企業の持っている個人情報はお金になる・・・
個人情報保護法施行によって、個人データの取り扱い方や管理体制が厳しくなってきたのですが、それはあくまで一次情報を取得・保有する側の企業や団体の保護管理規定が中心で、住所・氏名・年齢・性別・学歴・収入・家族構成・資産・負債・傷病歴や持病等が記載されている情報を、紙などに印刷したものを盗み出したり、紛失や流出の恐れがある外部への持ち出しを制限したり、記憶媒体へのダウンロードや外部持ち出しに一定の制限を設けるなど、管理規定を作成して遵守するよう指導する、どちらかというと性善説にのっとった対策をしているように感じます。
先日、名簿業者への営利目的での転売から企業の保有する個人情報流出が発覚するという事件がありましたが、そもそも悪意を持って不正に情報を取得したり、流出させたりする人が現れる事が前提で、情報の保護・管理規定を作成してはいないようです。
明らかに外部に持ち出すことが前提でも、不正に記録メディア等に情報をダウンロードしたり、記録ファイルをEメールなどで送信したりする行為自体には、法律的な罰則がないのですから不思議ですね。
アンケート用紙など紙に直接記入してもらったものならともかく、わざわざ見つかり易い紙などに印刷して大量に情報を持ち出す事など誰もしないでしょうけど。
そこで刑事訴訟法では不正競争防止法が適用という事で起訴したのでしょう。
個人情報保護法の指針では、意図的な流出防止策を講じる為の具体的な対策は個別対応ですから、どんなに強固なセキュリティ対策をしても、それをWEBサイト等から探し出して侵入するハッカーもプロですから、100%安心という事にはならないのかも。
WEBサイトなどに見る個人情報の取り扱いに関する文言は、どこもほとんどお決まりの規定文ですから、文面だけ見てもアテにはならないですね。
しかもグループ会社など、身内で情報を活用することができると明記していますし、子会社や関連会社だけでなく、まったく関係ない会社や団体への情報開示も、一次情報を取得した企業などが“有用”と解釈すれば起こり得るのです。
情報流出が起きると、それに関してのお詫び文や謝罪と一緒に、商品券などを配る方法が一般的に行われていますが、もし、流出した個人情報を基に、金品を要求されたり、脅迫行為を受けたりといった具体的な被害が証明できれば、そんな見舞金に甘んじる必要はありません。しっかり慰謝料を要求することも可能です。
また、同様な被害者がまとまって集団訴訟を起こすことも可能です。
ただし、どこかの弁護士が出てくるTVバラエティみたいに、損害賠償はあくまで請求が可能だというだけで、相手が支払うと確定するわけでも、その裁判に勝てると決まっているわけでもありませんから、そこは注意が必要です。
大手企業の個人情報流出が発覚後に、謝罪文と一緒に送られてくる商品券などは、いわば見舞金みたいなものです。
これらは、危機管理対応コンサルティングのプロが、今までの事例を参考にして、記者会見には代表者を始め何人が立ってお詫びの言葉や今後の対応などについて話をするか、謝罪には文書と共に金品を付けるか、いくらにするかといった事を、アドバイスにのっとって行っているだけですから、その対応に納得しない人がいてもおかしくはありません。
個人情報は、一旦流れ出すと二次・三次と拡散や転売を繰り返しますし、その間には情報項目ごとに加工して利用する人の手に渡る事を含めると、これらの個人情報を全て消去する事など到底不可能です。
個人的には、ここでしっかり社会問題化して個人情報は流出ありきで対策を講じる方向に持っていかないと、国が目論んでいる来年のマイナンバー制度施行にも、国民の理解はなかなか得られないと思います。
最近でも、近親者による暴力行為、いわゆるDV(ドメスティックバイオレンス)やストーカー行為(執拗な付きまとい)によって、夫や元交際相手などから逃げていて、第三者には情報開示不可となっている筈の被害者の現住所などが、探偵などによりいとも簡単に開示されたり、犯罪被害者の情報が検察などの失念で加害者側に知られたりした事が原因で、殺人事件が起きてしまう事態もありましたから、行政機関の情報管理体制には不安を覚える人が多いのも当然です。
果たして、国だけでなく自治体でも、住民が安心して安全に利用してもらえる個人情報の保護管理対策はできるのでしょうか。
来年度に向けた行政の予算編成も、そろそろ概算が出てくる頃です。
来年10月のマイナンバー制度施行に向けて、市町村レベルにおいてシステム構築に関する予算と人事、住民への周知は間に合うのでしょうかね。