ECサイト，個人情報保護の責任範囲はどこまで？

2000.08.24

　電子商取引（EC）サイトのセキュリティに対する日本のユーザーの不安が高まっている。通産省の外郭団体である電子商取引推進協議会が，8月7日にまとめた，ECに関するアンケート結果によれば，71％のユーザーが個人情報の漏えいに不安を抱いているという。この不安を払拭することは，ECサイトにとってはビジネスを成功させるうえで避けて通れない命題だろう。

　ECサイトでの個人情報の漏えいと聞いて，どんな状況を想像するだろうか。通信データの盗聴，EC事業者による顧客情報の流用，EC事業者から外部への個人情報の流出，そしてWebクラッキングによるデータの盗難・・・。

　どれも，個人情報の漏えいに当てはまる。ECサイトを運営する側がこうした危険を回避すべく対処しているケースは少なからずある。ユーザーとの通信にはSSL（セキュア・ソケッツ・レイヤー）を利用してデータを暗号化する，外部（インターネット）からサーバーへの不正アクセスを防止する，Webページ上で「他の用途にはデータを利用しない」旨のプライバシ・ポリシーを明記する，顧客情報などには社内からも厳重なアクセス制御をかける，などできることはいくつもある。例えばクレジットカード番号などの情報でも，ECサイト側では12ケタなど一部分だけしか顧客データに残さず，残りの4ケタはアクセスするたびにユーザーに入力を求めるといった方法も効果的である。

　ただ，自分のシステムのセキュリティ強化や運用制限だけでは十分とは言い切れない。ユーザーのデスクトップにあるデータを盗まれる可能性があるからだ。

　例えば，最近はコンピュータ・ウイルスをしかけてユーザーがECサイトなどへのアクセス時に使うパスワードを盗んでしまうという事件が起こった。2000年に登場したコンピュータ・ウイルスとして著名なLOVE LETTERウイルスの亜種には，密かにパスワードを盗聴する不正プログラム（トロイの木馬）をしかけるものがある。海外では，実際にこのコンピュータ・ウイルスでパスワードが盗まれたという報道があった。

　不正プログラムは，PCを起動すると自動的に特定のチャット・サーバーに接続し，PC上の機密情報を読み出してしまう。クラッカはこのパスワードを盗むと，PCがインターネットに接続されている間，そのPCに侵入しほかのさまざまなデータを盗み出したり，さまざまなコマンド操作を実行したりできる。ウイルスだけではない。日本でも市場が立ち上がりつつあるDSL（ディジタル加入者回線）やCATV，無線といった常時接続環境では，PCがいつクラッキングされてもおかしくない。

　そこで必要になるのが，ECサイトのサービスとしてクライアント・セキュリティを強化することである。アンチウイルス・ソフトやパーソナル・ファイアウォール・ソフトをECサイト上で配布するようなサービスだ。インターネットセキュリティシステムズが提供するOnline Scannerのようなセキュリティ・ホールの検出ツールを提供してもよい。

　もちろん，一般消費者がそれぞれの情報を守るのは，個人の責任である。ただ，ECサイト側はそれに甘んじて何も手を打たないままでよいのだろうか。例えばユーザーのセキュリティに対する意識が低く，アンチウイルス・ソフトを導入していなかったらどうなるだろう。

　ウイルスに対する認知度は向上しているとはいえ，アンチウイルス・ソフトを導入し，常に最新情報に更新していることはそう期待できない。その際，ユーザーのPCから個人情報が漏えいしたとして，果たしてECサイトとして責任がないと主張するだけで問題を片付けられるだろうか。情報がECサイト側で漏れたのではないということを証明できればまだしも，証明できなければ，ことはECサイトの信用問題にかかわる。こう考えると，ECサイトとしての責任範囲は広がっていきそうである。

　とはいえ，国内の多くのECサイト，特にこれから立ち上げようというECサイトは，セキュリティに対する意識がそれほど高いとは言えないようだ。肝心のECシステム側でさえ，「できるだけ早くサイトを立ち上げる」ことに重点を置くあまり，十分なセキュリティ対策を施していないケースが多いからだ。

　ECシステム構築を手がけるシステム・インテグレータの間でも，ECサイトとして重要なパフォーマンスや可用性（システムの信頼性）さえおざなりになっているという声は決して少なくない。むしろ，ほとんどの場合は，確固としたビジネス・モデルさえ持たないままECサイトを立ち上げようとしているというのである。

　EC市場の活性化はウェルカムだが，パフォーマンスが悪く不便なうえ，セキュリティの不安まで抱えているECサイトが乱立するのでは，市場活性化には逆効果。ECサイトは無駄な投資をしていることになる。ビジネスを展開する上で，迅速かつ低コストは鉄則だろうが，ある程度カネをかけなければ，効果的なECサイトは作れない。それだけのコストをかけられないのであれば，EC事業は手がけないというほどの心構えでもいいかもしれない。