必見!情報漏洩など個人情報の扱いにおける国内大手企業の炎上事例

データ保護データ管理・活用 2023.09.29
必見!情報漏洩など個人情報の扱いにおける国内大手企業の炎上事例

よく耳にする「個人情報」「個人データが流出」という言葉。実際に個人情報の流出・漏洩がどのように企業の損害に結び付くのか、被害額はどれほどなのか具体的にイメージできているでしょうか。

本記事では、国内大手企業を中心に、実際に個人情報保護の取り扱いを誤り炎上した事例を紹介します。個人情報の取り扱いの不備がどのような損害につながるのか、過去の炎上事例からしっかりと理解しましょう。

4億5,000万円?情報漏洩による炎上で企業が受けるダメージ

2018年5月のGDPR施行、2020年1月のGoogleによるCookie廃止方針の公開、2022年4月の改正個人情報保護法の施行、そして2023年6月の改正電気通信事業法の施行。ここ数年で、個人情報保護に関する歴史的なできごとが立て続けに起こりました。消費者の「自身の個人情報の取り扱われ方」への関心はかつてないほどに高まっています。それにともなって、企業が個人情報を流出・漏洩させてしまった際の炎上リスクにも注目が集まっています。

IBM Securityが公表した「2020年 情報漏えい時に発生するコストに関する調査」では、日本企業の情報流出事故1件あたりの平均総コストがおよそ4億5,000万円(419万ドル)にのぼることが明らかになりました。これは2019年の調査と比較し9.5%も増加しています。

2022年4月1日には改正個人情報保護法の全面施行が行われ、今後もさらに国内の個人情報保護に対する意識は高まり続けると推測されます。個人情報漏洩のリスクを正しく理解し、積極的に対策を進める必要があります。

個人情報保護法違反による罰則・損害賠償の事例はこちらの記事で解説しています。
>> 罰則・損害賠償の事例を紹介!企業が個人情報保護法に違反した場合どうなる?

個人情報の取り扱いで大手企業が炎上した事例

リスクを正しく理解するためにも、ここで国内大手企業が情報漏洩等により炎上した事例を見ていきましょう。

【最新事例】Yahoo!JAPAN

ヤフー株式会社が運用する検索エンジン「Yahoo!JAPAN」の炎上事例からご紹介します。「Yahoo!JAPAN」は日本最大級のポータルサイトです。その検索エンジンの開発のため韓国に拠点を置くNAVER Corporationに対して、ユーザーから取得した情報を提供していたことが明らかになりました。情報を提供していたのは、2023年5月18日から7月26日までの期間で、726万ユニークブラウザ分にものぼります。

Yahoo!JAPANの法令違反と炎上要因

Yahoo!JAPANが指導に至った理由は大きく2つあります。1つは、Yahooの定めるプライバシーポリシーの内容では、「どういう情報がどのように提供されるのか」が不明瞭であり、電気通信事業法の目的規定に照らし不十分と判断されたからです。

もう1つの理由は、NAVER社内での安全管理措置が不十分だったからです。ヤフーは、各パートナー企業との間で安全管理措置について定めた契約を締結していましたが、今回の情報提供先であるNAVER社内では、物理的に情報のコピーができる状態になっていました。この点も総務省が問題視し、行政指導に至ったようです。

Yahoo!JAPANの炎上後の対応とその後

総務省から指導を受けたヤフーは、同社のプライバシーセンター内、「パーソナルデータの活用」ページに「Yahoo! JAPANの検索サービス・検索連動型広告配信システムおよび検索関連データの取扱いについて」を追加しました。

参考:「パーソナルデータの活用」LINEヤフー株式会社

その後、2023年9月29日より検索関連データについての試験運用を再開しています。

リクナビDMPフォロー

株式会社リクルートキャリア(現:株式会社リクルート)が運用するサービス「リクナビDMPフォロー」の炎上事例をご紹介します。リクナビDMPフォローとは、リクナビ上の閲覧履歴等をもとに、学生の選考離脱や内定辞退の可能性を示すサービスでしたが、学生本人の同意なしにこのデータを契約企業に販売していました。この炎上騒動を受け、2019年8月4日にサービスを廃止しています。

リクナビDMPフォローの法令違反と炎上要因

本件の法的な不備は、おおむね以下の3点です。

  • 提供元において個人情報に該当しないデータの第三者提供ならば、提供先において個人情報として取り扱われていたとしても、第三者提供についての同意取得が必要ないという不適切な理解に基づき、データを同意取得なしに契約企業に提供していたこと
  • ハッシュ化すれば個人情報ではないという誤認識に基づき、精度向上のために氏名と突合したデータを、本人の同意なく契約企業に提供していたこと
  • プレサイト開設時のプライバシーポリシーの記載不足・プライバシーポリシーの更新漏れによる同意取得の不備

取り扱いデータに対する認識の誤りと本人同意の取得漏れが問題となり、個人情報保護委員会等の関係各所より指導・勧告がおこなわれました。個人情報保護委員会による指導・勧告のなかで、このサービスについて、「法の趣旨を潜脱した極めて不適切なサービス」とも述べられており、事例の重大性が強く窺われます。

さらに、この事例では、本サービスを運営するリクルートキャリアのみならず、本サービスを利用していた契約企業も指導・勧告の対象となっています。サービスを利用していただけであるという言い訳は通用せず、適切なサービスかどうか見極める必要が契約企業にあったといえるでしょう。

また就活という重大なライフイベントに関係する内容であることも、世間の不安や怒りを強く引き起こした原因と推測されます。

リクナビDMPの炎上後の対応とその後

リクナビDMPフォローは2018年3月に開始したサービスでしたが、2019年7月31日に一時休止、翌月8月4日には廃止が決定されました。8月9日からは同意取得漏れの対象となった7,983名の学生に謝罪の連絡を開始し、8月22日にはリクナビ2020の全会員に向けてあらためて謝罪。その後12月11日まで、たびたび各所から指導・勧告を受けプレスリリースを出すなど、大変な騒ぎとなりました。また11月14日には、プライバシーマークの取り消し措置も受けています。

さらに、この事例は、個人情報保護法にも影響を与えました。具体的には、提供元で個人情報ではないデータが、提供先において個人情報として取り扱われることが想定される場合に、本人の同意を取得することが、2022年4月施行の改正個人情報保護法によって義務化されました。

Yahoo!スコア

2019年7月に提供開始されたYahoo!スコアは、ヤフーが所有するデータから各個人の信頼度(スコア)を算出しパートナー企業に提供するサービスです。「LINE Score」などに代表されるスコアリングサービスに該当します。

Yahoo!スコアの法令違反と炎上要因

Yahoo!スコアの炎上理由は、ユーザーの同意を得ずに勝手にスコアを算出してしまったからです。スコアの算出が初期状態でオンになっていることがわかりづらい(消費者が騙されていると感じた)ことから、そのような使い方には同意していないとユーザーから不満が噴出しました。

スコアに使用されるデータはYahoo!JAPAN IDに紐づく登録情報(氏名・住所・メールアドレス・電話番号等の入力率)やYahoo!JAPANへの支払い滞納の有無、ヤフオクの評価などがベースになっているようです。この炎上をきっかけにユーザーからの信用は大きく失墜したといえるでしょう。

Yahoo!スコアの炎上後の対応とその後

ユーザーからの不満の声や有識者の指摘を受け、サービス開始3ヵ月後の2019年10月、初期設定でスコアが算出されないように変更されました。しかし信頼を取り返すまでには至らず、2020年8月31日にサービスを終了しています。

破産者マップ

破産者マップは、自己破産した人の情報を官報から取得しGoogleマップ上で簡単に確認できるようにして公開したサービスです。2019年3月16日の段階で、1日あたり230万アクセスを超えるほど注目されていました。

破産者マップの法令違反と炎上要因

破産者マップは官報に記載のある破産者情報をGoogle Mapと関連付けさせて公開するサービスです。本人の同意を得ずに、個人情報をインターネット上で閲覧できるようにする、つまり、個人情報の第三者提供がおこなわれているにも関わらず、本人同意の取得や、オプトアウトによる第三者提供についての手続きが取られていなかったことなどから、個人情報保護委員会により行政指導が加えられました。また、破産者情報というデリケートな情報を積極的に公開することが倫理的に問題視され、炎上につながった事例です。

破産者マップの炎上後の対応とその後

破産者マップの炎上はSNSにとどまりませんでした。弁護士が共同して個人情報保護委員会に働きかけをおこない、結果として前述の個人情報保護委員会による行政指導がおこなわれ、2019年3月19日にはサイト閉鎖にいたっています。閉鎖にあたり破産者マップの運営者は「誰もが自由にアクセスでき公開されている破産者の情報の表現方法を変えるだけで、これほど多くの反応があるとは思わなかったのが正直なところです。」とTwitter上でコメント。このコメントがさらに炎上するといった炎上の連鎖を招く事態になりました。

更に、この事例は個人情報保護法にも影響を与えました。オプトアウトによる第三者提供についての手続きがおこなわれていれば、破産者マップのような非倫理的なサービスの運営であっても適法となるというのはおかしいのではないかという疑念のもと、2022年4月施行の改正個人情報保護法によって、個人情報の不適正な利用が禁止されました。

海外の事例

海外では2020年6月、若い層に人気の「TikTok」を運営する企業が、ユーザーのクリップボード情報を勝手に取得しているとして炎上。同月23日に発表されたApple iOS 14のプライバシー機能により起動中のアプリがアクセスしたデータを確認できるようになった結果、TikTokがクリップボードを参照していることが明るみに出た形です。

炎上後TikTokは「情報収集をしているわけではなく、スパム行為検出のための機能が引っかかった」と釈明したうえで、今後のアプリアップデートでクリップボードにアクセスしないようにすると述べました。自身の個人情報の取り扱いについて世界中が敏感になっていることを再確認できる事例です。

>>iPhoneアプリ『TikTok』が海外で大炎上。日本では「他のアプリから情報を盗んでる」との誤解も

個人情報の取り扱いで心がけるべきこと

本記事でご紹介したように炎上事例は法律違反から発生するのではなく、あくまでユーザー感情に配慮しているかどうかがポイントです。企業は、各種個人情報保護ルールを厳守することを大前提としたうえで、ユーザーから指示されるサービスなのか?という目線を持つことが大切です。

1件で4億5,000万円とも言われる莫大な損失。炎上をきっかけにサービス自体の終了につながるケースも少なくはなく、企業の存続に大きな影響を与えることも考えられます。個人情報の取り扱いについては、法律的な観点と消費者視点、ふたつの側面から配慮を進め、想定されるあらゆるリスクを洗い出せる体制と思考を整えましょう。

公開日:2021年7月21日