先日、日本最大の掲示板サービス2ちゃんねるの「●」と呼ばれる有料サービスから、個人情報が漏えいしたことは記憶に新しいだろう(関連記事 「『2ちゃんねる』の有料サービスで情報流出、カード情報などが3万件以上」)。●とは2ちゃんねるを利用するためのサービスツールの総称で、書き込みを規制されたプロバイダーからの掲示板への書き込みや、過去データとしてアーカイブされた(DAT落ちした)データの閲覧など、様々な機能を月額300円(年額3600円)で利用できるものだった。
この有料サービスを利用していたのは3万2000人ほど。2ちゃんねる側は、ここで得た収入をサーバーの増強やサーバーの維持管理費などに充ててきた。
今回の●の利用者情報が漏えいしたことによって、既に様々な問題が発生している。なんといっても今回漏えいした情報の中に、個人を特定する情報が含まれていたことが最大のポイントである。
名前や住所電話番号といった個人情報やクレジットカード情報に加え、IDや「コテハン」と呼ぶハンドルネームを固定化するためのアカウント情報など●に関するありとあらゆる情報が漏えいした。この漏えいによって、2ちゃんねる上の特定の書き込みについて誰が書き込んだかがわかるようになった。
企業が従業員の過去の書き込みを調べることの問題点
これを受け、一部の企業ではこの個人情報を基に、従業員が企業情報を書き込んだとか、仕事中に2ちゃんねるを閲覧しているなど、服務規則に反した行為がないかを調べているといった報告がネット上の掲示板に書き込まれている。場合によっては当人を特定し、当人に対して解雇など何らかの懲罰を与えているといった内容もある。
ネットの掲示板に書き込まれた情報のためその信憑性は気になるところだが、もしそこまでの対応をしている企業があると仮定すると、指摘したい問題がある。その企業が「プライバシーマーク(Pマーク)」を取得しているなら、これら第三者からもたらされた個人情報を利用して従業員に対して解雇や減俸などの懲罰を与えるのには問題はないのかということだ。
Pマーク取得企業は、個人情報の取得目的や取得内容、取得した情報の運用方法、廃棄方法などをこと細かく決められている。こうした規定の下では、第三者からもたらされた「従業員を含むかもしれない」情報を使って個人を特定する行為に問題はないのだろうか。Pマーク取得に関するコンサルティングを手がけた筆者としてこの問題を提起したい。
リストに従業員が含まれていなかった場合は当然のこととして従業員が含まれていたとしても、プライバシーポリシーの設置理念(Pマークで定めた、取得した情報の運用方法)から逸脱している可能性が十分にある。もしこうした行為を実際にしている、あるいはこれからしようとしている企業があるなら、本当にPプライバシーポリシーの理念に正しいことなのかを判断したうえで踏み切ってほしい。
