個人情報を登録するウェブサイトを安全かどうか見分けるポイントは?
ウェブ上のサービスに個人情報を登録するとき、"暗号化"は第三者に情報を読み取られる危険を軽減します。しかし、情報の受け手がその情報をどのように扱うかについては、今のところ日本では法律による規制がなく、結局、利用者自身が判断する必要があります。
残念ながら日本では未整備
ウェブ上のサービスを受けようとして、住所や電話番号、メールアドレスなどの個人情報を登録する際に、しばしば「このサイトは暗号化されているので安全です」などと書かれているサイトがあります。しかしながら、暗号化は個人情報を完全に保護するものではありません。暗号化は、情報がその送信過程において第三者に受領されるリスクを軽減するものにすぎず、情報を手に入れた者が第三者に情報を渡してしまったり、自らその情報を悪用してしまうことを防ぐものではないからです。このような現状から、個人情報の受け手の行為自体を規制しなければ、個人情報の悪用を防ぐことはできないのです。
ところが、個人情報の受け手を規制する法律は、日本においては未だ十分に整備されていません。個人情報を保有している官公庁及び地方自治体に対する規制については、『行政機関の保有する電子計算機処理に係る個人情報の保護に関する法律』という法律や多くの地方自治体が定めている条例があります。しかし、個人情報を収集した民間事業者の行為を規制することを目的とし、またその違反に対して罰金や過料等の刑事罰や行政罰を科し得るような法律は、まだ制定されていません。2002年(平成14年)施行をめどに、個人情報保護法制の見直し作業が現在進行中、というのが現状です。また、通産省が『民間部門における電子計算機処理に係る個人情報の保護に関するガイドライン』を制定していますが、これは法的な拘束力を持つものではありません。
したがって、個人情報を悪用された場合、現法制下では、被害者側は損害賠償請求などの民事責任を追及するしか手段がありません。しかしながら、この損害賠償を民事訴訟によって現実に請求し、支払いを受けることは容易なことではありません。そもそも情報の悪用の過程を探知することは非常に困難ですし、損害額を立証するのも簡単なことではないからです。また、たとえばメールアドレスが広く流通してしまい、大量の"スパムメール"(企業や商品の宣伝メールなど、個人にとっては不要、かつ迷惑なメール)が来るような状態になってしまえば、その結果こうむる被害は事後的に金銭で解決できるたぐいのものでもありません。やはり、事前にそのような事態に陥らないよう、個人情報を提供する側が気をつける"予防"こそが重要なのです。個人情報を提供する前に、受け手が信頼できるかどうか十分考えるべきです。
サイトの信頼性を認証する
プライバシーマーク
個人情報の受け手が信頼できるかどうかを判断する手がかりのひとつとして、『プライバシーマーク』や『TRUSTe』などの認証制度があります。プライバシーマークは、財団法人日本情報処理開発協会(http://www.jipdec.or.jp/)が、また、TRUSTeは、米国の非営利団体・TRUSTe(http://www.truste.org/)が、それぞれ一定の個人情報保護基準を満たす事業者に付与するマークです。いずれもかなり厳しい基準を設けていますが、それゆえに認証されたサイトが少ないという問題があります。
よって現時点では、当該サイトにおいて、"プライバシーに関する考え方"といったかたちで個人情報の取扱方法が公開されているかどうかをチェックし、その内容を検討するのがよいでしょう。その際、特に注意すべきなのは以下の点です。
(1)個人情報の使用目的があらかじめ納得いく範囲に限定されているか。
(2)情報提供者の同意なしに個人情報を第三者へ譲渡・公開しないものとされているか。
(3)情報提供者に当該情報の抹消・変更を自由に請求する権利が認められるか。
以上のような、個人情報の取扱方法について何ら記載もないようなサイトであれば、少なくとも信頼に値するサイトとは言いがたいでしょう。そして、そのようなサイトに対して個人情報を提供することは、それ相応のリスクがあることを十分理解しておくべきです。なぜなら、繰り返しになりますが、もし被害を受けても、現状では法律的に責任追及が難しいのですから。
(弁護士 藤原総一郎 長島・大野・常松法律事務所)
(平成9年)3月4日付けで制定したガイドライン。民間企業等が取り扱う個人情報の適切な保護を目的としている(http://www.miti.go.jp/press/past/c70130a1.html)。また、これを受けて、JIS規格『個人情報保護に関するコンプライアンス・プログラムの要求事項』(JIS Q 15001)が制定されている。
【プライバシーマーク】
財団法人日本情報処理開発協会が、『JIS Q 15001規格を満たすコンプライアンス・プログラムを定めていること』など、一定の条件を満たす民間事業者に付与するマーク。付与されるのはウェブサイトに限らない。
認定事業者に使用が許されるマーク。マーク下部の英数字は、事業者固有の番号を示す。
【スパムメール】
大量かつ不特定多数に向けて、一方的に発信されるメールのこと。商品広告のダイレクトメールが代表格です。ちなみにスパムの語源は、実在する肉の缶詰『SPAM』の商標です。