婚活アプリ「Omiai」の個人情報流出、不正利用の恐れや損害賠償請求の可能性は?弁護士に聞く
流出した個人情報、不正利用の可能性は?
Q:今回は運転免許証・パスポート・健康保険証といった身分証の画像データが流出しました。どんな不正利用が考えられますか?
A:可能性が一番高いのは、不正にデータを取得した人が、氏名や住所などの個人情報を名簿業者に売ることです。名簿業者は、ダイレクトメールや訪問販売などをする企業に名簿を売るので、不審な手紙や訪問販売には注意が必要です。
「利用料○○円を支払ってください」などど、別の婚活サイトなどを装った架空請求に使われることも考えられます。身に覚えのない請求があったら、支払いをせずに警察に相談してください。
Q:「多額の借り入れをされる」や「銀行口座やクレジットカードが作られてしまう」と心配するような投稿がTwitterで見られました。そのような被害は考えられますか。
A:顔写真付きの身分証は1枚で本人確認書類として使えますが、画像データだけで銀行口座をつくったり、借り入れやクレカ作成したりすることは、基本的にはできません。
たしかに、オンライン申し込みの場合は、持ち主を装う“なりすまし”に画像データが悪用されることは、可能性としては考えられる。ただ、金融機関やクレカ会社は画像データ以外に、スマホのカメラを使った顔認証システムを導入していたり、申込の際に本人名義の銀行口座が必要だったり、受け取りの際に身分証の提示が必要な「本人限定受取郵便」を使っていたりする場合がほとんどなので、なりすますのは難しい。本人限定受取郵便は、自宅ではなく郵便局で受け取ることもできますが、持ち主に似ている人が、流出したデータから偽造した身分証を持っていかなければ、窓口で受け渡しを拒否されるでしょう。
窓口に行って口座開設やクレカの申し込みをする場合は、身分証の原本が必要です。こちらも持ち主に似ている人を探し、精度の高い偽造をすれば可能かもしれませんが、偽造が見破られたら逮捕されますから、なりすます側のリスクがかなり高いんですね。
顔写真が載っていない健康保険証は、2種類以上の本人確認書類を求められるため、ここで悪用される可能性は低いでしょう。
Q:身分証の画像データだけで“なりすまし”をするのは難しいんですね。万が一、本人確認をすり抜けたり、確認がずさんな金融機関を利用したりして、悪用された場合は、どのような被害が考えられますか。
A:銀行口座が勝手につくられることが考えられます。そして開設された口座は、闇金業者が使ったり、マネーロンダリングに使うため、売買されることがあり得るでしょう。犯罪に使われていると判断されれば口座は凍結されるので、流出データを悪用された人は「あなたの口座が凍結されました」という通知が届き、被害を知ることになります。共犯者と疑われ、警察から連絡がくることもあるかもしれません。トラブルには巻き込まれますが、自分のお金がなくなるといった被害はないでしょう。
不正に開設した口座を使って、借り入れやクレカ作成などに申し込まれることもあり得ます。ただ、本人確認が必要な手続きを複数行わなければならず、難しい。すり抜けた場合は、消費者金融やクレカ会社などからの督促状で被害が発覚します。
また、何らかの方法で入手した本人の銀行口座情報と組み合わせ、消費者金融からの借り入れやクレカ作成をされることも。自分が持っている銀行口座を使われてしまうので、身に覚えのない引き落としによって被害に気づきます。口座残高がない場合は、金融機関やクレカ会社からの督促状や取り立てが来る場合もあります。
Q:悪用されてしまう前に、身分証を再発行するなど、流出された側ができることはあるのでしょうか。
A:残念ながら、再発行は有効な手段とは言えません。まず名簿業者に情報を売られた場合、住所を変えなければ意味がないですよね。
銀行口座の開設や借り入れ、クレカ作成に悪用された場合も、再発行をしても、しなくても同じです。金融機関側は、再発行されたものだと知らないわけですから。
とにかく普段から、自分宛に来る郵便物をチェックし、身に覚えがないものは支払わない姿勢を徹底する。不審に思ったら早めに金融機関に連絡したり、警察に相談したりしましょう。
不正利用された場合の支払い義務は?
Q:知らず知らずのうちに悪用されて借り入れなどされていた場合、法的には支払わなくてよいのですか。
A:消費者金融やクレカ会社などの金融機関が流出した画像データだけで本人確認を済ませていた場合、身分証の持ち主は流出した情報を勝手に使われたわけですから、支払いの義務はありません。持ち主と金融機関の金銭消費貸借契約が無効となります。
一方で身分証を不正に利用し“なりすまし”をした人は当然、責任を負うことになる。民事では金融機関からの損害賠償請求、刑事では詐欺罪に問われることになるでしょう。ただ、“なりすまし”をする人からお金を回収するのは困難で、結果的に金融機関だけが損害を被ることになります。
顔認証システムの導入や本人確認郵便などを使うなど、なりすまし対策の強化が金融機関には必要です。
Q:支払わなきゃならない可能性はゼロなのでしょうか?
A:オンライン申し込みで顔認証システムなどの“本人確認”をすり抜けられたり、流出した情報を元に身分証を偽造して窓口で申し込まれたりした場合に可能性が生じます。支払いをめぐって裁判になった際、金融機関はきちんと本人確認を行ったとされ、借り入れやクレカ作成が不正利用によるものと証明できず、「通常の手続きで契約した」と認定されてしまう恐れがあります。
そうすると、情報を流出された側が支払いの義務を負わなければならなくなる。流出したデータの悪用が認定されないため、情報漏洩した側に責任を問うこともできません。
ただ、前述したように、本人確認をすり抜けるのは容易ではなく、なりすますのは難しい。かなりまれなケースと考えてよいでしょう。
情報流出、損害賠償請求はできる?
Q:情報を流出されたことについては、訴えることはできるのですか?
A:プライバシー侵害にあたるので、損害賠償請求ができます。2014年にベネッセから住所や電話番号など約3,000万件の個人情報を流出した際には、複数の訴訟が起きました。裁判によりばらつきがありますが、賠償額は1人あたり数千円。情報漏洩による損害賠償の目安になっています。
ただ、今回は身分証の画像データが流出しているので、もう少し高額になるかもしれません。
身分証をネットに晒すような“嫌がらせ”が起きることも考えられます。特に有名人などが自宅住所や顔写真を晒された場合は、運営会社が支払う賠償額も高くなるでしょう。
Q:婚活でアプリを使う人は、同じアプリの入退会を何度も繰り返していたり、複数のアプリを使ったりしていることが多く、「自分がいつ、どこのサービスを使ったか」を覚えてない場合もあります。自分の情報が流出したかどうか分からなかったら、損害賠償請求はできないのでしょうか?
A:自分が流出対象か分からなければ、損害賠償請求ができないことになります。
しかし、“流出した対象かどうか不明な人”がたくさんいれば、Omiai運営会社も何らかの対応をせざるを得なくなると思います。何もしなければ「全く反省していない」といった批判が強くなるためです。
Omiaiは誰が流出対象なのか説明する責任がありますし、流出したか分からない人についても、不安にさせたという理由で損害賠償をしなければならない可能性があります。
Q:利用者に身分証の写真の提出させることで、本人確認をするアプリなどが増えています。利用者として気を付けるポイントがあれば教えてください。
A:個人情報をオフラインで管理していたり、本人確認後すぐにデータを廃棄していたりすることを明言している業者を選ぶことですね。今回、Omiaiはデータを暗号化して保管していなかった。データを暗号化して管理している業者も、一定程度は安全だと言えます。
利用者がそういった視点でサービスを選ぶことが、ひいては業者の個人情報漏洩対策の強化につながります。
Omiai運営会社「誠意を持ってご対応」
Omiai運営会社に、問題点について尋ねた。
――流出した個人情報が悪用され、Omiai利用者が犯罪に巻き込まれたり、金銭的な損害を被ったりした場合、どのような対応をしますか。
この度はお客様、関係各位に大変なご心配とご迷惑をお掛けすることとなり、誠に申し訳なく心より深くお詫び申し上げます。
現時点では、本件流出に係る具体的な二次被害の発生や、明確な因果関係を伺わせる内容・事象について、当社への報告や連絡などは確認できておりません。今後、何らかの問題や具体的な金銭的損害などがお客様に発生した場合は、その個別の案件に応じて、誠意を持ってご対応させていただく所存です。
――過去に個人情報を流出させたベネッセは、名簿業者に情報が漏洩したことが確認できた利用者に対し、お詫びの品として500円分の金券を送付しました。今回の件を受けて、御社も何らかの支払いをすることは検討されていますか。
現時点で、予定はいたしておりません。今はまず、二次被害防止のためにお客様への情報提供と注意喚起、および相談センターでのお問合せ対応に全力で努めて参ります。
――個人情報流出の発覚を受けて、自分が流出対象かどうか分かる問い合わせフォームを設置しました。問い合わせをしても、アカウントの特定が難しいケースがあるようです。
基本的には アカウントを特定できないケースは最終的には「なし」となるものと認識しております。ただし、アカウントの特定の為に必要要件の再聴取のご協力をお願いしているお客様は複数いらっしゃいます。
Omiaiは、サービスの特性上、この度の緊急性と重要度が高い本件へのお問合せに際しても、プライバシーの秘匿が常に求められているものと認識しております。その為、お問い合わせいただいた方が、確実にご本人であるかを再確認するため一定の必要要件をお伺いしたうえで、当社に過去ご提出済みのお客様情報との照合をもとに、ご本人様確認をさせていただいております。
一方で、当該サービスへのご登録には、匿名性の高いSNS経由のソーシャルログインか電話番号&SMS認証のいずれかを採用しておりますが、その際に当社がお預かりを許されている情報項目が極めて限定されています。従って、既に退会されていて当社への登録情報を変更されていたり、ご登録時のSNSアカウントが異っていたりすると、本件お問い合わせ時のご提供情報が当社登録情報と全く一致しないケースが多々ございます。その場合、当社より新たに幾つかの追加のご質問をさせていただき、一定のご本人様確認ができました場合に限り、ご照会への回答をさせていただいております。当然ながらその時点では、今回の流出対象者かどうかは勿論、当社会員様であったかどうかもプライバシーの秘匿の観点からご回答は一切差し控えております。
ですから、お客様が確実にご本人であるかを再確認するため、 誠にお手数をお掛けして申し訳ございませんが、一定の必要要件とお時間さえ頂戴できれば、基本的にアカウントを特定できないケースはないものと認識しております。当社としてはアカウント特定の為に誠意を持って全力を尽くしますので、引き続きお客様のご協力とご理解をお願いして参る所存です。
編注:「Omiai」運営社・ネットマーケティングによると、流出したのは、2018年1月31日~2021年4月20日の期間に、提出された171万1,756件分の身分証の画像データ。すでに退会した会員のデータも含む。具体的には運転免許証、健康保険証、パスポート、マイナンバーカード(表面)などで、運転免許証が6割を占める。クレジットカード情報は、決済業務を委託しているため、同社は保有していないという。
●取材協力:名波法律事務所・名波大樹弁護士
大阪弁護士会所属。出会い系サイト詐欺、ワンクリック詐欺、闇金業者やシステム金融業者のトラブル、悪質商法などの消費者問題が専門。大阪府大阪市中央区道修町2-1-10 T・M・B道修町ビル3階。
