個人情報が欲しいワケ：個人情報保護コラム

ある日突然、企業の担当者から「会社の個人情報指針に違反するので、電子データではお渡しできません」と言われるかもしれない。とある学会の会員名簿を営業リストに利用していたA社は、それによって途方に暮れた。しかし、A社は大胆な行動に出た。

[佐藤隆，ITmedia]

　個人情報の保護に取り組む企業が増えている。企業のアンケートにも、利用目的や個人情報の取り扱いを明らかにすることが当たり前になってきた。しかし、業務で行なってきた個人情報の入手・利用が困難になってきたからこそ、個人情報を欲しがる企業は逆に増えてきている。

　企業は手当たり次第に広告を出して販売を行うわけではない。見込み顧客リストを作り、営業を行なう。その見込み顧客リストが個人情報指針（プライバシーポリシー）や、新たに導入されたセキュリティ製品によって入手不可能になった時、企業は別な意味で個人情報対策に動き出す。

購入しても利用できない個人情報

　ある学会に法人として加入しているA社は、定期的に学会員の名簿を購入している。名簿の利用目的は、学会員に対して自社の製品を販売するためである。簡単に言えば、ダイレクトメールを出し、問い合わせがあれば製品を勧める、典型的な営業手法である。

　製品に興味がある見込み顧客を絞り込み、営業を行なうのだから効率がいい。製品を購入した顧客も満足してくれた。ダイレクトメールを不要と回答した会員には以後、案内を送らなかったので、問題になることはなかった。学会側も会員名簿を複数購入するA社が、名簿を購入する理由も推測できた。しかし、不景気になって次々と法人会員が減少し、バブル時に比べると法人会員は半分となり、運営資金の確保に悩む学会側も黙認していたのである。

　ところが、最近の個人情報保護の流れもあって、学会は学会員名簿の販売を制限せざる得なくなった。学会は、会員は1部のみ名簿を購入できるという形に変更したのである。さらに、販売される名簿は暗号化されて、CD-ROMで配布されるようになった。

　困ったのは営業に利用しているA社である。怪しい名簿業者から個人情報を購入したのではなく、正しい手続きで名簿を購入したにもかかわらず、業務に利用できなくなったからだ。実は、A社はこれまで学会から名簿を複数購入し、全国の支店に配布して営業に利用していたのである。新しく届いた会員名簿のCD-ROMには、プロテクトがかけられ、利用するにはパスワードが必要となる。しかも、CD-ROM内にある個人情報には暗号化されていて、ほかのアプリケーションからはアクセスできない。CD-ROMを複製することも禁じられていた。A社は途方に暮れた。

窮地に陥ったA社の戦略

　見込み顧客リストを入手できないことは、A社にとって大きな問題であった。しかし、A社は大胆な行動に出た。PCに表示されている会員の個人情報を見ながら、別のPCの表計算ソフトで個人情報を入力したのである。

　学会員名簿の値段は約1万円。会員約1万人に対してダイレクトメールを送付する年間費用は、数百万円。その代わりとなる営業手段が見つからない以上、選択肢はこれしかない。社員の努力もあって、1カ月後、すべての個人情報が表計算ソフト上に複写された。A社は1カ月ぶりにダイレクトメールを発送することができた。こうしてA社は、当面の危機を脱した。

　この話を聞いた時、NHKのテレビ番組「プロジェクトX」を思い浮かべた。名もない社員達は、ひたすらPCに向かい、入力ミスも許されず、個人情報を移し変える毎日が続いたのだ。決して楽な仕事ではない。

　だが、これを他人事で済ますことはできるだろうか？

　ある日突然、「会社の個人情報指針に違反するので、電子データではお渡しできません」と企業の担当者から言われるかもしれない。その時、A社の選択は確実に存在する。個人情報をいかに守るべきか、そのために企業は何をすべきなのか、製品やサービスに関する情報はインターネットに溢れている。しかし、お金で解決できない問題に直面した企業は、どのような奇策を使うのだろうか。

　A社のような人海戦術もあるだろう。セキュリティ機能を回避する方法を発見しようとするのかもしれない。脆弱なセキュリティ製品が原因で、個人情報が流出する事件も出てくるだろう。いずれにせよ、表面化してくるのはこれからだ。

佐藤隆プロフィール

セキュリティコンサルタント。セキュリティ監査、ペネトレーションテスト、情報セキュリティ教育などの情報セキュリティ業務に従事し、大学では非常勤講師を務める。BS7799オーディター、ISMS審査員資格を所有している。