« グーグルの書籍検索サービス(2009/4) | メイン | スーザン・ボイルの奇跡(2009/6) »

2009年06月01日

三菱UFJ証券社員の顧客情報売却(2009/5)

 三菱UFJ証券の社員が自社のほぼ全顧客にあたる約150万人分の情報を不正に持ち出し、一部を名簿業者に売却した事件は、デジタル情報を扱うことのたやすさと難しさという、相反する現実を改めて印象づけた。

浮遊するデジタル情報の扱いにくさ

 この事件は4月8日に三菱UFJ証券が自ら明らかにしたもので、元部長代理は他の社員のIDとパスワードを使って顧客情報にアクセスして150万人分の情報を不正に持ち出し、これを別の社員にCDにコピーさせた。いったん自宅に持ち帰り、パソコンにコピーしたうえで、CDは翌日、会社に返した。その後、約5万人分の情報を名簿業者に計32万余円で売却した。名簿業者はその情報を他の名簿業者や企業に転売、流出先は80社近くに及ぶという。同部長代理は即刻、懲戒解雇されている。

 情報には名前、住所、年齢、勤務先、自宅や携帯の電話番号、7段階に区分した収入などが含まれていた。これを買った不動産会社や商品先物業者などから勧誘を受けた顧客の通報で事実が明るみに出た。

紙なら高さ5メートル

 これが紙に書かれた情報であれば、A4程度の用紙でもせいぜい1枚30人分ぐらいしかおさまらない。150万人で5万枚である。紙10枚で1ミリの厚さとして計算すると、5万枚で5メートルの高さになる。これだけの紙を、だれにも知られずに持ち出すのは難しい。コピーすること自体が一人ではほとんど不可能だろう。電子化されたデータであればこそ、あっという間に150万人分の個人情報を、だれにも知られずに持ち出せた。そのすべてがCD1枚におさまるからである。

 データは名簿業者3社に売られたが、すぐに他の名簿業者や不動産業者などに転売され、それがすぐ物件などの勧誘に使われた。事件発覚後10日たった4月17日現在で、顧客からの問い合わせは7000件を超えるという。

 同証券では、名簿業者に情報の利用や販売を中止する同意をとりつけたらしいが、いったんデジタル化された情報を完全に削除するのは不可能である。証券会社が秘密裏に買い取りを画策しても、法外な値を要求されるだろうし、すでに転売された情報はとりかえしがつかない。覆水盆にかえらず。情報はサイバー空間を浮遊しつつ、無限に広がっていく。
 
情報を盗むということ

 元社員が顧客情報を「不正に持ち出した」と書いてきたが、平たく言えば、元社員は顧客情報を「盗んだ」わけである。盗む行為にはふつう窃盗罪が適用されるが、この犯罪に窃盗罪を適用することは難しい。
 
 刑法第235条は「他人の財物を窃取した者は、窃盗の罪とし、十年以下の懲役に処する」と定め、245条で「この章の罪については、電気は、財物とみなす」と定めている。これは、窃盗罪に関しては、電気を特別に財物とみなしているが、財物以外の、たとえば情報を盗んでも窃盗にはならない、と解釈するのが一般的である。罪刑法定主義のもとでは、あらかじめ条文に規定されていない犯罪を罰することはできない。
 
 というわけで、これまでも情報の窃盗に関しては、捜査当局も頭をかかえてきた。

 2007年に、大日本印刷がダイレクトメール印刷用などで保険、食品、旅行、銀行、自動車販売などの企業43社から預かっていた約860万件の個人情報が、業務委託先の社員によって盗まれ、詐欺グループに売られるという事件があった。詐欺グループが信販カードを不正使用して670万円相当をだましとったのが事件の発端で、情報提供者の元社員が情報提供の対価として得たのは22万円だった。そして彼の起訴容疑は、わずか250円相当の記憶媒体(MO)1枚を、大日本印刷から盗んだことだった。
670万円の被害、22万円の対価、250円の罰金。この数字はなかなかに感慨深いと言えるだろう。
今回、元社員は、少し頭を使ったのか、CDをきちんと返却している。だからCDの窃盗罪も成立しない。では何で罰すべきか。そこで浮かび上がっているのが不正アクセス禁止法違反である。他人のIDやパスワードを使ってデータベースにアクセスしたからである。

 しかしこの法の罰則は、「一年以下の懲役または五十万円以下の罰金」である。同証券が顧客からの苦情や社会的信用の失墜などで甚大な被害を受けそうなのに対して、いかにも軽微である(もっとも被害弁償ということであれば、元社員を相手取って民事訴訟を起こす方法もあるが、逆に証券会社が、顧客から損賠賠償や慰謝料請求などで訴えられる可能性もある)。

「産業スパイ法」の構想

 このような犯罪を防ぐにはどうすればいいだろうか。そこで必ず論議になるのが「情報窃盗罪」の新設だろう。現に、頻発する「産業スパイ」を取り締まるために、経済産業省は新たな法整備を検討しているが、それは刑法では摘発できない「情報の窃盗」取り締まりをねらっているとも言える。
 
 経済産業省がこの構想を明らかにした2008年1月、甘利明経産相(当時)は、CDを例にとって、「日本の窃盗罪は盤にかかり、情報の中身に対してかからないという問題がある。中身自身の重要性に視点を移すべきだ」と「情報」の意味に注意を喚起した。罰則も不正競争防止法並みの「十年以下の懲役、一千万円以下の罰金」にするという。
 
 そうなると安心かというと、そうでもないところが情報社会のやっかいなところである。情報のような実態のないものを取り締まること自体がたいへん難しいが、だからこそ、拡張解釈されると、いつなんどき、身の覚えのない罪で摘発されるかわからないという不安が生じるからである。

投稿者: Naoaki Yano | 2009年06月01日 18:02

トラックバック

このエントリーのトラックバックURL:
http://www.cyber-literacy.com/scripts/mt/mt-tb.cgi/141

コメント

何故、データを保存する記憶媒体に鍵を掛けないのか?
会社の本質自体が駄目であると思います。
色々なデータを作成するに当たって、鍵を掛けること
それが、一つのリスク回避にも繋がります。
一つの鍵で心配なら二つの鍵。
それでも駄目なら、ランダムの鍵なら安心ですね。
そう言ったことを考えない軽い体質が問題ではないでしょうか?

投稿者: yama | 2009年06月01日 19:43

 yamaさん、コメントありがとうございます。
 そうですね。技術がもたらす問題を技術で解決するというのは、まず考えるべきことだと思います。
 しかし、この場合、どちらかというと、鍵をかけるべき立場の人が犯行に及んだわけで、ここがやっかいなところではないでしょうか。

投稿者: Naoaki Yano | 2009年06月03日 22:06

コメントしてください




保存しますか?


Copyright © Cyber Literacy Lab.