ベネッセが話題になっている。

　顧客情報が大量に流出したらしい。

　流出した顧客情報は、760万件とも2070万件とも言われている。

　流失した情報件数に、何でこんなに開きがあるのかは不明だが、参照された顧客データベースの1ボリュームが上限2070万件であれば、流出最大件数は確かにそのようになる。

　大変な件数だ。

　昨日になって、ベネッセ側はようやく補償についての考え方を表明したが、それまでの事態の捉え方が甘かったとの批判は当然出るだろう。

　どうやら新任社長は、これまでの仕事の中で顧客情報を扱う事がほとんど無かったため「センシティブ」という言葉の使い方を知らなかったようだ。

　社長が言った「センシティブ」は、個人情報保護法で定めるところの「センシティブ」の意味だ。

　本籍地や健康情報、クレジットカード番号等の重要情報のこと。

　しかし、顧客側にとっては、自分の住所、家族構成、電話帳に掲載していない電話番号等は十分に「センシティブ」に取り扱ってもらいたいと考えている情報だ。

　流出した情報は「法律で定めるところのセンシティブ情報ではないので、補償までは考えていない」と、極めて常識的な見解を述べたのであるが、間接被害を受けた顧客側から、”何か言ってることが無神経で、チョーむかつく”と受け止められても仕方がない。

　エグゼクティブは、公的な場で発言する時には、言葉を慎重に選ばねばならない。

　結果として、この件に関するベネッセの対応は悪くはないが、あまり褒められたものでもない。

　結果的に顧客に対し補償をするのであれば、当初から「念頭に置いている」と発言しておいた方が心証がいい。

　この新社長、自分の会社が「信用商売」であることが分かっていなかったのだ。

　ハンバーガーと「赤ペン先生」。

　その違いも分からないで社長が出来る訳だから驚く。

　この人、まるで謝るためにベネッセの社長になったようなものであるが、どうやら分相応だったようだ。

　ベネッセ幹部は、そろそろ次の候補を探した方が良い。

・・・・・・・・・・・・

　さて、個人情報保護について少し触れておきたい。

　この法律は2003年に施行された比較的新しい法律だ。

　この法律の趣旨は「個人情報の適切な取り扱いのために必要な事項」を定めるもの。「保護」はその中の一つであって「放っておいてもらう権利」（プライバシー保護）ではない。

　「個人情報を取り扱ってはいけない」というのは、間違った解釈だ。法律制定のバックボーンには「事業における個人情報の適切かつ有効な利用方法」を定めるという考え方がある。

　プライバシー保護が主目的ではなく、「有効利用」を前提としている事が、一部の専門家から天下の悪法と呼ばれる事になった所以である。

　法律は69条で構成される。我々にとっては身近な法律であり、専門用語は読み辛いが、そう長い条文でもないので一度は読んでおいても良いと思う。

　ポイントとなる部分を紹介する。

　---------------------------------

第二条　この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるものをいう

第十八条 　個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。

第二十三条 　個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
一 　法令に基づく場合
二 　人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。

--------------------------------------------------

　第2条は、「個人情報」の定義だ。『個人を特定できる』という部分が重要だ。以前触れたJR東日本のSuicaデータが「個人情報」ではなく、その販売が違法ではないとの根拠はここにある。

　一方、子供達のクラス名簿、自治会の住所録、緊急連絡網などは個人情報に相当するため「作ってはならない」のではなく、作成にあたって「本人の明確な同意」が必要となる。

　第18条は、商売をするもの（事業者）が個人情報を入手した時は、基本的にはその利用目的を本人に通知しなくてはならない、と言っている。

　このことは、一般論としては自分の個人情報が誰かに渡った際には、そのことが本人に通知されるような運用が好ましい、ということ。

　これは、本人が自らの個人情報の利用について不服がある場合、その削除を事業者に求める事ができる権利を担保するために必要なことだ。

　事業者は、本人の同意無しに個人情報を使って商売をすることは本来出来ない。出来ているけど・・・

　第23条、これが重要。

　取得した個人情報は、本人の同意が無ければ他人に勝手に提供してはならない。

　法律で「第3者提供はダメ」とはっきりと定められている。

　解釈変更は不可能だ。

　いや、このあいだ出来る事になったが・・・

　ここで改めて考えてみるに、個人情報を自らの意思で「売る」人は殆どいない。

　また、名のある企業は一般に法律を遵守するので、保有する顧客情報を名簿業者に無断で売ったりはしない。

　つまり、世の中にある「名簿業者」というものは、ほぼ確実に「違法行為」で個人情報を取引している、ということだ。

　名簿業者については、その合法性についてワイドショーで色々と評論されているが、全ての企業、個人が「個人情報保護法」を遵守していれば、商売としては成り立たない筈だ。

　この現状は、脱法ハーブを販売してしているお店よりも、さらにタチが悪い。

　存在は合法、商売が違法なのだ。

　違法と言っても立件出来なければ裁けない。

　名簿の入手経路を聞かなければ法律に問われない、という解釈はここから派生するのだと推測する。

・・・・・・

　法律に不備があることは過去から指摘されている。

　また、一般庶民の法律への理解も十分とは言えないのかも知れない。

　適切な運用については、関係者の遵法意識の高さに期待する部分が大きく、現実としては顧客情報の転売に起因する「顧客情報流失」というトラブルは、今しばらく続くと考えざるを得ない。

　それにしても、わざわざ休日に自宅に電話を一方的にかけてきて

「お墓を作りませんか」

「XX投資をしませんか」

「マンション経営について紹介しています」

という迷惑行為を強いるのは勘弁して欲しい。

　怪しい業者には次の対応をしよう。

「おたく、どこでこの電話番号を入手しましたか？」

「個人情報保護法にもとづき、私の個人情報の削除を求めます」

　拒否したら法律違反だ。