通信教育大手「ベネッセホールディングス」の子会社「ベネッセコーポレーション」(以下、ベネッセ)において、大規模な顧客情報が漏洩する事件が起きた。ここでは本件に限定せずに、大規模な個人情報流出がどのような影響を与えるかを考えていきたい。

個人情報漏洩が大規模だったゆえに、想定される二つの影響

  さてベネッセ側の発表資料(2014年7月21日)によると約2260万件の顧客情報の漏洩が確認されているとのことである。各顧客情報には顧客の氏名、住所、電話番号が含まれる。同じ顧客に関する情報を重複して扱っている可能性があり、漏洩対象者の人数は減る可能性もあるが、一方で同社の7月9日の発表では、760万件の顧客情報が漏洩したとし、各顧客情報には保護者と子どもの個人情報も含まれるとしており、逆に漏洩対象者は増える可能性もある。

 ところで総務省統計局の国勢調査に基づく人口推計によると、平成26年4月1日において14歳以下の子どもは1629万人、未成年者以下(同19歳以下)は2232万人である。漏洩した顧客情報件数2260万件のうち、14歳以下と未成年者の個人情報が含まれる比率などは発表されていないことから、仮定で議論することになるが、漏洩した顧客情報の半分に相当する1130万人分が仮に14歳以下の子どもの個人情報だと仮定した場合、14歳以下の子どものうち約7割(後述するカバー率)が漏洩対象となり、1130万人分が仮に未成年者の個人情報だと仮定した場合、未成年者の約5割が漏洩対象となる。ただし、これらの数字は仮定であり、実態とあっているとは限らない。

 なお、ここでは事件性のある話題は扱わない。むしろ、ベネッセの顧客情報漏洩のような大規模な個人情報の漏洩が起きたときの影響について知ってもらうことが目的であり、下記は一般論であり、特定の事件を議論するものではない。また以降では大規模漏洩によって生じるリスクを議論していくが、あくまでも可能性としての議論であり、リスクが現実化するわけではない。

 大規模な個人情報の漏洩による影響には2種類ある。一つ目は直接的影響である。例えば漏洩した個人情報を購入した企業がダイレクトメール(DM)や電話勧誘に利用した場合、それが受け取る側の迷惑となるケースもあるだろう。これは漏洩情報そのものによる直接的な影響である。

 もう一つは間接的影響、つまり他の情報と漏洩情報との突き合わせによって生じる影響である。どうしても直接的影響に注目が集まるが、大規模な個人情報漏洩では後述する間接的影響の方がむしろ大きいことがある。

危惧すべき間接的影響とは

 例をあげて説明しよう。漏洩した個人情報とは関係なく、別の事業者が、ある子どもの生年月日、性別、その子どもに関わる購買履歴(診療記録や移動履歴などでもよい)からなる情報を集めていた、または他者から購入したとする。もちろん、この情報だけでは、その子どもの特定、つまり誰なのかはわからない。しかし、その事業者が、今回の大規模な漏洩情報のように、大量の個人情報をもっていた場合は話が違ってくる。