〔147〕北陸朝日放送の双方向型番組で起きた情報流出の教訓

2008.07.22

　前回は，個人情報管理のライフサイクルのうち，廃棄プロセスで起きた個人情報流出のケースを取り上げた。今回は，個人情報の収集／取得プロセスでの不備に起因する個人情報流出事件を取り上げてみたい。

「簡単ログイン」の設定ミスで起きた北陸朝日放送の情報流出

　2008年7月9日，北陸朝日放送は視聴者の個人情報が一部流出したことを発表した。7月5日に放送した番組（「全県民参加型クイズスタジアム 100万GOKUN!」）内で携帯電話を使った視聴者参加クイズを実施したところ，これに参加・登録した視聴者の個人情報が一部流出したというものだ（「個人情報の流出について」参照）。

　同社では6月9日より，クイズ番組のサイト（パソコンおよび携帯電話）で番組参加への登録を行っていた。特に携帯電話ユーザーについては，登録者の利便性を図るため，携帯電話機の固体識別番号を認識させて，個々の携帯電話からの情報を管理し，ログインの手間を簡略化させることを目的とする「簡単ログイン」機能を付加していた。

　ところが番組放送当日，携帯電話で登録を行った視聴者からの問い合わせがあり，番組関係者が確認したところ「簡単ログイン」の機能を設定し，登録情報の変更を行った場合に，第三者の情報になっている可能性があることが判明したという。第三者に情報が閲覧された可能性がある個人情報は最大25人分で，氏名，メールアドレス，生まれた年，電話番号，住んでいる地域，性別が含まれていた。

　北陸朝日放送は，この番組専用のシステムを映像制作会社のフィックスと共同開発し，フィックスが番組サイト運営を受託していた。「簡単ログイン」機能では，本来，携帯電話機の固体認識番号を15桁で認識するよう設定すべきところを11桁で設定したために，NTTドコモおよびソフトバンクモバイルの一部機種で上11桁が重複するケースが発生，結果として情報流出の事態に至っている（フィックス「個人情報取り扱いに関するお詫びとご報告」参照）。

　放送業界については，第85回でデジタルプラネット衛星放送の個人情報流出事例を取り上げたことがある。その事例は，個人情報の利用から廃棄に至るまでのプロセスで，「Web 2.0」型技術と関わりの深い検索エンジンを介して情報漏えいのリスクが顕在化したことが特徴だった。今回の北陸朝日放送の事例は，個人情報の収集／取得のプロセスで，視聴者参加の敷居を下げるために組み込まれた携帯電話用の「簡単ログイン」機能が，設定ミスにより逆効果を招いてしまった。NTTドコモもソフトバンクモバイルも，新機種の登場により，固体認識番号の桁数が変わっていた。このような隙間に，情報漏えいの落とし穴が潜んでいる。

放送メディアのコミュニケーション力を個人情報管理に活用しよう

　放送と通信の融合が進むにつれ，パソコンや携帯電話と連動したクロスメディア／双方向型番組が増えている。放送業界の場合，多様な契約・雇用形態のスタッフによる，番組単位の有期プロジェクトが一般的であり，ASP・SaaS型のアウトソーシングサービスも普及している。前述の映像制作会社フィックスは，双方向番組支援サービスの代表的プロバイダー企業であり，そのサービスは石川県のみならず全国の放送局で利用されている。

　「放送と通信の融合」「クロスメディア」「SaaS」は，ICT（情報通信技術）の中で特に注目を集めている領域であるが，視聴者の「安全・安心」を担保する個人情報保護対策や情報セキュリティは，これらを支える重要な共通基盤となっている。ICTのメリットを生かすためには，コンテンツ制作者から視聴者に至るまでのバリューチェーン全体で，「安全・安心」への取り組みを推進する必要がある。特に，「常識」「当たり前」と思われたことができなかったために情報漏えいに至るケースが増えていることから，IT専門知識のないスタッフや一般消費者を対象とした情報リテラシ向上策が重要になっている。

　最近，日経BPtvで藪本雅子さんとご一緒する機会があった。難しい内容を誰にでもわかりやすい形に整理し，限られた時間内に訴求するノウハウ／経験は，放送メディアや放送人の強みであり，今後，日本全体のICT利活用度を高めるために不可欠なスキルだ。残念ながら，このようなコミュニケーション力の強みが放送メディア自身の個人情報保護対策に生かされているとは言い難い。

　デジタルプラネット衛星放送や北陸朝日放送の事例は，ユビキタス社会におけるICTと個人情報ライフサイクル管理の関係を理解するために格好の教材である。また，放送メディアで培われた伝達力，訴求力は，eラーニングなど，一般企業の個人情報管理に関する教育／啓蒙活動において参考になる点が多い。ICTで業種・業界の垣根が低くなる中，通信キャリアや情報サービス企業には真似できない，横展開を意識した個人情報保護対策を，放送業界に期待したいところだ。

　次回は，医療分野の個人情報の収集／取得プロセスについて考えてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/