会員登録時の個人情報に注意

(1/1)
プロバイダやはもちろんのこと、最近では、掲示板やネットゲームの会員登録の際、氏名・住所・連絡先電話番号といった個人情報を求めてくるケースが多くなりました。これらは、ネットの匿名性を借りて心ない書き込みをするユーザーを閉め出すための措置でなのですが、本当に個人情報を入力してよいものでしょうか。

プライバシーポリシーを確認しよう

会員登録
個人情報登録を求めているサイトでは、かならず「プライバシーポリシー」という文章が明示されています。プライバシーポリシーとは、登録した個人情報をどう扱うかを宣言する文章です。

まず第一に、プライバシーポリシーを宣言していないサイトに個人情報を登録すべきではありません。
次に、そのプライバシーポリシーを通読してください。自分の個人情報が利用される範囲は、できるだけ限定的であることが望ましいです。
たとえば、「会員の個人情報は、個人認証以外の目的に、以下の場合を除いて、利用しないものとします」と前置きして、次のような除外事項を掲げている場合は要注意です。
  1. 「当社及びグループ会社が、商品の購入に関する問合せやアフターサービスなど個別のサービスを提供するために使用する場合」
    ‥‥これは、グループ会社の範囲やサービスの提供方法が不明瞭です。場合によっては、あなたが知らない通販会社からダイレクトメールが来るようになるかもしれません。
  2. 「警察、検察等の捜査に協力する必要があると当社が合理的に判断した場合」
    ‥‥捜査令状が無くても個人情報を開示してしまう、というのがこの場合に相当します。警察の不祥事が多い昨今、「提出しなさい」の一言で、あなたの個人情報が警察に伝わってしまうという事態は、看過すべきではありません。
  3. 「本サービスを維持するために必要であると当社が合理的に判断した場合」
    ‥‥これは2.より問題が多い条項です。このような条項がある場合、ありとあらゆる場合に、あなたの個人情報が漏れ出すおそれがあります。
これらの条項がある場合、必ず、「個人情報を目的外利用する際の事前通告を行う」条項が明示されていることを確認しましょう。

プライバシーポリシーのチェックポイント

これらの除外事項に注意したうえで、そのプライバシーポリシーに次の条項が含まれているかどうかチェックしましょう。
  1. プライバシーポリシーの適用日
    ‥‥初歩的なことですが、適用日が未来日になっていないかどうか確認してください。
  2. 苦情相談窓口
    ‥‥プライバシー問題に関する苦情相談窓口が明示されていることを確認してください。
  3. 紛争解決手段
    ‥‥あなたとサイトの間での紛争解決手段として、特定の裁判所名があがっていると安心です。
  4. 事前通告
    ‥‥前述の除外事項で個人情報が利用される場合、事前にあなたに通告することはサイトの責務です。通告手順について明示されていることを確認し、あなたが納得できる方法であることを確認してください。

各種マーク制度

適切に個人情報が運用されているということを証明するマーク制度がいくつかあります。
サイトに、これらのマークが明示されていることも、個人情報を入力して良いかどうかの目安になります。
プライバシーマーク
(Pマーク)
TRUSTe
Pマーク TRUSTe

マークは絶対ではない

これらのマークが明示されているからといって、絶対安全だというわけではありません

プライバシーマークの付与機関である日本情報処理開発協会(JIPDEC)は、2009年(平成21年)6月、マークの削除勧告を複数回受けているにもかかわらず不当に掲示を続けているサイトを公表しました。⇒プライバシーマーク(ロゴ)の不正使用について

また、同協会の調査によると、プライバシーマーク(Pマーク)認定事業者において発生した個人情報関連の事故件数は以下の通りです。(「個人情報の取扱いにおける事故報告にみる傾向と注意点」より)
年度 事故事業者数 事故件数 Pマーク取得事業者数 事故事業者の割合
2007 620(※) 1,489 9,332 6.6%
2008 565 1,062 10,278 5.5%
2009 624 1,269 11,379 5.5%
(※)2007年度の調査結果では同一事業者からの重複報告があったので、事業者数は異なる。

2009年度に事故報告があった1,269件のうち、書簡等郵便物、FAXおよびメールの誤送信が合わせて647件(全体の51.0%)と目立っています。これに紛失が336件(同26.5%)が続いています。

2013年(平成25年)7月、ベネッセコーポレーションが約3千万件の顧客情報を流出するという事件が起きましたが、JIPDECは、11月26日、プライバシーマーク制度委員会による審議を経て、同社のプライバシーマークの付与を取り消すことを決めました。

Pマーク付与事業者による事故報告

2017年(平成29年)8月28日、日本情報経済社会推進協会(JIPDEC)は、「平成28年度 個人情報の取扱いにおける事故報告にみる傾向と注意点」を発表した。
Pマーク付与事業者から報告された個人情報の取り扱い事故の状況をまとめたもので、2016年度は、全付与事業者の5.5%にあたる864の事業者で2,044件の事故が発生した。

事故原因の内訳は、メールの誤送信による漏えいが424件で最も多く、全体の20.7%を占めた。以下、「紛失」(20.0%)、「あて名の間違いなどによる漏えい」(14.8%)、「その他漏えい」(13.8%)、「封入ミスによる漏えい」(13.4%)などだった。
「その他漏えい」は281件と、前年度から2倍以上増加した。内訳は「事務処理・作業ミスなど」が100件、「システム/プログラム設計・作業ミス」が98件、「不正アクセス・不正ログイン」が57件、「口頭での漏えい」が27件、「システムのバグ」が8件となっている。

Pマーク取得事業者の増加を背景に、2016年度に事故が起きた事業者の数と件数は直近の5年間で最多だった。また、IT関連事故の件数増や複雑化の傾向がみられ、被害対象の規模が大きいことや金銭的被害に結び付くケース、ニュースになるような話題性を伴うケースがあると指摘する。

また、従業員による個人情報データの持出しや不正使用、システムの脆弱性を突いた不正アクセスによる情報漏えい、第三者のなりすましによる不正行為といった、ITにまつわる事故も発生し、JIPDECは以下の対策ポイントを挙げている。
  • 個人情報抽出用端末の制限
  • 退職者対応
  • 外部への接続制限
  • データの管理
  • 複数名による作業の徹底や不正アクセス検知モニタリングの強化
  • システムの脆弱性等の早期発見と対応
  • なりすましを防止するシステムへの改善

参考サイト

(この項おわり)
header