それは1本の通報から始まった
3日前にお客様相談室に1本の問い合わせがあった。最近、色々なちらしが自宅に送られてきたり、しつこい勧誘の電話が多くなったという。Xは通販事業を行う上場企業B社の個人情報保護責任者である。この1本の通報が彼に速やかに報告されたことについては、ただならない理由があった。
この通報者は何度かB社の商品を購入した一般の顧客であるが、個人情報の管理についてはナイーブで、登録した住所には一つの工夫を施してあったという。それは現実の住所の最後に、無意味な文字をつけ加えることで、どの会社から情報が漏出したかを瞬時に見分けることである。
通報者が個人情報をB社に登録したときも、住所の最後にB社だけに割り振られた「Y」という無意味な文字をつけていたのだ。1ヵ月前くらいから通報者の自宅に「Y」がついた宛先で、色々なちらしが頻繁に届き出したという事実が何を意味しているか。個人情報保護責任者でなくとも、事件の発覚を予想させるだろう。個人情報を管理する個人情報保護部やお客様相談室では事態の深刻さを憂慮し、にわかに緊張が走った。
既に、何らかの理由でB社の個人データが外部の何者かに流出し、悪用されていることは間違いないものと推察される。使用されている情報は氏名、住所、電話番号である。B社の一番深部にある個人データは、これらの個人情報の他、クレジット番号を含む信用情報、購入履歴、家族構成、クレーム履歴など詳細な情報約10万人分が保存されている。
現時点でどの階層の情報が流出したかは不明であるが、現実にお客様へのアクセスが悪意の第三者により実行されていることを考えれば、一刻を争う事態であることはいうまでもない。Xは社長に報告し、翌日には取締役会が開催された。
紛糾する取締役会
文字通り、会議は踊っていた。冷静になれば簡単に決められることを、なぜここまでもめるのか? 個人情報の所有者が誰であるかを忘れてしまったのか? 速やかな事態と対策の公表を求める役員と未だ「危機」としての認知が希薄で、公表の必要なしとする役員との攻防が既に3時間以上も続いていた。