ベネッセが大量の顧客情報を流出させた。

外注業者の社員が逮捕され、ベネッセは200億円を超える顧客への賠償金を引当てる経理処理をしたという。犯人が情報を販売して得た金額が2～300万円らしいが、その1万倍近い負担がベネッセに降りかかったことになる。さて、ベネッセは被害者なのであろうか？

社員ではなく外部業者による不正であり、この損害額を考えると、一見して被害者と見えなくもない。問題が発覚した初期の同社の対応には、その様な認識が見え隠れしていたという指摘もあった。しかし、個人情報そのものは同社が顧客から信頼を受けて提供を受け、責任もって管理することを約束した筈のものである。その重要情報の管理を外部業者に委託していたというのは、余りにも杜撰であり、今回発覚せずとも、いずれ問題を起こしたであろう事は間違いない。この意味でベネッセは加害者であることは明白である。

個人情報がうるさく言われる様になったのは、さほど古いことではなく、たかが住所と氏名、年齢くらいならば一個人にとってはさほど神経質になる事でもないと考える人も、まだ多いと思う。しかし、本件のように、その情報が金銭を伴って売買されるという事が、犯罪と見なす裏付けとなっている。個人情報の売買価格は1件当たりでは100円程度という。一個人の、しかも限定された情報ならばせいぜいそんなものであろう。つまり、被害者である個人ベースでは法に訴えるほどの価値はないのである。であるからこそ、ベネッセのように大量に情報を保有している企業が、その保全について責任を持たなければならないのである。

その後、この情報を購入した企業が複数明らかになってきているが、何れも表向きは名の通った企業である。情報の出元確認を怠ったと糾弾するのは簡単であるが、出元の確認などは関係ない。そもそも、手軽に金銭で情報を得ようという企業姿勢そのものが問題なのである。恐らく、ダイレクトメールを無闇に送るより、何らかの情報でスクリーニングして送れば効果が高いとして、その期待効果と情報を購入する費用を天秤にかけて購入することを選択したのであろう。この時点で、ベネッセの顧客軽視の姿勢と同罪となる。仮に、購入した情報で顧客を得たとして、その際に外部から違法な情報を用いていたことが発覚すれば、即その顧客は離れてしまうであろうし、クチコミ等で悪評判が広まってしまうのは避けられない。このリスクの大きさを自覚することが企業として必要である。

この、情報購入側のリスクを企業社会が共有しなければ、今回のような流出事件は防げない。流出防止策の屋上屋を重ねるより、購入側の規制を強化するほうが早道であろう。

余分な直感ではあるが、今回の事件でベネッセの原田社長の会見を見て、経営者としての運気が衰えたのかな、と感じた。アップル時代からマクドナルドCEO時代前半までは正に順風満帆の経歴を誇っていたが、マクドナルドの業績が下降に転じて以後、反転の兆しも掴めずにCEOを外人に譲り渡し、ベネッセに転じてすぐにこの問題である。決して能力の問題ではないと思うが、経営には運気も必要ということではないだろうか…。