ITmedia NEWS >

ついに子どもも被害者に? 個人情報流出事件についての考察(1/3 ページ)

» 2004年09月01日 14時00分 公開
[ITmedia]

 個人情報流出のニュースが、連日のように報道されているが、子供を持つ親としてこの事件は見逃せない。8月24日に明らかになった、日能研の個人情報流出事件である。詳しくはリンクを見てもらうとして、ここでざっと情報をまとめると、

  • 流出が確認されたのは104人分

  • 最悪のケースでは約22万8000人分の可能性

  • 流出名簿に該当する範囲は、埼玉、千葉、東京、神奈川の4都県

  • 内容は、小学3−6年生の生徒氏名、生年月日、性別、住所、電話番号、保護者氏名

 ということだ。流出経路その他は現在調査中であるが、もし約22万8000人分のデータが流出したとなれば、おそらく未成年者の情報流出としては過去最大規模ではないかと思われる。

 これまでにも、未成年者の情報が流出したと見られる事件はあった。だがそれは、通知表の紛失や、学校あるいは教員のパソコンの盗難という形であり、漏洩規模はクラス単位、あるいは学校単位と、比較的規模は小さい。もちろん小さければ許されるという問題ではない。

 一私塾の入会者数が22万8000人というのはすごい規模だ、日能研もうかってんな、と思われたかもしれない。そう、問題はそこだ。この流出データの内訳は、“日能研に通う子ども”に限られていないのである。

 これは中学受験を控えた子どもを持つ人にしか分からない事情なのだが、実は日能研というのは、オープンテスト、いわゆる「全国模試」の大手なのである。ちまたには大小合わせて数多くの学習塾があるわけだが、受験を前提に考えると、その子の学力を測って志望校をしぼり込む必要がある。そのためには、人数の限られる塾内でいくら試験をしても、全国的なレベルがなかなか分からない。

 そこで多くの塾では、日能研を初めとする大手塾が定期的に実施する、全国模試への受験を勧められる。べつに日能研に通っていなくても、申し込みをして受験料を払えば、誰でも試験を受けられるのだ。今回流出したのは、こうして模試を受験した子どものデータで、日頃から日能研に通っている子どもだけのデータではないのである。

どうやって流出するのか

 比較的大きな流出事件を例にして、筆者なりに流出事件全体の傾向を分析してみることにする。まずデータベースの管理方法だが、大きく分けて3つのパターンがあるようだ。

1.自社でハードウェアを持ち、社員で管理

2.自社でハードウェアを持ち、管理を外部業者に委託

3.外部業者に全部委託

 1の方法が一番安全なようにも思えるが、その逆の考え方もできる。このパターンでは、データベース管理がしっかりできるほど有能な社員を抱えている大会社というイメージもあるが、実態はことの重大さがよく分からないままに管理者にさせられたケースも多いと聞く。

 また非常に小規模の場合、データベースは社員が持ち歩いてるノートパソコンの中、というレベルもこの中に入るだろう。ノートPCが盗まれて顧客情報流出の可能性というニュースは、このようなケースだ。

 2.や3.に関しては、管理会社の責任が問われることになる。だが実際には現場に詰めている人間が大学生のアルバイトだったりした場合、例えば警備会社のようなレベルでセキュリティやモラルに対する教育が成されているとは、とうてい期待できないことになる。

 日能研の場合、データベースを管理していたのは、株式会社 エヌ・ティ・エスという会社である。一見、3のようなケースに見えるが、ここは日能研企画開発部電算室と連絡部の採点・テスト処理部門が独立した会社であり、日能研の子会社にあたる。つまり1と3の中間といったところか。いずれにしても、データの保持・管理方法の違いによっては、データ流出に対する防止レベルは変わらないのではないかと思う。

 次に、情報流出のルートについて考えてみたい。大きく分けると、以下の4パターンに分けられる。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.