事業者へ配慮した経産省個人情報ガイドライン改正案
経済産業省は、同省が管轄する経済産業分野の個人情報ガイドラインについて見直しを実施し、現在パブリックコメントを実施中だ。
SecurityNEXTでも報じているが、注目される点としては、
事故発生時の事業者対応について負担軽減を盛り込まれたことが挙げられる。
たとえば、高度な暗号化などが行われている場合や、速やかに紛失した個人情報が回収された場合など、
二次被害など本人に被害が及ぶ可能性が小さければ、本人への通知や公表などを省略可能としている。
たしかに、本人への通知や公表といった対応は、コストがかかる。謝罪状の印刷費から郵送費、宣伝広告費、コールセンターの人件費などだ。今回の改正案では、個人情報漏洩の事故もさまざまなケースがあることを踏まえ、一様に対策を求めるのではなく、事後に与える影響などを考慮した上で必要に応じた対策を求めたものといえる。
とはいえ、本人への権利侵害や二次被害の可能性が少ないことを条件としているが、客観的な判断を下すことが難しいケースもありそうだ。
たとえば暗号化。省略可能な事例として「高度な暗号化などの秘匿化」が挙げられている。しかし、「高度な暗号化」とひとくちにいっても、解釈する人間によってばらつきがあるだろう。AES 256bitによる暗号化を望むかもしれないし、DESでも良いとする人もいるだろう。
それに、保護されるべき個人情報がセンシティブな情報や信用情報である場合と、氏名や年齢といった公知となっている情報の場合では、コストのバランスからも、求められる暗号化の堅牢性も変化する。また、高度な暗号化が行われていても、利用されるパスワードが容易に予測できるものであれば意味がない。暗号化というキーワードだけでは片づけられない。
回収についても難しい問題がつきまとう。紛失した対象が情報である以上、すべて回収したとしても、情報自体がコピーされていれば意味がないからだ。むしろ、情報を盗み取った後に、漏洩の事実を悟られたくないため、あえて回収を演出するケースもある。「回収された」=「安全」ではない。
たとえば、カードのスキミング犯罪などを考えるとイメージしやすい。手元にカードがあるのに、いつのまにかカード上の情報が抜き取られ、不正に利用される。手元にカードがあるが故に、持ち主は安心してしまい、被害が遅れてしまう。情報犯罪ゆえの怖さだ。
ガイドラインでは、二次被害の可能性が少ないことといった条件はある。しかし、それを判断すること自体、情報セキュリティに関する一定以上の知識が必要だ。さらに、事故を起こした当事者が、自分にとって不利な状況についても客観的なジャッジが行えるか、という問題も残る。
事業者の負担は、コストとなり製品やサービスの値段となって消費者に跳ね返る。必要以上の対策を求めることは消費者にとっても不利益となる。一方で、個人情報を利用した犯罪も多く、消費者が個人情報保護を強く希望している。これらバランスをどのようにとるか、解決は難しそうだ。
ガイドライン改正案では、今回の取り上げた話題以外の内容もある。目を通して置くと良いだろう。意見は、2007年1月31日まで募集している。
ニュースガイア
Security NEXTを運営するニュースガイアは、ニーズが高く密度の濃いセキュリティ関連の情報をピンポイントで配信することを目的に2006年に設立されたベンチャー企業。大手マスメディアで執筆経験があるライターや編集者が参加している。ベンチャー企業ならではのフットワークの良さ、ユニークな視点から独自の情報を配信。