不審なDMはどこから?ちょっとした細工で個人情報の出どころを知る方法
ベネッセコーポレーションの個人情報漏えいが話題になっています。
ベネッセコーポレーションにおける個人情報漏えいに関するお知らせとお詫び(お問い合わせ窓口のご案内)
漏えいの影響として、ベネッセにしか登録していない情報宛にダイレクトメールが届いているようです。
ベネッセ顧客にジャストシステムのDM 流出情報流用か:朝日新聞デジタル
経緯については次の2記事をご覧になるとよくわかると思います。
ベネッセの情報漏えいをまとめてみた。 - piyolog
ニュース - 【続報】対象者は4000万人超か、ベネッセ個人情報漏えいの調査経緯:ITpro
影響はなかったけど……「気持ち悪い」
わが家では、妻がウィメンズパークというWebサービスを使っています。ベネッセが運営する「妊娠・出産・育児についての悩み事や地域のことなどを語り合う」女性限定コミュニティサイトです。
ただ、ウィメンズパークは漏えいの対象サービスではない上に、漏えい時期が「2013年末ごろ」とされているので、わが家には直接的な影響はなかったことになります。
ですので、あくまで客観的な感想ですが、私と妻は「気持ち悪いね」という感想を持ちました。
登録した個人情報が第三者に漏れて、商売に使われ、勝手にDMが送られてくるのはどうも納得がいきません。それが我が子のこととなるとなおさらです。
名簿屋という存在
今回の出来事の背景の1つ、個人情報を商売としている名簿屋については、次の2記事にとても興味深いことが書かれていました。そもそも名簿屋はこのようにおおっぴらに商売しているんですね。
ベネッセが埋めた名簿屋のミッシング・ピース - 雑種路線でいこう
ベネッセの個人情報流出関連: やまもといちろうBLOG(ブログ)
あわせて、個人情報保護法の研究者である鈴木先生のツイートを読んでみます。
ベネッセの個人情報大量漏えい事件は内部者によるものとも言われているが、一方、ネットではそれを取得してDMを大量に送信している事業者の存在も噂されている。ここの事実関係はしっかり報道されなければならないし、当該事業者は取得の適正さについて説明する社会的責任がある。
— 鈴木正朝 (@suzukimasatomo) 2014, 7月 9
盗む者がいれば、それを買い受ける者もいる。そして何よりそれを仲介する闇名簿屋が存在する。いつでも換金できるところがネットで簡単にみつかる状態は消費者のみならず事業者にとっても脅威であろう。そろそろ法規制すべき時期に来ている。情報流通を阻害しない規律のアイデアが求められる。
— 鈴木正朝 (@suzukimasatomo) 2014, 7月 9
個人情報保護法第17条は「個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない」と「適正な取得」について定めている。漏えいデータと重なる住所に突然大量のDMを出し始めた事業者は、主務大臣の「報告の聴取」に対して回答すべき義務がある。どこで入手したのか?
— 鈴木正朝 (@suzukimasatomo) 2014, 7月 9
世の中にはカルテ情報とか、犯罪者リストとか、預金者情報とか、図書館貸出情報とか、薬の購買履歴とか、そもそもみだりに流通していいわけないだろという情報があるわけで、そうした個人データの第三者提供においてオプトアウト手続を遵守してますっ!ってことにいかほどの意味があるのか。
— 鈴木正朝 (@suzukimasatomo) 2014, 7月 9
まっとうに正直に普通に規律しましょうよということに、なにゆえ過剰に反対するのか。まずは原則を確認し、その上で必要で合理的な例外を考えていくというあたりまえの思考になぜにのってこれないのか。
— 鈴木正朝 (@suzukimasatomo) 2014, 7月 9
鈴木先生のおっしゃるとおり事実関係がしっかりと報道されて、しかるべき法整備が整ってくれれば、私たちの「気持ち悪さ」もなくなるのでは、と思いました。
口コミサイトだけど住所登録が必須?
ところで、漏えいの対象には入っていなかったウィメンズパークですが、妻が気になることを言っていました。
「そういえば会員登録の時になぜか住所登録が必須だったんだよね」
ウィメンズパーク会員登録画面より
たしかに住所登録が必須になっています。子どもの有無も必須ですね。
無料のサービスなので、個人情報を広告やマーケティングに使うために登録をさせているんだと思います。これはしょうがありません。
もちろん「会員規約」や「個人情報の取り扱いについて」にはそのことに関連する記載があります。
2.本サイトでは主に以下の個人情報を取得します。
(1)お客様ご自身が登録する情報
氏名、住所、電話番号、メールアドレス等、お客様が登録する情報
(2)本サービスのご利用にともないお客様が入力する内容や履歴情報
商品の購入、プレゼントへの応募、ポイントの利用、会議室等の利用等の履歴情報、お客様が入力したご自身に関する記録 等
3.取得した個人情報は、以下の目的で利用します。
・本サイトからのサービス提供
・当社からの学習・語学、子育て・暮らし支援、趣味等の商品・サービスおよびその決済方法等に関するご案内
・お客様の興味・関心等にあわせた広告や情報の表示
・調査、統計・マーケティング資料作成および、研究・企画開発
会員を退会された場合、本サービスを利用停止された場合でも同様の目的で利用することがあります。
上記利用目的の範囲において、お預かりしている個人情報を業務委託する場合がありますが、厳重に委託先の管理・指導を行います。
当社は、あらかじめ会員の同意を得ることなく第三者に会員の情報を提供することはありません。
このあたりをそのまま受けとるのであれば、
口コミコミュニティをただで使わせてあげるけど、代わりにあなた個人情報をつかってDM送ったり、広告表示をしたり、マーケティングに使ったりするよ!でも使う範囲は業務委託までで、第三者には提供しないよ!
と納得できる内容です。ウィメンズパークへ登録する全員がこの規約を読んでいるかは定かではありませんけどね。
上記記事に書かれていましたが、「住民票からは得られなくなってしまった教材の潜在顧客情報」を得るために今後もこういった個人情報を集めるためのサービスは増えていくんだと思います。
せめて個人情報の出処を知りたい
さて、やっと本題です。
心当たりのない教育サービスのダイレクトメールが届いたら、名前と住所はどこから漏れたの?気持ち悪い!となりますよね。
スマイルゼミって通信教育の会社から息子宛にDMがきた!
資料請求してないのに勝手に来た!
息子宛ってところが非常に気分悪い。
どこから個人情報入手??
なにこの会社(ノ`Д´)ノ---┻┻ -3
しかも今後の案内が不要の場合は連絡しろと。勝手に個人情報入手して送りつけてるくせに
— のんたっく☆愛と平和を願う☆ (@petitedonguri) 2014, 7月 1
気持ち悪さの要因の一つは個人情報の出処がわからないことですが……
だれが名簿屋に個人情報をわたして、だれが名簿屋から個人情報を買ったのか、われわれ一個人がすぐに把握することはできません。
一方で、個人情報を集めるサービスはどんどんと増えていっています。
また、ウィメンズパークのように納得できる規約が書かれているサイトがあっても、それがしっかりと運用されるかは別の問題です。
たとえば、今回のベネッセの漏えいがそれに当たると思います(一応、ウィメンズパークは漏えいしてないので誤解のないように)。
そんな中、気持ち悪さを軽減するために個人ができる簡単な方法をネットで目にしました。
登録情報を細工して個人情報の出どころを知る方法はアリ?
たとえば、「ろうえい」というサービスへ会員登録するとします。そんなサービス使いたくありませんが…。
本来の住所が「1-1-1hogeビル101」だった場合、次のように登録をします。
住所:1-1-1hogeビル101(ろうえい様方)
とか
住所:1-1-1はてなビル101r
こうすれば、不審なダイレクトメールがどのサービスに登録した個人情報を使ったのか一目瞭然です。
また、メールアドレスでもGmailのエイリアスを使って同じようなことができます。
アドレスのエイリアスの使用 - Gmail ヘルプ
本来のメールアドレスが、hoge@gmail.comだった場合、次のように登録をします。
メールアドレス:hoge+rouei@gmail.com
hoge+rouei@gmailと書いてもhoge@gmail.comへ届きます。スパムメールの宛先はしっかりとhoge+rouei@gmailになっているので、「ろうえい」サービスで登録した情報が使われているとわかります。ただし、入力情報欄で「+」を使えないようにしているところもあるようで、その場合は使えませんね。
この方法であれば、個人情報の出どころがどこなのか知ることができそうです。ちょっと試してみたくなります。
ただし!たとえば、ウィメンズパークには規約に次の記載があります。
個人情報をご提供いただくにあたって、ご提供はお客さまの任意です。ただし、ご提供いただけない部分がある場合、手続き・ご連絡やサービス等に支障が生じることがありますのでご了承ください。
あたりまえですが、住所を細工してしまって本来届くものが届かない、配達業者に迷惑がかかる、こういった影響は考えておかないといけませんね。