信用調査会社の米ChoicePointの大失態がかれこれ1カ月以上も話題になっている。このため,私がこの件について付け加えられることは少ししかない。経緯を知らない人のために説明すると,ChoicePoint社は米国人14万5000人分の個人情報を犯罪者たちに誤って販売してしまったのだ(訳注:関連記事)。

 もしカリフォルニア州に「Security Breach Information Act(SB 1386)」という法律が存在しなければ,同社の情報流出は明るみに出なかっただろう。この法律は,個人情報が漏れた場合に漏えいの事実を住民に通知するよう企業に求めている。

 同社の対応は,悪い“企業市民”の見本だ。情報流出は10月に起きたのに,被害者に通知が届いたのは2月になってからだ。当初,同社はカリフォルニア州の住民3万人に知らせただけで,「ほかの州の住民には連絡しない」と発言していた(というのも,他州には通知を義務付ける法律がなかったからだ)。消費者から非難を受け,最終的には被害者全員に報告する方針を明らかにした。

 しかし実際には,同社が米証券取引委員会(SEC)に提出した8-K報告書によると,被害者数は確実に14万5000人を超えそうだ。報告書には次のように記載されている。「この被害者数は,SB 1386が施行された2003年7月1日以降に,当社の情報を不正アクセスしたと思われる顧客の検索結果と,当社のデータベースのデータを照合して算出した」

 この事件から得られる教訓は明確だ。まず,同社が過ちを闇に葬り去らないようにするため,SB 1386を米連邦の法律にする必要がある。次に,その米連邦法でこの種の個人情報流出を直ちに発表するよう企業に義務付ける。「米連邦捜査局(FBI)の調査のため」などという理由で4カ月間も事実を隠すことを許してはならない。

 さらに考えるべきポイントがある。それを明らかにするために,同社の宣伝文句と実際の状況を比較してみよう。

 Wall Street Journal誌(2005年2月18日版)に掲載されたEvan Perez氏の「Identity Theft Puts Pressure on Data Sellers(個人情報窃盗がデータ販売会社の圧力に)」という記事:「ChoicePoint社などを対象とした現在の捜査は,同社が“50件の不正口座”を発見した10月に始まった。同社と警察によると,犯行グループは口座を開設し,雇用したい人物や見込み顧客の情報を探す企業を装ったという。犯行グループは100~200ドルの料金を(ChoicePoint社に)支払い,偽造した書類を提出した。そして,住所,電話番号,社会保険番号といった重要な個人情報にアクセスした」

 ChoicePoint社会長兼CEOのDerek V. Smith氏の発言:「当社は顧客自身と照会状を厳しく審査しており,その点が他社よりも優れている」

 純粋に経済的な理由で,宣伝文句と実態には隔たりが生じる。個人情報窃盗は米国で最も急拡大している犯罪であり,世界各地で大きな問題になっている。この犯罪は,経済的および時間的な損害を被害者に与える。そして阻止できる人は少ない。個人情報の多くは持ち主の管理下になく,ChoicePoint社のような企業のコンピュータに保存されているからだ。

 ChoicePoint社は自社のデータを保護しているが,その保護の範囲は同社が「価値を生み出す」と見なす対象にしか及ばない。同社のデータベースに個人情報が保存されている何億人もの人々は,同社の顧客でない。こうした人々には,信用調査会社を変えるすべがない。問題改善につながる経済的圧力を加えることもできない。ChoicePoint社は社名を“NoChoicePoint(選択の余地なし)”に変更すべきだろう。

 この事件のポイントは,ChoicePoint社が個人情報窃盗のコストを負担していないことにある。そのため,同社はデータ・セキュリティにどれだけの予算を割り当てているかを算出する際に,個人情報窃盗のコストを決算に組み入れていない。経済用語では,これを“外部性”と呼ぶ

 規制の趣旨は,外部性を内部性に変えることにある。そこでSB 1386が改正され,ChoicePoint社はセキュリティ予算額を決定する際に,自社の評判が傷ついたことによる損失を算出しなければならなくなった。しかし,同社が犯したセキュリティ上の失敗で生ずる実際の損害は,算出額よりもずっと大きい。

 ChoicePoint社がこの損害を認識するまでは――それが規制によるか責任によるかは別にして――,コスト削減につながる経済的な動機は生じない。資本主義は,企業の慈善心を通してではなく,自由市場によって成り立つ。この問題を解決するほかの方法は思い当たらない。

ニュース記事:
http://www.msnbc.msn.com/id/6969799/
http://www.epic.org/privacy/choicepoint/
http://www.latimes.com/business/...
http://wired.com/news/privacy/0,1848,66632,00.html
http://searchsecurity.techtarget.com/...

ChoicePoint社の8-K報告書:
http://phx.corporate-ir.net/phoenix.zhtml?...

電子プライバシ情報センター(EPIC:Electronic Privacy Information Center)の興味深い論文:最近のあらゆるプライバシ流出事件(ChoicePoint社,米LexisNexis,米Bank of America,DWS社など)から導かれたプライバシ改革についての提言
http://papers.ssrn.com/sol3/papers.cfm?...

Copyright (c) 2005 by Bruce Schneier.


◆オリジナル記事「ChoicePoint」
「CRYPTO-GRAM March 15, 2005」
「CRYPTO-GRAM March 15, 2005」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。