ニュース
2004/03/24 13:37 更新


基本的な個人情報は「既に一般に流通しているという覚悟を」

「インターネットにおける個人情報保護と人権」セミナーに小倉秀夫弁護士が登場。過激な発言を交えながら、いざ情報が流出した後の対処法について紹介した。

3月24日23時追記:以下はあくまで、ひとたび個人情報漏えい事件が発生してしまった場合、ユーザーがどう対処すべきかについての小倉弁護士のプレゼンテーションの内容をまとめたものだ。そもそも個人情報漏えいは起こるべきではないし、ひとたび起こってしまったならば、その原因の解明と責任の追求の手を緩めるべきではないことは言うまでもない。ソフトバンクBBで起こった情報漏えい事件の場合も同様であり、引き続き同社の対応を厳しい目でチェックしていく必要がある。ただ一般論として、企業は可能な限り情報漏えいの防止に向けて手立てを打つべきであるが、残念ながら、さまざまなチャネルから個人情報の漏えいが発生してしまっているのも事実だ。以下の小倉氏の説明はそれを踏まえ、プラクティカルな視点から、ユーザー個人が被害拡大を防ぐためにできることは何かについて言及したもの。内容と矛盾していると思われるかもしれないが、ソフトバンクBBの情報漏えい事件を正当化するものでは決してない)。

 「何だかんだ言っても個人情報は外に流れてしまうもの。いくら“けしからん”と言ってみたところで、流れてしまったものはしょうがない」――。

 インターネット協会が開催した「インターネットにおける個人情報保護と人権」セミナーにおいて、こんな過激な発言をしたのは小倉秀夫弁護士(東京平河法律事務所)だ。同氏は、いったん個人情報が流れ出てしまえば回復は困難であるということを前提にして、ユーザーは具体的にどう対処すべきかについて説明した。

本当にリスクをもたらす情報流出とは?

 どんなセキュリティインシデント対応でもそうだが、まず大事なことは「現状把握」だ。「対策を取るに値するものかどうかを知るためにも、まず何がどのような形で流れているかを把握することだ」と小倉氏は言う。

 このときポイントになるのは、流出した情報の種類と態様だ。

 たとえば流出したのが、差別などにつながりかねないセンシティブな情報(本籍のほか思想、信条など「特定の機微な個人情報」)であったり、クレジットカード番号など悪用される可能性が高い情報だった場合、「緊急に対策を取る必要が出てくる」(小倉氏)。しかし、氏名、住所、電話番号、生年月日といった基本情報の場合は別で、緊急度は低いと同氏は言う。

 「この程度の情報は既に一般に流通している、という覚悟が必要だ。また多くのコストと時間をかけて対策を取るほどのことでもない」(小倉氏)。

 同時に、流出した情報が、先日のYahoo! BBの情報漏えい事件のように、大量の個人情報の中の1つであれば、悪用される度合いは比較的少ないという。逆に、「特定の個人情報にスポットを当てた形で、しかも具体的に危険な行為が呼びかけられていたりすると、早急な対処が必要だ」(同氏)。

流出元への責任追及は「費用倒れ?」

 情報流出の状況が把握できたとして、次にユーザーはどういった対処を取るべきだろうか。

 まずは、さらなる流出を阻止することだ。何らかの情報漏えいが発生しているとして、漏えい元の企業がそれに気付いていないケースもある。その場合、まずは企業に告知し、流出拡大の防止を求める。

 個人や掲示板によって情報が漏えい、さらされている場合には、プロバイダー責任制限法を活用する。第3条に則ってプロバイダーに送信防止措置を要求するわけだ。たいていの場合、弁護士名で警告を送ると効果は覿面という。またこの場合、キャッシュが残る検索サイト――具体的にはGoogle――上のデータが問題になることもあるが、明確な理由を付ければ削除要求が受け入れられることが多いという。

 続いて、自分の身を守る手段を講じる。やや消極的かもしれないが、まずは「メールアドレスや電話番号、携帯電話の番号を変更する」(小倉氏)。自分の情報がさらし上げられ、何らかの具体的な危険が想定される場合は、警察に協力を依頼することも検討すべきという。

 状況が安定してくれば、次は逆襲だ。やはり、プロバイダー責任制限法の第4条を元に流布元の情報開示を請求し、その上で責任を求める、といった手段が考えられる。ただ、間にIPアドレスを記録しない掲示板(2ちゃんねるが代表格だ)が存在する場合、まず掲示板の管理者にIPアドレスの開示請求を行い、その情報を元にしてプロアイダーに開示請求を行うという具合に、2段階の手順を踏む必要がある。このあたりの煩雑な手続きをクリアするには、弁護士を使うのがお勧め、という。

 その次にくるのが、流出元に対する責任追及である。ただこの場合、「大勢の中の1人に過ぎず、しかもセンシティブな情報が含まれていない場合は、損害賠償が認められてもその額は“1万円+弁護士費用”というのが判例。費用倒れになる可能性が大きい」と小倉氏は指摘。この際、流出元の過失の立証および損害との因果関係の立証も困難な上、流出元が下請け会社を用いていた場合、監督/選任責任を問うことも難しいという。

 小倉氏の意見を踏まえると、われわれはある程度、自分の情報が漏えいしていることを前提にしてネットワークやサービスを利用するしかなさそうだ。同氏は後のディスカッションの中でも、「流れてしまった情報は止められない。知り合いに見られたら恥ずかしいような情報でも、見られているのだと覚悟を決めて生きていくしかない」と述べている。

3月25日追記:この記事についての皆様の厳しいご意見、深く、真摯に受け止めております。それを受けてさらに追記だが、残念ながら個人情報漏えい事件が続発しているのは事実であり、自らの情報がどこか自分の手の届かないところで流通してしまっている可能性が高いことも、小倉氏の言うとおりおそらく事実である。ソフトバンクBBの事件も含めた昨今の動向を踏まえると、悲しいことだが、その意味での覚悟と対処に向けた心構えが、ユーザーにも必要になってきた。しかしだからといって、情報漏えい事件が「当たり前」のことと受け止められてしまっては決してならない。その上、小倉氏が述べたとおり、「いったん個人情報が流れ出てしまえば回復は困難である」。つまり、情報漏えいは、いったん発生すれば取り返しの付かない事柄だ。事業者側はこの点を重く認識して対策、対処に当たるべきだろう)

関連リンク
▼日本インターネット協会

[高橋睦美,ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.