前回は,中古車架空販売事件を通して,公益通報者の個人情報保護とグループ内部統制について取り上げた。今回は,第52回「SNSの泣き所は子どもの個人情報保護対策」で取り上げたSNSの動向について触れてみたい。

中高年齢層へと広がるSNSの個人利用とサイバー被害のリスク

 米国では,SNSを利用する子どもを性的犯罪から守るための法案「Deleting Online Predators Act」(HR 5319)が2006年7月に下院を通過した。同法案は現在上院で審議中であるが,最近は大人へのSNS普及も話題となっている。

 2006年10月4日に公表された「CA/NCSA Social Networking Study Report」(「National Cyber Security Alliance Reports/Cyber Security Library」参照)の調査結果(米国の18歳以上男女2163人が回答)によると,SNS利用者に占める35歳以上の比率が53%となり,主力ユーザーが低年齢層から中高年齢層へと拡大していることが明らかになった。

 同調査は,大人のSNS利用者がサイバー被害に遭うリスクも上昇しつつあることも指摘している。大人のSNS利用者の57%がサイバー被害に遭う可能性を認識している。しかし,その一方でSNS利用者の74%が,メールアドレス,名前,生年月日といった個人情報を公開している。また,SNSを利用する子どもを持つ親の51%は,子どものプロフィール公開を制限しておらず,36%は子どものSNS利用を監視していないという。子どものSNS利用については,FTC(米連邦取引委員会)が保護者に対して注意を呼びかけてきた。だが,この調査結果を見る限りまだまだ浸透していないようだ。

 最近,日本では,SNS内で同一内容の日記がコピーされて広まる「チェーン日記」騒動や,ファイル交換ソフト「Share」をインストールした会社員の私物パソコンがウイルス感染し,その流出情報からSNSに掲載した個人の実名が特定されるという騒動が,ネット上で話題になっている。筆者のところにも,SNSの招待状を騙ったスパムメールが送信されてきたことがある。国境を越えて,SNSのサイバー被害対策に取り組むべき時代になったようだ。

リスク管理のノウハウがSNSの企業利用を左右する

 SNSはメーラーと掲示板の機能を兼ね備えた汎用性を特徴としており,個人のみならず企業でも,独特のコミュニティ機能を通じた従業員,顧客,取引先などの間の情報交換や関係強化への利用に期待感が強まっている。

 だが,SNSを企業で利用する場合,参加するユーザー個人だけでなく,各人が所属する組織のリスク管理体制が関わってくることを忘れてはならない。例えば,個人間の情報流通では,プロフィールや写真など個人情報が日常的に行き交っている。アイデンティ/アクセス管理が未整備状態のまま企業がSNSを導入したら,個人情報漏えいの潜在的リスクが増幅されることになりかねない。個人ユーザーでも人気のあるSNSで情報を発信すれば,個人情報取扱事業者に匹敵する数の個人情報を集めることができるからだ。

 ミクシーグリーなど,主要な個人向けSNS事業者の利用規約を見ると,あくまでも利用するユーザー個人の自己責任が前提となってルールが策定されていることがわかる。ユーザー同士のやりとりや行動に対して運用側は責任を負わないし,ユーザーが掲載するテキスト,映像,画像などの著作権や肖像権に関するコンプライアンス(法令順守)についても,個々のユーザーの責任に委ねられている。

 総務省の「住民参画システム利用の手引き」では,地域SNSの実証実験結果をベースにSNSを運用する側のリスク管理上の注意点がまとめられている。しかし,ここでも利用者側のリスク管理は参加する個人に委ねられている。

 これに対して,一般企業がビジネスでSNSを利用する場合,従業員や顧客,取引先がユーザーとなるから,個人情報保護対策などのリスク管理も複雑になる。あらゆるケースを想定しようとすると,「べからず集」の膨大な利用規約が出来上がる。それではユーザーにとって敷居の低いSNSのベネフィットが帳消しになる可能性もある。ベネフィット最大化とリスク最小化のバランスをとることは,SNSの企業利用における重要課題でありノウハウでもある。

 amazon.com,eBay,google,Yahoo!など,BtoC市場で培われた新技術やサービスをBtoB市場で展開させることによって,ICT(Information and Communication Technology)市場全体に経済波及効果をもたらした事例は多い。SNSやブログに代表されるWeb2.0型サービスに対しても,同様の期待が寄せられている。BtoB市場におけるビジネス差別化の要素として,個人情報保護対策を含むリスク管理を考えるべきではなかろうか。

 次回も,Web2.0型サービスと個人情報管理の問題について考えてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/