某ポイントサイトから個人情報が流出した件について

先日、とあるポイントサイトから個人情報が流出していることが確認できました。

現時点では具体的なサイト名は伏せますが、以下で流出の経緯などについて書いていきます。

個人情報流出が判明した経緯

今回個人情報の流出が判明した経緯は以下の通りです。

  1. 以前、某ポイントサイトの担当者とメールで何度かやりとりした
  2. 先日、某ポイントサイトを退職したという”元”担当者からメールが届いた

1.の時点で個人的なやりとりは一切しておらず、全てポイントサイトの運営会社のメールアドレスとやりとりをしていました。

従って、1.は当該の担当者がたまたま窓口だっただけに過ぎず、一般的にはあくまでもポイントサイトの運営会社とやりとりをしていたと解釈するのが自然です。

しかし、先日、某ポイントサイトを退職したという”元”担当者から私のもとにメールが届きました(おおまかな内容な後述)。

先述の通り当時のその担当者とメールをやりとりするときは全て運営会社のメールアドレスが利用されていましたので、普通に考えれば”元”担当者が私のメールアドレスを個人的に知っていることは絶対にありません。

にも関わらず、”元”担当者が退職後に私にメールを送ってきたということは退職時に会社から私の(= ユーザーの)メールアドレスを持ち出したからに間違いないでしょう。

つまり、ポイントサイトから個人情報の流出が発生したと言えると思います。

ポイントサイトの個人情報の取り扱いルールは?

上記の個人情報流出が発生した後、当該ポイントサイトのプライバシーポリシー等を調べてみました。

あまり詳細に抜粋すると当該ポイントサイトが分かってしまうので概要だけを記述すると

  • 法令等による命令時を除いて外部へ提供することはない
  • サイト内に明記されていない方法で外部へ提供することはない
  • 特定のサービス利用(ここでは伏せます)が目的で収集した個人情報は特定の企業(伏せます)と共有することがある

といった内容となっていました。

当然ながら、ポイントサイトに登録した個人情報は一部の例外を除いて外部に公開・提供することはないと定められていますし、もちろん「退職者は在職時に担当していたユーザーのメールアドレスを持ち出して良い」というルールも存在しません。

ということで、やはり今回”元”担当者が退職時に私の(= ユーザーの)メールアドレスを持ち出した件は明らかにポイントサイト内で定めるプライバシーポリシーに違反していると考えて間違いありません。

今回の個人情報流出について思うこと

ポイントサイトの個人情報管理の体制について

今回、”元”担当者が個人情報を持ち出した方法は大きく分けて以下の2つに分類できると思います。

  • 退職時に意図的に持ち出した
  • 在職中に私用のパソコンを業務で使用していた

前者については、退職時にUSBメモリやCD-R等を利用する・会社のメールアドレスから(“元”担当者の)個人メールアドレス宛にデータを送信するといった方法により、”元”担当者が能動的に個人情報を持ち出したというパターンです。

この場合は明らかに故意でやっている”元”担当者が一番悪いのはもちろんですが、そもそも簡単に会社内の情報を外部に持ち出すことが可能な状態を放置していた運営会社の責任も大きいと思います。

通常、ある程度の規模の企業であれば業務に関する情報を簡単に持ち出しできないように何らかの対策※をしていて然るべきだからです。

企業の個人情報「持ち出し」対策の例

USBの差し込み口やCD-Rの挿入口を物理的に塞ぐ、USBの差し込み口が使用されたらシステム管理にアラートが上がる、個人メール(@gmail.comなど)にはメールを送信できない、などがあります。

後者については業務で私用のパソコンを使っていたことで退職時に自然に個人情報が残ってしまったというパターンです。

この場合は業務に私用のパソコンを使用することを許している(もしくは黙認している)運営会社の責任が非常に大きいですが、一方で”元”担当者も退職後も業務目的のデータを残し続けているという点において問題ありだと思います。

上記はあくまでも私の妄想なので他の方法で個人情報が流出した可能性もありますが、いずれにしてもプライバシーポリシーや個人情報管理の認証を取得している割には実際の情報管理体制はかなりお粗末なだったことが想像に固くないです。

“元”担当者について

“元”担当者から届いたメールの内容は「企業した会社(= ポイントサイトのような広告紹介業)で取り扱っている案件を紹介して欲しい。」というものでした。

営業熱心で感心するところではありますが、個人情報の取り扱いが厳しくなっている今の世の中において、

  • 退職時に会社から個人情報を持ち出すような意識の人間が代表を努める会社の営業活動に協力したいと考える人がいると思うのか?
  • そのような振る舞いが周囲からどのように思われるのか考えられないのか?

といった点について自身がどのように認識しているのかを一度聞いてみたいところです。

“元”担当者から届いたメールの本文にはサラッと「以前はポイントサイト〇〇に在職していました。」と書いている(= 会社から個人情報を持ち出したことを暗に自白している)ことから何も考えていないことが伺えますが・・・

起業後の営業活動のために個人情報を持ち出すところまでは百歩譲って理解できるかもしれません。

しかし、せめて個人情報の流出を悟られないように在職時にやりとりしたメールの内容から当該ユーザーの運営ブログをリストアップし、ブログの問い合わせフォームから営業メールを送るくらいの知恵があっても良かったのではないかなと思います。

ただ、実際にはそうでないところが残念ですね。

まとめ

流出元となったポイントサイトには当記事で述べた個人情報流出の件についてまだ問い合わせをしていません。

色々と書いてきましたが、「個人情報流出」とはいってもメールアドレスだけだと思われるので今のところ特に実害がないことが理由です。

とはいえ、一応ここまで記事に書いてしまったわけなので、

  • 当記事を書いたことで、運営会社に問い合わせた後の続報も記事にしたいと考えている
  • 今回はたまたまメールアドレスだけだったが、今後金融機関情報などが漏れたりすると厄介である

といった理由により、運営会社に問い合わせをしてみようかなとも思い始めています。

とりあえず現段階では考え中なので続報がなければ問い合わせをしなかったんだな、と判断して頂ければと思います。

なお、他のお小遣いブログの運営者のところにも”元”担当者からメールが届いていると思われるので、見る人が見たら当記事で挙げている某ポイントサイトがどこのサイトのことなのか分かるはずです。

コメント