クラッキングやサーバーの誤った設定などによって顧客情報がネットワークに流出してしまうという事件は,もはや珍しくはなくなった。流出した個人情報が詐欺行為などに悪用されるケースも少なくない。その場合,不正競争防止法(将来的には「個人情報保護法」)などに抵触するばかりではなく,損害賠償を請求される可能性もある。特にe-bisinessにおいては請求額が数億円にのぼる場合もありうる。企業にとっては大変な脅威である。そこで今回のコラムでは,個人情報保護について考えてみたい。

賠償額は数億円規模に

 従来,プライバシ侵害に対する賠償額は,1件に対し数万円から数十万円程度だった。そのため,たとえ勝訴しても裁判費用にすらならないので,被害者は泣き寝入りするケースが多く,よほどの理由がない限り,個人の被害者が事業者等に対して訴えを起こすことはほとんどなかった。

 しかし,e-businessでは事情が大きく変わる可能性がある。1つの事件で流出する個人情報の量がぼう大になるからだ。インターネット上では今でも,1度に数千人単位の情報が流出することが少なくない。そして今後,電子商取引がさらに普及すれば,1サーバーあたりに蓄積される情報量が数万あるいは数十万人分にのぼることは想像に難くない。そうなると,1件1件の賠償額が小さくてもトータルでは莫大な金額になりうる。

 現時点では,情報流出事件によってサーバー管理者側が消費者等に損倍賠償請求されたという事例はまだないが,被害者が連携して団体訴訟を起こすということも考えられる。そうした場合,1人が数万円の賠償金を請求したとしても,1万人規模になれば賠償請求額は数億円規模にのぼる。企業にとって事態は深刻である。

 そのような事態を避けるためには,個人情報の管理体制を整備するとともに,なにか起きた場合には管理内容を証拠として提出できるようにしておくことが重要となってくる。

「プライバシ・ファシリテータ」がポリシー順守を日々チェック

 米国では,企業内に「プライバシ・オフィサ」と「プライバシ・ファシリテータ(促進者)を設置する動きが出てきている。プライバシ・オフィサとはプライバシ情報を守るためのポリシー(すなわち,プライバシ・ポリシー)を企業内に徹底させる“枠組み”を作る責任を負う役職である。具体的には,プライバシ・ポリシーの作成や運用,およびポリシー順守(コンプライアンス)状況を監査する。

図1●プライバシ・オフィサとファシリテータ

 プライバシ・ファシリテータは,ポリシーが守られているかどうかを日常的にチェックする役職である。企業内の各部署がそれぞれの活動を行う中で,日々発生するポリシー違反を発見し,それを指摘し修正するといったことが主な業務である。そのため,部署や事業所ごとにファシリテータは必要となる((図1[拡大表示]))。

 既に米国の大手企業はプライバシ保護に注力している。例えば,これまで「e-business」を提唱し,推進してきた米IBMでは,電子商取引を普及させる上でプライバシ保護は重要な要素であると位置付け,2000年の12月にCPO(最高プライバシ責任者)を任命し,全社的なプライバシ・ポリシーを作成した。現在,それを実践中である。

 また,米Microsoftでは,2000年1月以降,プライバシー保護を明記していないウェブ・サイトにはオンライン広告を掲載しない方針を採っている。

まずはプライバシ・ポリシーから

 もちろんすぐにプライバシ・オフィサやファシリテータを置くことは難しいだろう。米国の先端企業と同じようなレベルでプライバシ保護に注力することもなかなか難しいだろう。しかし,力を入れなければいけないことは確かだ。まずは,最低でもプライバシ・ポリシーを作成してほしい。

 プライバシ保護は,「ポリシー」,「技術」,そしてそれらを統合的に管理できる「体制」が揃って初めて実効性を持つようになる。これらの中でもポリシーは,全体を囲むフレームワークという位置付けになる。最も基本となるものである。以前このコラムで紹介したセキュリティ・ポリシーと同様である。

 繰り返しになるが,特にe-businessに携わる企業では,プライバシ保護の重要性を十分認識してほしい。いまや決して避けることができない問題なのだ。


◎関連情報
最高プライバシー責任者を任命(IBMのプレスリリース)
ウェブ上におけるIBMのプライバシー取り扱い基準について
Microsoft.com のプライバシーに関する声明

田中 健介(Tanaka Kensuke)
株式会社ラック 不正アクセス対策事業本部
kensuke@lac.co.jp

 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,その週に起きたUNIX関連およびセキュリティ全般のニュースや動向をまとめた週刊コラムです。セキュリティ・ベンダーである「株式会社ラック」のスタッフの方を執筆陣に迎え,専門家の立場から解説していただきます。