ベネッセから最大2070万件のデータ流出。盗んだヤツも買ったジャストシステムも罪にならない?

2014年7月10日

※「ジャストシステム」が確定したのでタイトルに入れました

昨日から大騒ぎのこのネタ

お客様情報の漏えいについてお詫びとご説明

本年 6月下旬から、通信教育事業を行う IT事業者からのダイレクトメールが、弊社お客様宛てに届き始め、お客様からのお問い合わせが急増しました。弊社のお客様リストに基づいて営業活動がなされている懸念があったため、調査を開始しました。 調査の過程において、調査会社を経由して、名簿事業者が弊社のお客様の個人情報を含むと思われるリストを扱っているとの情報を入手しました。リストを入手の上、弊社が保有しているデータとマッチングさせた結果、弊社しか保有していないデータが含まれており、かつ名簿の大半の情報が弊社データと一致したことから、弊社が保有するデータが漏えいした可能性が極めて高いと判断しました。 このような状況を受けて、当該お客様情報の漏えいルートについて、社内調査を進める中で、特定のデータベースからお客様情報が何らかの形で外部に持ち出されていたことが判明しました。

データベースにネットから侵入されたわけではなく、誰かがハードディスクとかUSBにデータを入れて持ち出し、名簿業者に売った可能性が高いということ。1件200バイトと仮定して2000万件だとデータ量は約3.73GBだそうで、これなら

こんなUSBメモリーで楽勝ですな。しかし2000万人強って平成生まれ全員分くらいの数。25歳以下の日本人の全データが流出したくらいの勢いだ。半端ない数・・・

実は自分もずっと前になるが、ライブドア時代に担当クライアントのクレジットカード会社から個人情報が流出して大変なことになったことがある。持ち出したのは当然自分じゃ無くて(冗談にならんわ)、出入りのシステム会社の外注先だったはず。先日も超大手の決済会社の方と話していたら、「個人情報流出はネット経由ではなく、内部の人間によるものが大半」という話であった。まあ、ネットのセキュリティは上げられても、人間はどうしようもない。毎日X線でもかけるしかないが、そんなことしたら被曝量半端ないわ。金属探知機だとUSBメモリーとか探知できないこと多し(空港でポケットにいれたまま通ったことあるよ)

で、このデータ流出はどうしてバレたのかというと・・・

ジャストシステムのスマイルゼミから不自然なDMが届くと噂になってたら、ベネッセから最大2070万件の個人情報流出のお詫びちゃれんじが届いた件

1

にもあるように、ジャストシステムのDMが不自然ということから騒ぎになったらしい。グノシーにもコレ系が何本もはいっていたのだが、ATOKのヘビーユーザーとしては残念。Facebookでも同様のことが言われていた。ベネッセにしか書いていない書き方(住所表記や子供の名前の漢字)でDM来たらそりゃ変だと思うわな。

持ち出した個人情報を買ったら罪になるのか

盗品を盗品と知って買うと犯罪です。刑法第256条にあります。しかし名簿屋が逮捕されたという話はあまり聞かない。また、名簿屋から名簿を買ってスパムを打ちまくってくる情報商材屋が逮捕されたという話も聞かない。なんでかなとネタが被るが一昨日のエントリーの「マイ虎の穴」の弁護士さんに聞いてみたよ。

227987_105202516238293_2075881_n
柿沼太一弁護士
●Facebook https://www.facebook.com/taichi.kakinuma
●Twitter https://twitter.com/tka0120
●Google+

1185224_513294078761896_2136714984_n
杉浦健二弁護士
●Facebook https://www.facebook.com/sugiurakenji/
●Twitter https://twitter.com/kenjisugiura01
●Google+

「窃盗や横領は,あくまで「物」(有体物)の故意の持ち出しの場合だけ成立します。たとえば社内の従業員が第三者にメールで情報送信したり、自分のDVDにデータを焼いて持ち出したりした場合(情報窃盗/情報横領といいます)には,窃盗罪も横領罪も成立しません。ですので持ち出しを指示した者は窃盗/横領の教唆犯になりませんし、持ち出した情報をそれと知って買い受けた者も,盗品譲り受け罪になりません。ただ,情報窃盗・情報横領の場合でも、営業秘密に該当する顧客情報の漏洩行為は、不正競争防止法によって刑事罰が加えられます。」

窃盗罪も横領罪も成立しない

んだそうです。ただ「個人情報が,不正競争防止法上の「営業秘密」の要件を満たしている場合に限って、不正取得者の民事責任や刑事責任が出てきます」ということらしい。今回も警察も窃盗とかではなくて、今回のデータが競争相手に利用されたということから、不正競争防止法違反で捜査をしているようですな。要するに、営業秘密の要件を満たしていない場合は、犯罪にはならないということだ。

企業コンプライアンス的にはどうなの?


仮に、ベネッセのデータと知って買い、そこに競合となる教育産業のDMが送られたら、そりゃ不正競争防止法によって刑事罰が加えられる可能性が出てくる。が、「知らないで買った」ならなにもならない可能性もある。スマイルゼミのサイトにはいまのところ何のコメントもない。ジャストシステムのサイトにもなにもない。

本日、ジャストシステムはストップ安です

2

ジャストがストップ安、ベネッセHD個人情報流出との関連性が市場でうわさに

今回の場合、買ったジャストシステムも「泥棒企業」として一気に有名になるわけで、社会通念上許されないことをしたという「ブラック企業」のレッテルが貼られることになる。こんなすぐバレそうなことを決済したのは誰か、今後明らかになっていくと思うがそれにしても

馬鹿なこと、したもんだ・・・

しかし、いままで何度も事件が起きたのに、個人情報の持ち出しが窃盗罪も横領罪にも適用されないというのはおかしすぎる。これじゃ持ち出して何千万か稼いだらクビになってもペイするではないか。対応する法律を速攻で作るべき。もっともサイバーセキュリティ法案さえひとりの爺さんの無意味な反対でまだ通ってない日本の国会。あまりにリテラシーの低い議員ばかりで頭がくらくらします。

  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP