SPNの眼
今回のコラム&レポートは「SPNの眼~事業者の情報管理とセキュリティ」の(下)です。
前回(「SPNの眼」7月号)に引き続き、個人情報保護法改正案において着目すべき視点とビッグデータ活用にともなうリスクについて解説します。
特に改正案の継続的課題である「名簿屋」の扱いについては、個人情報の不正取得や転売行為等の活動を規制する何らかの取組みの構築が急がれています。企業が、その個人情報が不正に取得されていることを認識しながら(知らないはずがない)活用することは、企業としての責任を問われる重大な問題となります。今回はこの点を主要テーマとして取り上げています。是非、ご一読ください。
1.名簿屋の扱い
現在、個人情報保護法改正を見据えた「パーソナルデータの利活用に関する制度改正大綱」(以下、「大綱」)では、以下のとおり、継続して検討すべき課題の一つとして「名簿屋」の扱いがあげられている。
『個人情報を販売することを業としている事業者(いわゆる名簿屋)等により販売された個人情報が、詐欺等の犯罪行為に利用されていること、不適切な勧誘等による消費者被害を助長するなどしていること及びプライバシー侵害につながり得ることが、社会問題として指摘されている。このような犯罪行為や消費者被害の発生と被害の拡大を防止するためにとり得る措置等については、継続して検討すべき課題とする。』
現行法では、一定の条件下で本人の同意なく個人情報の第三者提供が可能である。(本人からの削除の申し出があった場合に提供を中止するなどの条件)。そのため名簿業者の多くはいわゆるオプトアウト(本人からの拒否・削除などの手続き)を設けており、これが合法であることの証明の一つともなっている。 しかし 、本人は自分の個人情報が名簿業者に売られたという認識すらなく、個人が自ら調べて自ら削除の申し出をおこなうことは現実的には不可能である。
大綱案では、個人データの取り扱いを監視・監督する権限をもつ第三者機関を設置し、名簿業者に対し、その第三者機関への届け出義務を課すことを検討している。しかしながら、届け出のない業者に罰則を科すにしても、業者名の登録だけでは、犯罪に関わる疑いのある名簿の売買を防ぐには不十分といえる。第三者機関に、届け出内容の公表や立ち入り検査、勧告・命令等の権限を与え、第三者機関がその権限を適切に生かしながら悪徳業者や不正な名簿を排除できるような実効性のある仕組みづくりが求められる。
2.犯罪利用としての名簿
特殊詐欺事案においても、もともと名簿屋から購入された個人情報が架電先リストとして犯行グループ間で使い回しにされ、利用されていることが知られている。
息子や孫を騙って高齢者に金銭的援助を求める振り込め詐欺(「オレオレ詐欺」 )や、ありもしない社債や未公開株への投資を勧誘する投資詐欺、高齢者に勝手に宅配便で自社製品を送りつけて法外な商品代を騙し取る送り付け商法等の特殊詐欺 等が話題になっているが、いずれのケースも背景には業者がターゲットとする各種名簿が存在している。
警察庁が発表した今年1~6月の集計によると、特殊詐欺の被害総額は約268億3千万円で、 年間で過去最悪だった昨年同期を約56億円上回っている。金融機関のATMなどから現金を送金させる振り込め詐欺だけでなく、宅配便やレターパックを悪用して現金を送付させる事件も増えている。警察庁は「宅配便などで現金を送れと言われたら、まず詐欺と思え」と注意を促す一方 、犯人グループから押収した名簿に記載された方に直接、注意を呼びかけるなどの対策を取っている。しかし、詐欺グループへの名簿流出を阻止するのは難しいのが現状だ。
特殊詐欺に用いられる「名簿」は繰り返しアップデートされるため(家族構成や在宅時間、金融商品や通信販売の購入履歴といったレアな情報が付加される)、 転売を重ねた「名簿」のほうが詐欺行為者にとっては確度の高い情報になることがある。
※名簿業者は、複数のデータを入手した後、「名寄せ」として同一人物に関する情報をひとまとめに統合し、情報の精度を高めるために、常にメンテナンスを施し、データをクレンジングする。例えば、氏名や住所のデータに、年収や出身校、所属企業などを掛け合わせて新たなデータに加工するとされている。
▼ 参考:株式会社エス・ピー・ネットワーク「暴俳トピックス8月号」平成26年上半期の特殊詐欺事案の状況
そもそも名簿業者を監督する所管省庁が定まっておらず、業界の実態も明らかでないのが現状である。警察庁は、特殊詐欺で現金送付に利用される金融機関や宅配、通信事業者らの協力を得て、被害防止の取り組みを強化しているが、先般の大規模個人情報漏えい事件の捜査を機に、まずは関係省庁や専門家とともに名簿業者の実態をより深く把握していくことが喫緊の課題といえる。
3.海外の名簿業者(データブローカー)の動向
欧米におけるプライバシー保護強化の議論は、「第三者委員会設置」や「自主規制」、「プライバシー影響評価」等、今回の個人情報保護法改正案にもみられる通り、確実に日本の制度、ビジネスへ影響を及ぼしていくものと考えられる。中でも現在欧米が規制強化の対象として議論を深めているのが、「データブローカー」であり、欧米のプライバシー保護規制がどのように進むのかを今後も注目・確認していく必要がある。
「データブローカー」とはパーソナルデータを保有する事業者などからデータを購入したり、インターネット上に掲載されている個人情報を収集・蓄積・解析し、主にマーケティングデータとして、事業者へ販売している事業者のことである。
このデータブローカーは、日本では、いわゆる”名簿屋”に相当し、主に中小・零細事業者が担っているが、米国では、これを上場企業やベンチャー企業が法令遵守に留意しつつ、巨大な資本を投下して大規模におこなっている。
データブローカーの代表的な企業であるAcxiomは年商約11億ドルで、日本の中小・零細企業が担う名簿屋とは異なり、米国のデータブローカーは一大ビジネスとを形成している。
Acxiomは、1億400万世帯以上、約2億1000万人分以上のパーソナルデータを保有(毎月データを更新)しており、顧客には非営利企業や政府機関も含まれる。データベースには、氏名、年齢、住所などの基本情報だけでなく、月ごとにどのような商品を購入したかという購買履歴、持ち家、賃貸の別などの住宅情報、さらにはアレルギーや糖尿病等の健康情報までもが、世帯や個人ごとに整理されているという。
米国の個人情報保護の仕組みとしては、業種別(金融、医療等)やテーマ別(迷惑メール対策、子どもの保護)に個別法を定める”セクター形式”をとっており、日本の個人情報保護法に相当する一般法はない。つまり、個別法の無い業種や分野では自由にデータを利用できる環境を維持してきたのだが、近年当局が企業のパーソナルデータ利用をプライバシー侵害行為に該当するとしてペナルティを科す事件が相次いでおり、規制強化の機運が高まっている。
ソーシャルメディア上のデータなどを収集して作成した個人のプロファイリングデータを従業員の採用時のスクリーニング用に提供していたデータブローカーに対して、課徴金を科したものがある。この事件は、ソーシャルメディアの情報を採用活動に用いた行為に対する初の制裁事例として注目された。
▼ 日経ビッグデータ「データブローカーの落日」2014.02.17
米国では、消費者へ約束したポリシーと異なるデータの取扱いをした場合、事後的に厳しい制裁があり得ることを示すことで、事業者に裁量を与えながらも、行き過ぎたパーソナルデータの利活用を自制させている。
4.パーソナルデータ利活用とプライバシー
名簿に限らず個人の各種の行動履歴を収集し、蓄積されたビッグデータとしてのパーソナルデータを分析することで、個人の行動パターンや嗜好などが分かるため、日本においても、ビッグデータの利活用が企業にとって新たなサービスや商品の開発につながると期待されている。その一方で、消費者側からは、企業に渡った個人(自分に関する)情報が、知らない目的で第三者に利用されることへの懸念が依然として根強い。
ビッグデータとしてのパーソナルデータの利活用に際しては、このように企業側の有用性をフルに活用したいという思惑と、利用者(個人情報主体)のプライバシー保護意識が交錯し、各局面で問題を先鋭化しているということを改めて認識しておく必要がある。
個人情報保護というと、これまで個人情報のセキュリティ(安全管理措置)を確保することを主な目的として取り組まれてきた。実際に、個人情報に関する事故は、外部からの情報システムへの不正アクセスや、内部関係者による持ち出しや紛失がほとんどである。
一方、パーソナルデータの利活用をめぐる事故は、個人情報保護法上の問題よりも、自身に関するデータが知らないうちに事業者間を流通することに対する、消費者の懸念と不安、そして怒りから生じ、加えて、事業者からの説明不足が増幅されているものである。消費者はデータが流通することによってどのようなリスクが生じ得るのかは具体的には理解しておらず、漠然とした不安感が大きい。
一方で、日本では非常に多くの消費者が不安を抱えながらインターネットを利用している状況にある。自分に関するデータが、いつのまにか自分の知らないところで利用されているということに考えが及ばないような状況 にあるといえる
独立行政法人情報処理推進機構(IPA)によると、日本の消費者(若年層)の個人情報の外部利用に対する意識は、欧州諸国の消費者に比べて低いというデータもある。2010年に、IPAが日本の15~25歳の若年層を対象に実施したインターネット調査の結果と、IPTS(Institute for Prospective Technology Studies)が、同様にEUに加盟するイギリス、ドイツ、フランス、スペインの4カ国の若年層を対象に実施した調査結果を比較したところ、「私の個人情報が、私の知らないところで使われている」という項目に対して「非常に懸念している/いくぶんか懸念している」と回答した人の割合は、日本の若年層が65%、EUの若年層が85%であり、日本の若年層の方が自分の個人情報の外部利用に対する懸念について約20%ポイント低かった。
▼ IPA:「eIDに対するセキュリティとプライバシーに関するリスク認知と受容の調査報告」
パーソナルデータは、インターネット上に一度記録されると完全に消去することは非常に困難である。デジタルデータは、瞬時に複製され、国境を越えて流通し、サーバや通信機器の中に記録され続け、一度流出、流用、転用されると回収は不可能である。さらに、流出した 断片情報が収集されることによって、家族や友人等が特定される可能性もあり、個人の問題に留まらない広がりを持つ。事業者として、パーソナルデータ利活用と管理には、そのリスクとプライバシー保護、双方のバランスが重要であることをあらためて認識する必要がある。
(来月から毎月第三週目に『情報セキュリティトピックス(仮)』と題してレポートを配信する予定です。)
