JustSystemは、購入した名簿データを破棄。道義的責任として。

ベネッセの個人情報流出の問題が連日報道されています。そして、ジャストシステムが購入してDMに使っていたことも大きく報道されています。

入手したデータが不正なものと知らずに購入し使ったジャストシステム自体には、法的には問題ありません。しかし、動議的責任として、購入したデータを破棄するようです。それはどういうことなのでしょうか？

株式会社ジャストシステムは11日、株式会社文献社から購入した257万3068件のデータをすべて削除すると発表した。株式会社ベネッセコーポレーションの顧客情報が流出し、その情報が他社のダイレクトメール（DM）の発送に利用されていた件への、ジャストシステムの対応として発表したもの。

ジャストシステムによると、同社は今年5月、名簿業者の文献社からデータを購入。これを利用して6月にDMを発送したという。

ただし、ジャストシステムでは、ベネッセから流出した情報であると認識した上で利用した事実は一切ないと説明。また、文献社から取得したデータがベネッセから流出したものかどうかをジャストシステムでは確認できないため、そのような事実を確認できているわけではないとしている。

一方で、ジャストシステムでは、名簿データを購入してDMを発送する際は、その個人情報が適法かつ公正に入手したものであることを条件とした契約を業者と締結しているという。しかし、今回の文献社からのデータ購入においては、最終的にはデータの出所が明らかになっていないまま契約・購入していたことが社内調査の結果から判明。「企業としての道義的責任から、2014年5月に文献社より入手した全データを削除することに致しました」としている。なお、それらの個人情報は7月9日以降、使用を中止しているという。

ジャストシステムでは「今後は、個人情報の取り扱いについてさらにコンプライアンスを徹底し、適正な情報管理に努めてまいりたいと存じます」とコメントしている。

今回の件は、ジャストシステムという「メジャー」な会社でも名簿データの購入を行っていたのだということに驚くと共に、ベネッセも個人情報を外部の会社が操作できる場所においておいたことにもおどきます。

もしかしたら、ベネッセはそのような個人情報を取り扱うことが習慣化して、その重要性を認知できなくなっていたのではないでしょうか。

様々なイベント会場でのスポンサーとなり、、個人情報収集を行ってきたベネッセにはかなりの量の個人情報が蓄積されていたことは、想像できます。

人は、個々を捕らえているときと集合で捕らえているときで認知の構造が異なっていると思います。

今回のケースでは、その集合としてデータを扱った意識が強かったために外部の業者に操作を許可してしまうというミスを犯したのではないでしょうか？

本来ならば、データを持ち出すことができる媒体やPCは、トレースできるようにするのが情報セキュリティの基本となりますので、今回はそのようなプロセスを省いていたのでしょう。

個々の企業でも他山の石とならないように、自社の管理体制を振り返ったほうがよいと感じました。