2010年7月1日、日本ネットワークセキュリティ協会(JNSA)が「2009年情報セキュリティインシデントに関する調査報告書 第1.0版」を発表した。この報告書は、2002年度版から8年間継続されている。敬意を表したい。
この報告書では、個人情報漏えい事件の件数と被害者数についてまとめている。新聞やインターネット上に公開された事件を調査対象とした2004年以降の数字を列挙してみると、件数366件/被害者10,435,061人(2004年度)、同1,032件/8,814,735人(2005年度)、同993件/22,236,576人(2006年度)、同864件/30,531,004人(2007年度)、同1,373件/7,232,763人(2008年度)、同1,539件/5,721,498人(2009年度)となっており、被害者数は6年間で延べ約8500万人となった。人口の3分の2に当たる人、およびすべての世帯で1人以上が被害に遭ったことになる。まさに「事故前提」の社会である。
「セキュリティに100%はない」というが、この8500万人の被害者は自らの個人情報が漏えいするかもしれないということを、どれだけ理解して自らの個人情報を提供していたのであろうか。
新政権が発表した「新たな情報通信技術戦略」には、「今回の情報通信技術戦略(IT戦略)は、過去のIT戦略の延長線上にあるのではなく、新たな国民主権の社会を確立するための、非連続な飛躍を支える重点戦略(3本柱)に絞り込んだ戦略である」と宣言されている。ネットワークを活用した個人情報の流通によるサービスの向上を目指そうとしている。
プライバシーの保護とサービスの向上が衝突したとき、持ち出されるのが「本人同意」とオプトアウトの活用である。本人が自らの個人情報を提供してでも、より良いサービスを享受したいと思う場合には、個人情報提供の(第三者からの取得の、目的外利用の)「本人同意」が必要になる。新戦略に基づいて、今後さらにサービスの向上が図られるのであれば、「本人同意」が跋扈(ばっこ)することになるのだろう。
私は、安易な「本人同意」やオプトアウトの運用に危惧を抱いている。ただ、本稿はオプトアウト制度の廃止や個人情報取得の制限の導入、あるいは第三者機関の創設などの個人情報保護法の改正やプライバシー保護法の制定を求めることが目的ではない。これらは別稿に譲り、本稿では「本人同意」の前提条件、つまり「重要事項の告知」について考察してみたい。
