Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

個人情報は預金に同じ - あくまで「預かり財産」だ

コンピュータやインターネットが発達し、情報が溢れる世界となった。情報の選び方や捨て方を書いた本がベストセラーになる。そんな時代だ。

たしかにウェブサイトを覗けば、情報が溢れている。これら情報過多は検索エンジンという新ビジネスを開花させた。Yahoo!はネット業界のリーディングカンパニーとなり、さらにGoogleという強者を生み出した。

とはいえ、ついこの間まで顧客データだけは、いくら多くても困ることがない「財産」とされてきた。そしてそれは常識だった。しかし時代は確実に変わってきている。

ゆりかごから墓場まで - 個人情報の一生

企業内における個人情報の誕生、それは顧客から個人情報の取得だろう。購入した際のアンケートやユーザー登録など、さまざまな形で無尽蔵に個人情報が集められてきた。そしてデータマイニングを行い、ロイヤリティの高い顧客へ効率よくアプローチする。これがCRMの基本だ。

優良顧客の獲得、それは「収集」から始まっていた。だから、顧客に関する情報は、可能な限りすべて集める。これが鉄則だった。収集時には、どのような情報が、今後の提供サービスや製品と顧客を結びつけるかわからない。自社で利用できなくとも、グループ会社や取引先で利用できる情報もあるかもしれない。

収集することはビジネスの「美徳」だったのだ。氏名、年齢、性別はもちろん、購入履歴、嗜好、身体的特徴、家族構成など、現状役に立たないと思われるデータまで掻き集められ、データベースに保管された。

情報の墓場

収集した個人情報。今こそ使われることがなくても、いつか利用価値が生まれるのではないか。そんな幻想は誰しも考えることだった。そして、収集されたものの、データベースの中で眠り続けるものも多い。いわゆる「ハードディスクの肥やし」状態だ。とはいえ、突然の故障による消失を避けるため、クローン化などが行われることも多い。さらに、記憶容量が足りなくなれば、ご丁寧にバックアップまで行われる。

いわば冷凍保存された状態で、復活を待っている状態だ。実際に利用されるかわからなくとも、「顧客情報=財産」という考えのもと、捨てられずに保存される。個人情報は集められることはあっても、捨てられることは決してなかった。

「価値」と「リスク」が同居

しかし、ここへ来て時代の流れが大きく変わりつつある。顧客の個人情報がCRMにおいて利用価値があるのは今も変わらない。企業にとっては大きな財産だ。しかし、同時に顧客情報は「リスク」を伴う存在となりはじめた。

たしかに顧客情報には「価値」がある。しかし、個人情報保護法の施行や、昨今の知能犯罪増加を背景に、消費者が個人情報保護を強く意識することになった。個人情報を保有すれば、一方で「漏洩リスク」に悩まされる。存在するのは「価値」だけではなくなった。

取得、利用についても、同意が必要となり、厳重な管理が求められる。もし、問題が発生すれば、行政処分や刑事罰の対象となる。ブランド劣化が当然発生し、営業上さまざまな問題が生まれる。

個人情報を無尽蔵に収集する、これは意味もなくリスクを増大させているのと同じだ。利用価値があるかないか確証もできない情報を集める意味があるのか? 答えは「ノー」だ。むしろ目の前のリスクを巨大化させているだけなのだ。

そのことに気がつき、個人情報を取得せずにサービスを展開する企業も増えてきている。ヤフーのカスタマイズサービスを利用する際も、氏名といった個人情報の入力はもはや必須ではない。匿名でも利用できる。

同サービスが求めるのは、メールアドレスの入力だけだ。これにより企業が保有するリスクを最小限に留めている。もし、氏名や住所、電話番号、年齢、趣味、家族構成など収集したらどうなるであろう? 数百万件集まれば、とてつもない漏洩リスクを持ったデータベースとなってしまう。

今、目の前で取得しようとしているデータ、本当に必要なものなのか? 入手した際の利用価値と保有リスクのバランスを再考する必要がある。不要なデータは極力入手しない。今までの常識はまったく通用しない世界だ。

個人情報は「銀行の預金」に同じ

顧客情報は企業の財産かもしれない。しかし、あくまで「預かった財産」であることを忘れてはならない。

銀行の預金と同じで、適正な運用を行うことにより経済活動を行うことが可能だ。一方で、反社会的な存在から安全を確保する義務を負う。預金と同様に、顧客と約束のない運用方法は用いることができないし、いずれは返却(消去)しなければならない。

第三者が気軽に出入りできる金庫を持った銀行があるだろうか? 内部の人間が金庫の中身を勝手に持ち出して利用する銀行へ大切な資産を預けたい人がいるであろうか? 警報装置ない銀行やガードマンがいない銀行は存在しない。顧客は財産の安全な管理・運用を銀行に委ねているわけで、高いセキュリティレベルあってこその商売なのだ。

信用と安全がない銀行には、誰も預金などしない。問題があれば、当然当局の査察も入る。そして、信用が毀損すれば、取り付け騒ぎが発生し、パンク状態になる。倒産ということにもなりかねない。

個人情報も同様だろう。今後は、信用がおけない会社に誰も個人情報を提供しなくなる。問題があれば、行政処分の対象となり、ブランドイメージが大きく劣化する。そして顧客は、個人情報の開示や消去を求め、パンク状態になるだろう。

企業における個人情報の考え方を見ていると、重んじる企業がある一方、安全確保を現実的と考えない企業も多々存在している。しかし、世の中は確実に前者を求めている。後者はいずれ淘汰されるだろう。

形骸的なセキュリティではなく、確実な安全を確保できる枠組みを消費者は求めている。個人情報の取り扱いは、まさにターニングポイントを迎えている。

(Security NEXT - 2004/10/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

MS、2017年最後の月例セキュリティ更新 - 脆弱性32件を修正
システム管理者アカウントが奪われ、個人情報約7万件が流出 - 阪大
「Adobe Flash Player」にセキュリティアップデート - 深刻な脆弱性は含まれず
Apple、「macOS High Sierra 10.13.2」などであわせて脆弱性22件を修正
企業向け認知度調査、もっとも高い「WannaCrypt」でさえ4割満たず
不正アクセスで停止していた関連サイト、3カ月ぶりに再開 - 府中市
行政書士試験の一部答案用紙が所在不明に
ATM記録紙の紛失が判明、誤廃棄の可能性 - 高知銀
パーソナルデータを利活用する「情報銀行」の実証実験 - DNP
制御システムのセキュリティや脅威がテーマのカンファレンス - 2月に都内で