不正のトライアングルを完成させる「いわゆる名簿屋」

現在、個人情報保護法改正を見据えた「パーソナルデータの利活用に関する制度改正大綱」に対して、政府はパブリックコメントを募集している（※１）。ICTの進展により可能になったビッグデータ、とりわけパーソナルデータの利活用において、現状の個人情報保護法ではグレーゾーンとされる部分が拡大してきたことへの改正案である。この大綱の中で継続的な課題の一つに「いわゆる名簿屋」が取り上げられている。

この「いわゆる名簿屋」が関係すると思われる事件は、後を絶たない。最近、起きた事件では、個人情報を提供した覚えのない他社からのダイレクトメール（以下、DM）が来るようになったことから漏えいが発覚しており、このDMを送った会社は名簿会社から購入した名簿を使ったとしている。このDMを送った会社が購入した名簿の会社も、別の名簿会社から購入したとされ、大元の出所は不明である。しかし、この事件では顧客は、例えば住所の最後に「（Ａ）」「（Ｂ）」などの無意味な記号を付けておくことで、配達には支障なく、どこに登録したものかが判別できるようにしていた。もし、自分で登録した企業以外から「（Ａ）」付きの住所でDMが来た場合、情報が漏れたと判断することが可能となる。今回、このような特定可能な方法で住所などの情報を登録していた顧客が複数いた模様である。自分のデータを守る（速やかに漏えいを発見できる）意識の高い顧客といえよう。

一方、漏えいを行ったのが再委託先などを含めた広義の内部者であるとすると、情報という資産に対する遵法意識の低さへの対処の難しさが改めて浮き彫りにされたことになる。不正行為が見つかれば、何らかの制裁を受けることはわかっているにも関わらず、不正行為はなくならない。これは、「不正のトライアングル」理論に当てはめると頷けるものがある。不正行為が実行可能な環境があるという「機会」、不正行為を実行する事情があるという「動機」、不正行為を肯定するという「正当化」の３つが揃った時に不正行為が発生するというものである（※２）。

情報を売るという行為からは「お金が欲しい」という「動機」があるものと推定ができる。通常、顧客情報など重要な情報の取り扱いにおいては、不正行為を行う「機会」を与えないように、取扱者を限定、USB接続や外部媒体への書き込みを物理的に禁止、情報を管理している部屋への監視カメラの設置、入退室やデータアクセスのログ取得などを行う。また、トラブル対応などで通常ルート以外で重要情報を外部に持ち出す場合は、通常より上位の役席者の承認を必要とするなどの仕組みにして牽制しつつ、万が一の時でも速やかに発見できるような検知体制を整えることが行われる。しかし、今回は顧客からの問い合わせで発覚したことから、結果的に「機会」があったことになろう。顧客情報が盗まれた場合、企業にとっては社会的信用の失墜や販売機会の損失などの損害が発生し、顧客にも大きなダメージを与えることになる。その上、顧客自身では対処のしようがない上に、顧客にはいったん漏えいした情報を回収する方法もない。情報取扱に関する社員教育などを行うことによって、自社と顧客へのダメージ、ひいては自分自身へのダメージ（自社が損害を被れば、最終的に自分にも関わってくる）を意識してもらうような取り組みもあるだろう。しかし、こうしたダメージが意識できなかったり、反対にわざとダメージを与えようというような意識を持っていたりすれば、「正当化」されてしまうことになる。こうした責任感の低さについては、テレビ番組（※３）でも取り上げられており、別の事件で結婚資金を得るため情報を売り渡していた携帯電話販売店の店員は「大ごとになるとは思わなかった。」と言ったそうである。

ただし、横領と違って情報漏えいの場合、不正に取得しただけでは利益にならない。情報を売る先、「いわゆる名簿屋」がいたという「機会」があったことにより、不正のトライアングルが完成したともいえる。この「いわゆる名簿屋」は、2003年に個人情報保護法が成立する以前から問題視されていた。今般議論されている個人情報保護法改正では継続課題になっているが、「いわゆる名簿屋」については、この改正の前に対応することを検討してもいいだろう（※４）。