━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【 3 】News & Views Column 「インターネットと個人情報保護」
                        JPNIC CAとアプリケーション専門家チームメンバー
                                                      監査法人トーマツ
                                                            野見山雅史
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

ここ数年で「インターネットで物やサービスを購入する」ということが急速に
当たり前の行為になりました。私に関していえば、本の購入、飛行機やホテル
の手配等はインターネットで行うことの方がはるかに多い状態です。

このように便利に活用している一方で、気になることもあります。それは個人
情報保護の問題で、実際に個人情報漏洩事件が後を絶ちません。メールマガジ
ン等でのメールアドレス漏洩や、サーバ上の個人情報が誰でも参照可能な状態
に置かれていた（不正アクセスにより漏洩してしまった、というわけではなく！）
などという事件が日常的に起きています。

個人情報保護に関する取り組みをまとめた「プライバシポリシー」なるものを
掲げているWebサイトは多くあります。また、個人情報保護に関する認証制度
も複数あり、これらの認証シールを掲げているWebサイトも少なくありません。
しかし、これらのWebサイトは完全に信頼できるか？ というと、残念ながら、
必ずしもそうではないようです。例えば、プライバシポリシーを読むと、「クッ
キーを発行しません」と書いてあるのに、実はちゃっかりクッキーを発行して
いて、そのうえWebバグ(*)まで利用していた、という場合が実際にありました。
認証シールが掲示されていても、Webアプリケーションにセキュリティの欠陥
があった、という場合もありました。

このような状況の下、平成17年4月1日から個人情報保護法（以下、法律）が全
面施行される予定です。法律では、いわゆるセキュリティ対策等だけでなく、
個人情報収集時の利用目的の明示や、利用目的を超えて個人情報を利用するこ
との制限、個人情報の正確性の確保等が規定されています。違反した場合、最
高6ヶ月の懲役または30万円の罰金を受けることがあります。個人情報取扱事
業者の事業上の影響という点では、刑罰の軽重より、違反の事実を報道されて
しまう、といったことの方が深刻かもしれません。

法律に対応するためには、そもそも自らが保持する個人情報にどんなものがあ
るか？ を特定するところから始めなくてはいけません。法律では個人情報を
「その情報単体で、または他の情報と照合することで、特定の個人を識別する
ことができる情報」と定義しています。したがって、氏名等だけではなく、IP
アドレスが個人情報となる場合もあります。既に個人情報保護に関する認証シー
ルを取得していたり、相当する管理体制を整備している場合は、ある程度対応
済みと考えることができますが、それ以外の場合は相応の対応が求められるも
のと思います。

中小規模の事業者で、Webサイトで個人情報を取り扱っている事業者にとって
は、なかなか頭の痛い話かもしれませんが、インターネットの健全な発展のた
めにも、ぜひ前向きに取り組んでいただきたいところです。


(*) Webバグ：Webページに埋め込まれた情報収集用の極めて小さい画像のこと。
             ユーザーのアクセス動向などを収集することができる。