本章においては、本論文のまとめとして、本論文による定量化の効果と意義、情報活用 がさらに進展する社会のために何が問題か、何が必要であるかを総括した上で、今後の課 題と展望を述べる。9.1節において、本論文による情報セキュリティ価値の定量化の効 果と意義について説明する。9.2節では、情報化の進展とわが国の法律との関係と問題 点について、9.3節において、組織の情報倫理と情報セキュリティ教育の重要性につい て述べる。9.4章で、ネットワーク利用者が果たすべき役割について述べ、本論文の総 括とする。最後の9.5節において、今後の課題と展望をまとめる。
9.1 情報セキュリティ価値定量化の効果と意義
ユビキタス社会を目標とする情報社会構築のために、様々な場面における安全性向上の 重要性がますます高まっている。情報社会における安全性を考える場合、セキュリティ技 術のように意図的な不正だけを対象とする従来の考え方から、天災や故障といった偶発的 な障害より、むしろヒューマンエラーが最も重要な対象となってきた。また、セキュリテ ィだけでなく、プライバシーやリライアビリティ、ユーザビリティなど種々の指標を考慮 して適切な対応を可能にするリスクマネジメントの必要性が増大してきている。
個人情報は、企業(事業者)にとって貴重な情報資産である。企業(事業者)の宣伝活 動やマーケティングにおいて、各々の個人情報は、適切な人に効果的なサービスを提供す るために不可欠である。人々は個人情報を企業(事業者)に供出することにより、企業(事 業者)からよりきめ細かいサービスを享受することができるのである。つまり、情報提供 をすれば利便性が得られるし、しなければ得られない。しかし、こうした「利便性」と「セ キュリティ」は相反するもので、そのバランスが崩れた状況が、昨今の個人情報漏洩イン シデントの頻発と過剰反応である。セキュリティを守りなおかつ情報を活用するという両 者のバランスこそが、セキュリティ対策における重要な問題である。
こうしたバランスをどのように取るか、情報を流通させ、便利なシステムを目指すため にどうするべきなのだろうか。そのためにまず不可欠なのは、情報セキュリティ確保に対 する価値の評価である。適切な評価によって適切な情報セキュリティ対策が行われ、それ により、セキュリティが保障される。こうした保障による安心感から自由な情報の流通が 確保され、情報公開が進展するのである。こうしたサイクルにより、社会の情報の質が高 まることになる。すなわち、安全・安心な情報社会構築のためには、まず情報セキュリテ ィ価値の評価、定量化が重要なのである。
これまで、情報セキュリティについて、定量評価のための指標を容易に決められずにい た。企業(事業者)は、情報セキュリティ対策のために、想定する被害額算定のための定 量化を試みてきたが、これらは企業(事業者)が自らの立場で算定する指標であり、未だ 定性的な範囲を超えていない。こうした背景のもと、安全・安心な情報社会構築の担い手
であり主体となるのは、企業(事業者)ではなくネットワーク利用者であるべきであると いうスタンスに立ち、本研究を行った。
本研究より導出された情報セキュリティの経済評価は、実際の市場で売買されるもので はないという意味において、本研究は一つの試みであり、導出されたWTPおよびWTAは、
評価額の一つの目安とみる必要がある。また、「インターネット上の情報セキュリティ」
という限定された条件下の、表明選好型の価値評価における経済評価とみる必要もある。
しかし、本論文において、情報セキュリティ価値定量化の第一歩として、ネットワーク利 用者側の価値に対する評価を定量化することができた意義は大きい。安全・安心な情報社 会構築のためのサイクルにおいて、本研究による情報セキュリティ価値の定量化が重要な 役割を果たし、大きな効果を生むと考える。
こうした情報セキュリティに対するネットワーク利用者の視点に立った便益評価は、こ れまで十分に研究が行われて来なかった領域であるという意味において、本研究による情 報セキュリティに対する定量的アプローチは新規性があるといえるであろう。
本研究の成果は、膨大な個人情報漏洩インシデントデータの収集・作成、アンケート調 査実施のための綿密な準備作業、および詳細な分析といった作業なくしては不可能であっ た実績であり、情報セキュリティという仮想の状況を設定することを可能にする表明選好 法による分析方法を選択したからこそ、実現できたということができる。仮想的な市場の 評価法のうち、コンジョイント分析と CVM の両分析を採用した意味も大きい。コンジョ イント分析による複数の属性から構成される選択肢を提示する多属性アプローチと、CVM を用いた分析における経済的評価の両方を考察することで、より適正な価値の計測を行う ことができたと考える。今後、多次元性の性質を持つ情報に関わる評価、また仮想的状況 予測に対して適正な価値の計測を行うためには、多属性アプローチを用いた分析や CVM がますます必要となって行くと思われる。
さらに、本フレームワークの有効性を確認するため、現代の日本社会におけるネットワ ーク利用者の情報セキュリティ価値に対して実証的検証を行い、結論を得たことも成果で ある。本フレームワークは、今後他の国に適用した場合、国による違いの要因を探る新た な研究領域を開く第一歩としての意義を持つと考える。
情報セキュリティ投資の指標となり得る定量的な価値評価を可能にする本フレームワ ークの提案は、今後わが国の情報セキュリティ対策をさらに推進するために、社会的意義 を持つであろう。
9.2 情報社会と法律
本節においては、先行研究による情報社会と法律の関係、およびわが国の法律の問題点 を考察する。
Toffler [1]は「第三の波」(1982)において、ICT化による情報文明である「第3の波」の
到来は、「第2の波の世界」の崩壊と捉え、従来の社会が終焉することを意味すると主張
した。情報通信技術の進歩は、コミュニケーションプロセスの進歩にすぎないが、人間社 会にとって、その変化は既存社会の終焉を意味するほど決定的なことであると強調したの である。同様に、Rheingold(2003)が、情報通信技術は物理世界を侵略すると表現[2]した ように、ICTの進展は、情報流通の場を空間と時間の概念がないサイバースペースへとシ フトさせ、従来の「物」を基盤とする論理が通用しない社会へと移行させた。こうした情 報社会においては、ICT技術の革新性ゆえに既存の秩序が崩壊し、新たな秩序の再構築が 必要となるのである。新しい秩序ある情報社会を構築するには、社会的な信頼が重要にな る。社会的信頼とは、市民社会の日常生活を支えている見えない基盤のことであるが、
Tofflerは、社会的信頼とは法律への信頼であり、信頼ある技術、法制度、個人のモラルの
確立が必要であると言っている。
ICTの恩恵をできるだけ多くの人が享受し、かつ新しい秩序ある情報社会を構築するた めに、個人情報保護による社会的信頼の確保は重要な意味を持つ。個人情報の保護は重要 であることが議論されていた中、EUデータ保護指令により、わが国は個人データの移転 に関して「十分なレベルの保護」[3]を求められたため、早急に法制化する必要があった。
しかし、法律はそのあり方によっては問題が生じる。日本の個人情報保護法はまさにその 例であり、施行によって大きな社会問題を生じさせた。日本の社会における個人情報保護 は、どうあるべきかを十分議論し尽くした上での成立ではなかった原因は大きいと考える。
同法の大きな問題点は、事業者に対して、単なる個人に関する情報もプライバシーも同 一レベルでの保護を求めていることにある。青柳(2006)は、同法が個人情報「過」保護 の一因となっているとし、第2条に「ただし、プライバシーに属さないものを除く」を加 え、対象をプライバシーに属する個人情報に限定することを提案している。そして、プラ イバシーに属さない個人情報は「公共財」として流通させ、活用すべきであると主張して いる。アメリカにおいてはさらに情報公開が進展しており、宇賀(1998)は、アメリカの
「連邦の情報自由法:FOIA(Freedom of Information Act)」は、開示すればプライバシーを 明らかに不当に侵害することになる人事、医療その他ファイルの公開を禁じているとする 反面、2001年9月11日以降、安全と引き換えなら多少のプライバシー侵害は互いに容認し 合うべきという風潮になったと述べている。米国のメーガン法[3]では、小児性犯罪者リス トが公開されており、プライバシーの権利よりも公共の利益が優先する例として挙げられ る。
第4章における分析において、業種による情報漏洩インシデントの違いが明らかになっ た。医療カルテ、病歴、犯罪歴、人権にかかわる情報を分類した「センシティブ情報」の 漏洩は「公務」と「医療機関」が 88.1%と大きな割合を占めた。金融資産、学歴・成績、
身体的特徴などプライバシーを含む「信用情報など」については、「公務」と「教育機関」
が他の業種に比べ多かった。このうち、「公務」は民間事業者を対象とする個人情報保護 法の適用ではないのであるが、「医療機関」および「教育機関」については、私立の病院 や学校などの医療機関、教育機関だけが個人情報保護法の適用となり、国公立のものは異 なる法律や条例に従うことになっている。まずは、設立母体ではなく業種を基本とし、き め細かい取り扱いを可能とする個別の法律への改善、もしくは、EU 加盟国のように、一