個人情報は誰が守るのか

　朝日新聞の7月30日土曜日の朝刊に「個人情報　楽天的ではいられない」という社説が掲載されている。社説という限られたスペースのためか、なんだか突っ込みが甘いというか、本質を突いていないというか、とにかく読んでいてしっくりこない。

　楽天および流出データの元とされるAMC（記事中では輸入商社とされている）を批判し、最後にはカードの便利さに目を奪われていてはいけないと警告しているのだが、カードの安全性を話題にするのであれば、米CardSystems Solutionsの事件についてきちんと言及して欲しいところだ。楽天やAMCに責任がないとは思わないが、現段階で実際の流出経路すら判明して（公表されて）いないので、個人情報を取り扱っていたどの過程に問題があったかは明らかになっていない。

　楽天が提供している、クレジットカード番号を含む個人情報を一括して店舗でダウンロードする仕組みを批判しているが、これがそんなに大きな問題だと私には思えない。他の報道を見るかぎり、楽天からの特別な審査を経た上でこの機能は利用できるとのこと。審査の中身が問題であれば、仕組みではなく「審査」を問題視して、楽天の責任を追及することになる。この仕組みがきっかけの流出だったとしても、結局はダウンロードしたあとのデータを店舗側がどのように管理していたかが問われるべきだ。ダウンロードの仕組みそのものにセキュリティホールが存在するのであれば、話は別だが。

　クレジットカード情報は、結局はどこかにはまとめて溜められるものだ。知識や技術、正当な権限をもっていれば、それにアクセスできるのはあたりまえ。現状、情報漏洩事件で問題になるのは、正当な権限をもつ人間の不正行為やセキュリティホール経由で発生する外部侵入に大別できるだろう。もちろんCardSystemsのように、顧客との契約に違反して別のシステムに契約以外の目的で情報を保持していたということであれば、取り扱い事業者の管理責任は大きな問題だ。

　朝日新聞の社説というと、なんだかすごく一般の人に影響がありそうだと思っている。今回の社説の記事が間違っているというわけではないが、ITの業界にいて一連の情報漏洩事件をウォッチしている人間にとっては、なんだか物足りないというか、問題点がクレジットカードそのものの安全性に安易に飛躍しているように感じてしまう。一般の読者が、この社説を読んでどのように感じたか気になるところだ。

　今後、企業が個人情報を適切に扱うには、かなりの直接的コストや人的リソースが必要になる。結局のところこれらコストは、消費者が受けるサービスに添加される。個人情報を守るのは当たり前なのだが、現状はいったいどこまでコストをかけて対策すればいいのかがみえ難い。いくらお金をかけて対策を実施していても、いざ事件がおきれば、責任を問われる側の企業が破綻する可能性は低くない。中小のベンチャー企業が萎縮してしまい、新たな挑戦ができない環境になりそうで、そのほうが恐ろしい気がする。判例なりガイドラインが充実して、最低限ここまでは義務として対策すべきで、それ以上の状況は「避けられない事故」として扱われるようになるには、もうすこし時間がかかるかもしれない。