JTB流出二度目の会見「一律補償せず」流出したかハッキリしないことが問題に?

JTBによる個人情報流出事件で、6月24日に二度目の会見が行われました。

ここで驚くべき発言がありました。「顧客への一律的な補償は考えていない。被害があるとわかれば個別対応する」という高橋広行社長の発言です。日経新聞や東京新聞が報道しています。

JTB社長、情報流出問題「補償は個別対応」 一律は考えず(日経新聞)

まるで流出したのに補償をしない、と聞こえるものですが、どうもニュアンスが異なるようです。

JTB広報によると「その通りの発言だが、流出したかどうかの確認がとれていない」

JTB広報に電話取材しました。それによると確かに「被害があるとわかれば個別対応する。現状では顧客への一律的な補償は考えていない」と発言しているとのこと。ここで問題になるのが「被害があるとわかれば」という点です。

実は今回のJTB流出事件では、流出したかどうかの確認が取れていません。

JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口:Yomiuri Online サイバー護身術

いきさつは上記の記事にまとめていますが、678万8443人(重複があったため793万人から訂正)のデータファイルが作成され削除された痕跡は確認しています。しかしそれが外部に持ちだされた通信ログが残っていないのです。そのためJTBでは「流出した可能性があることが判明いたしましたが、現在のところ流出の事実については確認されておりません」というスタンスを取っています。

流出した「可能性」に留まるので、「被害」ではない?

つまり流出は「可能性」に留まっており、「被害」は確認できていないというわけです。

「被害」とはなんでしょうか。流出したこと自体が「被害」なのか、それとも流出したデータを悪用されたのが「被害」なのでしょうか。その点についてJTB広報は「そこまで具体的には社長は発言していない」ということで、ハッキリしない段階です。

ここからは筆者の推測になりますが、流出が「可能性」に留まっている以上、「被害」だとは言えないので一律的な補償も考えていないというニュアンスなのかもしれません。

犯人が侵入したのは明らか。ログが残っていないので「可能性」に留まる

今回のウイルスは遠隔操作型であり、犯人が侵入したことは明らかです(以下の記事参照)。またファイル作成を行っていることから、犯人が感染パソコンとの通信のやり取りができていることもほぼ間違いないでしょう。

JTB流出ウイルスは中国製が濃厚:Yomiuri Online サイバー護身術

ここまで来れば、流出したのは明らかだと思うのですが、通信ログが確認できないために、流出したとは断言できないわけです。そのために一律補償がないとすれば、678万8443人の流出対象者は納得しにくいでしょう。

今後の企業流出事件での対応にも影響あり

今まで企業からの情報流出事件では、顧客に対して一律500円というパターンが多くなっていました(ベネッセ、Yahoo!BBなど)。しかしJTBが「流出した確認が取れないので一律補償しない」となれば、今後のパターンは変わってくるかもしれません。

通信ログが残っていないというトラブル(?)が、JTBの補償をなしにしていいものか。それで顧客は納得するか。今後も起きるであろう流出事件での補償にも大きく影響を与えそうです。

今回の会見では「見覚えのないメールマガジンが届いた」などの相談が100件超寄せられていると発表しています。これがJTBからの流出によるものかハッキリしませんが、証明することは難しいでしょう。

旅行最大手JTB、顧客パスポート情報流出で信用失墜…1カ月も発表遅れ、甘い安全対策:ビジネスジャーナル

上記のの記事で書いていますが、JTBの業績に与える影響も大きいので、JTBはできるだけ早く「流出した可能性」ではなく流出したことを認めるかどうか、補償をするか・しないかとハッキリさせるべきと思います。