インデックスは，着信メロディや占いサイトなど携帯電話向けコンテンツで有名な企業だ。しかし現在では，ソリューション事業の売り上げの方が多いという。その一つとして，4月から携帯サイト運営者向けに個人情報保護の認証マーク「TRUSTe mobile」の審査サービスを実施している。桜井寛晃セキュリティソリューション部長兼ユーザーサポート部長兼個人情報管理事務局長に，携帯電話サイトでのセキュリティ上の危険について聞いた。（聞き手は白井　良＝日経コミュニケーション）

――「TRUSTe mobile」とはどういうものなのか。

　「TRUSTe」は，米国のTRUSTeという非営利団体が発行している個人情報保護の認証マークだ。Webサイトが個人情報を保護する法律に則っていること，システム的に情報漏えいの危険性が低いことを証明する。日本では日本技術者連盟（JEF）が認証機関となっている。TRUSTe mobileはその携帯サイト版。当社は取得のためのコンサルティングと審査を実施している。

――実際のところ携帯サイトにセキュリティ上の危険はあるのか。

　携帯サイトで携帯電話のユーザーIDや，位置情報などの個人情報がサイト運営者側に送られることがある。しかし，個人情報を収集することを明確に書いているサイトは少ない。例えば「メール・アドレスを取得します」と書いてあっても実際には別の項目を取得していたり，何も書かずに電話番号を取得していることもある。2005年4月に個人情報保護法が施行されると，これらの行為は違法になる。
　また最近の携帯電話が端末内に保有する個人情報は，漏えいすると大きな問題になるものが多い。例えばGPSを搭載した端末は，詳細な位置が分かってしまう。近く登場するFeliCa搭載端末は，購買履歴を見られる可能性がある。
　TRUSTeマークの認証が入っているサイトならば，個人情報の収集は了承後に実施することになる。さらにシステム的に漏えいしにくいことを第三者団体で認証する。

――サイト運営者がTRUSTe mobileを取得するとどういったメリットがあるのか。

　個人情報保護について，どこまで対策しているのか明確になる。そのため，ユーザーに安心して使ってもらえる。あくまで可能性だが，損害賠償や刑事罰の軽重が変わるかもしれない。情報漏えい対策をしていたとしても，第三者の証明がないとなかなか信じてもらえないものだ。会計の外部監査のようなものだと思って欲しい。
　また個人情報が漏えいした際の保険料が変わる。例えばAIUの保険では，TRUSTeを取得していれば保険料が10％割引される。TRUSTeと他のセキュリティ関連の認証マークを合わせて取得すれば15％割引になる。

――TRUSTeと他の認証マークの違いは何か。

　例えば日本情報処理開発協会が発行する「Pマーク」は，会社の仕組みに関することがメインだ。一方TRUSTeは，Webサイトで収集される個人情報の扱いを中心に見ている。
　例えばTRUSTeに特徴的なサービスとして，Webサイトの定期監査がある。サイトに記載してある通りの個人情報を収集しているかどうか，JEFが数カ月に1回チェックする。また対象となるサイトに特定のメール・アドレスをJEFが登録する。そのアドレスに対して広告メールが来ないか，Webを検索したら見つからないかなどで漏えいの有無をチェックする。