まだ記憶に新しいベネッセの個人情報漏えい事件。ベネッセがデータベースの運用と保守管理を委託していたグループ会社が、この業務をさらに複数の外部業者に再委託した先で発生したようである。

持ち出された情報は、少なくとも７６０万人分、可能性としては２０７０万人分と膨大なもので、流出データは少なくとも３つのルートから名簿業者など約１０社に拡散し、通信教育サービス以外の交流サイト、出産や育児関連の通信販売サービスでも流出したとのこと。

個人情報漏えいがあった場合、企業に生じる責任は、①行政上の責任②民事上の責任③刑事上の責任の３つに分けられる。民事上の責任とは、あらゆる損害賠償義務だが、ベネッセのホームページを見てみると…この事件で、利用者の補償として２００億円の原資を準備していることや受講料の減額を検討していることを発表している。一人当たりの賠償の金額は小さくても、合計するととんでもない額になる。

さらに、法的責任とは関係なく生じる株価の急降下（企業価値の減少）、大量の解約、苦情対応、一連の対応のための人件費支出、イベントの相次ぐ中止、新規会員の減少など、ベネッセが失った信用は計り知れない。

個人情報の漏えいは、だいたいは内部的な犯行であるので、いくら契約で縛ったとしてもなくなることはない。最終的にはモラル・道徳に頼らざるを得ない部分があり、その意味で法律は無力である。今回のようなシステム上の穴を作らないことや管理を徹底すること、再委託先社員に権限を持たさないこと、運用の監視を定期的に行うことはもちろんのこと、待遇不満などの声を聞き逃さないことも重要だろう。

この事件、うちは規模が違うから、そんなに個人情報扱っていないから、などただの傍観者として眺めるだけになっていないだろうか。この一件を他山の石として自社の情報管理について今一度見直すことが求められよう。

BisNavi201408月号掲載