2014年07月24日

ベネッセへの通知

知り合いから委任を受けて,ベネッセに電話したのですが,応じてもらえなかったので,
次のような内容で,ベネッセに通知を送りました。
流出先の業者名の開示と適切な賠償を求めたものです。

【追記】返事や動きがありました。ブログで再度お知らせします。


1 通知人らは,貴社に会員として(会員番号○○),住所・氏名・生年月日等の個人情報を提供しました。
2 しかし,今回,貴社が顧客情報のデータベースの保守管理を委託していたシンフォーム(貴社100%出資の子会社)から,通知人らの個人情報が流出し,当該情報が多数の名簿業者等に売却・転売されて拡散される事態となりました。
そこで,通知人らとしては,通知人らの個人情報を有する名簿業者等に,オプトアウト及び保有個人データの削除を求めたいと思っております。
3 もっとも,名簿業者等については,一部マスコミの報道により明らかになった業者もありますが,当初の報道では十数社,現在の報道では数十社が保有しているとのことですが,そのほとんどが不明です。
一方,貴社はいくつかの流出先の業者を把握していて,当該業者に利用停止の要請をする文書を送ったとのことですが,貴社自体に法的な権利はなく,流出した情報の本人からの請求が必要です。
したがって,被害拡大を防止するためにも,貴社の把握する流出先業者の情報の開示を求めます。
お電話にて,開示を求めましたが,貴社の担当者は,捜査の妨げになるかもしれないとの理由で拒絶しました。しかし,今優先すべきは,貴社が被害者である不正競争防止法違反の捜査ではなく,本当の被害者である情報が流出した貴社の顧客の個人情報拡散などの被害を防止することですので,記者会見で貴社の代表者がおっしゃったことが貴社の真意であるならば,至急開示をお願いします。
4 さらに貴社は流出した個人情報の削除について,むしろ捜査のために,削除をやめるよう当該情報を保有している業者に要請していますが,これも同じく,本当の被害者の被害防止を優先すべきであり,このようなあえて流出した個人情報の保持を推奨し,さらなる被害拡大を招きかねないことは,至急おやめください。
5 最後になりましたが,補償に関して,これまでの裁判例などから,住所・氏名等の個人情報の流出については,5000円から1万円(裁判ではこれに弁護士費用)の賠償額でありますが,本件では,子供の生年月日・性別という親にとっては特別に保護したい情報の流出で,しかも長期間使用されるおそれが強く,より賠償額は多額になります。それを踏まえ,割引などでは既に退会した方も多い中で無意味になりますので,金銭によるしっかりとした補償を求めます。
6 なお,この通知の内容は,当職のブログにて公開させていただいていますので,その旨ご了承ください。
posted by まんさく at 16:56| 東京 ☀| お知らせ | このブログの読者になる | 更新情報をチェックする

「パーソナルデータの活利用に関する制度改正大綱(検討会案)」への意見

「パーソナルデータの活利用に関する制度改正大綱(検討会案)」への意見

第1 「第2 基本的な考え方」の「T 制度改正の趣旨」について
 制度改正にあたっては,パーソナルデータの利活用による公共的利益を踏まえて,憲法13条における受忍限度の範囲内でのみ,利活用の拡大を行うべきである。以下に詳述する。
 高度情報通信ネットワーク社会推進戦略本部に設置されたパーソナルデータに関する検討会が,平成26年6月19日に公表した,「パーソナルデータの利活用に関する制度改正大綱(検討会案)」(以下「改正大綱」という。)は,制度改正の趣旨における背景として,政府の成長戦略において,個人情報及びプライバシーの保護を図りつつ,パーソナルデータの利活用を実現する環境整備(事業者のパーソナルデータについての「活利用の壁」を取り払う)を行うことが求められているとしている。
 しかし,パーソナルデータの利活用の範囲を拡大すれば,その結果として,憲法13条後段の幸福追求権の一環であるプライバシーを侵害するリスクが当然発生する。そして,幸福追求権は,公共の福祉に反しない限り,立法その他の国政の上で,最大の尊重を必要とするのであるから,プライバシーへのリスクと同等以上の公共的利益がなければ,侵害リスクが発生するようなパーソナルデータ利活用の拡大は,認められないことになり(特に,公共的利益が具体的に示されないような場合には,わずかでもプライバシーリスクを生じるようなパーソナルデータの利活用は,権利侵害を生じるといわざるをえない。),改正大綱でもパーソナルデータが本人の利益のみならず公益(社会全体の利益)のために活利用が可能とするが,ここでの「公益」が具体的にどのようなものか明らかになっていない。
 したがって,制度改正にあたってはパーソナルデータの利活用による公共的利益とプライバシーリスクの比較評価が必須であり,公益を具体的に想定した上で,公益追求権における受忍限度の範囲での利活用の拡大を検討すべきである。
第2 「第2 基本的な考え方」のU以降について(括弧内が対応する大綱の項目)
1 個人の特定性を低減したデータの同意なき目的外利用・第三者提供について(第2のUの1項及び第3のUの1項)
 「個人の特定性を低減したデータ」であっても,特定が不可能になるわけではなく,取扱い方によっては深刻なプライバシー権侵害を生むことを強く認識すべきであり,原則としては本人の同意を必要とすべきである。イノベーションや新ビジネスの創出等の期待はわかるが,あくまで期待に過ぎず,「個人の特定性を低減したデータ」に該当するための要件を厳格に定めるべきである。
 また,単に識別することを禁止するだけでは足りず,識別した場合の厳しい罰則及び識別をしていないかについての第三者機関による調査が不可欠な前提条件である。
2 行政機関・独法等・地方公共団体における個人情報保護法について(第3のUの2)
 以下に詳しく述べるとおり,現在は保有者ごとに3本の法律となっている個人情報保護法を一本化するとともに,地方公共団体についても最低限の規則を法律化すべきである。
地方公共団体ごとに個人情報の定義などの個人情報に関する根幹事項が異なっている現状は,著しく妥当性を欠くものであるから,地方公共団体における個人情報の取扱いにかかる最低限の規制を法律化し,さらなる上乗せ・横出し規制については個人情報保護条例にゆだねることとすべきである。
 上記の地方公共団体にかかる法律と,行政機関個人情報保護法,独立行政法人等個人情報保護法,そして個人情報保護法を1本の法律とすべきである。現状のように,行政機関個人情報保護法と個人情報保護法とで用語や用例が異なると,体系的な法理解が困難となることから,1本の法律とすることが困難である場合であっても,少なくとも用語・用例を統一すべきである。
3 機微情報について(第3のVの1項(2))
 列挙されている情報に加え,思想に関する情報(図書館の貸出履歴や本の購入履歴,支持政党などの政治的思想も含む)や病歴についても,プライバシーの核心的部分であり,慎重な取り扱いをすべきである。
4 個人情報の取扱いの見直し(第3のVの1項(3))
 オプトアウト、共同利用、同意について、現状の問題点(実質的には意味をなしていないオプトアウト,範囲が不明確で安易に利用されている共同利用,形式的な同意)を改めるよう厳格な対応を行うべきであり,原則としては本人の厳格な同意によって初めて,個人情報を利用・提供できる制度にすべきである。
 現在問題となっている名簿業者についても規制をすべきである。
5 基本的な制度と民間主導による自主規制ルールの活用について(第2のUの2項及び第3のVの2項)
 法律で定める原則と,そのもとで詳細を規定する自主規制ルールとの位置づけを明確にして,広く広報していくことが重要である。また,自主規制ルールが乱立よる混乱を防止するとともに,自主規制ルールに違反した事業者に対しては,第三者機関による実効的な制裁を科すべきである。以下,これらについて詳述する。
機動的な対応を可能とするために、法律で定めるべき範囲と政省令・規則・ガイドライン等で対応すべき範囲とを適切に分けること,民間の自主的な取組を活用することには賛成であるが,下位法令への委任関係が複雑になると、法規制の全体像・内容がわかりづらくなることから、事業者や消費者が規制を理解できるよう、法律や下位法令の規定ぶりをわかりやすくするとともに、説明資料・広報資料の充実を求める。
 また,民間の自主規制ルールはあくまで補完である し,自主規制ルールが乱立してしまっては,どの事業者がどのようなルールに従ってパーソナルデータを取り扱っているか消費者が理解できない事態が生じるおそれがある。少なくとも,携帯端末ID等の個人と密接な関係にある情報を含むデータ及び利用履歴・移動履歴のように個人の私生活に関する具体的な情報を含むデータについては,個人情報保護法の保護対象であると法文に明記すべきである。また,自主規制ルールについて逐次第三者機関が適正性をチェックし,自主規制ルールに反した事業者には厳しい制裁を科すなど、実効性のある規律とすべきである。さらに,自主規制のない業界や自主規制の及ばない事業者には,パーソナルデータの活利用が自主規制に従う事業者より制限されるようにしなければならない。
6 実効性ある執行制度の確保にについて(第2のUの3項及び第3のW)
 被害救済を迅速・確実に行えるよう、第三者機関に課徴金に関する権限と審査請求に関する権限,消費者の被害救済に関する権限を付与すべきである。主務大臣との連携は必要な範囲にとどめ,あくまで独立性を有する第三者機関の判断が主務大臣の判断よりも重視されるよう制度設計すべきである。また,第三者機関の人員・予算を充実させるべきである。人員については,新規の組織設立を著しく困難にするスクラップ・アンド・ビルド原則を政府として見直すべきであるし,必要な定員を確保するのみではなく,パーソナルデータ行政を遂行できる能力を十分に備えた実員を確保しなければならない。予算については,スクラップ・アンド・ビルド原則同様,非効率と考えられる主計局査定の手続をスリム化し,必要な施策に必要な予算を迅速に確保できるよう,政府として予算査定のあり方を見直すべきである。定員・予算がほぼ必要ない民間からの非常勤職員、地方公共団体からの研修生に違法に頼ることなく,第三者機関が第三者機関の職責を果たせるようにすべきである。
 開示等については,これまで日本において濫訴が実際に行われて問題になったケースなどはなく,消費者本人の情報であり,事業者がそれを利用しているだけなのであるから,事業者の負担を過度に重くとらえずに(負担したくなければ情報を所持・利用しなければ良い),広く認めるべきである。
7 適用除外について(第3のY)
 自治会や同窓会等の非営利組織であって,所属する者の直接の利益(連絡網)のために情報を共有する場合には除外することは当然であるが,原則として営利団体である事業者については,広く適用除外を認めるべきではない。
posted by まんさく at 15:01| 東京 ☀| 日記 | このブログの読者になる | 更新情報をチェックする

2014年07月18日

潟xネッセホールディングスの顧客情報流出について

私個人が,現時点(H26.7.18)で報道等から得た情報は次のとおりです。

・漏えいの発覚は,H26.6.26以降,問い合わせが急増し,6.27に調査開始し,7.7に判明
・漏えいが確定している情報は,約760万件(保有する情報約2070万件)
・漏えいが確定している情報の項目は,郵便番号,子と保護者の名前,住所,電話番号,子の生年月日及び性別
・顧客情報のDB(データベース)の保守管理を委託されていたシンフォーム(ベネッセのグループ企業)が(再)委託した業者のSE(システムエンジニア)が,情報を盗み出し,約250万円で売却。転売された。
・??→パンワールド→??→文献社→ジャストシステムなどのように,約10社の業者に流れた。
・不正取得されたのは、1993年1月〜2013年12月生まれの子どもに関する情報。H25.7〜H26.6月に情報が更新されるたびに繰り返し計15回、延べ1億件以上を持ち出したうえ、都内の名簿業者に計250万円で売っていた。
・自分のIDでDBに接続し,顧客情報を貸与パソコンにダウンロードしたうえ、私有のスマートフォン(スマホ)に転送し(通常のUSBメモリーは使えない設定?,アクセス権限があれば記憶媒体を接続しても作動する仕組みだったとの報道もある),取得した。私物は制限され,手荷物検査もあったようだが,スマートフォンまでは及ばなかったか?
・ベネッセは,当初は金銭賠償は行わないという立場であったが,補償に200億円を用意,「(仮に1人一律500円の金券を2千万人に渡すと100億円になる。)補償の対象者は、重複したデータをまとめるなどしてから決める」
・ベネッセは,顧客に一律に通知を送り,漏えいしたか電話で顧客が確認できるという体制のようである



今後の考えられる対策
・損害賠償
 ベネッセから何らかの補償が行われると思われるが,任意での同様の事案での金券等による賠償では500円から1000円程度が多く,今回も同様の金額が想定される。
 しかし,住所・氏名などの個人情報流出に関する裁判例などからは,5000円+弁護士費用1000円(Yhaoo!BBが不正アクセスで情報が流出したもの)から1万円+弁護士費用5000円(宇治市の住民基本台帳のデータが不正流出したもの)と,少し賠償額が上がる。
 また,今回は,親と子のそれぞれの個人情報に加え,親子関係(オレオレ詐欺などで悪用される恐れあり)や付加情報としてベネッセの顧客情報なので教育に関心があるという属性まで加わっていて,上記裁判例よりも,高額になる可能性がある。なお,ペットの情報誌の購読者の情報も流出したようなので,そのようなものでも,都内でそのようなペットを飼育できるということは,裕福な家庭との推定がきでるので,そうのような属性も加わることになる。
 もっとも,それで,弁護士を雇い,訴訟をしても費用対効果の面で難しい。弁護団も検討されているが,ボランティア・プロボノ活動としてしか,行えない。それだけの要望があるかも現時点では不明。


名簿業者などからの個人情報の削除
 名簿業者などが個人情報を本人の同意なく第三者に提供(販売)する場合には,オプトアウト(本人の申し出があれば提供を停止する措置)になっているはずなので(個人情報保護の関する法律23条),流出した名簿業者に対し,提供停止の申出を行う。
<株式会社文献社顧客相談窓口>
〒501-6004
岐阜県羽島郡岐南町野中1−130
TEL 058−245−6828
FAX 058−248−5567
E−Mail info@bunkensha.co.jp
<株式会社パン・ワールド>
http://www.pan-world.co.jp/dm_inquiry/index.html
<NPO法人日本個人デ−タ保護協会のDM不要の申込>
https://www.npo-jpd.jp/03_shinsei.html

 さらに,本件の顧客情報は,今回の報道により,不正の手段により取得されたものであることが明らかになったので,消去を求めることができる(同法17条,27条)。
 上記連絡先に加え,
<ジャストシステムの連絡先>
スマイルゼミ インフォメーションセンター
0120-941-220
受付時間
10:00〜20:00

もっとも,これらは流出した名簿の取得した業者名が明らかにならなければできないので,
約10社にベネッセから利用停止の通知が送られたようであるが,これらの業者名について,公表されていないので,至急,公開を望む。


参考条文
個人情報の保護に関する法律(抜粋)
(適正な取得)
第十七条  個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。

(第三者提供の制限)
第二十三条  
2  個人情報取扱事業者は、第三者に提供される個人データについて、本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止することとしている場合であって、次に掲げる事項について、あらかじめ、本人に通知し、又は本人が容易に知り得る状態に置いているときは、前項の規定にかかわらず、当該個人データを第三者に提供することができる。
一  第三者への提供を利用目的とすること。
二  第三者に提供される個人データの項目
三  第三者への提供の手段又は方法
四  本人の求めに応じて当該本人が識別される個人データの第三者への提供を停止すること

(利用停止等)
第二十七条  個人情報取扱事業者は、本人から、当該本人が識別される保有個人データが第十六条の規定に違反して取り扱われているという理由又は第十七条の規定に違反して取得されたものであるという理由によって、当該保有個人データの利用の停止又は消去(以下この条において「利用停止等」という。)を求められた場合であって、その求めに理由があることが判明したときは、違反を是正するために必要な限度で、遅滞なく、当該保有個人データの利用停止等を行わなければならない。ただし、当該保有個人データの利用停止等に多額の費用を要する場合その他の利用停止等を行うことが困難な場合であって、本人の権利利益を保護するため必要なこれに代わるべき措置をとるときは、この限りでない。

posted by まんさく at 16:56| 東京 ☁| ニュースネタ | このブログの読者になる | 更新情報をチェックする