全米激震レベルのデータ漏洩事件があったようです

(ペイレスイメージズ/アフロ)

 “人工知能(AI)”というバズワードのおかげで“ビッグデータ”という言葉がもてはやされる機会はすっかり減ってしまった印象がありますが、実際にはより多くの事業者がこれまで以上にたくさんのデータを収集しているのが現実です。そして、大量に集められたデータが適切に処理され保管されているのかというと残念ながらそうではないようです。

個人情報など3億4,000万件、米企業から流出――データ収集をめぐるルール不足が浮き彫りに(WIRED 18/06/29)

米国のマーケティング企業が保有している3億4,000万件のデータが公開サーヴァー上に置かれ、誰でも外部から閲覧できる状態になっていたことが明らかになった。このうち個人情報は2億3,000万人分で、連絡先や婚姻状況、犯罪歴といった公的データに加え、宗教、趣味、ペットの情報など400以上のマーケティングデータが含まれていたという。

出典:WIRED

 2億3,000万人分の個人情報とはなんともインパクトのある数字です。現時点ではデータの持ち主である米Exactis社がこの件についてコメントを出していないため何が起きているのかはまったく謎ですが、データを発見したセキュリティエンジニアは「アメリカ国民のほとんど全員についてデータがあるのではないかと思います」と指摘いることからも事の重大さがよく分かります。もちろん、そのデータの内容や精度(新鮮さ)は漏洩した個人によって大きく異なること、また、犯罪歴や特殊な性癖といったセンシティブなデータはどうも含まれていないようだ、ということで、あくまで「他の個人に関する情報と突き合わせてはじめて価値を持つようなもの」という見方が大勢のようです。

 このデータに対しては、一体いつから誰でも閲覧可能な状態で放置されていたのかは不明ということですが、すでに悪意のある誰かの手に渡ってしまっている可能性を否定できないのがなかなか恐ろしい話です。一部のセキュリティ会社はすでに昨年末から閲覧可能な状態にあったとレポートを出していますが、それさえも信憑性がはっきりしません。データの持ち主であった米Exactis社は今後この件についてどういう対応をするのかが大変気になるところです。訴訟大国の米国ですからなんらかの集団訴訟的アクションが起きる可能性も高いと思われますが、想定される被害者が米国民全員に該当したりすると収集がつかなくなりそうです。

 一方で、日本国内で起きた大規模個人情報流出事件の一つであるベネッセコーポレーション顧客情報流出事件にまつわる集団訴訟は、東京地裁で賠償請求が棄却されました。

個人情報流出「慰謝料生じず」 ベネッセ事件で東京地裁、賠償請求退ける(日本経済新聞 18/6/20)

原告側は電話番号や住所などの流出によって「営業電話やダイレクトメールを受けたり、詐欺などの犯罪に利用されたりするリスクがあり、重大な不安感がある」と主張。ベネッセ側は「(流出情報を使った)勧誘行為があったとしても、日常的にありふれたものだ」と反論していた。

出典:日本経済新聞

 なかなか興味深いやり取りですが、顧客情報を流出させてしまった企業側が裁判の場において堂々と「(流出情報を使った)勧誘行為があったとしても、日常的にありふれたものだ」と公言できてしまうあたりは、日本における個人情報はやはり“安い”ということを改めて思い知らされる感があります。もちろん、ベネッセ側にも言い分はあるでしょうし、司法の判断としてまずは地裁レベルではこういう結論となった、と受け止めたいと思います。原告側の気持ちを考えるとなんともやりきれないものがありますが、しかし、賠償請求棄却の理由として示された以下の判断は残念ながら妥当であると認めざるしかないのかもしれません。

氏名や住所などの情報が「思想信条や性的指向などの情報に比べ、他者にみだりに開示されたくない私的領域の情報という性格は低い」と判断した。

出典:日本経済新聞

 原告側は控訴する方針だそうで今後の展開についてはウォッチを続けたいと思いますが、いろいろなサービスにおいて個人情報が収集されるのが当たり前になり、不幸にもそうしたデータがサイバー攻撃などによって悪意をもった第三者に漏洩してしまうことも日常茶飯事となってしまった現代において、個人はどうやって自分の身を守ることができるのかは色々と考えていかなければならないわけですが、簡単にその答えを見つけるのは無理そうでして、困ったものだなと無力感を覚えるばかりです。