企業の顔、「Webサイト」での個人情報保護法対策とは？

メンバーズは9月30日、Webページの作成、運用といった観点から個人情報保護法への対応を考慮するセミナーを開催した。

[高橋睦美，ITmedia]

　2005年4月に控えている個人情報保護法の全面施行をにらみ、多くの企業や組織では、個人情報の洗い出しや管理体制の変更、セキュリティ製品の導入など、さまざまなレベルでの取り組みが進んでいるはずだ。

　昨今の流れを見ていると、一連の対策の中では、データの暗号化やアクセス制御といったテクノロジ的な対策や組織としての管理体制整備といった側面に、どうしても注目が集まりがちのようだ。無論、これらも情報を適切に管理するには不可欠な事柄だが、その影であまり省みられていない部分がある。企業の「顔」ともいえるWebページにおける告知や情報公開だ。

　個人情報保護法では、個人情報が漏洩しないよう安全管理措置をとるだけでなく、情報を収集する際には利用目的を明確にし、本人に「通知・公表」しなければならないといった義務が定められている。また、情報の取り扱いに関する苦情には迅速に対処し、本人からの求めに応じて情報の開示や訂正、削除を行わなければならない。

　いまや企業と顧客をつなぐ「接点」の中で、Webが重要な役割を果たしていることは言うまでもない。既に「問い合わせ」や「注文」「サポート」など、業務のさまざまな側面でWebフォームが利用されているが、そこでは、セキュリティに配慮するだけでなく、利用目的や個人情報の取り扱いに関する問合せ先などが分かりやすく示されているだろうか？　あるいは示されていたとしても、企業として統一感のあるものになっているだろうか？

　いわゆる技術的な対策を施すだけでなく、個人情報の取り扱い方針や問い合せ先などを明確にし、Web上の「説明責任」を果たすことも、立派な個人情報保護法対応策である。メンバーズが9月30日に開催したセミナーでは、そういった観点からの説明がなされた。

都道府県サイトのプライバシーへの配慮は「ずたずた」

　残念ながら現状では、個人情報の取り扱い方針やプライバシーポリシーがきちんと提示されているケースは少ないようだ。日本ブランド戦略研究所代表取締役社長の田中章雄氏によると、特に都道府県サイトでその傾向が顕著だという。

　同氏は、先日公開した「都道府県サイトのリスク調査」および「消費者による企業情報サイト評価」の結果をベースに、Webサイトにおける情報漏洩防止策と個人情報保護への言及の状況について語った。

　「都道府県のサイトは、一言で言えば『ずたずた』。ずさんな状況だ」（田中氏）。リンク切れやアンカー切れをはじめとするクオリティ（品質）、アクセシビリティの面だけでなく、プライバシーへの配慮といった面でも非常にレベルの低い状態だという。

　都道府県サイトではしばしば「知事への提言」といった形で個人情報を取得するページを見かけるが、「半数以上ではプライバシーポリシーや個人情報保護方針の記述がない。また記述があったとしてもその内容は非常に曖昧で、ひどい内容だ」（田中氏）。

都道府県Webサイトのプライバシーポリシー表示はまだまだだと述べた田中氏

　中には、冗談のような話だが『個人のプライバシーはお守りします』『個人情報の取り扱いには万全の注意を払います』など、プライバシーポリシーとしてまったく意味のない記述まで見られたという。しかも、3つほどの県では「一言一句記述が同じで、コピー＆ペーストしたとしか思えない」（田中氏）状態がみられた。

　さらに、『このフォームの暗号化は行っていません。送信される情報の内容には十分に注意してください』と、はじめから責任を放棄してしまっているような記述さえあったという。

　47都道府県の中でも、新潟県と佐賀県は、比較的充実した記述が見られたという。だがそれでも「民間企業に比べると、まだまだ記述レベルを向上させる必要がある」と田中氏は述べている。

　ちなみに都道府県サイトではSSL暗号化も普及していない。Webフォームを設けている43都道府県のうちSSLに対応しているのはわずか10都県だったといい、「いかに対応が進んでいないかが分かる」（田中氏）。

消費者に「分かりやすい」記述が高評価

　同じような状況は、おそらく民間企業のWebサイトをくまなく探せばたくさん見つかるだろうが、「消費者による企業情報サイト評価」の結果を踏まえたベストプラクティスも紹介された。

　田中氏によると、サイト方針や個人情報保護に関して記述したページに関して高い評価を受けた企業は、順に日本コカ・コーラ、日清食品、千趣会だったという。キリンビールのように「TRUSTe」マークを取得したり、ネスレ日本のようにトップページで「メール会員登録や問い合わせと同レベルで運営方針を示す」例も、高評価を得た。

　「高い評価を受けた企業サイトに共通するのは、まず消費者にとって分かりにくい『個人情報保護』について丁寧に解説し、見やすく解説していること。保険の約款などとは正反対というわけだ。また、内容が充実しているだけでなく整理されていることも共通している」（田中氏）。

　ただこの調査からは、ニュースや会社概要といったコンテンツに比べると、サイト運用方針を見た人は全体の6％程度とまだまだ少ないことも明らかになった。しかし「今後、こうした情報を閲覧する人は増えていくだろう。企業としても力を入れて整備していく必要があるのでは」と田中氏は述べている。

全社にまたがるWeb作成ガイドラインを

　サイト上のコンテンツ増加に加え、Webフォームが部署ごとにてんでばらばらに発注され、運用されている現状では、対応が必要なことは分かっても、具体的に何を行うべきかが把握しにくい。その上、Webサイトの管理を主管するような部署が存在しないことが多く、マーケティングや広報、法務といった各部署間の調整が必要なことも、問題を複雑化させているという。

　「今、Webサイトの品質管理は非常に難しい時代になっている」（メンバーズ執行役員の森清弘樹氏）。個人情報保護法への対応を図る上でも、自社のサイトがどういった状態になっているかを把握することが重要であり、それにはツールを用いたモニタリングが重要であり、全社にまたがるWebサイト作成／運用のガイドライン整備が必要だとした。

　なおメンバーズは説明の中で、Webサイトを通じて情報を収集する際に考慮すべきポイントを4つ挙げている。「受付画面の分かりやすいところに使途を明示する。不必要な情報は収集しない」「利用目的や取り扱い方法、取り扱い責任者といった情報を各場面ごとに提示する」「個人情報入力ページはSSLを用いて暗号化を行う」「暗号化を行っている旨を明示するだけでなく、利用者がそのページが安全であることを理解しやすくするため、URL欄を表示し、URLを確認できるようにする」

　個人情報保護法へ準拠した体制を整えるには、バックエンドでのセキュリティ対策に加え、こういった項目に配慮してのWebページ作成が必要になるだろう。