることであることに対し、元凶の名簿業者が「オプトアウト」により、むしろ一般企業より規制の網が緩められていることに疑問をもっていましたし、こうした事件がなくなることはないと確信していました。
 今回の事件に対し、諸説ありますが、個人情報が売買できることが主因であり、その売買にたいして法の適用を、せめて一般企業と同様にすることで防げる話なのです。
 つまり、「個人情報を第三者に提供する場合は、本人の承諾を得る」ことの基本を徹底すればよいのです。




 オプトアウト (本人の同意なく、個人データを第三者に提供) : yuu2雑記帳

 今回の事件に対する世評が集約されているのが、産経の主張
 
ベネッセ事件 不安払拭の契機としたい (7/19 産経 主張)

 見知らぬ会社から名指しの電話でマンションなどの購入を持ちかけられたことがある。なぜ姓名や連絡先を知っているのか問いただしても納得のいく返答はない。
 不愉快な記憶だが、通信教育大手「ベネッセコーポレーション」の顧客情報流出事件で内幕の一端がみえた。これを社会不安払拭の契機としたい。
 警視庁は、1千万件を超える顧客情報を売却目的で持ち出したとして、不正競争防止法違反(営業秘密の複製)の疑いで、顧客データベースの保守・管理を業務委託されていたシステムエンジニアの男を逮捕した。
 情報を流出させたベネッセは顧客に対し、総額200億円の補償をすると発表した。情報を盗んだ男が悪いのは当然だが、犯行を許したベネッセも重大な管理責任を逃れることはできない。顧客からの苦情が殺到し、退会の申し出が相次いでいるのも当然だろう。
 一方で、
情報の売買に連なった名簿業者の多くや実際に名簿を営業活動に使用した社に刑事罰や行政処分を科すことは難しそうだ。不正入手の認識を否定されれば、これを覆すことは困難だ。
 複数の名簿業者は警視庁の任意の聴取に「ベネッセから流出したものとは知らなかった」と話している。名簿業者から情報を購入し、自社の通信教育入会への勧誘に使用していたIT事業者「ジャストシステム」も「違法に入手されたデータとの認識はなかった」と強調している。
 
問題発覚直後、ベネッセホールディングスの原田泳幸(えいこう)会長兼社長はジャストシステムを「経営者のモラルが問われる」と非難した。他社を攻撃してベネッセの責任が軽減されるわけではない。
 だが、
ジャストシステムも、この問いに真摯(しんし)に答えてほしい
 いつ、何万件の情報を、どのようなやりとりで、いくらで買ったのか。すべてを明らかにしたうえで、公明正大な取引であったかの判断を顧客に求めるべきだ。
 
流出した情報がどのように使用されたか。入り口から出口まで経緯のすべてを明らかにすることこそ再発防止に寄与する。刑事罰と社会的責任とは別である。
 新たに英会話学校大手「ECC」もベネッセのものとみられる情報を勧誘に使用していたことが明らかになった。同社にも同様の説明責任を求めたい。

 ベネッセの原田社長も元はIT業界の方なのですから、就任早々の大事件ですが、記者会見の記者からの「被害者か」「加害者か」との質問には「加害者」と回答はしておられました。
 産経の主張の様な発言があったのであれば、情報の売買が公然と認められている現行法への不満がおありなのではと推測します。

 個人情報の保護に関する法律 - Wikisource 日本の法律

 相談事例 -名簿業者の販売する名簿がセールスに利用されています。名簿の販売は個人情報保護法に違反するのではないのでしょうか?また販売をやめさせることは可能でしょうか? - 神奈川県ホームページ

 「オプトアウト」について少し触れてみましょう。
  法第23条第2項
  個人情報取扱事業者は、第三者に提供される個人データ
  について、本人の求めに応じて当該本人が識別される個
  人データの第三者への提供を停止することとしている場合
  であって、次に掲げる事項について、あらかじめ、本人に
  通知し、又は本人が容易に知り得る状態に置いているとき
  は、前項の規定にかかわらず、当該個人データを第三者
  に提供することができる。
   1 第三者への提供を利用目的とすること。
   2 第三者に提供される個人データの項目
   3 第三者への提供の手段又は方法
   4 本人の求めに応じて当該本人が識別される個人デー
     タの第三者への提供を停止すること。


> 1 第三者への提供を利用目的とすること。
  この利用目的を「本人にに通知してから第三者に提供(売却)する」で止めてあればいいのですが、「又は本人が容易に知り得る状態に置いている」が問題なのです。
  名簿業者の店頭やホームページに明示すればよいとされていますが、そんなもの本人が容易に知りうる状況であろうはずがありませんね。

[2] [3]も同様です。

> 4 本人の求めに応じて当該本人が識別される個人データの第三者 への提供を停止すること。
  こんなこと、今回の様に漏洩してしまってからでないと知ることは出来ませんし、今回の様に洩れたことが判るように仕組んだ情報登録を消費者が実施している様な特殊な仕掛けがないと容易に発見できませんし、発見したとしても、既に情報が漏えいし世間に拡散された事後での話となります。
 そもそも法では、第三者への提供だけでなく、個人情報の所有そのものを削除要求する権利を対象の個人に認めています。
 なので、勧誘電話がかかってきたら、情報は何処で入手したのかを聞く。入手した名簿と答えてくるので、名簿業者の名前を聞く。同時に、電話をかけてきた会社の情報を削除するよう要求し、個人情報取扱い責任者に電話を変われと言えば、即時電話を切ります。おおむねそれで電話は来なくなりますが、再度電話が着たら、個人情報取扱い責任者に電話を代わる様強く要請すれば以後は止まります。

 話が横道にそれました。
 要は、法第23条第2項の「又は本人が容易に知り得る状態に置いているとき」を削除するか、売買をする時は、本人の了解が無い場合は禁止する様法改正するのが売買のための漏えい対策になるのです。
 法が、その趣旨である個人情報の悪用を防ぐことに反し、その元凶の名簿業者を一般企業より優遇しようとしている理由が判りません。名簿業者がつぶれてしまうことを配慮(名簿業者保護)しているのでしょうか?

 

b0055292_1101513.jpg

 この花の名前は、オルレア(オルラヤ)‘ホワイトレース’

↓よろしかったら、お願いします。






Fotolia

[PR]
by yuji_oga | 2014-07-20 01:12 | 情報セキュリィティ | Trackback
トラックバックURL : http://yujioga.exblog.jp/tb/22987841
トラックバックする(会員専用) [ヘルプ]
<< Amazon と、Google... デフレ脱却と経済再生の次に控え... >>