2003年の個人情報保護法成立から12年、全面施行された2005年から10年ぶりに、同法が2015年に改正された。Web閲覧履歴からGPS(全地球測位システム)による移動履歴まで、個人に関わるあらゆるデータ(パーソナルデータ)がネットを飛び交う時代に合わせた、プライバシー保護ルールの基盤となるものだ。

 この改正の基本方針を決めるに当たって、大きな影響を与えた“事件”が二つある。いずれも、法律で保護される「プライバシー」とは何か、という根本的な問いを突きつけるものだった。

史上最大、4800万人分が漏洩

 一つは、2014年7月に判明した「ベネッセ個人情報漏洩事件」だ。

 「一度も問い合わせたことがないのに、中学2年生の長男宛てに、『スマイルゼミ』(ジャストシステムの通信教育サービス)からDM(ダイレクトメール)が届いた。理由が分からず不安に思っていた」。東京都内在住の40代主婦はこう明かす。その長男は小学校低中学年のころ、通信教育サービス「進研ゼミ」の会員だった。

 ベネッセコーポレーションは2014年7月9日、緊急の記者会見を開き、同社の通信教育サービス「こどもちゃれんじ」「進研ゼミ」などの顧客情報が外部に漏洩したと発表した。

 後に判明した漏洩の実行犯は、ベネッセグループのオフィス内にいた。緊急会見から2週間後の17日、不正競争防止法違反(営業秘密の複製)容疑で逮捕されたのは、ベネッセホールディングスのIT子会社「シンフォーム」から顧客情報データベースの開発・管理業務を任されていた企業の委託社員だった。容疑者は2012年からシステムエンジニア(SE)として、シンフォームの東京・多摩事業所に常駐していた。

 容疑者は2013年7月から2014年6月にかけて月1回から2回の頻度で、顧客データベースにアクセスできる貸与パソコンを経由してベネッセの顧客情報を持ち出し、名簿業者に計250万円で売却していた。容疑者は2013年7月ごろ、貸与パソコンに私物のスマートフォン(スマホ)を充電目的でつないだところ、スマホにデータをコピーできることに気付き、不正を始めたという。

 容疑者が持ち出した個人情報は、当初の想定をはるかに超える規模だった。件数にして3504万件、人数にすると子どもを含めて約4800万人分。日本総人口の約4割に相当する氏名・住所のデータベースが流出したことになる。同社は3504万世帯の顧客に対し、2014年10月下旬までに500円の金券配布の案内を含めたお詫び状を送付した。