個人情報保護という泥沼 - (page 2)

必要でないのに集められてきた個人情報

  ITにおけるウイルス攻防などのセキュリティ対策と同様、必要不可欠な環境や情報を維持していくうえで不可避のコストとして個人情報保護のための投資が企業に求められるようになった。

  たしかに、これまで必要とはいえない個人情報を「どうせだったら、たくさん細かいところまで」といった感覚で収集してきた企業は数多い。ちょっと前であれば、プレゼントキャンペーンに応募してきたハガキに記された膨大な量の個人情報を、とりたてて使うあてがないにもかかわらず、非常に多くのパート労働力を用いてパソコンなどに入力していたことも多かった。その費用は実に1億円のオーダーに達することも少なくなく、しかもその個人情報は量り売りのように、千もしくは万の単位で代理店からクライアントに納品されていたと聞く。きっとそれらの一部は、不適切なコピーもされたであろう。

  だが、それらのデータはいったい何に使えるというのだろうか。

  住所・氏名・年齢・電話番号といった基本的な特定可能な個人情報をいくら大量に得られても、その活用方法は早々には見つからない。それは、時代がデジタルとネットの世紀に移っても、基本的には変わりがなかっただろう。プレゼント応募サイトを経て、数多くの個人メールアドレスを取得したところで、それは有望な潜在顧客情報として扱うにはノイズが多く含まれすぎているため、顧客獲得コストとして必ずしも適切なものとはならない可能性が高い。にもかかわらず、個人情報という「レアもの」感で高い値で取引されてきたに違いない。

  いい加減な理由で集められ、入力され、管理維持されてきた個人情報の多くは、実質的には何の価値も生まない場合が多いが、その管理費用の高さは目に見えなくとも決して小さくはなかったはずだ。そして、今回の個人情報保護法の導入で、すべての個人情報の管理費用の額面が顕在化することになった。

資格取得という根拠なき圧力

  個人情報の管理レベルの高さを公的に保証するものとしては、日本情報処理開発協会(JIPDEC)のプライバシーマーク(Pマーク)や情報セキュリティマネジメントシステム(ISMS)適合性評価制度などの国内のものや、TRUSTeのような海外のものがある。これらはいずれも個人情報保護法を遵守していること、組織として個人情報の運用に細心の注意を払っていることを外部にアピールし、社員らの意識を高めるための有効な手段となっている。

  しかし、個人情報保護という目的を継続的に達成し続けることは容易ではない。

  また、必要ではない個人情報を大きな予算を費やして獲得することを正当化してきた感覚が逆の慣性を持ち、「顧客との接点をデジタルに持つ誰もがPマークなどを取得する必要がある」という暗黙のプレッシャーを生んでいる。つまり、「Pマークなどの取得をしていない企業は、個人情報の取り扱いについて杜撰(ずさん)であるとみられはしないか」という恐怖感だ。

  たとえば個人情報保護法では、報道、著述、学術研究、宗教活動、政治活動の5つの領域は、個人情報保護法の適用外となっている。しかしながら、学術研究目的であっても、なんらかの対策を講じていると表明しなければ調査などに支障が生じるという指摘もある。

  無意識のうちに僕たち自身が過剰な慣性に従って、必要以上の状況や領域にまで「個人情報保護」という認知スキームを適用するようになってしまってはいないか。

  実際、Pマークを取得したからといって、必ずしも個人情報の運用が完全になるとは限らない。なによりPマークの取得の有無に関わらず、個人情報保護に関連した事故の発生は企業にとって膨大な風評被害を与えることになる。そして、Pマークを取得している企業だからといっても、未取得企業と比べて被害が軽減されるとは言えない。

青天井の投資でも完全防備は不可能

  セキュリティや個人情報保護は、エンジニアリングなどの側面から生じる問題よりも、むしろ人的な側面から生じるリスクのほうが大きい場合がある。そのため、教育などの継続的かつ目に見えにくいものに対する投資が必要不可欠になる。その累積コストとなると膨大なものだ。大企業であれば体力的に耐えられる可能性が大きいが、中小企業にとっては完全防備が困難といってもいいほどになる。

  とはいえ、それほどの投資をしたところで、いったん事故が起これば、たとえその災害範囲をいかに小さく留めようとも、風評被害の大きさを限定することはできないだろう。事故そのものだけではなく、風評被害まで考慮した場合の現実的にも適用可能な論理解が存在しないからだ。

  個人情報保護のように、消費者の不安心理を和らげるために準備・施行される法律などは、比較的容易に成立する傾向があるものの、その投資と効果の関係性については不明瞭なものが多い。そのため、企業だけでなく場合によっては消費者自身が、制度によって本来選択すべきものを選択できなくなってしまう=選択の自由度を失ってしまう可能性が生じてくる。それでは本末転倒ではないか。

  繰り返すが、個人情報保護などの制度整備は必須だろう。しかし、その対象領域や実効性については依然として疑問が晴れないのは僕だけだろうか。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]