【CRYPTO-GRAM日本語版】情報流出の報告義務化法を考える

2009.03.10

Bruce Schneier　

「CRYPTO-GRAM February 15, 2009」より

　情報流出の報告を義務付ける法律（データ侵害告知法）が設けられた背景には，三つの理由がある。第一に，他人から預かった物をなくしたら，そのことをきちんと告げるのが常識的な礼儀だからだ。この法律が施行されるまで，企業の基本的な姿勢は「どうせデータ流出の被害者（顧客）は気付かないし，仮に気付いたところで流出源が我々だと分からないから，すべて黙っておこう」というものだった。これは完全に間違った態度である。第二に，流出に関する情報が公になれば，セキュリティ研究者は被害を把握するための統計データとして利用できることが挙げられる。そして第三の理由は，企業がセキュリティに対する取り組みを改善するよう仕向けられる，というものだ。

　最後の項目は，少し補足が必要だろう。企業では，顧客のデータを保護したところで金銭的な利害関係には結び付かない。この点が問題なのだ。つまり，企業は顧客から受け取ったデータを保護する立場にあるものの，流出したところで何ら費用は発生しない。顧客は被害に悩まされるが，流出したデータをどうにかする方法はない。場合によっては，その企業のセキュリティ規則を知ることすらできない。情報流出の報告を義務化する法律が提案され，議員に売り込まれた背景には，（セキュリティ侵害で評判が落ちるとともに，実際の通知を行うことで発生する）企業の費用負担を高め，予防措置を講じるよう仕向ける，という考えがあった。経済用語で「外部性」と呼ばれるこうした圧力は，データ流出に対する実コストの負担を企業に強いるのだ。

　情報流出の報告義務化は効果があったのだろうか。

　2009年初め，米カーネギーメロン大学ハインツ・スクールで公共政策管理を研究するSasha Romanosky氏，Rahul Telang氏，Alessandro Acquist氏の3人が，この問いに対する答えを出そうと試みた。2002～2007年に報告されたデータ流出と個人情報不正取得の割合を調べ，義務化法のある州とない州を比較した。この法律で必要な効果が得られているのなら，法律のある州は身元詐称の被害者が少ないはずだ。調査の結果，大きな差は認められなかった。義務化法による個人情報不正取得の減少効果は，平均でわずか2％にとどまった。

　この研究結果には複数の要素がからんでいると思う。個人情報不正取得の報告件数は，5年前より大幅に増えており，報告義務化法の施行前後で流出率を比べることは困難だ。不正取得の大半は，家庭や仕事場のパソコンがセキュリティ侵害されたときに発生するもので，大企業のデータベースから盗み出されたものではない。そのため，法律の効果は少ない。企業によるセキュリティ改善にも大きな影響はなく，この法律の効果を下げる要因の一つとなっている。

　これら法律の前提は「公に恥をさらさせること」である。データ流出を認めざるを得ない状況はばつの悪いことであり，逆PRとでも呼ぶべき事態を回避できるならば，企業は自ら進んで対策費用を負担するだろう。問題は，この制裁を有効化するのに報道機関の協力が欠かせないことだ。また，世間がデータ流出に慣れてしまう，忘却効果も問題である。初の義務化法施行後に起きた最初の大規模データ流出は，米カリフォルニア州で2005年2月に起きた。米チョイスポイントが14万5000人分の個人データを犯罪者に売り渡したケースだ。この事件は大きなニュースとなり，チョイスポイントの株価は下落した。この不名誉が，同社のセキュリティ向上へとつながった（関連記事：［CRYPTO-GRAM日本語版］米ChoicePoint/FTC，ChoicePoint情報漏えいの賠償補償対象者に約2400人を追加）。

　その後，米レクシスネクシスが個人データ30万人分を流出したのに続き（関連記事：米LexisNexisで個人情報の流出，3万2000人分の社会保障番号などが漏えい/米LexisNexisの個人情報流出，当初発表の約10倍の規模），米シティグループは390万人分の顧客データを紛失した（関連記事：［CRYPTO-GRAM日本語版］個人データ紛失の公表）。これらの事例は，報告義務化法の存在によって明るみに出たわけで，法律がうまく機能したことになる。しかし，データ流出事件はその後もなくならず，規模も大きくなっていった。この手のニュースは「オオカミが来た!」という警告同様ありふれたものとなり，すぐに話題にものぼらなくなった（関連記事：情報漏洩が止まらない）。

　現在，このほかに会社がデータ流出した後に強いられるコストに，顧客に事件を通知するダイレクト・メール費用がある。これも，販促機会として流用されることが多くなっている。

　筆者は，報告義務化法を引き続き支持しているが，あくまで最初に述べた二つの理由からだ。（データ漏えい事実の）開示は重要だが，個人情報の不正取得が解消されるわけではない。以前に書いた通り，個人情報の盗難が多発するのは，盗んだデータが金になるからだ。なりすましによる詐欺のリスクを減らすには，個人情報を盗まれないようにするのではなく，利用を難しくすることにある。

　報告義務化法の対象は，顧客の個人データを保護する立場にある，データ所有者の経済的な外部性だけだ。我々が必要としているのは，ごくわずかな認証で他人の名前をかたった取引を許してしまう，金融機関に対する規制法だ。

参考資料：
◆カーネギー・メロン大学の論文
◆身元詐称について
◆「Information Security Magazine」誌の2006年4月号に掲載された，Marcus Ranum氏との「問題指摘とそれに対する返答（point/counterpoint）」の後半部分
◆Marcus氏のエッセイ

◆オリジナル記事　「Breach Notification Laws」
◆「CRYPTO-GRAM　February 15, 2009」

◆この記事は，Bruce Schneier氏の許可を得て，同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は，「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO（最高技術責任者）です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり，2006年10月に英BTの傘下に入りました。国内ではインテックと提携し，監視サービス「EINS/MSS+」を提供しています。