前回は,BtoBの分野を対象としたメール・マーケティングについて,受信する企業側のコンプライアンス対策の視点から考えてみた。

 個人情報保護法も金融商品取引法(日本版SOX法)も,最終的に説明責任を負うのが企業経営者である点は共通している。電子メール・システムは,個人情報保護法や日本版SOX法を対象としたコンプライアンス対策の要となりつつある。しかし,組織的対策については,個人情報管理を取り扱う部門と内部統制を取り扱う部門が別個に動いているのが実情ではなかろうか。新しい法令が施行される度に,場当たり的なもぐら叩きを繰り返すのではなく,一元的な情報管理基盤の整備と組織横断的な企業内連携を同時並行で進める必要がある。情報システム部門のコンプライアンスへの関わり方についても,再検討すべきだろう。

 さて,「Winny」開発者への有罪判決で,ファイル交換ソフトが改めて話題になっている。今回は,相変わらず起きているファイル交換ソフト経由の個人情報漏えい事件について取り上げたい。

もぐら叩きが続く私物パソコンからの個人情報漏えい

 2006年12月5日,NTT西日本は業務委託先社員の個人所有パソコンからファイル交換ソフト「Winny」経由で個人情報3140人分を含む業務関連ファイルが流出していたことを発表した(「お客様情報の流出に関するお詫びとお知らせ」参照)。新聞報道によると,業務委託先であるNTT西日本-南九州の社員が2004年11月と2005年6月に業務関連情報を持ち帰り,自宅パソコンに保存していたが,2006年9月に社員の家族がパソコンに「Winny」をインストールして,10月にインターネット上に流出したという。

 第32回で,NTT東日本・NTT西日本の業務委託先社員の個人所有パソコンからファイル交換ソフト経由で,個人情報を含む業務関連ファイルが流出したケースを取り上げた(「お客様情報及び社員情報の流出に関するお詫びとお知らせ」参照)。この問題が発覚した2006年2月当時,NTT東日本とNTT西日本は「業務関連情報を自宅等社外に持ち出さない」,「自宅パソコンにおいてもWinnyを使用しない」などの再発防止策を表明していた。

 さらに2006年12月7日,大阪市交通局は同局職員の個人用パソコンがウイルスに感染し,パソコン内に保管されていた個人情報305人分を含む業務関連ファイルがインターネット上に流出していたことを発表した(「お客さま情報の流出に関するお詫びとお知らせ」参照)。新聞報道によると,地下鉄の車内で発生した痴漢の被害者,加害者双方の氏名,住所,年齢,電話番号などを記載した報告書などが,ファイル交換ソフト「Share」を介して流出している。職員が「Share」を私物パソコンにインストールしたのは約1年前というが,第31回で取り上げたように,ちょうど関西電力が相次ぐファイル交換ソフトによる情報流出で大騒ぎしていた時期だ。

技術の進歩に追いつかない社会的規律の整備

 NTT西日本や大阪市交通局のケースに共通するのは,ファイル交換ソフトを介した個人情報漏えい事件がマスコミなどで騒がれた後で,個人所有パソコンに「Winny」や「Share」がインストールされている点だ。情報漏えいのリスクが潜んでいることを認識しながらファイル交換ソフトをインストールして,暴露ウイルスの被害に遭うケースが跡を絶たないのである。コンピュータソフトウェア著作権協会,日本レコード協会などが実施している「ファイル交換ソフト利用調査 2006年度」を見ても,ファイル交換ソフトの利用者が減る兆しはなさそうだ。

 不特定多数のユーザー間で,サーバーを介さずに,直接データのやり取りを行う「ピア・ツー・ピア (P2P,PtoP)」の技術がファイル交換ソフトのベースになっている。P2Pという新技術が社会やビジネスにもたらす付加価値など光の部分よりも,情報漏えい,知的財産侵害など影の部分にスポットライトが当たる状態が続いているのが実情である。

 総務省では,「ネットワークの中立性に関する懇談会」のワーキンググループとして「P2Pネットワークの在り方に関する作業部会」を開催し,ファイル交換ソフトを含むP2Pとその周辺の事実関係を整理し,今後の市場展望や社会的規律について検討している。折しも12月13日,ゲームや映画ソフトの違法コピーを容易にしたとして,著作権法違反ほう助の罪に問われたファイル交換ソフト「Winny」の開発者に対する有罪判決が京都地裁から言い渡された。技術の進歩に社会的規律の整備が追いつくにはまだまだ時間がかかりそうだ。

 次回も,最近起きている個人情報漏えい事件を取り上げてみたい。


→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原 英司 (ささはら えいじ)

【略歴】
IDC Japan ITスペンディンググループマネージャー。中堅中小企業(SMB)から大企業,公共部門まで,国内のIT市場動向全般をテーマとして取り組んでいる。

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/