ベネッセの情報漏えい事件を分析 問題点と今後の可能性とは何か：萩原栄幸の情報セキュリティ相談室（2/3 ページ）

ベネッセコーポレーションから大量の個人情報が漏えいした背景や問題点は何か？　今後はどうなるのか？　情報セキュリティと内部不正の専門家である萩原栄幸氏が検証する。

[萩原栄幸，ITmedia]

法律上の問題点

　この部分では様々な問題がクローズアップされそうであるが、筆者はこう考えている。

1.情報窃盗罪がごく一部を除いて存在しない

　日本では情報窃盗罪が原則無いに等しく、本件も「不正競争防止法」違反容疑での逮捕になるが、ここでの争点はあまり本筋に関係のない「営業秘密になり得るか」「営業秘密の3要件（秘密管理性・有用性・非公知性）を満たしているか」という議論が展開されそうである。筆者がみた範囲では、3要件は満たされているので、「営業秘密に該当する」ということだ。

2.個人情報保護法の実態がひどい

　法律自体は満点ではないが、そこそこ良い精神で作成されているものであると筆者は考えている。今回の争点である「名簿情報」についても、法律では事業者が本人の同意を得ずに情報を販売する事に対してかなり厳しい制限がかけられている――はずだった。しかし、この様な事件が個人情報保護法の施行後に何回も発生している。それにも関わらず名簿業者への行政指導の実績がないどころか、名簿業者の監督をする官庁すらも定まっていない。この現実は可及的速やかに対処すべき問題である。

善意の第三者

　今回の漏えいした個人情報は名簿業者を転々とした。転売した業者は口を揃えてこう言うだろう。「不正に盗まれた名簿情報とは知らなかった。私は善意の第三者に過ぎない」と。これは法律などで、名簿情報を買い取る場合に入手方法や入手先が分かるようにしたり、そもそも「善意の第三者」になるケースを明確に定めておくことが必要だろう。この部分の解釈は法律の専門家の間でも分かれるグレーな問題なのかもしれない。今後の動向に注視したい。

ベネッセの対応ついて、評価できること、まずかったこと

評価できること

　Webサイトでの情報の掲載方法は評価できる。昔から体裁に関係なくトップページにその事を掲載し、情報がないことによる顧客の不満を少しでも解消すべきであるとされてきた。今回の場合も、これが忠実に守られている。また、オペレータもほとんど隠し立てせず、実直な対応をしているように見受けられる。原田社長の意を汲んだ現場の対応かもしれない。

　強いて課題を挙げるなら、オペレータの対応に多少のトゲを感じかねない発言があった。事前にもっと教育を行い、「あなたの発言の1つ1つが当社の命運を左右しかねない。慎重な対応を徹底してほしい」とオペレータに理解してもらうことが大事だったのではないかを思う（「している」と言えば、それまでだが）。

まずかったこと

　最大のポイントは、顧客から指摘されるまで同社が情報漏えいに気付かなかったことだ。上場会社としては、あり得ない結果であり、せめて、ログ分析から不正な兆候を検知して社内調査を始めているべきだった。半年以上も前から放置されていた事実は極めて大きい。

　また、原田氏の「金銭的補償は考えていない」という発言は、同氏のこれまでのビジネスに対する姿勢からは想像し難いものだ。もしかしたら、金銭的な補償対応にすると同社の存続が危うくなるかもしれないとの判断から、こういう発言をしたかもしれない。残念ながら、その発言に「お客様」はいなかった。

　自身が情報を漏えいされた立場なら、どう考えたのだろうか。子どもや孫の情報は、彼ら進学しても社会人になっても、結婚してからも、ずっと流通している。

　「機微情報はない」「金銭的価値を持つ情報はない」とは口が裂けても言ってはいけない。それを判断するのは企業ではなく情報を漏えいされた個人である。親子で氏名が違う、ストーカーを避けるために住所閲覧を制限している――それが暴かれることの恐怖に日々怯えて暮らしている親御さんがいるかもしれない。それにもかからずこう発言をしてしまうのは、「上から目線」「自分たちは被害者」という意識がどこかにある。人はそう考える。

　マスコミ対応専門家なら、発言してはいけない言葉に該当する。同社は被害者の側面を見せてはいけない。「加害者である」と肝に銘じてほしい。