II. ウエブサイトのプライバシー対策 けっこう怖い個人情報トラブルの現実
けっこう怖い個人情報トラブルの現実
このページはウエブサイトの経営・運営・開発などの担当者の方が個人情報を利用する際のプライバシー対策についていくつかのテーマでご紹介しています。ページの最後には、お立場ごとへのアドバイスを載せております。専門すぎる内容や実務的な内容や技術的な記載はありません。このテーマに関することについて気になっていることがあれば、ウエブサイト運営事業者むけの無料で相談の対応をしておりますのでご利用ください。
個人情報漏洩事件は多くの企業が経験しております。2022年の上場企業の150社が個人情報の事件を公表しています。3900社の上場企業の16%が1年間に個人情報漏洩事件を起こしています。上場企業は個人情報漏洩事件は株価への影響があるためセキュリティに費用をかけていると思います。個人情報の漏洩は防げない現実と今後は漏洩しなくても問題となる怖い個人情報の取り扱いについてウェブサイト関係者の方を中心にお読みいただけると幸いです。
-書いているのはSTEKWIREDプライバシーコンサルタント
国内で唯一のプライバシー認証TRUSTeと個人情報保護資格CPAの認定機関として、OECDのプライバシー8原則の自己情報コントロール権のコンサルティングやプライバシー意識があがるわかりやすい研修、クライアント相談のソリューションとしてGDPRのプライバシー7原則のプライバシーリスク分析やちょうど良いフォーム改善やGDPR対応プライバシーステートメントを支援しています。急激な社会変化に適応できるようクライアント担当者を中心としたプライバシー対策を心がけています。-
個人情報とお金の深い関係
個人情報のトラブルがお金に関わる理由を個人情報がお金を獲得することができる理由から考えてみましょう。
個人情報と貨幣経済の関係
企業は収益を上げ続ける宿命があります。収益をあげるにはお金を得る必要があり、お金は社会の血液と例えられるように人を通じて移動します。社会が安定していて、市場が存在して、通貨が利用者に信頼されているなどの諸条件が必要ですが、人類がなければお金は存在しません。
話を戻すとお金は人なくしては存在しないものです。現在の世界で取引されるような通貨制度も世界大戦後に試行錯誤されたもので80年ほどの人類史では最近のできごとです。
貨幣は人が借金してお金がうまれる
人が企業を通じて借金をして(信用創造)お金を作り上げ、それを元手にサービスを提供してお金を稼ぐ、稼いだお金はサービスを利用して循環し、お金の価値を維持するために税を納めます。人が社会との関わりを持つためのツールがお金であるため、お金と個人とは密接なつながりがあります。
平和な時代に生まれた人は貨幣経済が当たり前であって、お金がどのようにできているかなどの仕組みが見えにくくなっていますが、人類にとって貨幣を信用しているということはすごいことです。お金と人は深い関わりがあるということです。
お金を持つ人から売上を得る
お金を得るには人との関わりが必ず必要です。一次産業や二次産業は販売や交換の相手として必要です。三次産業は人へのサービス提供を行います。世界の人口が増えて産業化高度化するにつれて、お金をもっている人へのサービス提供の機会が増えてゆきます。(お金を持っていない人への福祉もありますが政策と絡んでいるため民間ではお金の支払いが期待できる人からお金を回収します。)
お金を持っている人を対象にする
民間企業が売上をあげるためにはお金を持っている人へのサービスを提供をします。お金をもっている人というのはお金持ちという意味ではなく、サービスの対価を支払える能力がある人のことです。提供するサービスへの支払い能力がない人やサービスの利用ができない人は顧客の対象外です。事業の対象となるターゲットを事前に決めていらっしゃいますよね。
お金を持っている人から更に売上を得る
売上をあげるためにはまずお金を持っている人に役務を提供します。売上を更にあげるためには、その対象者の嗜好や欲求に訴えかける必要があります。販売に必要なのは決済関連の個人情報ですが、サービスの付加価値を向上させるには、顧客の嗜好や欲求などの内面を知らなければならず、それらはプライバシー情報です。
顧客の内心を知るための行動履歴情報
人の内面を知るのは難しいことです。アンケートや要望を集める方法もありますが、人を理解するために行動情報を確認します。サービスの利用履歴などから類推します。人間は一般に思っているほど意識的ではなく無意識が支配していると考えられるため、行動から分析します。警視庁公安部などは対象者の行動確認を行っています。
対象者が外出を尾行し、何処に移動し、誰と接触して、何をしていたかを記録し、接触した人物との関係を調べます。人の1年先の行動はわからないが1週間先ならば行動パターンからわかると聞いたことがあります。人の行動パターンは一定になりやすいようです。
個人情報から個客対応も可能に
企業は売上を獲得するためにマーケティングでは潜在顧客の心理をタイムセールや期間限定価格や行動ターゲティング広告などで巧みに活用して売上機会を獲得しています。顧客を知ることで更に売上機会を伸ばす手法では、利用履歴情報を活用して顧客の分析を行い、顧客ごとへのダイナミックプライシングを導入してきる企業もあります。
顧客が購入する値引き額を行動から読み取り、個別に適用が可能です。店舗陳列ではないので「お得意先特別値引き」を実施することも可能です。
プライバシー情報が付加価値を高めてゆく
デジタル社会のコマースを進めている企業は、顧客の基本的な個人情報よりもマーケティングへの反応や購入履歴やサービス利用履歴などの行動情報がプロファイリングやマーケティングに利用しています。また、顧客のニーズの多様化が分かれば保険商品の細分化などのサービス開発にもつながります。
顧客の獲得と個人情報の集積があらたな付加価値の機会をみつけだすことで、企業の成長戦略とかみ合うことがあります。日本の不況では市場で一強百弱のマーケットになりやすいです。ユーザーは業界首位であれば、「利用者が多いということは不正はないだろう」という憶測のもとに集まるため、シェアが高まるごとに個人情報を集めるスパイラルになります。
継続成長には顧客のプライバシーが必要
企業が収益をあげて継続成長するには、拡大する市場と付加価値のいずれかが必要です。日本の高度成長期のように人口が増加している場合は販売促進によって売上増加ができます。1990年以降のグローバル化で国際市場で国境を超えた取引によって市場の拡大ができました。
しかし2020年のパンデミックと覇権をねらう国によって多くの国が国家安全保障の脅威や人権侵害の顕在化や地域紛争から市場がブロック経済化してきました。市場を広げることができず、少子高齢化で国内の潜在顧客も増えない状況で売上を確保しなくてはならなくなりました。
顧客の新規獲得が難しい状況で、既存顧客からの売上をさらに伸ばすには既存顧客のプライバシーに入り込みマーケティングや新たなサービスを提供することが必要になっていると思います。
お金には人が必ず関わっている。
お金を持っていて顧客となりえる人をターゲットにする
個人のプライバシーの情報が付加価値を高めてゆく
企業の継続成長には個人のプライバシー情報がかかせない
個人情報保護で業界首位になり、方針変換で流出した事例
2014年に個人情報の流出で話題となったベネッセは、持出事件の前までは、個人情報保護の成功の企業でした。企業の成長から凋落までが個人情報によってもたらされた、プライバシー業界の学びとなる事例です。
国内最初のプライバシー保護経営で業界順位をあげる
アラン・ウエスティン理論ベースのプライバシーポリシーは、個人情報保護によって顧客への通信教育教材の品質向上をもたらせました。社長直属のプライバシーコンサルタントが組織に入り、プライバシーポリシーに基づく経営で多くの社内従事者の業務や待遇改善や通信販売商材の見直しなどのサービス改善を行いました。
その結果、ベネッセの製品やサービスへの顧客の信頼が構築され顧客数が伸びてゆき、業界首位で一流の経営企業として国内で有名になりました。
経営者交代によるプライバシー保護から活用への変更
ベネッセは顧客の細分化に合わせた商材の開発に成功し、それぞれの商材が顧客を維持していました。ベネッセはグループ企業で多くの個人情報を保有していますが、商材ごとに個人情報を保護していました。
業界首位まで先導した創業社長は、経営を次世代に任せるために世界的なテクノロジーの大手企業から社長を招き入れました。そして、ベネッセがこれまでプライバシーポリシーの個人情報保護の経営から、グループの個人情報の資産を活用する経営方針の転換が行われることになりました。
サービス別分散管理からグループ一元管理へ
ベネッセグループ企業はプライバシー保護のプライバシーポリシーのもとグループ各社の個人情報の管理は各社がおこなっておりました。新社長はグループ各社が扱う個人情報の価値を活用するために個人情報を集中管理する個人情報管理会社の仕組みを導入しました。グループの個人情報の一元管理と集積した個人情報の活用を目指していました。
個人情報のトラブルがおこりやすい環境でもあった
社長交代の時期は国内の不況もあり、大企業で業績改善のためのリストラによる人員整理のされ方に問題があったとか、親会社や子会社などの雇用や派遣契約などの就業形態による社員格差による問題などの社内環境が良くないということがSNSで散見される状況でした。個人情報のトラブルが発生する環境として職場環境に問題がある可能性があります。
ライバル会社からのDMで炎上し流出が発覚
ベネッセの進研ゼミお子様にライバル会社のジャストシステムからのDMが届きました。SNSでは個人情報漏洩が疑われ炎上騒ぎとなりました。ジャストシステムから名簿の購入元を確認したところ名簿屋から購入、その名簿屋に捜査をしたとこと、別の名簿屋から購入、その名簿の捜査から持出した犯人が特定され不正アクセス禁止法違反で逮捕されました。
私物スマートへのUSB給電時にデータコピー
個人情報を持ち出しをしたのは経営方針変更によってできたグループ個人情報管理会社の派遣社員でした。セキュリティ対策がいろいろありましたが、社内のPCに自前のスマートフォンをUSB経由で給電をした際にデータをスマートフォン端末にコピーしデータを持ち出しました。そして名簿屋に販売しました。
個人情報流出の処理に200億円
企業では顧客の個人情報が資産価値とも考えられるため、成長した企業は個人情報を大量に保有しています。個人情報の漏洩の規模が成長するほどに大きくなるリスクがあります。
ベネッセ社の個人情報の漏洩は業界1位になってグループ企業の保有個人情報を管理する体制をつくったあとに3504万件の流出となりました。ベネッセは個人情報漏洩後の処理に200億円がかかり、訴訟までおこされています。
一人が会社に壊滅的な影響をあたえることができる怖さ
ベネッセの個人情報漏洩の犯人は単独犯でした。一人が会社に200億円の損失と社会に個人情報漏洩した会社という悪評をつけることに成功しているわけです。犯人は不正アクセス禁止法で逮捕されていますが、一人が会社を壊滅的な状況に追い込むことができてしまう怖さがあります。
会社に恨みを持つことがある人が被害を与えることを目的して持出をされることがあると非常に怖いですね。個人情報を扱える社員を敵にするには危険です。
持出が発覚していないだけの怖さ
個人情報持出は、会社の現金よりも容易に複製によって持出した時点で見つからないで済む可能性があります。ベネッセの個人情報漏洩もジャストシステムが名簿屋から購入して利用していなければわからなかった可能性があります。
個人情報保護の経営方針は顧客の信頼を獲得する
個人情報保護から活用への方向転換にはリスクがともなう
セキュリティ強化しても内部犯行は手ごわい
一人が企業に大損害を与える
個人情報はデータベースの外で流出している
ベネッセの個人情報漏洩の事件などから、個人情報はデータベースにあるもので、データベースからの持出には細心の注意を払っている企業も多いと思いますが、個人データベースから利用されたあとに漏洩されているケースがあります。
スタッフの恋心から目的外利用のリスク
企業のコミュニケーションのチャネルとしてLINEをサービスで利用するケースがあります。配達をする際にLINEで連絡したり、美容室の予約などに利用する企業もあると思います。スタッフが業務でLINEを利用した後にその顧客へ好意をもって、私的にアプローチをするケースやヤマト運輸の配達員が伝票からLINEでナンパをしたことによて企業が謝罪をした事例もあります。
エコシステムのリスク
サービスの委託先をユーザーとするプラットフォーム型のエコシステムが最近増えました。ウーバーやウーバーイーツなど自社のサービスの委託先もサービス提供を行うユーザーのような状況になっています。
個人情報保護では委託先の安全管理責任がありますが、エコシステムがマッチングサービスのようになると不正利用者のリスクが発生します。例えばウーバーのように個人事業主を派遣するビジネスで顧客に対する性的暴行の事件に発展するケースがあります。個人情報だけでなく顧客への危害なのでより深刻です。
委託先の監督責任がおよぶ発注主のリスク
尼崎市民の個人情報のUSBの紛失した事件で、システム会社の担当者がUSBを入れたカバンを泥酔して路上で寝込んでいる間になくしたことが明らかになりました。委託先の企業の社長の謝罪はありましたが、個人情報保護は委託元が監督責任があるため、尼崎市の市長も謝罪会見をしています。ボーナスをカットしその後の市長選挙への立候補を取りやめました。
個人情報流出は委託元の使用者責任
京都宇治市の市民21万人の住民基本台帳番号の持出して名簿屋に転売された事件がありました。市民から宇治市がプライバシー侵害の訴訟に発展しました。情報の処理は自社が行っても委託先がおこなっても事故時の責任は発注元が負います。
個人情報は利用されたあとに流出する
スタッフの恋心でLINEが悪用
エコシステムの脆弱性
委託先の事故は発注者の責任
急速な情報化で正解は誰もわからない
1990年以降の情報化社会の当初は個人情報は氏名、住所、電話番号などの基本情報でしたが、2000年のインターネット普及以降、スマートフォン普及やクラウドコンピューティング、AIブームなどから、ユーザーの行動などプライバシー情報を扱うようになりました。30年あまりに急速に技術発展が進んだため、企業利益とプライバシーとの最適なバランスが分からない状況になっています。
個人情報のトラブルは漏洩だけじゃない
日本に高速インターネットのインフラが無い情報化社会の黎明期で個人情報を紙で集めてコンピューターで処理して保存するビジネスであれば、個人情報の漏洩が一番のリスクであったと思います。
大量の個人情報が持出をされる漏洩は最も防がないといけませんが、個人情報保護は漏洩を防ぐことはプライバシー保護の一部分でしかありません。個人情報は漏洩さえしなければよいと考えてしまうと情報化社会の黎明期までは通用しますが、現在は通用しません。
デジタル社会はプライバシー情報をもっと集めてしまう
デジタル社会で企業が継続成長するには、従来の個人情報のイメージとした氏名や住所などの連絡先情報だけではなく、より高い付加価値を得るための顧客の行動情報を分析し、行動傾向や信用などを評価してゆくことになります。個人情報と意識せずにプライバシー情報を扱ってしまっています。
GDPRはオンライン識別子を対象に
デジタル社会になって個人のあらゆる行動がデータが計測され社会に収集され記録され利用されています。EUではデジタル社会のプライバシーを人権としているためGDPRではオンライン識別子は個人データとしたルールの対象としています。そのため訪問者Cookieのようなユーザーの氏名などがわからない情報も対象となっています。IoTであらゆるセンサーデバイスが個人を撮影し、録音、計測するようなデジタル社会に適応しています。
GDPRの制裁は巨額に
EUが2018年に発効したGDPRがGAFAへの訴訟をしていますが、訴訟を大雑把に解説すると、個人情報の利用目的を利用者にきちんと理解させることができていない状態に対しての義務違反となっています。
そして、巨額の制裁金を企業に科しています。GDPRでは制裁金が1000万ユーロ、違反が多い場合でも2000万ユーロとなっていましたが、amazonは970億円の制裁金が請求されました。
ユーザーの行動情報はプライバシー情報
国民がスマートフォンであらゆる行動データが社会システムとつながっている時代でデータのAI処理を行う時代になると、プライバシーに関わるデータの収集の適切さや利用や処理の内容や本人が確認できるかどうかなどがプライバシー問題になります。
個人情報としてデータベース内の情報の持出のセキュリティには意識を向けますが、プライバシーのデータに関しては、個人情報ではないものとして特段意識していないケースがあるのではないかと思います。
新技術を利用しようとして炎上し会社解散
日本でもスマートフォンの普及時にIT広告大手S社がスマートフォンアプリのSDKを利用した広告サービスを始めようと子会社を設立し、弁護士の個人情報保護法チェックをしたうえでサービス展開をしようとしましたが、スマートフォンのアプリの行動情報が収集されることについてユーザーから不審がられて炎上し、会社は解散にいたっています。
「男性を家畜あつかい」のSNSが炎上しサービス中止
女性むけの婚活むけSNSサービスで「男の子牧場」が、結婚対象の男性を牛になぞらえた仕様であっために、サービスを知った男性から家畜扱いしているというクレームで炎上し、サービス開始から5日間でサービス打ち切りになった事例があります。結婚サービスも牧場ゲームもそれぞれ存在しますが、結婚相手を牛になぞらえて管理するのは人権侵害でした。サービス開始直後の炎上なので、牛として登録された被害者からの訴えではなかったと思います。
個人情報のトラブルや漏洩だけじゃない
GDPRは巨額の制裁金
プライバシートラブルや炎上からサービス中止
プライバシーの責任はトップ
今後増えるAIのプライバシー問題
顧客のソリューションだったAIの内定辞退率
業界首位であったリクルートキャリアは新卒サイトの学生の行動情報を前年の学生の行動と結果を学習させたAI処理により内定辞退率を計算して、それを採用企業に販売しました。リクルートキャリアが請求する先は採用企業で内定者の辞退に頭を悩ませていました。学生は無料登録で費用の請求はありません。顧客の悩み解決のソリューションだったのです。
AIの内定辞退率の販売が報道され炎上
学生の行動情報を採用企業に販売していたことが報道され炎上しました。新卒者サイトのプライバシーポリシーでは、行動情報は採用企業に提供しないとしていました。炎上の結果、社長の謝罪会見が行われ、経緯説明と謝罪がされました。
プライバシー保護の責任者はいなかった
リクルートキャリアはプライバシーマーク登録事業者で社内の個人情報保護管理者がいましたが、個人情報の利用によるプライバシー侵害を担当するプライバシー保護責任者はいませんでした。社長は謝罪会見で、学生の気持ちを考えることがなかったことを後悔していました。
個人情報のトラブルは社長の責任
個人情報保護の最終責任者は代表者です。通常は大規模な個人情報漏洩の記者会見などは事業者の代表者が出席をします。出席をしないと責任者不在として企業の反省がないと報道されてしまうリスクがあります。上場している場合には株価への影響があるため経営責任と直結です。
デジタル社会でプライバシーリスクはけっこう怖い
社会のデジタル化がすすみ、プライバシー情報を扱うようになります。個人情報と意識せずに新テクノロジーを採用したり、開発したり、委託などに未知のプライバシーリスクがあります。社会の適応のためのプライバシー情報の取り扱いはトラブルとなるとトップの経営責任を伴い、深刻な影響を与えることがあります。それを認識しないでいることはけっこう怖いですよね。
ポジション別のアドバイス
代表者や役員の方
これをお読みになっている方が経営者であった場合に、個人情報に一番触れることないトップがトラブル時には全責任を負うという理不尽さを認識しましょう。BIGMOTORのように収益第一の成果主義では現場で犯罪をして高い報酬を得ているスタッフにしたのは経営責任になります。
使用者責任となるため、個人情報保護の優先順位を高めるのと同時に新テクノロジーなどによるプライバシー情報の取り扱いについて、顧客のプライバシーの配慮ができる人材を要所に確保することをお勧めします。スタッフのプライバシーの浅慮が会社と経営者に深刻なダメージを与える可能性があります。欧米ではプライバシー巨額訴訟に備え、トップもプライバシーについては常に深慮する傾向にあります。
ウエブサイト部門の方
これを読まれた方がウエブサイトの部門の方であった場合、ウエブサイト部門は事業部門で個人情報を扱いますが、個人データの漏洩やトラブルがあると社会から経営者への責任追及がおこります。トラブルの収拾もしなければなりませんが、社内外へ影響を与えた責任を感じてしまうと組織の中で生きた心地がしないかもしれません。
ウエブサイトの運営部門は収集した個人情報の持出や漏洩のセキュリティはこれまで通りに実施する必要はもちろんあるのですが、本人が入力する以外のデータ取得についてCookieやスマホの位置情報やアプリから収集される情報、音声や動画や外部SNSの利用などそれらのサービスにおける利用目的においてもプライバシーの問題になるのです。
ウエブサイトの運営部門としては、デジタル社会の技術をとりいれたマーケティングやコミュニケーションは、個人データは本人以外からセンサーやデバイスで収集可能です。
本人に知られずに盗撮や盗聴のようなデータ取得はトラブルとなりますし、AI評価が影響を与えることもあります。個人情報保護=漏洩防止という前時代的な思考で、個人情報保護=プライバシー情報保護に思考をチェンジしましょう。
広告代理店・ウエブ制作会社の方
これを読まれた方が、広告代理店やウェブサイト制作会社などでウェブサイトリニューアルの制作の案件がある場合には、クライアントの個人情報保護の認識が古かった場合にはアップデートさせましょう。
デジタルマーケティングやAIの技術の採用など、新テクノロジーのプライバシーリスクが含有しているものがあり、委託先が原因となっても委託元の責任となるため、最終的にクライアントの被害が発生するのを防ぎましょう。
ウエブサイトの個人情報の責任がある方
自社の個人情報やプライバシー情報の取り扱いに不安がある方については、当社のプライバシー支援部門がオンラインで個別相談会を実施しますので、ご相談内容をお送りください。オンラインにてご相談をお受けします。
note読者法人向け プライバシーリスク個別相談会
note読者法人向け プライバシーリスク個別相談会フォーム
note読者法人向け プライバシーリスク メール相談
note読者法人向け プライバシーリスク メール相談フォーム
一般ユーザーの方
当社では一般ユーザーの方向けの支援をしていないので個別のアドバイスを行うことができませんが、お読みいただいたご縁がありましたので少しだけ。
デジタル社会はあなたに何かをさせるためにあらゆる情報を利用します。今のデジタル行動情報は未来に分析されてAI処理をされて評価され行動を制限される可能性もあります。すでにデジタル監視社会となっている国のほうが多く、日本は未だなっていない少数の国です。
プライバシーに関わる情報は悪用される弱点になるためより慎重になることをお勧めします。安心できる企業だけを利用して、プライバシー軽視のサービスやデバイスからは距離を置きましょう。
次の記事はこちら
この記事が気に入ったらサポートをしてみませんか?