14年にはベネッセの個人情報流出問題が、新聞やテレビで大きく報道されるなど、社会問題となった。通販では住所や電話番号など、個人情報を取得しないと購入者に商品が発送できない。個人情報管理は、通販企業のコンプライアンスで最も重要とも言える。その個人情報が大手企業によって大量流出してしまい、通販業界への信頼も揺らぎかねない事件となった。この問題が発端となり、経済産業省は「個人情報保護ガイドライン」を改正。現在、全国8都市で説明会を開催している。
ベネッセ、約2895万件の個人情報が流出
ベネッセの発表(14年9月11日)によると、同社の個人情報流出は、業務委託先の元社員が個人情報を持ち出したもので、その実態件数は約2895万件に上った。元社員は、持ち出した顧客情報を名簿事業者3社に売却。漏えいした内容は、登録者の名前・性別・成年月日・保護者または子どもの名前・続柄・郵便番号・住所・電話番号・FAX番号・出産予定日(一部)・メールアドレス(一部)で、クレジットカード情報は確認されなかった。「個人情報を提供していない会社からダイレクトメールが来た」といった顧客からの問い合わせが急増し、その後の社内調査によって同事件が発覚した。
ベネッセは事件発覚後、14年7月15日に業務委託先を刑事告訴。警視庁は同17日、不正競争防止法違反の容疑で業務委託先の元社員を逮捕した。同社はセキュリティレベルを向上させるため、組織改革を実施。ベネッセコーポレーション内に個人情報管理の責任者を設置し、部門ごとの役割を明確化した。また、ベネッセHDと情報セキュリティ企業の(株)ラックと合弁会社を設立。データベースの保守・運用業務は合弁会社が行い、グループ外には業務委託をしない方針を決定した。
個人情報保護ガイドラインで「委託先の監督強化」
これまで起きた個人情報流出事件では、不正アクセスによるものがほとんどだった。しかし、今回は業務委託先の第三者が個人情報を持ち出すという犯罪行為。ベネッセの管理体制も甘かったかもしれないが、同社は被害者でもあり、個人情報やセキュリティなどを外部委託する企業には、どこでも起こりうる事件だった。経済産業省はこの問題を受け、個人情報保護のガイドラインを改正。新ガイドラインには「委託先の監督の強化」を盛り込み、委託先の安全管理措置の確認に加え、再委託先やその先の委託先にも、同様の措置を求めた。
ベネッセに同情的な声もある一方、自社で個人情報を管理する通販会社は「弊社ではデータベースを管理する部屋に入るには、社員でも電子媒体を持ち込ませないように検査している」などと話し、今回は「防げたはずの事件」とした。
ベネッセは今回の事件で、顧客への補償金に200億円を準備。11月に発表した第2四半期決算では、情報漏えい事件の対策で260億円を計上し、純利益が20億9500万円の赤字となった。また、組織改革では間接部門の人員削減を実施するほか、希望退職者も募集する方針を示した。今後の同社の対応、信頼回復に向けた取り組みに注目が集まる。また、同社だけでなく、通販企業各社は、個人情報管理体制の見直しや不正対策に迫られている。業界の信頼回復に向けた取り組みに期待したい。
(文・山本剛資)
