PART2 情報はなぜ漏えいするのか？：「性悪説」による機密・個人情報漏えい対策 第1部（3/4 ページ）

[新井悠（ラック コンピュータセキュリティ研究所），N+I NETWORK Guide]

ケーススタディ1　宇治市の事例

　まず、1999年に発覚した京都府宇治市の事例を取り上げてみることにする。個人情報保護で必ずといってよいほど取り上げられる事例であるため、事件そのものの説明は概要のみにしておく。

　京都府宇治市は、住民基本台帳のデータを使用して、乳幼児検診システムを開発することを企画した。そこで、そのシステム開発業務を民間業者に委託した。ところが、委託先のアルバイトの大学院生（当時）がこれを不正にMOにコピーしたうえで、複数の名簿販売業者に売却してしまった。売却したデータは、宇治市の住民データ約22万人分で、「宇治市住民票」という名で販売されていたことがわかっている。

　これを受けて宇治市市議ら住民3人が、宇治市に対して1人あたり慰謝料30万円と弁護士費用3万円の支払いを求める民事訴訟を起こす。そして、2001年12月25日、大阪高裁は宇治市に対して1人あたり慰謝料1万円と弁護士費用5,000円の支払いを命じた。

　と、ここまではよく聞いたことがある話かもしれない。本題はここからである。検察は、データを持ち出したアルバイトの大学院生に対しては起訴猶予という措置をとった。なぜならば、このときアルバイトの大学院生は、自分で購入したMOにデータを格納していた。ここでは、たとえば「紙媒体の情報を盗み出したことに対する窃盗罪」の適用は難しくなる。情報の窃盗そのものに対しては、条例などで取り締まるほかはなかったが、これも適用できなかった。結果、この大学院生は不起訴となったのである。

　重要なことは、情報を盗み出し、それを複数の名簿業者に売却したとしても罪に問われないかもしれないという認識が、この事例以降、広まってしまっているということだ。最近見られる情報漏えい事件を多発させる引き金となっているのはまさに、「売却（漏えい）しても自分は罪には問われないので、大丈夫だろう」という楽観的な見方であるのかもしれないのだ。

　総務省では、Yahoo!BBやアッカ・ネットワークスからの個人情報大量流出を受けて、通信事業者の従業員に対する法的な規制を検討しているという。しかし、ほかの業種に至っては「これから」の状態である。

ケーススタディ2　ローソンにおける個人情報漏えい

　ローソンは2003年6月、同社の会員カードである「ローソンパス」の約115万人分のうち、約56万人分の個人情報が漏えい［＊1］したと発表した。流出した情報は氏名、住所、性別、生年月日、電話番号などであるが、銀行口座の番号といった信用情報は含まれていないとした。漏えいが判明したのは、同カードの会員3名からローソンパス以外には登録していない住所に対して、不審なダイレクトメールが届いたとの問い合わせがあったことである。

　その後にリリースされた調査結果では、個人情報にアクセス可能だった人は絞り込むことができたが、最終的には特定に至らなかった。そして同社は、115万人すべての会員に対して、500円の商品券と社長からの謝罪文を郵送で送付することを決めた。

　この事例では、着目すべき点が2点ある。

1. 情報漏えいに対して謝罪金が支払われた
2. 情報漏えいに気づいたのは顧客だった

　1については、この事例以降に発生した個人情報漏えい事件を見ればよくわかる（表2）。ローソンの事例以降、謝罪金として1人あたり500円から1,000円相当の謝罪金が支払われている。なお、Yahoo!BBにおける個人情報漏えいを悪用した恐喝事件では、この1人あたり500円という単価で算出された金額が指標となった感が強い。というのも、恐喝を行った容疑者が要求した金額は、漏えいしたリストに含まれる人数にこの単価をかけたものに相当していたといわれているのだ。

社名 時期 漏えい情報の人数 対応 アプラス 2003年8月 約7万9000人分 1000円分の商品券と謝罪文の郵送 JCB、UFJカード、ららぽーと 2003年8月 約7000人分 カードの再発行と1000円分の商品券の郵送 ファミリーマート 2003年11月 約18万人分 謝罪文と1000円分のプリペイドカードの郵送 ソフトバンクBB 2004年2月 約451万人分 500円相当の金券の郵送

表2■情報漏えいに対して謝罪金が支払われた主な事例

　次に、2の顧客が漏えいに気づいたという点である。インターネットオークションや通販で自分の個人情報を知られたくない人向けに、私設私書箱を提供するというビジネスがある。特定の電子商取引サイトに個人情報を入力した際に、この私書箱の住所を入力していたとすれば……漏えいしたことに感づくのに時間はかからないだろう。そして実際に、これ以外にも、悪用されていることに顧客が気づいて、初めて顧客情報が流出していることが判明した例が頻発している。

法整備が進まなければ、情報漏えいは避けられない？

　もう一度、先述した名簿販売業者のWebサイトについて触れておこう。このWebサイトでは、「ネット通販利用者」「出会い系サイト利用者」、あるいは「インターネット懸賞応募者」といった名簿も販売されていた。むろん、こうしたリストがどのような経路で売却されたのかは知る由もないが、名簿業者へ売却してしまう輩をもっと取り締まることはできないのだろうか。

　ただ、名簿業者に対する取り締まりの実例は存在している。それは、たとえば2003年6月、埼玉県の名簿業者が出資法違反幇助の疑いで逮捕された事件である。この業者は、多重債務者などの情報を少なくとも150万人分集め、暴力団の関係するヤミ金融組織に売却し、1億円以上の売り上げを手にしていたという。

　名簿業者に対するこのような取り締まり事例とともに、政府の諮問機関「国民生活審議会」は2004年3月、個人情報保護法を円滑に運用するための基本方針案を大筋で了承し、4月に閣議決定がなされた。この基本方針では、医療、金融・信用、情報通信など、厳格な管理が必要な分野については個別法制定も視野に入れた取り組みを促している。先に述べた通信事業者の従業員に対する罰則の検討はこの動きの1つであり、さらにその動きが進むことを期待したい［＊2］。

　ただ、機先を制するがごとくの個人情報漏えい事件は、そうした個別法が制定されるまでやまないかもしれない。現状を考えてみると、ある意味では「駆け込み」の感があるからだ。「法の手が伸びる前に逃げ切ってしまえ」。そんなことを許してはならない。

［＊1］約56万人分の個人情報が漏えい

［＊2］その動きが進むことを期待したい。経済産業省の産業構造審議会の情報セキュリティ部会が、2004年5月11日の部会で情報窃盗罪等に関する提言をまとめた。管理者の許可なく個人情報を電子的に読み取った場合も、物を盗んだ場合同様に処罰可能にするという。