16日 7月 2014

個人情報流出、金を払わないで済ませる企業の是非

 ベネッセの個人情報流出事件に関し、ベネッセが被害者に対する金銭による補償を行わないとしています。

 今回は、このコトについて考えてみたいと思います。

以下、ベネッセのWebサイト中の、「多く寄せられているご質問」から。

 

Q. どういった補償を考えていますか。(7/12更新)

A.

金銭的謝罪以外の方法で信頼回復をさせていただきたいと考えております。二次被害拡大防止と再発防止に全力を尽くしてまいります。

http://www.benesse.co.jp/bcinfo/faq.html#q3

 

これはマズイでしょうね。

ベネッセさんほどの大企業が取るべき姿勢だとは思えません。

 

理由を書きます。

 

まず、個人情報の流出に際し、個人賠償を行い、かつ「金券500円」という賠償金額のスタンダードをつくったのは、2014年に発生したYahoo!BBの個人情報流出事件だと言われています。

 

参考:Yahoo! BB顧客情報漏洩事件 (ウィキペディアから)
2004年2月27日、約450万人分ものYahoo! BB登録者の個人情報が漏洩している事が発覚、この情報に対しYahoo! BBに現金を要求していたソフトバンク関連元社員らが逮捕された。

(中略)

当初、殺到する苦情に対し、ソフトバンク側はお詫びの電子メールを送付。それでも苦情が沈静化しないことから、ソフトバンクBB加入者に対して500円の金券を送ることにした。

出典

 

折しも前年2003年に個人情報保護法が成立したばかりの時期。

Yahooのこの対応は、良くも悪くも注目されました。

 

「個人情報の賠償には、ひとりあたま500円の賠償を行う」

前例をつくってしまったわけですね。

 

これは個人情報DBを保有する企業側には悩ましい先例であると同時に、個人情報保護に費やす対策費について、ある種の基準を設けた功罪でもありました。

僕自身の経験も含め、お話しします。当時はまだ個人情報保護法が施行されて間もなく、個人情報保護対策として、どのような対策を取ればいいのか、またその対策にどの程度のコストを投じるべきなのか、企業側も暗中模索の状態でした。

 

個人情報の漏洩、流出に伴う企業側のリスクには、以下の様なものが挙げられます。

  1. 企業イメージのダウン。社会的信用の失墜。
  2. 賠償責任(民事上の責任)
  3. 行政処分
  4. 業務停止
  5. 被害者への対応
  6. マスコミへの対応
  7. 漏洩した情報の回収と、拡散防止対策   など

一般論になりますが、事故や事件、アクシデントに対する対策に対し、完全な対策を施すことは非常に困難です。

その理由は、ひとつは物理的な理由。「すべての鉾に対して防御できる盾を備えるべし!」というのは、まず不可能です。

もうひとつの理由は費用的な理由。どんな企業、人でもお財布の中身は有限ですから、対策にかけられる費用には自ずと制限がかかります。

 

個人情報保護対策費用にいくらかけるべきか。

正確には、先のリスク1~7にかかるコストを算出し、発生被害金額をシミュレーション。その被害金額を勘案し、コスト算出するのが筋なんでしょうが....、これはなかなか難しい、とくに中小企業では被害金額をシミュレーションする能力がない会社も多いでしょう。

 

そこで、リスク2の、つまり賠償金額を想定し、それを個人情報保護対策費用を考える目安として考える企業が出てくるわけです。

例えば、5000件の個人情報を保有する会社は、5000件☓500円=250万円。

2万件の個人情報を保有する会社は、1000万円。

100万件の個人情報を保有する会社は、5億円....といった具合ですね。

感覚的には、賠償想定金額の数パーセントが対策費用になるイメージでしょうか...

 

例えば、僕が当時制作をお任せいただいたネットショップでは、一ヶ月の顧客数の増加を500人程度と想定。年間で6000人の個人情報が蓄積されると考えました。

賠償金額の想定は、6000人☓500円=300万。

ネットショップ運営コストや利益率なども考えると、費やせる対策費用は、せいぜいが賠償金額の3%である、年間9万円程度。

実は、ネットショップ・システムの要件定義段階で、個人情報の蓄積するデータベースを、物理的に別のサーバに分割する案も検討されたのですが、先の対策費用の観点から、個人情報DBもWebサーバ内に格納。代わりに予算内に収まるセキュリティソフトを導入することになりました。

 

「個人情報を守る対策に妥協をするなんて!!」と思われる方もいらっしゃるかもしれません。

でも、繰り返しになりますがお財布には制限があるわけですから、これが現実です。

 

 

さて。

ベネッセは、今回の情報流出に関し、個人賠償は行わないという方針を打ち出しました。

もちろん、まず第一に、企業道徳の観点からこの考え方は容認しがたいと思います。乱暴な言い方をすれば、お金の代わりになる被害者へのお詫びの方法があるのであれば、それは良しでしょう。でも、現実問題、無理ですよね?

ベネッセさんは、被害者に謝罪することをある意味半ば放棄したようにも感じてしまいます。

 

もうひとつ。

個人情報を漏洩、流出させても賠償責任を履行しないでもいい。

そんな先例ができてしまったら、個人情報保護対策にコストを掛けない企業が必ず発生します。当たり前のことです。ベネッセさんほどの大企業の責任として、悪しき先例をつくることの罪をよくよく考えて欲しいと、強くお願いをしたい。

 

子供は親の背中を見て育つわけです。

大企業には、中小零細企業の模範となる行いを心がけて欲しい。

 

切に願います。

 

 

※追記:2014/07/18
ベネッセは被害者に対する補償について、方針を変更しました。


対応・対策・事業活動に関するご質問

 Q.補償は、一人当たりいくらなのですか。(7/17更新)

 

A.

お詫びの品、または受講費の減額など、様々な方法を検討することを考えております。漏えいしたお客様の情報確定等をもって、検討を進めてまいります。また、弊社では、お客様に継続して寄り添うという理念のもとに、お客様本部を設立し、情報の二次拡散防止等に全力を挙げます。

http://www.benesse.co.jp/bcinfo/faq.html#q3

 

ベネッセが容疑者逮捕を受け緊急会見、お詫び対応に200億円

「(略)
会見では、新たに二つの対応を取ることを発表した。一つは、今回の漏洩事件の対応を含む、顧客対応専門組織「お客様本部」の設立。もう一つは今回の事件のお詫び対応として200億円の原資を準備することだ。(略)」
http://itpro.nikkeibp.co.jp/atcl/news/14/071700118/

 

本記事を気に入っていただけたら、ぜひFacebookページにも「いいね!」をお願いします。

 

新しい記事更新のお知らせも受け取ることができます。


カテゴリ: IT, 2014年7月