Opinion : 個人情報保護問題について考えた (2004/7/19)
|
毎年、「Networld + Interop」(以下 N+I) を観に行くことにしている。ネットワーク系の仕事が多いという事情が背景にあるのだが、個別の製品に関する詳細な情報を手に入れるというよりも、業界全体のトレンドや雰囲気を掴むのが主な目的になっている。そして今年の「N+I」では、どこもかしこも「VoIP」と「個人情報保護」が主役になっている感があった。
VoIP については本題から外れるので措いておくが、個人情報保護ソリューションというと、ファイルサーバなどを対象にしたアクセス情報の監査機能とか、サーバルームなどへの出入監視・記録といった機能が主流になっている。確かに、それはそれで必要なことだし、個人情報保護法では個人情報を保有している「事業者」が責任を持て、というスタンスになっているようだから、ベンダがそこを狙った営業活動を展開するのは、理に適っている。
ただ、それだけで個人情報漏洩問題が解決できるかというと、ちょっと疑問に思える。これは、ベンダの責任というよりも、個人情報保護法、あるいは企業などで個人情報保護のためのストラテジーを策定する際の考え方の問題になるのだが。
6 月の日記を御覧になった方は御存知の通り、参議院選挙を前にして、私のところに共産党の宣伝ハガキが送られてきたので、ぶち切れてしまったことがある。滅多なことでは怒らない (はずの) 自分が、どうしてハガキ 1 通でぶち切れたのか。
平素から共産党嫌いな言動が多いぐらいだから、これまで共産党に関わりのあるようなことは何もしていない。当然、自分の名前や住所に関する情報が共産党のデータベースに載っているはずもない。にもかかわらず、共産党から宣伝ハガキが来たということは、共産党がどこかのルートから名簿を入手して、そこに自分の情報が載っていたと考えるのが自然だ。
党勢の退潮著しい共産党が宣伝のために必死になるのは分かるが、だからといって、名簿をかき集めて無差別にハガキをばら撒くようなマネをして、それで支持を得られると思ったのだとしたらとんでもない勘違いだろう。それでは、バイアグラの宣伝を無差別にばら撒く spam 業者と変わりがない。たまたま今回は共産党だったが、これが自民党でも民主党でも UFO 党でも同じことだ。
で、どうしてこの話が個人情報保護の話と関連するかというと、「N+I」で展示されていたような個人情報ソリューションは、主として情報流出側に視点が集中していて、情報を入手しようと躍起になる側の視点が抜けているように思えるからだ。
会社の社員や役所の職員が持ち歩いていたカバンやノート PC が紛失、あるいは盗難に遭い、それで個人情報が流出したとか、あるいは Web サーバのプログラムミスで個人情報がモロ出しになったしまったとかいう類のうっかりミスなら、情報を持つ側で技術的な対策を講じる、教育を徹底する、あるいは情報の持ち出しを制限する、といった対策で、それなりに抑止できると思う。しかし、カネに目がくらんだ、あるいは組織に対する仕返しを企んだ、といった事情で意図的に情報を持ち出そうとした場合、社員教育は無力だし、技術的な対策についても (事後の犯人探しには役立つとしても) 完全抑止は難しい。
さまざまな防壁を突破して個人情報の盗み出しに成功しても、それだけでは何の役にも立たない。しかし、盗み出した情報を使って脅迫するとか、誰か買い手を捜して売り飛ばすとか (逆に、情報を買うと持ちかけられて盗み出しを図るケースも同様)、そういう明確な動機付けに基づいた個人情報の盗み出しになると話が違う。実際、Yahoo! BB の個人情報漏洩事件なんかは、どちらかというと、こちらのパターンに分類されるのではないか。
先の共産党の話にしても、とにかく党勢回復のために宣伝ハガキ攻勢をかけたいという動機があれば、送付先に使えるデータ入手が最優先であり、それをどうやって入手するか、個人情報を入手してハガキ攻勢をかけた結果としてどう思われるか、というところまで思いが至らなくても不思議はない。(共産党がカネで名簿を買ったなどとは一言も書いていない点に注意。為念)
だから、個人情報保護を本気でやろうというなら、情報を漏洩させる側だけでなく、情報を漏洩させようとする側、あるいは漏洩した情報を買い取って利用しようとする側に対しても、個人情報保護法とワンセットにする形で、何らかの法の網をかぶせる必要があるのではないか。需要あっての供給であり、個人情報の売買が商売になるという現実を放置して情報の漏洩源だけを規制しても、実効性には疑問符が付く。
もっとも、すべての個人情報売買を違法にしてしまえ、と単純にいってしまうと、それはそれでトラブルの原因になるかもしれない。
たとえば、Web サイトで何か個人情報を入力する際に「ここで入力された情報はこういう形で利用することがあります」と明記してあり、それを承知の上で入力した情報の利用まで規制してしまうのは行き過ぎだ。現に、個人情報保護法では「他者への提供には本人の同意が必要」と規定されているが、裏返せば、本人が同意すれば他者に提供してもいいわけだ。もちろん限度はあろうが。
私が利用している某銀行や某カード会社は、本来の業務とは別に、むやみやたらに各種のダイレクトメールを送ってくるが、これだってひとつの営業活動である以上、一律に規制するのは無理がある。それに、自分が情報を提供した先からダイレクトメールが来るのは、もともと承知の上だから目くじらを立てない。自分の情報を持っているはずがないところから、突如として宣伝ハガキをよこした共産党とは違う。
ひとつの落としどころとして、違法な手段で漏洩した個人情報、あるいは情報提供者の承諾なくして漏洩した個人情報を入手した場合、その情報を買い取った、あるいは貰い受けて利用した側に対しても厳しい罰則を課す、というのはどうだろう。買い取った情報をダシにして脅迫すれば恐喝罪が成立するだろうが、そこまでいく前の段階で、不正規の個人情報を入手する行為自体を問うわけだ。
個人情報保護法の概要を見てみたが、そこまでの内容は盛り込まれていないように見える。ひょっとして、他の法令でカバーしているんだろうか ?
いささか例えが飛躍するけれども、殺人を教唆した場合、実行犯だけでなく教唆した側も罪に問われる。個人情報の漏洩についても同じ考え方を適用して、漏洩させた直接当事者だけでなく、個人情報の買い取りを持ちかけるなど、漏洩の原因を作った側にも応分の責任を問うべきではなかろうか。個人情報がカネにならなければ、誰もそれを売ろうと思わないのだから。
|