ベネッセの情報漏洩、利用者に為す術なし? 子供の名前、生年月日、性別も漏洩した
”入り口”における個人データ利用の同意に加えて、サービスの利用をやめたり、終了するといった”出口”でも注意を要する。JCPC認定プライバシーコンサルタントの毎熊典子氏は、「サービスの契約が終了しても、事業者側に個人情報を削除する義務はない。契約終了にあたってユーザーが個人情報の削除を事業者にお願いすることが、予期せぬ情報漏洩のリスクヘッジにはなる」と話す。
ベネッセの社内調査では、グループ社員以外のデーターベースのアクセス権限を持つ内部者が「悪意を持って」(原田泳幸会長兼社長)関与した疑いがあるとしており、警察による捜査も始まっている。漏洩したデータベースの稼働を停止したことで、「さらなる漏洩を発生させない措置を完了している」という。
難しい情報源の特定
追加的な漏洩を防ぐ措置をとっても、すでに漏れてしまった情報は何らかの形で利用されてしまう。一方、個人情報保護法にはデータの利用停止規定がある。ただしこれは、個人データが不正な手段で得られたものと知った上で入手したり(容易に知り得た場合も含む)、不正な手段で取得した事業者が、本人からの求めがあった場合、データの利用停止や消去をしなければならないというものだ。
前述したように同意のない形で個人情報が利用されるケースもある。そのため、聞いたことのない会社からダイレクトメールが送られてきたり、いきなり電話がかかってきたとしても、特定の企業から漏れた情報に基づくものと判断することが自体が難しい。今回のベネッセの場合、子供の名前をカタカナで登録するなど、同社にしか提供していない情報に基づいて他社からダイレクトメールが送られてきたことを不審に思った保護者の問い合わせが相次いだことで、漏えい発覚した。が、用心深く個人情報を提供先によって変えるケースはまれだろう。
また、ある事業者が不正な手段で得られたデータだと認識しながら入手したと、個人の側から立証するのは容易でない。法律に利用停止規定があっても、それを利用して事業者に個人データの消去をしてもらうことは、現実的には難しい。時間と労力をかけて仮にそれをやったところで、漏洩した情報が拡散していれば、いくつもの事業者と利用停止についてやり取りする必要があり、終わりのないもぐらたたきのようになる。
無料会員登録はこちら
ログインはこちら