前回は,ファイル交換ソフトを介した個人情報流出事件を取り上げた。教育関係では,2008年12月に入ってからも,早稲田大学でハラスメント全般に関する質問・相談情報等の受付リストの一部,719件が,ファイル交換ソフトを介してインターネット上に流出したことが発覚している(「個人情報の流出に関するお詫びとお知らせ」参照)。早稲田大学ハラスメント防止委員会のホームページにある通り,ハラスメントは人権侵害であり,それに関わるプライバシー/個人情報の管理については厳格な対応が要求される。ハラスメント防止は文部科学省の高等教育政策の柱でもあるだけに,今後の動向が注目される。

 さて,今回は迷惑メール対策法制について考えてみたい。

12月1日より特定電子メール法と特定商取引法の改正案が施行

 2008年12月1日,「特定電子メールの送信の適正化等に関する法律(以下,特定電子メール法)」と「特定商取引に関する法律施行規則(以下,特定商取引法)」の改正法が施行され,広告・宣伝メールには受信者の同意を得ない送信を禁止する「オプトイン」方式が義務付けられることになった。

 総務省は,改正迷惑メール対策法施行前の11月14日に,関係法令の解釈や特定電子メールの送信に際しての推奨事項などをまとめたガイドラインを公表している(総務省「特定電子メールの送信等に関するガイドラインの公表」参照)。また,経済産業省は10月1日,電子メール広告の表示に関連する事項をまとめたガイドラインを公表し(「『電子メール広告をすることの承諾・請求の取得等に係る「容易に認識できるよう表示していないこと」に係るガイドライン』の公表について」参照),12月1日には,特定商取引法の改正部分の解釈を明確にすることを目的に,関連法令の解釈を公表している(「『特定商取引に関する法律等の施行について』の一部改正について」参照)。

 迷惑メール問題については,本連載の第113回第114回第142回第143回でも取り上げたことがある。この問題には,電子メールアドレス不適正利用の防止策が必ず関わってくる。経済産業省の「個人情報の保護に関する法律についての経済産業分野を対象とするガイドライン」では,特定個人を識別できる電子メールアドレスを個人情報として例示しているので,個人情報管理者も,今回施行された改正法令の概要を知っておく必要がある。

作業ミスと検索エンジンが関わったJALホテルズの顧客メルアド流出

 改正法令施行を受けて,企業のメール・マーケティング担当者は「オプトイン」方式への移行作業に真っ最中の時期だが,メールアドレスの外部流出事故も発覚している。2008年12月5日,日本航空グループのJALホテルズは,同年9月24日付でキャンペーンメールを送付した宛先の顧客合計14万5052人分の名前と電子メールアドレスのリストが,10月10日から12月4日までの間,外部委託先の内部作業用インターネットサイト上でアクセス可能になっていたことが判明したと発表した(「お客様情報の流出に関するお詫びとお知らせ」参照)。

 新聞報道によると,Googleなどの検索サイトで,個人情報が表示される状態になっていたという。作業上のミスにより検索エンジンを介して個人情報が外部流出した点は,第85回で取り上げたデジタルプラネット衛星放送,第91回で取り上げた日本メナード化粧品,第131回で取り上げた日本ヒューレット・パッカードのケースと共通している。JALホテルズは12月5日の時点で,顧客の個人情報が悪用されたという報告は受けていないとしている。だが,特定電子メール法と特定商取引法が改正された直後だけに,今まで以上の危機管理・広報対応が要求される。

 今回の改正法施行を契機に,企業のメール・マーケティング担当者は,外部委託先のサーバーやデータベースも含めた個人情報資産の棚卸しをやっておくべきだろう。年末年始や大型連休明けの時期は,SQLインジェクションなど,不正アクセス被害が多く報告される時期でもあり,要注意だ。

 次回は,個人情報管理の観点から元厚生事務次官宅連続襲撃事件を考察してみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/