［153］個人情報管理が左右するネットビジネスのアジア展開

2008.09.10

　前回は，財務諸表監査や内部統制監査を実施する公認会計士の観点から，個人向け電子商取引（B2C-EC）サイトの個人情報管理について取り上げた。今回は，B2C-ECビジネスの海外進出，グローバル化の観点から考えてみたい。

サイト閉鎖後のサーバーを狙った海外からの不正アクセス

　2008年9月1日，ペット用品製造販売会社のホッタは，同社が2004年1月から2007年5月まで運用していたインターネットショッピングサイト「ドッグワンライフ」において，中国からの不正アクセスを受け，登録顧客の個人情報およびクレジットカード番号が流出した可能性があることが判明したと発表した（「お客様の個人情報流出に関するお詫びとご報告」参照）。

　流失した可能性があるのは，保有個人データ1万8374件（うちクレジットカード保有件数4808件）である。個人情報項目には，「ログイン用ユーザーID」「ログイン用パスワード」「氏名」「電子メールアドレス」「住所」「携帯電話番号」「電話番号」「年齢」「クレジットカード名義」「クレジットカード有効期限」「クレジットカード番号」「性別」「職業」が含まれていた。ホッタの発表によると，サイトにプログラム上の不具合が存在していたが，運用終了後もサーバーが稼動状態であったことから情報流出が発生したとしている。また，新聞報道によると，2008年6月，クレジットカード会社からの問い合わせを受けたことが情報流出判明の発端であり，その後，流出によるカードの不正利用などの被害が約30件報告されているという。

　ホッタに限らず，日本国内のB2C-ECサイトは，海外からの不正アクセスに起因する個人情報漏えいに悩まされてきた。

　例えば，第20回，第21回，第29回で取り上げたワコールのケースでは，ドイツやオーストリアのサーバーを経由した外部からの不正アクセスによって情報が盗み出されていたことが判明している。また，第90回で取り上げた再春館製薬所のケースでは，中国のIPアドレスから不正アクセスがあったとしており，第151回で取り上げたオズ・インターナショナルのケースでも，中国からの不正アクセスを受けたことを公表している。

　個人情報やカード情報を狙う手口はグローバル化しており，日本国内を対象としたB2C-ECサイトであっても，海外の不正アクセス対策に連動した技術的対策を講じざるを得ない。PCI DSSのようなグローバルセキュリティ標準に関心が集まるのは当然と言えよう。

経産省が積極的に支援するコンテンツビジネスのアジア展開

　ところで，2008年8月18日，経済産業省は平成19年度電子商取引に関する市場調査結果を発表している（「『平成19年度我が国のIT利活用に関する調査研究』（電子商取引に関する市場調査）の結果公表について」参照）。調査報告書の全文は，経済産業省ホームページの「電子商取引実態調査」からダウンロードすることができる。

　筆者は，平成17年度調査で，電子商取引市場の日米比較調査・分析に関わったことがある。米国のB2C-EC市場は小売業など物販中心であるが，日本の市場は，情報通信業などデジタルコンテンツ販売の比率が高い点が特徴だ。経済産業省は，「コンテンツグローバル戦略報告書」でコンテンツビジネスのアジアシフトを提言し（「コンテンツグローバル戦略最終取りまとめ」参照），「アジア・コンテンツ・イニシアティブ」を策定する（「コンテンツ産業のアジア展開の促進に向けて－アジア・コンテンツ・イニシアティブの策定－」参照）など，日本のコンテンツビジネスのアジア進出を積極的に支援している。

　アジア諸国のB2C-EC市場は，日本のコンテンツのディストリビューションチャネルとして期待されるが，最近は物販の観点からも注目されている。前回取り上げたミネルヴァ・ホールディングスや楽天は，中国をはじめとするアジア市場へのインターネットビジネス拡大を事業戦略の柱と位置付けている。情報漏えい対策としてのPCI DSSへの準拠は，国内事故の再発防止策にとどまるものではない。

　このような状況を反映して，経済産業省の平成19年度電子商取引調査では，アジア諸国（中国，韓国，台湾，マレーシア）の消費者向け電子商取引（B2C-EC）市場の実態分析が加わった。個人情報保護に関わるトピックについては，「アジアにおける電子商取引等IT利活用実態」の中で，「消費者保護，セキュリティに関する課題」と題して取り上げられている。

　日本企業の海外進出を支援するICT（情報通信技術）ソリューションといえば，製造業や実店舗販売業向けが思い浮かぶが，ネットビジネス業界，特に中堅・中小企業（SMB）向けのサービスは，コンテンツ産業を除くと手薄な感があった。クレジットカード決済を利用する企業であれば，PCI DSSのようなグローバルセキュリティ基準に準拠しながら，国内外に関わらず，プライバシー／個人情報保護対策の標準化，共通基盤化を図った方が現実的である。日本のICT業界にも，ネットビジネスのアジア戦略展開を支援する個人情報管理ソリューション提供が求められる。

　次回は，教育分野の個人情報漏えい事件について取り上げてみたい。

→「個人情報漏えい事件を斬る」の記事一覧へ

■笹原英司 (ささはらえいじ)

【略歴】
IDC Japan ITスペンディングリサーチマネージャー。中堅中小企業（SMB）から大企業，公共部門まで，国内のIT市場動向全般をテーマとして取り組んでいる。医薬学博士

【関連URL】
IDC JapanのWebサイトhttp://www.idcjapan.co.jp/