ヤマダ電機で個人情報漏洩

 あまりに暑い夏。クーラーが壊れてしまった。5年くらいしか使ってないのに、とよく見ると「三菱」。そういえば「三菱」冷蔵庫も冷気の漏れが激しい。やっぱり「三菱」はだめなんだな、と買い換えることにした。(なおユーザーの安全を軽視するという点では「三菱」銀行も相当やばく、当初はキャッシュカードの磁気ストライプに暗証番号を入れていました。またランドマークタワーで行ったという電子マネーの実験は「使用者の使用記録を雇用主である会社に還元する」という個人情報流出仕様でした。)
 ところが買いに行った家電量販店で、とんでもない個人情報取り扱いの実例を見てしまった。さすがにこれはやばいでしょう、と書いて送ったのが次のメール。
 御社の支店における行為で情報管理上、明らかに問題があることが目につきました。管理制度・従業員の管理意識とも殆ど無いに等しいと判断されます。これでは2005年4月からの個人情報保護法施行を迎えることができそうもないので、早急に情報管理手続の整備及び従業員教育の徹底が必要と思われます。

 7/24(土)の16:00頃、御社テックランド○○店でクーラーの配送手続をお願いしていたときのことです。私が依頼書類を書いていたのとまさに同じ机の上に、接客をしてくださっている係の方が他のお客様の配送関連資料を、字が見える方向に置きました。
 気になったので「せめて裏返しておいてよね」と言いましたが、反応は全くありません。この会社の情報管理大丈夫か?と思いながら(その机の上で住所氏名電話番号等の個人情報を書いている身としては人ごとではありません)続きを書いていると机の下に下ろしている左手に何か当たるものがあります。引っ張り出してみると「配送指示明細」「配達指示書」「発注表」をホチキス止めしたものです。言うまでもありませんが、どこの誰がいつ何を買ったかという個人情報が記載されています。
 思わず「どうしてこんなものがここから出てくるの?」と怒鳴りましたが、まあ店内混み合ってうるさかったことがあるのかもしれませんが、係の人は無反応。「わかった、別の人に言ってくるわ」とそれを持って、サービスカウンターの方に行きました。

 「さっき、クーラーの配送申し込みをしていたら、机の下からこんなものが出てきた。オタクの個人情報管理はどうなっているの?」と問いましたが「はあ?」という答え。さすがに腹が立って「わかった。しかるべきところに出すわ。」と言ってその場を離れました。

 カッとして早まったことをしたかな?一応許可はもらったと思っているけど、この紙持って出たら窃盗罪になるかもしれません。ここであらためて「配達指示書」の日付を見ると「6月25日」。
 あわててさっきのサービスカウンターに戻ってさっきのお兄ちゃんに言いました。「さっきのやつだけど、他のお客さんに迷惑がかかるのは避けたい。日付が6月25日になっているけど、配達は済んでいるか確認してくれない?」と聞くと、調べてくれて「済んでます」のお答え。(ちなみに顧客番号はnnnnnnnnnです。16:15頃の検索記録が残っていれば照合できます。)「配達指示書」は返してくれました。
 これで私がこの紙を持っていってもそれは従業員の同意済みと判断されるでしょう。窃盗罪として刑事告発されることはないな、ということで安心しております。また配達がきちんとなされていたことから考えて、この書類は社内では「紛失」したものとして処理されているはずです。そうであれば当方は御社の逸失物を拾っただけのことであって、間違っても窃盗とは判断されないことになります。かといって持っているというのは気持ち悪いので、そのうち時間ができたら送り返します。(おまわりさんに届けるのかなあ?)

 ここでの問題点は、
 1.個人情報の取扱がずさんであること。
 2.個人情報を守るという意識が複数の従業員に全く見られないこと。
です。

 個人情報保護法の施行はまだ先ではありますが、個人情報が外部流出した場合は広く報道され企業のイメージダウンに繋がるというリスクは既に存在しています。従って早急な対策が必要と思われます。
 なお、お客様が記入した帳票のままで未分類の場合は、個人情報データベースに当たらず、個人情報保護法の制限対象外という解釈が成り立つかもしれませんが、ここで問題としている「配達指示書」はお客様の名前と住所が「印刷」されていましたから、これは個人情報データベースから出力された個人情報であり、従って個人データとみなし得ます。従って個人情報保護法の適用対象であることは疑う余地がないと考えます。(これを顧客情報と見て不正競争防止法で保護される対象になるかについては、一般の人間がアクセスできる場所に特段の保護無く置いていたわけですから、判例から言って認定されません。)

 もう一つの問題は、こういう個人情報が第三者(私ですが)の目に触れるところにおいてあることを指摘されても、反応できない従業員が少なくとも二人いたということです。
 多分反応すべきことと認識していないのでしょう。認識していれば、私が個人情報の記載された紙を持っていった時に追いかけてきて「お客様、済みませんが・・・」なり「おい、この野郎」なり言うはずですから。(わざとゆっくり歩きましたが、全く反応はなかったです。)これが商品なら電池一本でも見逃してくれないでしょう。つまり御社の従業員にとって個人情報は電池一本以下の価値しかないということです。この辺の意識改革は急務でしょう。

 なお、この事例を個人情報保護の勉強会で使うことについては容認願います。YahooBBやコスモ石油の大きな事例よりも、各人に実感として分かってもらうには、このような事例の方が適当と思いますので。(勉強会は別の場所で複数回行う可能性もあります。お含みおきください。)

 ご連絡が遅れてしまいましたが、これは「月曜日に届けられますよ」と言われたはずのクーラーが、なぜか配送依頼する段になると2週間後といわれ、その分夜中よく寝られず、なかなか疲れがとれなかったためと解釈してください。(○○○さんの売り方、ちょっとあざとすぎます。子どもがいなければ怒っていました。)

 今回配送依頼で提供した個人情報については、来年個人情報保護法が施行されたら、間違いなくデータ消してください。もちろんバックアップテープからもです。正式依頼は別途おこないますが、その際はよろしくお願いします。

 なお、預かっている「配達指示書」等の保管は、自分のものと同様の注意を持って取り扱うということで問題ないとしてください。特に貸金庫に入れる等の措置は行いません。
自分の名刺を金庫で保管する人はまずいませんでしょうから、社会通念上問題はないと判断しております。

 ちなみにこのメールが匿名なのは、そちらの個人情報活用力を見てリスクの大小を図っているからと見てください。私が誰かは上の文の情報で充分特定できると思っています。なお、特定できるとすれば、データベースの整備に従業員の教育がついていっていないということで、内部からの情報漏洩リスクが大きいと判断するやもしれません。特定できないとすれば、情報システムのインフラが問題となって、外部アクセス等による情報漏洩リスクが大きいと判断されることになります。
 一番知りたいのは、別の会社がこういう危機をどうやって乗り切るかの実例です。こちらとしても決して人ごとではありませんから。

 さて、これを受け取った側はどうすればいいのだろうか。
 普通の苦情メールと同じように処理したいところだが、こちらが物証を持っているだけにそうもいくまい。出来れば勉強会のネタにも使ってほしくない。物を取り返し、かつ口封じをするにはどうすればよいか。改めて相手の立場で考えてみた。

 まず、私の携帯電話にかけてきて言う「書類はこちらから受け取りに伺います。その際、当社の情報漏洩対策についていろいろとアドバイスをいただきたい。ついては時間と場所をご指定ください。」
 場所には二人でゆく。それなりの肩書きを持った年輩の紳士と、若い(といっても20代後半くらいの)美人。こっちのプライドを満足させつつ場を和ませる組み合わせ。ちなみにさとう珠緒が好みです。
 現物を回収し、一通りこっちにしゃべらせた後で「非常に参考になった、ついてはコンサルタント料をお支払いしたいのだが」と領収書にサインを求める。そこで「ただしコンサルタントということであれば秘密保持契約を結んでいただかなくてはなりませんので」と秘密保持契約書にもサインさせ口を封じる。
 このときの女性の態度が極めて難しい。まちがっても「やーいひっかかった」とこっちに思わせるような表情をしてはいけない。国会議員蓮蓬も人気絶頂プロミスの井上和香も張り付いた笑顔で失格。アコムの小野真弓ですらキャリア不足の感は否めない。こういうとき「いい女」がどういう風にするべきなのか当方は想像力欠如でわからない。唯一想像できるのが、問答無用で人を和ませる笑顔・・・ということで筋金入りのブリッコさとう珠緒を押したわけである。

 と思っていたが、ヤマダ電機。うまい対応を見せてくれるどころか、メールへの返信すら寄越さない。僕が現物を返すというリスクを想定してないのかねえ。「返さない」というリスクではない「返す」というリスクだぞ。
 返却の仕方で2番目にまずいのは、私がクーラーの配達に来たお兄ちゃんに渡してしまうこと。どうせこの程度の会社だ、下請けの配達のみなさんに個人情報保護の重要性が徹底されているはずがない。従って現物はどこに行ったか分からなくなる。しかしまだましである。現物が私の手を離れた。確認は出来ないとしても、それはそれで歓迎すべき事だろう。
 しかし私は絶対この方法は採らない。この方法で渡した後、ヤマダ電機から「返して」と依頼が来たとする。ここで「○月○日に来た配達の人に渡しましたよ」と言ってごらんなさい。ヤマダ電機は自分のことを棚に上げて、この下請け会社に「情報管理がなってない」と言うかもしれないよ。かわいそうじゃないか。
 ではどうするか。もっとも誠実で、それ故にもっとも厳密な返却手法をとる。やはりこれは重要物だ。ならば書留で送るべきだろう。となると送り先が特定できないといけない。そこでヤマダ電機のホームページを見る。しかし窓口の部署名も書いてなければ、組織図も載っていない。とはいえ重要物である故に不確定な宛先を書くことは許されない。郵便配達の人も配達証明がとれなくて困る。ならばホームページから読みとれる絶対確実な送り先に送るしかない。つまり社長である。
 社長のところに「例の件です」と上記メールのプリントアウト付きで現物が書留でゆくんだよ。開封するのは多分秘書だろうけど、メールを受け付けた窓口や店に問い合わせがゆくよ。知らないなんて言えないよ。どうする?私はただ誠実に対応しただけだよ。文句を言われる筋合いはないよ。それがいやなら苦情窓口がどこかしっかり分かるようにホームページに書いておくんだね。

 さて、これを書いたこっちとしては次のようなことを想定しながら一文一文したためていったつもりである。

 ヤマダは出来れば被害者面をしたいはず。ならば私を何とかして窃盗犯扱いしたいに違いない。まずこの可能性をつぶす。先方、まずは「当社の営業秘密である顧客情報を盗んだ」と言えないかを考えるはず。個人情報であれば流出させたらさせた側の責任だが、営業情報ならば不正競争防止法で保護される可能性がある。ならばこっちは「これは営業秘密ではない」ことを説明しておかなければならない。さて営業秘密であると認定されるためには、誰が見ても秘密と分かるように表示がされ、それなりの保管方法をとっておかなければならないというきついハードルがある。もちろんヤマダはこれらを満たしていない。したがって営業情報を盗まれたと認定されることはあり得ない。
 ならば紙を盗んだと向こうは主張したいだろう。ならば預かっているだけだと認めてもらわなければならない。だから返却の意志を示している。更に借用の許可は取ったつもり。でもこれは向こうが知らないと言い張れば水掛け論。だから検索記録と照合出来ることに言及し、知らんと言い張るのは困難であることを示した。とどめに一ヶ月もほっぽといたものは既に紛失したってことでしょうと念押しした。

 続いて気になるのが、当方をクレーマーないし脅迫者と見なさないかな、ということである。だから脅迫めいた文言は注意深く避けた。強いて言えば、勉強会で事例として使うよ、くらいかなあ。でも「やめて欲しければ〜」という要求はしていない。それどころか「やめるかもしれない」という可能性すら示唆していない。だっていずれにせよ使うつもりだもん。事実なんだから。(ちなみに社内勉強会といったふうに勉強会の形態を限定してもいない。複数箇所で複数回、とまで言っている。ここまで言うからには「この人はあちこちで勉強会を開くのが仕事のコンサルタントではなかろうか。いろいろ調べているし」という懸念が先方にはわくはず。でもそういう職業ではありません。ではなぜそこまで言ったか。それはこのホームページを見た人が勉強会のネタとして遠慮なく使えるようによ。)

 ならば私が想像できる限りの最後の手段。預けた個人情報の保管がまずいと文句を言うこと。だからこれは自分のものと同レベルの管理をすると言っている。もっとも漏洩情報を特定させるのに顧客番号だけを伝えて具体的名前を書かないような慎重な人間に「保管状況がまずい」と文句を言うのは、普通は出来ないだろうけどね。

 ただし「こいつは愉快犯か」と見なされると当方も不愉快である。かくして自分の側にも何らかのメリットがあると、むりやりひねり出したのが最後の文。他人事ではないから生きた実例が欲しいのだ。ちょっと無理があるかなあ・・・でも嘘じゃないぞ。だってこの文章、情報管理に相当の関心を持って調べている人間でないと書けないのはすぐに分かるだろう。
 まあ発端は、あざとい売りつけられ方をしてムカッとしているところに、当方が起きても寝ても気にしている情報漏洩対策等の情報管理について、あまりに杜撰な実例を見せつけられ、さすがにカッとなったということなのだが。だから所詮は怒っているだけ、と先方は思っているかもしれないね。でもそうだとしてもこっちを無視していいと言うことにはならないよ。怒っている人にはそれなりの対応があるんだから、その対応をしてくれないとおかしいでしょう。かの店員に対する戒告なり譴責なりの処分通知書コピーを送ってくるなら、納得してあげる。

 さて、情報管理に感心をお持ちの方々。以上のこと多少は参考になりましたでしょうか。幾分かはお役に立てたものと存じます。もし、お役に立てたとするならば、この文章は「公共性のあるもの」と見なしていただくことが出来るかと思います。もしそうであれば、ヤマダ電機はこの文章に対して削除要求を出すことが出来ない事になります。事実に基づき、誹謗中傷とはいえず、かつ一定の公共性を有するものに削除要求は出せません。

 なお、同日に依頼しました冷蔵庫の配達、事前連絡電話がなかったと思ったら、先方がメモしている電話番号が間違っていることが分かりました。これで少なくとも個人データの修正申請ならば正当な要求と見なされることになりました。しかし、ここまで完璧にボケかましてくれんでもええのに。

社会問題ネタ、目次
ホーム