パスワードを忘れた? アカウント作成
11288810 journal
日記

akiraaniの日記: ベネッセがジャストシステムの足を引っ張ろうとしているのはなぜなのか 20

日記 by akiraani

ジャストシステム、ベネッセから流出したとされる名簿情報を削除。ベネッセがこれを批判に付いてるコメントについていろいろ

 今回の個人情報集出事件についてのベネッセのジャストシステムに対する一連の言い分ですが、断言しても良いがこれ印象操作目的の虚言です。個人情報保護法というのがどういう仕組みで成立していて、何が法に触れるのかを理解していれば誰にでもわかる話。

 個人情報保護法というのはどういう仕組みになっているのかというと、基本的には「個人情報を収集する場合に目的をはっきりさせ、必要に応じて削除出来る体制を作り、外部には漏らさないように厳密に管理する」という考え方で成り立っています。
 万一漏洩した場合にどうするかというのは実はほとんど規定されていない。なぜなら、漏洩したらもうアウトなのであとは法的処罰を受けるだけだから。なので個人情報保護のガイドラインにも次の漏洩を起こさないためにどうするかという指針があるだけで、500円で補償しろなんてこともまったく書いていない。
 なお、ちゃんと承諾済みであればよそで使い回しても良いということになっているので、名簿業者は「第三者の利用を承諾した個人情報」というのをどうにかして入手して、販売しているわけです。使っても良い情報なのだから、一般企業は名簿業者からデータを購入して、名簿業者の管理責任の下、合法的に利用することができます。

 大前提として情報は漏洩させないという状況があるため、漏洩した情報を使ったからどうかなんてのは個人情報保護法では想定外のお話です。他にも個人情報保護法施行前に集められた個人情報も、基本的に想定外で、使ったらどうなのといった話は基本ないと思って良いです。

 はい、ここまでを理解した上で、今回のベネッセとジャストシステムの置かれている立場を考えてみましょう。
 情報の漏洩元はベネッセです。すでに誰が持ち出したのかまでわかっています。
 ジャストシステムは、名簿業者から個人情報を購入して使用しました。この情報がどういうルートをたどってそうなったのかはわかりませんが、大本はベネッセが漏洩させてしまった情報だと言われています。

 ジャストシステムは名簿業者から買った情報を使っただけですので、これが違法であるとはすぐには判断出来ません。仮に、ベネッセから漏洩したデータだとしても、盗まれた情報を買い取って第三者利用許諾済みの情報ですと偽って販売している名簿業者によってロンダリングされてしまっているからです。盗品売買などの例で言うところの善意の第三者の立場になります。
 ただし、一連の騒動で第三者利用の同意確認が取れていない違法データだったと言うことが判明してしまったので、今は購入した個人情報は使えなくなりました。なのでデータは削除しないといけないし、次に個人情報を買うときにまたそんなデータをつかまされないように対策が必要です。

 あ、ここで言う善意、というのは法律用語です。法律ではそれが違法であると知ってやった場合「悪意がある」と表現し、逆に悪意がなかった状態を指して「善意」という言葉を使います。つまり、良かれと思ってやったと言うことではなくて、違法なデータだとは知らなかった、という意味になります。

 一方のベネッセはというと、漏洩事故を起こしてしまった時点で試合終了、個人情報保護法においてに処罰の対象になります。それが全てです。さらなる拡散を防ぐとか、不正に使用されているデータを削除する義務なんてものは法律上はありません。
 あと関係するプレーヤーは、漏洩した個人情報を「許諾済み個人情報である」と偽って販売した名簿業者ですが、これは現段階の報道でははっきりしていません。警察の捜査もそこを調べるためにやっているのでしょう。それ以外に関してはもう調べることは残ってないはずです。

 特にベネッセは、持ち出した犯人まで割れているのでもうできることはもうほぼありません。あとは、今回の件で世間に与えてしまった悪印象をいかにして払拭するか、ということだけです。げすな言い方をすれば、次にやらないといけないのは印象操作ということですね。

 そこで出てくるのがストーリーにもなっている例の批判なわけです。先ほども述べたとおり、ジャストシステムは今回のデータは削除しないとダメです。おそらく、そういう対応をしてくることも予想していたのではないかと思います。ところが、この法律上やらないといけないことをベネッセは批判しているわけです。

 ここまでわかればはっきりしますよね。あまりにも露骨な印象操作です。ここまで説明した通り、個人情報保護法ってのはいまいちわかりづらい法律です。知らない人から見れば、流出しちゃったデータを使った方がより悪いという印象がありますが、現実は逆です。ベネッセはそこを利用して実際には被害者に近い立場にあるジャストシステムを一番の悪者に仕立て上げようとしているわけです。
 もちろんそんなことでは警察や司法はだませませんが、先も述べたとおり法律や処罰に関してベネッセにできることはもうないので、これ以上良くも悪くもなりません。大事なのは何にも知らない世間様に与える印象です。
 ジャストシステムに一番の悪者の印象を押しつけることができれば、ベネッセは間接的に被害者的な見方をされることになり、結果として一人負けよりはましな状況になります。おそらく、狙いはそういうことなんでしょう。
 ストーリーに付いたコメントを見る限り、一部のユーザーを上手く騙すことには成功してるかなぁという印象を受けました。比較的ITリテラシの高いスラッシュドットでここまで熱心にジャストシステムをディスってる人が出てきているわけですし、個人情報保護法に詳しくない一般の人にも同じように思ってる人は結構居ることでしょう。

追記:
やはりというか、ベネッセ工作員疑惑が出ているようです。
某XSS騒動の時のストーリーとの類似性を指摘するコメントとか……。
そんなのあったっけと思い返してみてみたら、思いっきりそのツリーでコメントしてた。そして、一旦強気に出た後フルボッコにされてフォローしようという感じのコメント展開で笑ってしまった。
先に話題にしてた別の日記でもこれとかこれとかあからさまに香ばしいコメントがちょこちょこあるんですが、このエントリにはそういうのは出てきてないようですね。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • ベネッセ側にかなりの程度の過失があるし、営業機密としての管理がされていたかも正直言って疑わしい。でも、過失以上ではない。

    JUSTSYSTEM ははっきり怪しいデータを掴むという行為を自己判断でやっているわけで、正直法的には JUSTSYSTEM の方に責められるべき内容は多いと思う。

    ただ、これは営業上の観点で、漏らしたことに伴う損害賠償責任が殆ど一方的に Benesse 側にあることは否定しません。金銭的には Benesse の側の持ち出しのほうがはるかに多いかと。

    #うちも漏れたと思われますが、紙切れ一枚来ていません。

    • by Anonymous Coward

      > JUSTSYSTEM ははっきり怪しいデータを掴むという行為を自己判断でやっているわけで
      すまんがソースは何?
      #海外在住のため日本でどんな報道がされてるか知らんのよ。

      • by Anonymous Coward
        例えばスポーツ報知 [hochi.co.jp](同一の文面で他のスポーツ紙や地方紙のサイトが見つかる)

        文献社の説明によると、今年1月下旬にジャスト社から「全国の小中学生の名簿が欲しい」と依頼があった。文献社は、住民基本台帳などによって独自に作成した児童・保護者の氏名や連絡先などが記載された約160万件のリストを2~3月に納品した。
         その後、ジャスト社から追加の要請を受け、別の名簿業者が持つリストの購入を検討。だが、出所が明確でなかったため、ジャスト社と相談の上「このリストは使えない」との認識で一致した。
         しかし、後になってジャスト社から購入希望が伝えられ、5月中旬にベネッセから流出したとみられる約200万件のリストを転売したという。

        • by Anonymous Coward

          ありがとう。でも、
          > 正直法的には JUSTSYSTEM の方に責められるべき内容は多いと思う
          ってのはどうなんだろうか?
          道義的責任はあるかも知れんが、法的責任が問えるのか?
          法律は素人なので、こんなのに当てはまる法があっても驚きはしないが。
          alpさんは、具体的な法律を念頭に置いてるんだよね?

          • by Anonymous Coward

            別ACだけど横から答えとくわー。不正競争防止法だよ。営業情報の不正取得は不法行為。
            とはいえ、刑事上の責任はジャストは問われないと思うけど、民事は負ける可能性大だね。

            そのあたりの解説だと、例えば、
            http://www.techvisor.jp/blog/archives/4969 [techvisor.jp]

            あんな情報はベネッセクラスでないと作れないことはジャストは理解していたはずだね。

            • by Anonymous Coward

              リンク参考になりました。
              ただ、
              > 民事は負ける可能性大だね。
              > あんな情報はベネッセクラスでないと作れないことはジャストは理解していたはずだね。
              このような発言は起訴もされてない時点で、不用意ではないですか?
              #というか刑事責任に問えないのであれば、ベネッセが民事訴訟を起こすのか?

              リンクにある
              > まあ、いずれにせよ、数百万人レベルの子持ち世帯の情報について「不正に取得したんじゃないのか」と気づくのは当然かどうか(それに気がつかないのは重過失か)が重要な争点になるかと思います。
              としか現時点では言えないでしょう。

              • by Anonymous Coward

                JOINすればいいだけの話だから、最初からデータが大きいはずって前提は成り立たないんですけどね。

            • by Anonymous Coward

              ~民事は負ける可能性大だね。

              すまんが、民事で負ける公算が大きい理由を述べてくれ。
              リンク先の見解は異論ないのだが、今回のケースでは重過失の立証次第では文献社で止まる可能性もあると思われるが。

              報道ではジャストシステムも「出所不明で使えない」ことは認識していたようだが、文献社が太鼓判を押した経緯が立証されたら、ジャストシステムの重過失は問われないこともありうると思われる。

              まだまだ早計なコメントだと思うよ。

              • by Anonymous Coward

                日経新聞の記事 [nikkei.com](有料記事)だと、

                文献社によると、パン・ワールドは名簿について「別の業者から手に入れた」とだけ説明し、詳しい入手経路は「わからない」と話していたという。文献社はジャストシステムに「入手経路のわからない名簿」と説明したが、ジャストシステムは「それでもいいから使いたい」と購入したという。
                文献社やパン・ワールド、ジャストシステムはいずれも「ベネッセから流出した情報とは知らなかった」と話している。

                とありますので、太鼓判を押したという線は薄いように思えます。もちろん、上記記事は文献社の言い分でしかないので、100%鵜呑みにはできませんし、これだけで判断するのは早計かもしれませんが。

            • by Anonymous Coward

              最初の出所が(たぶんそれなりに)明瞭なデータが160万件
              次の出所が明瞭でないデータが200万件

              同程度の規模のデータが存在している状況で、もう一方がベネッセクラスでないと
              作れないといことは無いんじゃないかと

              • by Anonymous Coward

                住民基本台帳などから作成したというデータを購入しといてそれで満足しなかったんだから
                ベネッセクラスでないと作れないデータという認識はあったんでは?
                そうじゃなきゃ160万件近い重複の可能性のあるデータを「それでも欲しい」といって購入するでしょうか。
                喉から手が出る程欲しいってことは、相当な出物だっていう意識があったような気がするんですが…

              • by Anonymous Coward

                > 住民基本台帳などから作成したというデータを購入しといてそれで満足しなかったんだから

                じゅ、住民基本台帳って漏れてるんですか?普通に?@@;

              • by Anonymous Coward

                2006年の法改正で、営業目的の第三者閲覧が禁止されたので、それ以前に生まれた人の情報は、収集済みで、後は、死亡者の削除の問題ですね。

    • by Anonymous Coward

      ジャスト・システム終了
      小中学校にジャストシステムのフレンズとかスマイルなどがありますけどね。
      どこもジャストの使用はやめることに決定しました。やはり、個人情報に関してはPTA等からも学校に対してクレームがきてますからね。
      判り切ってるくせに名簿を使用してたジャストは企業倫理上許されるべきではありませんね。
      ばいなら!

  • まずは漏えい情報に「デリケートな部分は含まれていなかった」と言ったこと。

    ベネッセはおそらく「クレジットカードや銀行口座などの直接的被害が及ぶ情報」がないことから脅威は低いと思ってもらいたかったのだろうが、情報の漏えい元がわかるような「名前や住所の表記がベネッセにしか使っていないものが他で使われた」など、トラップまで張ってる利用者からすると「住所と名前が漏れた」だけでも脅威だったはずで、漏えい自体を謝罪することを前面に出して補足情報として「金融機関等の情報は含まれていない」と補足程度にとどめるべきだったと思う。

    そしてジャストシステム(JUSTSYSTEMS)が該当情報を削除したことへの批判。

    ジャストシステムが該当情報の削除と言ったときに私が思ったのは「統合されたDMデータベースから事件時購入のデータと突き合わせてDMデータベースの該当情報を削除した」と考えた。購入データは当然「証拠品」なので厳重保管で。
    しかしベネッセは「該当するデータをすべて削除して証拠隠滅を図ったのでは」とでも言いたげな見解を出した。顧客データを重要情報として取り扱ってる会社とは思えないほどまるっきり素人考えな批判にしか見えない。

    漏えいの可能性が報道された少しあとからジャストシステムの名前が出てきてることやこの的外れな批判といい、「自社の情報漏えいの重大ミスを、競合大手のネガティブイメージを拡散することで薄めようとしている」としか思えない。
    • よし、原田君 住所電話番号を公表したまえ!
      #やっぱ こいつだめだわ。

    • by Anonymous Coward

      まずは漏えい情報に「デリケートな部分は含まれていなかった」と言ったこと。

      ごめん、個人情報全てがデリケートだと知ってからコメントしてくれ。

      内容の程度の差は個人差があるからさ。

      • by Anonymous Coward

        >ごめん、個人情報全てがデリケートだと知ってからコメントしてくれ。

        ベネッセに言え。

  • 法律とか道義的とかそういうのは置いておいて,
    おそらくそういうことなのだろう。ライバルに対する企業活動としては全く正しい。

    まあ,うちにもスマイルゼミのDMは来たし,ベネッセのお詫びメールも来た。

    本件については,ベネッセの時系列がよくわからない。
    アクセスログで容疑者が絞り込めたぐらいなので,
    事前に把握してたともとれるんだよな。
    スマイルゼミのDMによる問い合わせで
    流出を疑ったのか,それとも流出を確定したのか。
    そこいらの詳しい報告もほしいよね。コンプライアンス的に。

    • by Anonymous Coward

      へ~、ジャストシステムが通信教育してるんだ。
      いや、なんでジャストシステムがベネッセのライバルなのか不思議だったんだけど、
      15年も海外で暮らしていると浦島太郎だな。

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...