By 宮部 龍彦 
大きな個人情報流出事件として知られるヤフーBB顧客情報漏洩事件とベネッセ個人情報流出事件は、流出した個人情報の件数が多かったというだけでなく、別の意味でも非常に特殊な事例である。なぜなら、企業が全ての「被害者」に対して企業自らが個人情報が漏洩したことを通知したからだ。
これは非常にまずい対応であった。ヤフーBB顧客情報漏洩事件の頃は、まだ個人情報保護法が施行される前のことであったが、それでも5件の訴訟が提起された。ベネッセの対応はヤフーBBの事例に倣ったものと考えられるが、個人情報保護法をはじめとする様々な個人情報保護制度が存在する現在では、まるで「訴訟を起こしてくれ」と顧客に触れ回るようなものだ。その結果、何人かの弁護士がハガキが届いた個人に対してベネッセに対する訴訟の提起を呼びかけ、約2200人という集団訴訟が提起された。
表向きは「コンプライアンス」「速やかな謝罪」「説明責任」といったことが言われるが、実務的には情報漏洩のような情報セキュリティに関わる問題があった場合に、情報を公開することは被害を拡大する。「知らぬが仏」とはよく言ったもので、自分の情報が漏洩して何が問題なのかと言えば、結局は「なんだか気持ち悪い」といった程度のものである。積極的に本人に通知しなければ、自分が「被害者」であることを知ることもないので不快な思いをしなくて済む。何より、訴訟を起こす機会自体もほとんどなくなるのだから、あそこまで大規模な集団訴訟は成立しなかったはずだ。
無論、個人情報クレーマーが、自分が被害を受ける当事者ではないにも関わらず、「なんで被害者に通知しないんだ!」と難癖をつけることが考えられる。しかし、そのようなクレーマーはごく少数であるし、何よりも「当事者」としての適格性がない。「セキュリティ上の理由で」「警察の捜査に協力しているので」等の言い訳をするか、逆に「むしろ我々が被害者」「今回の案件自体が企業秘密なので他社に漏洩すれば提訴する」等と脅すかして、なるべく情報を出さずに、耐え忍ぶことは決して難しいことではない。
それが出来ずに、会社に大損害を与え、当時の原田泳幸社長が退任に追い込まれたことは、当然の報いと言わねばならない。形式的に正しいと思われるような対応が、実利に適うとは限らないのである。
そもそも、ベネッセ個人情報流出事件は、個人情報保護法がなければ起こり得なかった。
個人情報保護法成立以前はベネッセは住民基本台帳をもとに名簿を作り、勝手にダイレクトメールを送っていた。それが、2005年以降に住民基本台帳を使うのを止めてアンケートハガキ等で集めた個人情報を利用するようになった。2014年の事件ではこのようにして作られた顧客データが内部関係者によって名簿業者に売り渡され、ECC等の他の教育事業者に転売された。そして、ベネッセの顧客にベネッセ以外の教育事業者からダイレクトメールが届き始めたため、流出が発覚した。
個人情報保護法がなかった時代であれば、子供がいる家庭に教育事業者から勝手にダイレクトメールが届くことは普通だったので、誰も気にしなかっただろう。また、新規に事業を始める業者はベネッセと同じように住民基本台帳を使えばよいのだから、ベネッセの顧客データに現在ほどの価値はなく、名簿業者に売ることによる利益も小さかったはずだ。
ベネッセ個人情報流出事件では数百億円の損害が出たとされるが、「被害者」が受けた実害はないに等しい。身に覚えがないところからダイレクトメールが届くことがあったと言うが、今でも様々な業者によって、ポスティングや郵便局の配達地域指定郵便物といった方法で無差別にダイレクトメールを送ることは行われている。読まれることのないダイレクトメールが送られたところで、受け取った人の損害はせいぜい捨てるための手間程度のものだ。
風評被害によりベネッセが被った損害を補填するのは結局はベネッセの顧客であるし、関連する刑事裁判の費用、関連する省庁による対策費用、事件をきっかけにした規制強化、これらの負担は巡り巡って国民に向かうことになる。それは、皆無に等しいベネッセ個人情報流出事件の「実害」に見合うものではない。
何が「実害」なのか
本当の意味での「実害」を防ぐために、もう1つ重要な視点は、ある事件の原因や責任をどこに求めるかということだ。
高齢者の家に電話をかけて、息子などを装って金銭を騙し取る、いわゆる「オレオレ詐欺」が大きな問題となって久しいが、未だにこの種の詐欺が頻発している。そこで、度々言われるのは電話帳等に掲載された高齢者の個人情報が悪用されていることが原因ではないかということだ。それでは、個人情報がオレオレ詐欺の原因なのかと言うと、これは考え方次第である。
2000年頃に「ピッキング」や「サムターン回し」という方法で鍵を開ける手口での空き巣の被害が急増した。しかし、対策された鍵が普及し、この手口が難しくなると被害は激減した。そこで、新たな収益源を求めて犯罪者はオレオレ詐欺に「転職」したというのが、オレオレ詐欺が増えた原因の説明の1つである。そして、同時期に携帯電話が普及して固定電話を新たに引く人が減り、さらに個人情報保護法の影響で電話帳の新規掲載件数も減ったことから、もともと電話帳には世帯主の名前を載せる慣習があったことも相まって、電話帳が高齢者の名簿に近い状態になったのも事実である。
しかし、過去最大規模の詐欺事件として知られ、被害金額約2000億円と言われる「豊田商事事件」は、戸別訪問で高齢者に架空の金への投資を勧める手口であった。一方、最近はSNSを利用してプリペイドカードの利用権をだまし取ったり、有料の出会い系サイトに誘導してサクラを使って金銭をだまし取る手口が横行している。
結局のところ、詐欺師というのは、その時々に利用しやすい方法を使うだけなので、特定の何かに原因を求めてそれを排除しても他の方法にシフトするだけである。詐欺を減らすためには、地道に犯人を摘発すると同時に、人々が犯罪に走らないように雇用の受け皿を作り、騙されないための正しい知識を広めていくしかない。
むしろ、個人情報保護を逆手に取った詐欺が存在している。例えば、国民生活センターは2014年にあったという次のような事例を紹介している。
高齢の叔母のところに、生活保護センターを名乗る者から「あなたの個人情報が3カ所に漏れている。2カ所は取り消すことができたが、1カ所(E社)は取り消せないので代理の人を立てる必要がある」という電話がかかってきて、ボランティア団体の人が代理人になってくれることになった。その後、E社からも連絡があり、個人に振られている番号を教えられた。ボランティア団体から「書類に番号を書くので教えてほしい」と言われ、E社から教えられた番号を伝えたが、その後E社から「番号をなぜ他に教えたのか。違法行為なので社員が逮捕された。保釈金1000万円をあなたが払うように」と言われた。自分のせいだと思い、500万円を2回に分けて宅配便で送った
これは、明らかに個人情報保護に対する多くの人の無理解と、個人情報保護規制の強化を逆手に取っている。
また、2015年5月に日本年金機構の年金情報管理システムへの不正アクセスによる個人情報漏洩が大きく報道されている最中に、「国民年金機構」の職員を名乗る男から「あなたの個人情報が流出している」という電話を受けた女性が約300万円を騙し取られる事件があった。一部のメディアは、これを「年金情報流出に伴う初めての実害」と報じたが、これはとんでもないことで、実害ではなく完全に「風評被害」だ。
皮肉なことに、個人情報保護法は、犯罪者も平等に保護する。一昔前なら、警察に頼らずとも銀行口座番号から詐欺師を特定し、それを手がかりに被害者自ら犯人を突き止めることができたかも知れないが、今は警察に頼るしかない。しかし警察の人員、予算には限界がある。個人情報保護は、一般国民が持っていた力を奪い、警察に権限を集中させた。それは警察にとって必ずしもよいことではなく、逆に警察の疲弊を招いている。
個人情報漏洩が惹き起した殺人事件としては、2012年11月の「逗子ストーカー殺人事件」が引き合いにだされることがある。この事件では探偵が逗子市役所やガス会社の職員を騙して被害者の住所を聞き出しており、また神奈川県警が加害者をストーカー規制法違反容疑で逮捕する時に、裁判官が作成した逮捕状に書かれていた被害者の住所氏名を読み上げたために、加害者に被害者の情報が知られてしまったことが事件の発端の1つになった。
しかし、この事件では誰も「個人情報保護法違反」には問われておらず、探偵に対して「偽計業務妨害罪」「不正競争防止法違反」という別の法律が、ほとんどこじつけのような形で適用されて処罰された。また、被害者を特定する情報が書かれた逮捕状を被疑者に示すことは、刑事訴訟法により定められた手続きで、むしろこれをやらなければ違法となってしまうので、警察や裁判官が責任を問われることはなかった。
これも、個人情報漏洩に原因が求められるのは、今の時代だからだろう。昔なら、まず悪いのは加害者で、加害者の周辺の人は事件を防ぐために何とかしれやれなかったのかという話になるはずだ。あるいは、自分の居所はいずれ知られることを前提に、どのような自衛手段があるのか、検証されるところだろう。
むしろ、個人情報保護ということにこだわらないほうが、市役所の各部署やガス会社が「この人の情報の扱いには注意してくださいね」という情報を共有できたし、警察もひょっとすると被害者の居所が加害者に知られてしまうかもしないという前提で、被害者や加害者の周辺の人にも協力を求めるなど、もっと柔軟な対応ができたであろう。
