個人情報の漏洩

個人情報の漏洩にはいくつかの背景がある。大本は、管理が悪いことに尽きる。

まず、考えられるのは「お金」になるということ。同窓会名簿などをいまだに印刷しているとすれば1冊数千円で買ってもらえることがあるらしい。これがデータならもっと高く買ってくれそうだ。

それに付加される情報によっては1人当たり1,000円になることもあるらしい。名簿業者は、さまざまなデータを保有しており、それを名寄せして付加価値を生み出して、欲しい人にさらに高値で売ることになる。

「チームX」でも書いたように、品質や価格にさほどの差がない商材をうるならば「宣伝」が有効であるが、宣伝となると大海原にこぎ出すようなもので、テレビ、新聞を筆頭に相当なコストを投入することを余儀なくされる。

そこで、ターゲットを絞り込める名簿なら、「宣伝」より安上がりで有効な手段となる。よって、個人情報は持ち出す価値があることになる。

「人材が流動」するほどに、個人情報のみならず顧客情報や企業秘密などの管理が適正である必要性が高まる。確たる根拠があるのかは不明だが、「企業情報漏洩の8割は内部の人間が関わっている」という話もある。

有名な事例で、宇治市の住民基本台帳21万7617件漏洩事件がある。宇治市が開発業者に委託し、その開発業者が再委託し、そこから再々委託されたアルバイトが名簿業者に販売した。裁判で宇治市は1人当たり1万5千円の支払いを命じられた。

あるいは、自治体で使っていたハードディスクが、データが入ったままネットで売り出されたこともある。これは廃棄処分を受託した会社の下請け企業の社員がHDDを持ち出した事例であった。

ようするに、開発であれパソコンの廃棄であれ、依頼する大本の事業体の管理能力による。宇治市の例では、漏洩させたアルバイトを直接雇用した企業もさることながら、宇治市の責任が追及されたことに注目するべきである。

2014年にはベネッセでも派遣社員がデータを漏洩させている。この時点では、刑法の窃盗罪で処罰できないのみならず個人情報保護法でも処罰できなかった。ベネッセにとって顧客情報は「営業秘密」になるとして「不正競争防止法」違反として処罰することとなった。

情報が「営業秘密」といえるためには、

①秘密として管理されていること
②事業に有用な技術上または営業上の情報であること
③公然と知られていないこと

の3つを満たす必要がある。

その後、2015年に個人情報保護法が改正され、1年以下の懲役または50万円以下の罰金に処されることとなった。
「個人情報データベース等提供罪」(個人情報保護法83条)

悪意ある盗難ではない原因に「紛失」がある。直近では尼崎市で全市民46万人分の個人情報を含むUSBメモリーが一時紛失し3,000万円の損害賠償を元受けが支払った。56時間後にカバンごと見つかったので事なきを得たが、重大事故になりうる事案であった。

こちらは元受けが損害賠償を支払っているが、これも発注元としての尼崎市の管理責任は不存在ではない。