知らなかったでは済まされない、mixiアプリの個人情報漏えい

mixiなどSNSのソーシャル・アプリについては、以前その危険性を指摘したところだが、アプリケーション制作運営者の下での個人情報管理態勢にも問題があったことが判明した。

読売online:ミクシィ、４２００人の情報が３日間「露出」

これは、ミクシの全会員の1割が利用しているといわれているサンシャイン牧場というゲームにおいて、有料アイテムをクレジットカードで購入できるようになったとたん、購入申込みしてクレジットの決済もしたのにアイテムが来ないというトラブルに加え、クレジットカードでゲーム内通貨を購入しようとした利用者４２００人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたというのである。


課金ミスの件は既にmixi内でも大騒ぎとなっていたが、個人情報漏えいの件は報道が出るまで騒ぎとなっていなかったように思う。

ところで、この問題、mixiが外部のソフト制作運営者にmixi会員向けゲームを制作させ、mixi会員のデータをゲーム上で利用できるようにしたことから始まっている。mixiとしては、ゲーム制作運営者の問題であってmixi自身の問題ではないといいたいところだろうが、それではすまないだろう。

個人情報保護法には、以下のような条文がある。

（安全管理措置）
第20条 　個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。
（委託先の監督）
第22条 　個人情報取扱事業者は、個人データの取扱いの全部又は一部を委託する場合は、その取扱いを委託された個人データの安全管理が図られるよう、委託を受けた者に対する必要かつ適切な監督を行わなければならない。

これは個人情報取扱い事業者にかなり重い負担を負わせていることで有名な条文だが、例えば下請け事業者に顧客データを処理させる場合など、請負元が下請け事業者のセキュリティ管理態勢をチェックし、監督しなければならなくなっている。その結果、高価なセキュリティ装置の導入を要求したりして下請けいじめに近い状態になったりもするが、ともかくも、自己が管理する個人情報を他人に処理させる者は、その他人の安全管理態勢に「必要かつ適切な監督」を行わなければならないのである。

個人情報取り扱い事業者は、漏えい事故等について監督官庁に報告をしなければならず、監督官庁は以下のような監督権限を有する。

主務大臣は、個人情報取扱事業者が第十六条から第十八条まで、第二十条から第二十七条まで又は第三十条第二項の規定に違反した場合において個人の権利利益を保護するため必要があると認めるときは、当該個人情報取扱事業者に対し、当該違反行為の中止その他違反を是正するために必要な措置をとるべき旨を勧告することができる。

そういうわけで、mixiには中国のゲーム制作運営者に対してもきちんと情報セキュリティを確保するよう監督しなければならず、それを怠れば行政監督が待っており、行政命令に違反すれば罰則まで科される可能性がある。
ソーシャル・アプリの採用には気をつけなければならないのである。

・記事をブログで読む