<INDEX>
■大型漏えい事故が次々発生 ~ 三菱UFJ証券、アリコ、アミューズ、陸上自衛隊
■クレジットカードの不正使用 ~ 4443件の照会を受けたアリコジャパン
■カードが不正使用された場合の対応 ~ 発覚時期による3ケース
■相次ぐ勧誘電話の被害 ~ 不正取得名簿の返却を拒む業者も
■全陸自隊員とその家族の個人情報漏えい ~「国家防衛の危機」危惧する声も
■漏えいさせた側の被害 ~ 失われた信頼と、莫大な金銭的損失
■今後の課題 ~ 情報を持ち出した元社員はどう裁かれる?
<本文>
■大型漏えい事故が次々発生 ~ 三菱UFJ証券、アリコ、アミューズ、陸上自衛隊
ここ半年の間に、大規模な個人情報漏えい事件が立て続けに発生した。4月、三菱UFJ証券のシステム部に所属する幹部社員が顧客情報約149万件を持ち出し、うち約5万人分を名簿業者に売却したというニュースが報じられた。個人情報漏えいに対しては万全の対策がとられているだろうと思われた大企業での発生だけに、衝撃は大きかった。
その衝撃がまだ醒めやらない7月、外資系生命保険大手のアリコジャパンが、顧客情報最大11万件が流出した可能性があると発表。その後の精査で、クレジットカード情報約1万8000人分の流出が判明した。8月には大手芸能プロダクションのアミューズが、運営する通販サイトで顧客のクレジットカード情報約3万5000件、メールアドレス11万7000件が流出したことを明らかにした。
8月末には、陸上自衛隊員約14万人とその家族の個人情報を、1等陸尉の隊員が不正取得のうえ不動産業者に売却したことが公表された。トップの陸上幕僚長はじめ、ほぼすべての陸上自衛隊員とその家族の詳細な個人情報が流出していたという事実に、政権交代選挙に沸いていた世間は呆然とした。
9月に入ると、三菱商事の子会社、デジタルダイレクトが運営する通販サイトから、顧客のクレジットカード情報約5万2000件が流出したと報じられた。下記はこれらの事件を一覧にしたものである。
-------------------------------------------------------------------
2009年4~9月に公表された大規模な個人情報漏えい事件
-------------------------------------------------------------------
・三菱UFJ証券(4月8日)
社員が不正に持ち出した顧客情報148万6651人分から、4万9159人分を名簿業者に売却
・アリコジャパン(7月23日)
委託先社員が不正に持ち出した可能性。クレジットカード情報1万8184人分が流出
・アミューズ(8月10日)
中国からの不正アクセスで、クレジットカード情報3万4988件、メールアドレス11万6911件が流出
・陸上自衛隊(8月31日)
隊員が不正に持ち出した約14万人分の隊員の個人情報を不動産業者に売却
・デジタルダイレクト(9月4日)
海外からの不正アクセスで、クレジットカード情報約5万2000件等が流出
------------------------------------------------------------------------
上記事件で個人情報が漏えいしてしまった人は、どんな被害を受けたのだろうか。カード情報が漏えいした3件では「クレジットカード不正使用」の不安に、他の2件では「営業電話攻勢」に苦しめられているという。
■クレジットカードの不正使用 ~ 4443件の照会を受けたアリコジャパン
アリコジャパンにクレジットカード会社から最初の問い合わせがあったのは7月14日午後だった。カード情報6件について不正使用の疑いがあるという照会だ。その後、複数のカード会社から次々に照会の連絡が入った。同社が顧客情報流出の可能性があると発表した7月23日時点では、照会件数(累計)は約1000件に達していた。7月27日時点では約2200件、8月6日には約3500件、8月13日には4228件に膨れ上がった。同社サイトの更新情報によると、9月24日現在の照会件数は4443件と記されている。
同社が9月11日に発表した最終報告では、流出したカード情報は1万8184名分。カード番号、有効期限、保険契約の証券番号が流出しており、氏名、住所、電話番号、契約内容等は流出していなかった。カードの不正利用は、家電や商品券など換金しやすいものをネットで購入する例が大半であったといい、カード番号と有効期限だけで購入できるネット通販が使われたとみられる。
アミューズは7月28日、デジタルダイレクトは6月29日に、それぞれクレジットカード会社からカード情報流出の可能性があるという連絡を受けている。それをきっかけに調査を開始し、情報流出を把握するという経緯をたどった。
■カードが不正使用された場合の対応 ~ 発覚時期による3ケース
アリコジャパンは、カードが第三者に不正使用された場合、顧客に経済的負担が一切生じないようにするとしている。そのため、不正使用が発覚した場合の3ケースについて、該当顧客に対処法をアナウンスしている。
(1) 不正使用がカード会社の監視により事前検知されるケース
(2) カード会社から連絡される「ご利用明細」で不正使用による請求が発見されるケース
(3) カード会社からの引落し後に不正使用が発見されるケース
(1)の場合はカード会社が必要な対応をとるため、顧客に請求が行くことはない。(2)の場合、不正使用を見つけるには、顧客が利用明細をよく読み、心あたりのない請求が含まれていないか確認する必要がある。覚えのない請求が含まれていた場合は、すみやかにカード会社に連絡する。(3)の場合も、発見後できるだけ早くカード会社に連絡をとる必要がある。
三菱UFJ証券で個人情報が漏えいした被害者は、営業電話の攻勢に悩まされている。本件では、流出の発覚も顧客からの苦情だった。
今年3月中旬以降、同社に届け出た連絡先に「不動産会社や投資会社から勧誘が入るようになった」という相談が相次いで寄せられ、情報漏えいを危惧した同社は緊急対策本部を設置。社内調査を行った結果、同社の顧客ほぼすべてに当たる148万6651人分を社員(4月8日付で懲戒解雇処分)が不正取得して自宅に持ち帰ったことが判明した。同社員はそのうち4万9159人分を名簿業者4社に渡して13万円を得、さらに別途不正入手した企業情報を20万円で売り、計33万円の現金を手にしていた。
流出した名簿に記載されていた情報は、顧客の氏名、住所、電話番号(自宅/携帯)、性別、生年月日、職業、年収区分、勤務先(名称、住所、電話番号、部署名、役職、業種)と詳細にわたる。この名簿を買い取った業者はさらに別の業者に売り、その業者はまた別の業者に売るという転売が繰り返され、転売先は98社に拡大していた。
同社は4月の記者会見で、電話攻勢に悩まされる顧客の苦境を明かしている。業者からの電話は1日に10回、20回にも及び、夜の11時、12時にも電話が鳴り、勤務先にも電話がかかる。度重なる電話にノイローゼ気味になる人も出ているという。
同社は業者からの名簿回収(使用停止)に全力をあげているが、回収に応じない業者もいる。不正に取得された名簿を買い取った業者に対して使用停止を求める法的根拠はなく、98社のうち回収に応じた業者は3割に満たないのが現状だという。
■全陸自隊員とその家族の個人情報漏えい ~「国家防衛の危機」危惧する声も
本件の発覚は謎めいている。7月13日、匿名の人物が、隊員情報を記録したCDを「拾った」として防衛省に届け出、発覚したという。CDには陸自隊員の個人情報ファイル「隊員出身地カード」のデータ約14万人分の複製が収録されていた。
データには、隊員本人の氏名、性別、生年月日、所属、階級、出身校などのほか、親などの氏名、住所、電話番号、中学生以上の子どもの氏名、生年月日、学校名なども記載されている。
隊員の自宅には不動産購入の勧誘電話が相次いでいるといい、三菱UFJ証券と同様の被害が案じられるが、本件ではそれにくわえ、また別の被害を懸念する声が上がっている。日本国の防衛にあたる人たちの家族を含めた個人情報が漏えいしていることから、国家防衛が危機にさらされるのではないかという心配だ。
中学生以上とはいえ子どもの氏名や学校名までが漏えいしている実態、守られるべき情報が国の中枢からあっさりと、かつごっそりと漏えいしてしまっている実態に、背筋が寒くなるのは筆者だけではないだろう。
■漏えいさせた側の被害 ~ 失われた信頼と、莫大な金銭的損失
大規模な個人情報漏えいは、漏えいさせた企業にも大きな傷を負わせた。三菱UFJ証券が今回の漏えい事件で受けた損失額は、70億円以上と試算されている。
情報を持ち出した元社員は、不正アクセス禁止法違反と窃盗の容疑で逮捕・起訴され、9月9日に東京地裁で初公判が開かれた。そこで検察側が提出したのが、この損失額試算だ。該当者5万人に「お詫びのしるし」として送った1万円相当のギフト券が計5億円、そのほか調査や問い合わせへの対応、名簿業者との交渉、弁護士費用、逸失利益などを合算している。
元社員が13万円と引き替えに売った名簿がもたらした損失が70億円以上。この数字の途方もない飛躍に声を失う。企業として失った信頼や、個人がこうむった被害を考えれば、事件がもたらした損害はさらに途方もないものとなる。
アリコジャパンの受けた損失はまだ公表されていないが、やはり深刻なものだろう。同社は当初、情報漏えいは最大11万件、次いで13万件と推定していたが、実際はカード情報が漏えいした1万8184人に絞られた。「お詫びのしるし」は、実際には漏えいしなかった人も含め、推定人数として公表した13万人に送るという。9月下旬から調査結果と共に送付を開始し、該当顧客全員に送り終えるのは、10月中旬頃になる見通しという。
アミューズは、同社の通販サイト「アスマート」の運営業務を受託していたデイパーズが、直接の責任を負う立場として、情報流出の可能性がある14万8680名全員に、500円相当のQUOカードを送ると発表。9月上旬から送付を開始している。
本件で逮捕・起訴された三菱UFJ証券の元社員の容疑名は、「不正アクセス禁止法違反」と「窃盗」である。窃盗容疑は、データを記録したCD計3枚を盗んだことに対してであり、そのCDに149万人の情報を記録して盗んだこと、5万人の情報を売却したことに対しては窃盗容疑に問われていない。
窃盗のターゲットはCD3枚ではなく、そこに収録されたデータであることは疑いないが、現行法では電子データなどの情報は窃盗罪の対象となっていないため、苦肉の策としてCD(物品)の窃盗を取り上げたようだ。名簿業者に売却されたデータの転売を止める法的根拠がないということにも驚かされる。物品であれば、盗品と知っての購入は刑事罰の対象になり、差し止めることができる。
こうしたことから、現行法は情報社会の実情に即していないのではないかという疑問がわくが、今年4月には、興味深い法改正がなされた。「不正競争防止法」が改正され、「営業秘密侵害罪」の処罰範囲が拡張されたのである。
これまでは処罰範囲は、「不正の競争の目的」だったものが、「不正の利益を得る目的」または「保有者に損害を与える目的」へと改められた。改正前は、従業員が金銭目当てに名簿業者に顧客データを売却する行為は、不正競争の目的に該当しないため摘発できなかったが、この改正によって刑事摘発が可能になったといえる。
本法の施行は来年まで待たなければならないが、少しずつではあるが、インターネットを前提とした情報社会にフィットした法整備が進んでいるようだ。
アリコジャパンは、情報漏えいの原因は委託先社員の不正持ち出しによる可能性が高いことを9月11日付のリリースで明らかにし、今後の調査で人物が特定できれば、刑事告発も検討するとしている。三菱UFJ証券と同様、内部の人間が起こした個人情報漏えいの罪がどのように裁かれるか、注目される。
(執筆:現代フォーラム/熊谷)