ベネッセの個人情報漏えいは、永続的個人情報が含まれていないのか？

ベネッセの個人情報漏洩

また、大規模な個人情報漏洩事件が起こった。

昨日（2014年7月9日）、ベネッセコーポレーションは顧客データベースから個人情報が漏洩したことを発表した。流出した情報は約760万件（最大可能性　約2070万件）としており、これは同社教育事業の情報なので、1件に保護者と子供の2名分の個人情報が含まれる可能性が高く、その場合には情報漏洩した個人情報の総数は最大可能性 約4140万名分という膨大な数となる。日本国民の3人に1人の個人情報である。

ベネッセは、膨大な個人情報を保有した事業を展開する企業であり、またそれ故、同社の個人情報保護やプライバシー対策、情報セキュリティ対策は日本企業の中でも最もレベルの高い管理を行っていると関係者から聞いたことがある。 しかし、今回の件に関して、同社の原田会長は「センシティブ情報が漏れたわけではなく」とコメントしている。このコメントは認識が甘いと言わざるを得ない。

個人情報漏洩が発生した場合、当該企業の報道発表やマスコミのニュースでは、クレジットカード情報の漏洩有無を、重大性の判断基準としているフシがある。 今回の各種ニュースでも同様の傾向が見られる。

しかし、クレジットカード情報の漏洩の被害は一過性であり、またクレジットカード情報は即時停止、変更が可能である。 個人情報には、変更のできない不変的なものがあり、こちらに焦点をあてるべきである。

以下に、永続性の観点から個人情報を分類した。

＜容易に変更が可能な個人情報＞

（損害、被害は一過性である）

クレジットカード番号等、銀行口座、メールアドレス、携帯電話番号、健康保険証番号など

＜変更することが難しい、または変更のために多大なコストがかかる個人情報＞

（変更するまで損害、被害が継続する）

住所（居住地）、勤務先、勤務地、自家用車の車種やナンバー、氏名、性別（？）など

＜変更できない不変的な個人情報＞

（損害、被害の可能性が永続的である）

生年月日、出生地、家族情報、病歴および持病、学歴および学校での成績、賞罰など

同社ホームページによるとベネッセの事業内容は以下の通りである。

「進研ゼミ」を中心とする通信教育事業、「進研模試」などの学校支援事業、雑誌を中心とする出版事業、介護付き高齢者向けホームの運営を中心とした介護事業、ベルリッツ コーポレーションを中心とした語学・グローバル人材教育事業

まさに、誕生したての0歳の赤ちゃんから、介護を必要とする高齢者までを対象とした事業を展開しており、そこで扱う個人情報は上記分類の＜変更できない不変的な個人情報＞が少なくないと考えられ、これらの情報漏洩は、（損害、被害の可能性が永続的である）ものである。