ベネッセの次に狙われるのは中小企業のサーバー？

ベネッセ、停止していた新規顧客獲得の営業活動を再開

この7月、3504万件に及ぶ顧客情報漏えい事件が発覚したベネッセコーポレーション。同月、ベネッセコーポレーションのシステム開発・運用を行うグループ会社シンフォーム（岡山市）の業務委託先の元社員（39歳、男性）が、不正に顧客情報を社外に持ち出し、名簿事業者に売却したとして不正競争防止法違反の容疑で警視庁に逮捕され、8月、起訴されました。

これを受け、グループ全体の情報管理を含む内部統制・監査の責任者としてCLO（最高法務責任者）を設置したほか、顧客情報漏えい再発防止策の一環として情報セキュリティ監視委員会を発足。11月より、停止していた新規顧客獲得の営業活動を再開します。

しかし、9月中旬から個人情報流出に対するお詫状と総額200億円を原資とした図書カードやアマゾンギフト券などの金券500円分を送付しているベネッセは、批判にさらされ、リスタートの出鼻をくじかれた格好です。それは、お詫びの選択肢の中に新たに設立した財団法人ベネッセこども基金（小林登理事長＝東京大学名誉教授）に対する寄付も謳われていること。お詫びと同時に寄付を募るのはいかがなものかと物議をかもしているのです。ベネッセこども基金は、未来ある子どもたちが安心して学習に取り組める環境のもとで、自らの可能性を広げられる社会を目指すことを目的とする基金なのですが…。

高額納税者公示制度の廃止は、個人情報保護法に便乗した過剰反応

さて、アップル、マクドナルドの社長を経て、この6月、ベネッセホールディングスの会長兼社長に就任した原田泳幸氏の初仕事は冒頭の事件の謝罪。見慣れた謝罪会見の風景の中心にいたのは、アップルコンピュータ社長から日本マクドナルド社長に転じ2つの「マック」を指揮した華やかな経歴の持ち主でした。

私が前職在職中、5月中旬、税務署にて全国一斉に高額納税者（1000万円以上）が公示されました。早朝から掲示板に掲出されるのを待ち、取材したことを懐かしく思い出します。ただ、この制度は2006年から廃止されました。本来の公示の目的である第三者のチェックによる脱税抑止機能に加え、2005年4月に施行された個人情報保護法が理由のようです。カタカナ氏名の他、住所、納税額が公示され、いわゆる長者番付が販売されましたが、資産家に対する商品勧誘や事件を助長するとして廃止された側面もあります。

惜しむらくは、個人の廃止はまだしも、同時に法人所得（4000万円以上）の公示制度も廃止されたことです。これは明らかに個人情報保護法施行に便乗した廃止で過剰反応といわざるを得ません。

個人情報法保護法の規定以上の誤解が蔓延している現実

個人情報の保護に関する法律は2003年5月成立、2005年4月全面施行されました。個人情報とは、生存する個人に関する情報で特定の個人を識別できる情報を指します。個人情報取扱事業者は5000人分を超える個人情報を事業活動に利用する事業者です。つまり一般私人や小規模事業者は法規制の対象外なのです。

ちなみに、個人情報取り扱い事業者の守るべき主なルールは（1）利用目的の特定、目的外利用の禁止（2）適正な取得、利用目的の通知（3）個人データ内容の正確性の確保（4）安全管理措置（5）従業者・委託先の監督（6）第三者提供の制限などです。

前述の高額納税者公示制度の廃止のように個人情報であれば何でも保護だという法律の規定以上の誤解が蔓延しています。例えば学校・自治会などの緊急連絡網の作成すらできないといった話が聞かれますが、ルールを守れば作成は可能です（配布時に本人の同意が必要）。

法律を正しく理解し、運営できない中小企業がターゲットに？

11月、ベネッセの顧客情報漏えい事件を受けて経済産業省の「組織における内部不正防止ガイドライン」の改訂が予定されています。主な改訂のポイントは「社内の安全管理措置の強化」「委託先等の監督の強化」「第三者からの適正な情報取得の徹底」です。

上場企業のベネッセですら、このような事件を起こしました。法律を正しく理解し、運営した上で、しっかりとした対策を打つことが必要です。次は、情報セキュリティの意識が低い中小企業の顧客情報やノウハウの集積であるサーバーが狙われているかもしれません。

（村上 義文／認定事業再生士）