契約者の「個人情報」 ショップ店員はどこまで見られる？：元ベテラン店員が教える「そこんとこ」（1/3 ページ）

[迎悟，ITmedia]

　2020年、「ドコモ口座」の不正出金問題をきっかけに、スマートフォンを使った決済サービスの不正利用事案が相次いで発覚したことは記憶に新しい所です。

• →「ドコモ口座」を使った不正出金が発生　中国銀行、七十七銀行、東邦銀行で確認される
• →PayPayが一部銀行でeKYCを必須に　不正利用の被害金額は265万3041円

　2021年3月、ソフトバンクの販売店に勤務する販売員がユーザーの氏名、住所、電話番号、預貯金口座の情報などを不正に「保存」していたというニュースがありました。不正に保存された情報の一部は、先述の決済サービスの不正出金事案で利用されていたことも分かっています。

• →ソフトバンク訪問販売代理店でユーザー情報の不正取得　2015年〜2018年に6347件

　このようなことがあると、販売店がどのくらいの個人情報を、どのくらいの期間に渡って保存するのか気になる人も少なくないでしょう。そこで今回の「元ベテラン店員が教える『そこんとこ』」では、携帯電話の販売代理店がユーザーの個人情報をどこまで利用できるのか、解説していきます。

携帯電話の販売代理店はユーザーの“情報”をどう扱うのか？（画像はイメージです）

個人情報は2要素以上ないと検索できない

　個人ユーザーを対象とする携帯電話の販売店は、大きく分けると「キャリアショップ」と「その他の販売店」（家電量販店、キャリアショップではない専売店、併売店など）に分けられます。

　料金収納、端末の故障時のサポートなど、キャリアショップはキャリアを“代理”して行う業務が多岐に渡ります。そのため、キャリアショップで勤務するスタッフには、より多くの顧客情報を閲覧したり修正したりする権限が与えられています。

　これだけ聞くと「キャリアショップの方が情報漏えいリスクが大きいの？」と思うかもしれませんが、キャリアのルールに従って情報を扱う限りにおいて、その他の販売店とリスクは同等です。

　販売店のスタッフは2つ以上の“個人情報”を提供してもらわないと契約情報を検索できません。例えば以下のような感じです。

• 「契約者の氏名（読みまたは漢字）」と「契約している携帯電話番号」
• 「契約者の生年月日」と「契約している携帯電話番号」

　例えば「自分と同姓同名（あるいは同じ誕生日）の契約者はどのくらいいるのかな？」といって、1つの情報だけを入力して検索をかけることはできません。

代理店のスタッフが契約情報を検索する場合、手続き者から2つ以上の個人情報を提供してもらう必要があります（画像はイメージです）

個人情報の検索には必ず“履歴”が残る

　2つ以上の個人情報の提供を受けないと、契約情報を検索できない――このことは、少し言い方を変えてしまえば個人情報を2つ以上知っていれば、その場に本人がいなくても検索できてしまうということです。

　ただし、キャリアもそんなことは百も承知しています。契約情報を勝手に検索することを抑止するために、各キャリアの顧客管理システムは契約手続き用端末で行った操作の履歴を保存します。「いつ」「どの端末で」「どのスタッフが」「どんな操作をした（手続きを行った）」のか、“完全に”トラッキングできるのです。

　加えて、なりすまし対策として、多くのキャリアでは端末やシステムへのログイン時に生体認証（指紋または指静脈）を必須としています。ログイン中でも重要な操作をする度に生体認証を求めるキャリアもあります。

　端末の操作履歴に明らかな不審点がある場合は、キャリアの担当者や販売店を管轄する代理店の管理者にアラートが発出されます。それをきっかけにしてキャリアや代理店が調査を実施することもあります。調査の結果によっては解雇を含む懲戒処分の対象になりますし、法令に抵触したりキャリアや代理店に損害を与えたりする行為が確認された場合は刑事告発されたり民事訴訟を提起されたりすることもあります。

　このように、ユーザー情報を不正に検索することはリスクしかありません。スタッフ本人としては「面白半分」であったとしても、今後の人生に悪い意味で大きな影響しか与えないのです。

契約手続き用端末は操作履歴が逐次記録されます（写真はイメージです）

　キャリアや代理店は人的教育にも注力しており、半年〜1年に1回のペースでスタッフに「コンプライアンス研修」の履修を義務付けています。その際には、他社を含めたケーススタディも行われ、情報漏えいが発生した場合に負うリスクの大きさを徹底的にたたき込まれます。

　普通に考えれば、ここまでやっているのですから、我が身を滅ぼしかねない不正操作をスタッフが“率先して”やるとは考えづらいものです。