KADOKAWAの漏洩情報をXで拡散する事の個人情報保護法観点のリスクについて

はじめに

KADOKAWAの件、他人事とはせずに気を引き締めないといけないですね。
昔セキュリティの研修で先生がこのように言ってました。
「どんなに防御を固めてもクラッカーが本気で狙ったらかなりの情報が盗られることを前提に考えろ」
KADOKAWAが対策できてなかったわけではなくて、運悪く狙われてしまったと考えたほうが良いと思っています。
対応にあたっている担当者はこの１カ月寝る間を惜しんでシフト制で対応しているんだろうなと思うので、応援しています。

そんな中、７月１日にクラッカーによって漏洩情報が公開されました。
Xやら5chやらで「ニコニコ大開示」として漏洩情報が解説されたりしていて、KADOKAWAから以下のアナウンスが出されてます。

ニコニコ、漏えい情報の“悪質な拡散”に法的措置　「絶対にやめて」

そういや個人情報保護法的に不適切な利用って違法だったよなってことを思い出したので、漏洩した個人情報をXで拡散する行為について、個人情報の不適切な取得と利用はこの辺に引っ掛かりそうってことを調べてみました。

なお、個人情報保護法については、個人情報保護委員会から出ているガイドライン（通則編）を参照しております。

個人情報の保護に関する法律についてのガイドライン（通則編） ｜個人情報保護委員会

たとえ法令違反でなくとも倫理的にNGであり、レピュテーションリスクもあり、公式もやめてって言っているので、拡散することはやめましょう。

漏洩した個人情報を閲覧することについて

まずはクラッカーが流出させた個人情報は見てもいいのか？という点です。
個人情報保護法のガイドラインには以下の解説があります。

法第20条（第1項）
1 　個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-3-1
事例6）不正の手段で個人情報が取得されたことを知り、又は容易に知ることができるにもかかわらず、当該個人情報を取得する場合

個人情報の保護に関する法律についてのガイドライン（通則編）

今回は事例6に書かれている事に該当しそうです。
「個人情報取扱事業者」が漏洩した個人情報を閲覧すれば個人情報保護法に違反してそうです。

主語が「個人情報取扱事業者」となっているので個人は大丈夫なのでは？と思ったのですが、通則編に定義が書かれているのでそちらを読んでみます。

個人情報取扱事業者について

という事で「個人情報取扱事業者」について調べてみました。個人情報取扱事業者の定義を見てみましょう。

2-5　個人情報取扱事業者（法第16条第2項・法第2条第9項、第10項、第11項・法別表第2関係）
…

ここでいう「事業の用に供している」の「事業」とは、一定の目的をもって反復継続して遂行される同種の行為であって、かつ社会通念上事業と認められるものをいい、営利・非営利の別は問わない。
また、個人情報データベース等を事業の用に供している者であれば、当該個人情報データベース等を構成する個人情報によって識別される特定の個人の数の多寡にかかわらず、個人情報取扱事業者に該当する。
なお、法人格のない、権利能力のない社団（任意団体）又は個人であっても、個人情報データベース等を事業の用に供している場合は個人情報取扱事業者に該当する。
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-5

個人情報の保護に関する法律についてのガイドライン（通則編）

という事で、やった人が「事業」を行っているのかというのが論点になってきそうですが、これ以上の記載はありません。
個人であっても。「個人情報データベース等を事業の用に供している場合は該当する」と書かれているので、例えばＸなどでつぶやいていると「事業の用に供している」という事で差されるかもしれません。

個人情報データベース等について

個人情報データベース等という用語が出てきたので、こちらも個人情報保護法で定義されている用語なので、通則編を読んでおきます。

2-4　個人情報データベース等（法第16条第1項関係）
…

「個人情報データベース等」とは、特定の個人情報をコンピュータを用いて検索することができるように体系的に構成した、個人情報を含む情報の集合物をいう。また、コンピュータを用いていない場合であっても、紙面で処理した個人情報を一定の規則（例えば、五十音順等）に従って整理・分類し、特定の個人情報を容易に検索することができるよう、目次、索引、符号等を付し、他人によっても容易に検索可能な状態に置いているものも該当する。

【個人情報データベース等に該当する事例】
事例2）インターネットサービスにおいて、ユーザーが利用したサービスに係るログ情報がユーザーIDによって整理され保管されている電子ファイル（ユーザーIDと個人情報を容易に照合することができる場合）
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a2-4

個人情報の保護に関する法律についてのガイドライン（通則編）

個人情報を一定の規則に従って分類して検索できるようにしているようにしているものと定義されています。

漏洩した個人情報をExcelなどでまとめたら、個人情報データベース等に該当しそうです。

漏洩した個人情報をXで拡散することについて

次に取得した使っていいのか？という点です。個人情報保護法には以下の条項があります。

法第19条
個人情報取扱事業者は、違法又は不当な行為を助長し、又は誘発するおそれがある方法により個人情報を利用してはならない。
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/#a3-2
事例2）裁判所による公告等により散在的に公開されている個人情報（例：官報に掲載される破産者情報）を、当該個人情報に係る本人に対する違法な差別が、不特定多数の者によって誘発されるおそれがあることが予見できるにもかかわらず、それを集約してデータベース化し、インターネット上で公開する場合

個人情報の保護に関する法律についてのガイドライン（通則編）

この条項は適切な方法で取得した個人情報を変なことに使うなよという規制のための条項で該当する事例としては「破産者マップ」というサービスがあったのですがこういうサービスは該当するよねって言われていました。

そのために、破産者マップは刑事告発されたみたいです。

個人情報保護委員会、初の刑事告発　破産者サイト運営 - 日本経済新聞

ということで、漏洩した情報をXで拡散すると法令違反となりそうです。
取得と同様にこちらも「個人情報取扱事業者」が対象ですが、Xなどで拡散していると「事業の用に供している」という事で法令違反となるかもしれません。

おわりに

そうこう書きましたが、たとえ「個人情報取扱事業者」ではないとしても、倫理的にもセキュリティ的にも下手に関与するのは良くないので、やめましょうという事でした。

自分の知識をまとめるためと今後誰かがデータマネジメントをやってみたいと思った時のきっかけとなるためにnoteを書くことにしました。
モチベーションのために役にたったという人はぜひ、フォロー＆スキをお願いします。

ツイッターでもデータマネジメントに係る情報をつぶやいてますので、よろしくお願いします。

コツコツ書いてます。
データマネジメント知識体系ガイドDMBOK要約・解説｜データマネジメント担当　よしむら #note https://t.co/G9R0eeatZd

— よしむら@データマネジメント担当 (@yoshimura_datam) October 28, 2021

データマネジメントを学ぶ人が抑えておきたい本

今すぐわかるデータマネジメントの進め方
著者のDMBOKを用いてCDO室を立ち上げデータマネジメントを推進した経験を基にデータマネジメントの進め方をまとめたkindle本を執筆しました。

今すぐわかるデータマネジメントの進め方: データドリブンな企業へ変革するための第一歩

データ組織立ち上げ編 ＡＩ事務員宮西さん
著者のデータ組織の立ち上げ経験をマンガ＋コメントでまとめてみました。立ち上げ編は組織を立ち上げてやることが決まるまでのストーリーです。
無料公開のため0円となります。
データ組織の立ち上げに関係する方は是非読んでみてください。

データ組織立ち上げ編 ＡＩ事務員宮西さん

DXを成功に導くデータマネジメント
DXを成し遂げるために必要なデータをどうマネジメントしていけばよいかが書かれている。
データ環境より、セキュリティの観点であったり、プライバシーの観点であったりといった非技術者向けの内容が多く書かれている。
データマネージメントに興味を持った人はまずは読んでみるとデータマネジメントでなすべき概要が理解できる。

DXを成功に導くデータマネジメント データ資産価値向上と問題解決のための実務プロセス75

実践的データ基盤への処方箋
データ利活用を行うために必要なデータ基盤の考え方と、利活用するためにはデータをどのようにマネジメントしていけば良いかを具体的な例を用いて説明されている。
技術が中心になるので現在データ技術に係る人がデータマネージメントに興味を持った時には、まず手に取ることをおすすめする。

実践的データ基盤への処方箋〜 ビジネス価値創出のためのデータ・システム・ヒトのノウハウ

個人データ戦略活用 ステップでわかる改正個人情報保護法実務ガイドブック
個人情報保護法を順守するための基本的な考え方が実務ベースで書かれている。2022年4月に施工される改正個人情報保護法で新たに追加される概念も同様に記載されている。
政府の出しているガイドラインよりも俯瞰的に読めるためデータプライバシーにかかわる人、データを使ったビジネスを推進する人は読んでおくとスムーズに業務が進められる。

個人データ戦略活用　ステップで分かる改正個人情報保護法実務ガイドブック

データマネジメント知識体系ガイド（DMBOK）
自分も要約・解説記事を書いているDMBOK。データマネジメントに興味を持った人がまず手に取ると挫折することは間違いないほどのボリュームがある。
読めば読むほど味が出てくるので、データマネジメントを進めようとしている人は各家庭に1冊は是非買っておきたい。

データマネジメント知識体系ガイド 第二版

データマネジメントが30分でわかる本
著者もDMBOKを読むためには非常にボリュームが多く読み解くには苦労するので、かみ砕いた解説書をまとめたと書いてある通り、DMBOKを独自解釈してわかりやすく書かれている。
DMBOKを技術者目線で読み解いた内容になっているので、実践的データ基盤への処方箋と同様データ技術に係る人におすすめする。

データマネジメントが30分でわかる本