[本文へ] 消費生活・消費者問題に関する事例や対処方法を紹介しています。

現在の位置 : トップページ > 相談事例・判例 > 相談事例と解決結果 > 旅行代理店の顧客情報流出の事例について

[2004年11月19日:掲載]

旅行代理店の顧客情報流出の事例について

 数十万件という量の個人情報流出のニュースも珍しくなくなってしまった今日、帰宅途中の電車内に数十人分の顧客情報リストの入ったかばんを置き忘れてしまったといったものまで含めれば、「個人情報流出」のニュースを聞かない日はないといっても過言ではない。

 ‘05年4月の個人情報の保護に関する法律(以下、個人情報保護法という) の全面施行を控え、事業者だけでなく消費者の個人情報に対する意識も高まる中、個人情報に関する相談が消費生活相談窓口に寄せられている。

 そこで、今回は顧客やセンターからの申し出等がきっかけで個人情報流出が判明した事例を紹介する。


相談内容

 ‘03年11月に旅行代理店の主催する1泊2日の国内パック旅行にグループで申し込んだ。その際に、グループの幹事が妻の名前を誤って記載して申し込んだが、そのまま’04年の1月下旬に旅行に参加した。

 5月になって、覚えのない業者からオーストラリアの宝くじのダイレクトメール(以下、DMという)が妻あてに届いた。ところが、そのDMのあて名が国内パック旅行に参加した時と同じ誤った記載になっていた。旅行代理店から先の国内旅行参加者の個人情報が流出したのではないだろうか。

(50歳代 男性 自営・自由業)



処理の経過と結果

 相談者からの申し出を受け、国民生活センター(以下、当センター)より旅行代理店へ同種事例がないか問い合わせたところ、社内にて調査中とのことであった。

 後日、旅行代理店のお客様相談室 担当課長が当センターに来所、経過等の報告を受けた。
 旅行代理店では、通常、パック旅行の申し込みを受けると、パック旅行参加者の氏名・住所等を記載したリストを作成し、事故が発生した場合に備えて当該リストを国土交通省およびJATA(社団法人 日本旅行業協会)へ提出する。また、宿泊契約手続きの簡略化のため、宿泊先へも当該リストを提出している。

 また、パック旅行申し込みと同時に、旅行代理店の旅行情報等を提供するクラブに自動的に会員登録されるようになっており、パック旅行申込時に収集したデータをDMのターゲットごとに区分けし、会員に発送している。DM送付時のデータの処理は情報処理業者を介して行っているとのことであった。なお、発送するDMには、オプトアウト(本人から個人情報の利用停止を求められた場合それに応じること。拒絶の選択、拒否権とも呼ばれている)を導入している旨を記載しているとのことである。

 旅行代理店では、データ流出の可能性について調査をしているが、現時点では「流出があった」という事実は確認できていない。また、いわゆる名簿業者等にも、データの持ち込みや購入の有無を問い合わせているが、市場に出回っているという事実を確認できていない。

 しかし、旅行代理店としてもデータの流出を否定することができないため、今後さらに調査するとのことであった。当センターより、本件パック旅行に参加した他のパック旅行客のもとにも不審なDMや勧誘電話がなかったかどうか、相談者より確認をしてもらってはどうかと旅行代理店に提案し、今後も引き続き連絡を取ることとなった。

 6月の初め、旅行代理店より当センターに 約60万人分の顧客データが流出したとの発表を行う旨の連絡があった。同日、旅行代理店のホームぺージにて流出の事実について公表し、その2日後、全国紙の朝刊に社告が掲載された。それらによれば、流出した顧客情報は約60万人分で、内容は氏名、住所、電話番号、生年月日、職種であるとのことであった。本件に関するフリーダイヤルの問い合わせ窓口を設置するとともに、不審なDM等が届いた時の注意点や、顧客から寄せられた情報に基づいて作成した「架空請求元リスト」をホームページで公開している。

 8月の初め、その後の調査の結果、当該旅行代理店の社員が顧客情報を不正に持ち出した後、名簿業者に売却していたことが判明しため、同社員を懲戒解雇するとともに、幹部5人を3ヶ月の報酬減額とした処分と、JISQ15001(個人情報保護に関するJIS規格。正式名称は「個人情報保護に関するコンプライアンス・プログラムの要求事項」)の取得も視野に入れた顧客情報の安全管理措置を発表した。情報流出の対象となった顧客に対しては、個別に謝罪と調査報告の文書が送付された。



問題点

 本件は、顧客からの申し出に対し、事業者がきちんと対応したことにより、情報流出が発覚した事案の一つである。顧客の申し出により、大量の顧客情報流出が発覚するケースは少なくない。これらの事故の発覚の特徴は、もともとの契約に際し、住所・氏名等に特徴のある表現や文字を用いた顧客に、同様の表現や文字を用いたDM等が届き、それを不審に思った顧客が、契約先に申し出ているという点である。顧客情報の流出とDM等の送付との因果関係が、通常のケースより明確であったために、流出元が早く特定できたといえる。

 個人情報保護法では、個人情報取扱事業者に対し、取り扱いデータの漏洩等の防止の安全管理措置義務(法第20条)および、従業者や委託先の監督義務(法第21条および22条)を課している。これらは努力義務規定ではあるが、主務大臣が必要があると認めた際には、是正措置を講じるよう勧告・命令を行うこともできる。

 個人情報流出に対し個人が取り得る未然防止策としては、必要以上に個人情報を提供しないということくらいしかなく、個人情報を守るという努力は事業者の取り組みにかかっている。 真のIT化の恩恵を享受するには、利便性と表裏一体の関係にあるリスクが払拭されなくてはならない。事業者はもちろん、個人も緊張感を持って個人情報を取り扱う時代がきているといえる。




ここに掲載する相談事例は、当時の法令や社会状況に基づき、一つの参考例として掲載するものです。
同じような商品・サービスに関するトラブルであっても、個々の契約等の状況や問題発生の時期などが異なれば、解決内容も違ってきます。

相談事例と解決結果トップページへ

ページトップへ