私は今、生まれて初めて訴訟というものに参加している。韓国の大手ガソリンスタンドGS caltexのメンバーズカードに加入した1100万人の個人情報が流出した事件で集団訴訟の原告に加わったのである。私の氏名、住民登録番号、住所、電話番号もしっかり漏れていた。(趙章恩)
この事件は、GS caltexの子会社の社員が金銭目当てで個人情報をDVDにコピーして持ち出したのが発端で、社員が容易に会員の個人情報にアクセスしDVDに記録できるほど管理を疎かにしたとして、GSを相手に4万1000人が集団訴訟を起こした。その1人が私である。
■繰り返し起きる情報流出事件
集団訴訟については、原告には何の利益もなく弁護士の懐ばかり温めると批判する声も聞こえてくる。しかし、腹に据えかねて黙っているわけにはいかないと思い、訴訟参加を決心した。GSだけでなく韓国のほとんどの企業はマーケティングのために個人情報を過剰に収集しながらもしっかり管理せず、このような事件が繰り返し起きているからだ。
しかも、流出事件が発生しても、「被害は出ておらず、すでに回収したから問題ない」などと開き直ってしまうところも少なくない。韓国で顧客の個人情報が外へ漏れてしまうことは日常茶飯事、何をそんなことぐらいで騒ぐの?――こういった姿勢を企業が二度ととれないように正したいと思う。
これまで韓国の裁判では、個人情報の流出に対して企業側に補償を命じる判決がいくつも下されている。ホームページがハッキングされ履歴書がネットに出回ってしまった事件では被害者に70万ウォンを補償する判決、インターネット宝くじの購入案内メールに3万人の個人情報を添付して送信した銀行に対しては原告に20万ウォンずつ補償する判決が下っている。個人情報流出は損害賠償を請求できるれっきとした事件なのだ。
それにもかかわらず、企業の個人情報流出事件はなくならない。それどころか、被害規模が3万人、100万人、1100万人と、どんどん大きくなっている。
■「国民背番号」の登録が当たり前に
韓国では、無料ウェブメールのようなちょっとした会員登録でも当たり前のように、住民登録番号を入力させるようになっている。住民登録番号は、出生届けと同時に与えられる韓国の「国民背番号」だ。同時に、企業にとってはマーケティングデータベース(DB)に欠かせない基本データなっている。
この人はどこに住んでいて何歳で、家族は誰で、どのキャリアの携帯電話を使っていて、車はどんな種類で、保険は何に加入していて、クレジットカードは何枚持っていて、どのブランドが好きで……。こうしたこともすべて、住民登録番号で管理すればとても簡単だ。それを組み合わせて一人一人に合わせたマーケティングを行うことになる。
IP履歴を使った行動ターゲティングよりはるかに正確な情報と、プライバシーに踏み込んだマーケティングができる。しかし、民間企業が住民登録番号を要求するのは本当は違法なのだそうだ。それを承知で住民登録番号を収集しているのは、その分マーケティング効果が高いからだろう。
韓国で最も会員の多いマイレージカードサービスを運営している会社は、そうやって集めた個人情報を販売して収益を上げている。クレジットカード会社は、「テレマーケティングや提携者に個人情報を提供してもいい」という欄に同意しなければ、カードを発行しない。
韓国ポータルサイトNAVERで会員登録するには個人情報収集などに関する4つの項目に同意しなければならない
次に住民登録番号を入力させる画面が現れる。韓国のネット企業は実名確認のためだけでなくマーケティングのためにも住民登録番号で個人を管理している
個人的には、韓国は住民登録番号があるせいで、逆に個人情報保護がゆるくなってしまったように思う。何をするにも要求され教えるしかない番号なので、大事な個人情報という意識がどんどん薄れてしまうのだ。
しかし、GS Caltexは、ガソリンスタンドのメンバーズカードのために住民登録番号まで本当に必要だったのだろうか。誕生日を書かせるぐらいで十分だったはず。マーケティングDBとして価値があるからと集めるだけ集めた個人情報は、結局社員によって外へ持ち出され、集団訴訟を招いただけではないか。
■ようやく制定される個人情報保護法
一連の個人情報流出事件から、個人情報保護法をもっと厳しくし、処罰も強化するべきという声が高まったのは言うまでもない。
韓国では個人情報保護法という統一的な法律がなく「情報通信網利用促進および情報保護等に関する法律」「公共部分の個人情報保護に関する法律」に分かれていた。そのため、個人情報保護に絞った一つの法律を制定する必要があるといわれ続け、やっと2008年中に制定されることになったのだ。
11月に国務会議で議決された個人情報保護法案によると、2009年上半期から個人情報を同意なく本来の目的以外に使えなくする。ごく当たり前なことなのだが、今までのように通信会社がネットサービスの契約で集めた個人情報を子会社に回して新規サービスや保険の勧誘に使うなどということはできなくなる。
個人情報の使用に関する同意についても、必要最小限以上の項目まで個人情報を収集しようとし、それに同意しないとの理由でサービス提供を拒否することを禁止する項目が盛り込まれた。これからは子会社とはいえ、同意なしに個人情報を共有すると5年以下の懲役や5000万ウォン以下の罰金となる。
住民登録番号のような個人固有の識別番号によるDB管理も禁止され、番号の暗号化が義務化される。国務総理の傘下に個人情報保護委員会が設置され、個人情報保護基本計画と施行計画を立てること、個人情報紛争保護調整委員会を置いて情報流出事件などに対応することも法律も盛り込まれた。
■政府に身元を暴かれた「ミネルバ」
しかし、法律が強化されれば、これで安心なのだろうか。個人情報保護を強化するという政府自ら、これに反するような出来事もあったからだ。
「ミネルバ」というIDで韓国経済に苦言を惜しまなかったあるブロガーがいる。韓国政府はその身元を法律的な手続きを経ずに割り出したのだ。報道によると、「ミネルバは50代の男性で海外滞在経験がある元証券マン」で、これを漏らした政府関係者は「間違った情報を広め国民を不安がらせているため、正しい情報を渡すため身元を調べた」という筋の話をしたという。
誹謗中傷のブログを書いたわけではない。韓国の経済が悪化している、国の経済政策は間違っていると指摘しただけで政府の管理対象になるなど考えられない。
株価が暴落しウォン安記録が連日更新されるなか、韓国経済は7%も成長すると主張した大統領の言葉は何の問題もなく、韓国経済の危機を予測したミネルバはプライバシーを侵害された。これでは、かつての軍事政権と何が違うのかよくわからなくなった。
政府に情報を流したポータルは、「約款には、犯罪捜査のため令状がある場合にだけに個人情報を提供する」としながらも、「政府の要求に応じないわけにはいかない」と言い訳に終始している。それを見ていると、この国で個人情報保護などというものは最初からなかったようなものと思わずにはいられない。個人情報保護法ができて罰則が強化されても、あまり変わることはないのかもしれない。
– 趙 章恩
NIKKEI NET
インターネット:連載・コラム
2008年11月28日
http://it.nikkei.co.jp/internet/column/korea.aspx?n=MMIT13000027112008