脅かされるプライバシー
早期に個人情報保護の法整備を！
誰が私の情報を盗んだのか？

「インターネット上では誰もあなたがスパイだとは知らない」。かつてインターネットはこのように説明されていた。

　だが、最近では、一部の人間はあなたが誰なのかを知っているだけでなく、あなたがどこにいるか、口座番号やパスワード、ネットにアクセスする際の習慣まで知っているのだ。個人情報の保護は、インターネットが発展していく過程で、ますます大きな問題になっている。

　「柏さん、あなたは出国をお考えですね。あなたにぴったりの補習プログラムがあるのですが・・・」

　柏冰は対外貿易大学の３年生。彼女が様々な留学試験フォーラムに登録してからというもの、こういった迷惑電話が続けざまにかかって来るようになった。先方は彼女のフルネームだけではなく、学校名から住所、留学したい国、学びたい専門分野まで、すべてを克明に知っているのだ。「私にはもう、プライバシーと呼べるものなんかないわ」。柏冰にとって、これは大きな悩みの種になっている。

現在、全世界の億を超える携帯電話にプリ・インストールされていると言われる『スパイウェア・Carrier IQ』から、国内最大の開発者コミュニティーサイトCSDNなど多くのサイトの「パスワード漏洩」まで、相次ぐ個人情報の漏えい事件が常に人々の神経を敏感にしている。

なぜ個人情報が漏れるのか

　湖北省武漢市の柯?玉さんは「今は見ず知らずの人からの電話には出ないようにしているの」と、やり切れなさそうに言う。最近、彼女がネット上で頻繁に貸家の情報を検索し携帯電話の番号を登録したところ、多くの仲介会社からセールスの電話が来るようになった。「毎日SMSが来ない日はないわ。電話も今までに10本近く。まるで自分が丸裸にされているように感じるわ」。

　「×さん、ちょっとしたリサーチにご協力願いたいのですが」「×さん、うちの会社にはあなたが探している車種がありますよ」など、似たようなSMSや電話はネットユーザーにとって珍しいことではない。

　先日、『半月談』社会情勢・世論調査センターが行った3000人あまりを対象にした調査の結果では、ネットユーザーの７割が個人情報の漏洩に遭ったとしている。

　販売する側はこれらの情報をどこから手に入れるのだろうか。

　調査結果によると、ユーザーがネット上で登録したり、ネットを使ったときに残した情報が重要な情報源になっている。「『人人』（ソーシャル・ネットワーキング・サービス）やミニブログ、『天涯』（大手ポータルサイトの一つ）に登録しないことはできるけど、就職や、家・車を買わないわけに行かないわ」。基本的生活に関することは、メールアドレスや携帯電話番号、住所などの個人情報は、どれもほぼ必須項目になっていて相談の余地はない、と柯さんは言う。

　そして、これらの情報が一部の違法分子にとっては「金のなる木」となる。

　セキュリティの専門家、王占涛氏は「住所、性別、年齢、収入、電話番号、独身かどうか、ネットショッピング、ネットサーフィンの傾向、居場所など、ユーザーのほぼ全ての情報は価値があるものばかりで『盗み見』される可能性がある」と指摘する。

いかに「盗み見」されるのか

　王氏は「盗み見」される情報の性質の違いによって２種類に分けられると分析している。

　ひとつはユーザーの口座番号、パスワードなどのプライバシー情報であり、これにはウィルスやトロイの木馬などの悪意のあるプログラムを使って直接ユーザーの端末から盗み取るケース、そしてハッカーの「データベース」攻撃、つまりサイトの脆弱性を突いてサーバー上のデータベースを盗み取り、ユーザーのパスワードを直接盗み取る、あるいは既に漏れているパスワードから他のサイトのパスワードを推測するケースがある。

　もうひとつはユーザーのネットサーフィンの習慣、居場所などの情報で、一般的にはユーザーのコンピューター、携帯電話のスキャニングやモニタリングを通じて盗み取るもの。昨今ではこうした機能を備えたソフトも多く、それらの中にはインストールないし操作する前にユーザーにその旨を告知して同意を得るものもあるが、こうした行為を密かに実行するものもある。

　もちろん、ユーザーの軽率なアクセス行為や解読しやすい簡単すぎるパスワードも情報が「盗まれる」原因だ。この他、専門家は個別サイトの内部の人間による犯行からもユーザーのデータ漏洩事故が起こり得たり、一部の非正規な中小求人サイトもユーザーのデータを外部に販売して利を得ている可能性があると分析している。

　CSDNの蒋涛董事長はユーザーデータの漏洩事件を振り返って、「国内のインターネット企業にはデータの安全とシステムの安全に対する認識不足という問題が普遍的に存在している。データの分析結果によると、サーバーサイドのパスワードの80%は解読可能だ。また、ユーザー端末で見ると、22%のユーザーが使用頻度のトップ100に入るパスワードを使っている」と率直に語っている。

　情報を「盗まれる」危害は言うまでもなく、ユーザーにとってさらに悲しむべきは、ネット情報の「盗難」は実態のあるものと違って発見が難しく、金銭を失うなどの実質的な損害がなければ、もしかすると情報を盗んだ人間が非常に長い間、あなたと情報を共有しているかも知れないことだ。

　セキュリティソフトメーカー・北京端星信息技術有限公司の分析は「ハッカーがデータベースを持ち去っても、それが利用されない限り、ユーザーは少しも気付かない」ことを明らかにしている。

サービスの個性化が漏洩に

　消費ニーズが個性化する傾向につれ、個人情報の価値はますます大きくなっており、サイトやそれに関連する企業がユーザー情報を分析し、処理、利用しようとするニーズはますます強くなっている。

　LSB（位置情報サービス）を例にとると、多くの企業はソーシャルネットワークサイトと提携し、ワイヤレスネットワークを通じてユーザーの居場所を特定し、商品やサービスを送り付け、ユーザーの特定のニーズを満たすことで利益を上げている。

　しかし、多くのネットユーザーは反感を抱いている。ポータルサイト・新浪の『盛夏??（真夏の輝き）』というハンドルネームのユーザーは「これは、自分がリアルタイムで監視されているということだ」として、これらの情報が曝されることは商業的なサービス以外に、詐欺や営利目的の誘拐などに道を開くものだと憤りを隠さない。

　2012年、テンセントの取締役会長兼CEOの馬化騰氏はアメリカの科学雑誌『ワイアード』の創始者で編集主幹のケビン・ケリー氏との対談の中で、特にこの問題を取り上げた。

　2012年上半期、テンセントは『QQサークル』のベータ版テストをスタートしたが、それはデータの連鎖に対する分析に基づいて、ユーザーに『誰があなたの親しい友人、同級生か』を教えるものだ。この商品は瞬く間にネット上で論争を巻き起こし、テンセントはその圧力を受けてこのテストを中止した。

　このことに対し、ケビン氏の見方は楽観的で、「プライバシーと個性化はそれほど衝突する関係ではない。ユーザーがこの種の個性化サービスが必要だと思えば、ある程度の情報を提供しなければならない。ユーザーはサービスの利用と情報の提供を、ある程度は自分で選択することができるのだ」と述べている。

　一方、馬氏は「プライバシーと個性化の矛盾を調和するには初めから明確なルールを決め、ユーザーがこのサービスに参加することで何を得られるのかを規定し、自分に関するよりいっそう多くの情報を他人に知られるということを本人に自覚させなければならない」と考えている。

個人情報保護の法整備を

　先日、北京大学で行われた『2012　第１回北京大学・スタンフォード大学インターネット関連法、公共政策シンポジウム』でも、個人データ或いはプライバシー権保護の問題は国内外の学者及び政府機関責任者が注目する重点議題のひとつになった。

　中国社会科学院法学研究所憲法・行政法研究室主任の周漢華研究員は特に公共の利益と個人情報保護のバランスの問題を取り上げた。

　周研究員は、「情報流通は全ての情報社会の基礎であり、今日個人情報の安全に対する要求と叫びが非常に高いとはいえ、保護の潮流が高まる中にあっても、やはり個人情報の自由な流通重視を強調すべきだ」とし、「現在はクラウドコンピューティングの時代であり、データの有効利用こそ私たちの生活やビジネスイノベーションの無限の流れにつながるのであり、小さな障害のために必要なことを止めてはならない」という考え方だ。

　周研究員はさらに、「個人情報保護法の制定推進を急ぐべきだ」として、「中国には現在、個人情報保護に関連した40近い法律、30以上の法規、さらに200近い規制があるが、内容は散漫で、規制のレベルも低く、体系や具体的な法律規定や対応措置が欠如しており、罰則の仕組みも不十分だ」と指摘する。

現在では、米国や日本などの経験を参考にして専門法を制定し、保護の範囲、管理監督体制と法的な責任を明確化するよう、多くの専門家が提案している。

ユーザーの意識向上が大切

　中国工業・情報化部が2011年末に公布した『インターネット情報サービス市場の秩序を規範化する若干の規定』は翌2012年３月15日から施行され、ユーザーの個人情報保護強化が重要なポイントとなっている。

　『情報セキュリティ技術とビジネス·サービス情報システムの個人情報保護ガイド』も既に編纂が終了し、指導的な技術文献として全国情報セキュリティ標準化技術委員会弁公室の審議を経て、現在は国家標準の審査過程に従って国家標準化管理委員会で批准の作業中だ。

　また2012年５月に公布された「インターネット産業『第12次５カ年計画』」でも健全なインターネットユーザーの権益保護の仕組みを構築することについて特別な規定を設けている。

　2012年６月、国家インターネット情報弁公室、中国工業・情報化部が交付した『インターネット情報サービス管理措置（修正草案ドラフト）』では、個人情報の安全をさらに保護するために、「インターネット情報サービス提供者、インターネット接続サービス提供者はユーザーの身分情報、ログ情報などの個人情報に対して守秘義務を負い、ユーザーの個人情報を販売、改ざん、故意の漏洩或いは違法に使用してはならない」という条文が加えられ、併せてこの規定に違反する行為に対する相応の罰則措置が明確にされている。

　中国工業・情報化部通信発展司の張峰司長は、本紙の特別インタビューに対し、「『第12次５ヵ年計画』の期間中、中国工業・情報化部は法に基づく管理監督を強化し、企業の競争行為を有効に規範化して消費者の権益を効果的に保護し、インターネットの健全な発展を保障する業界管理法律制度を完備する。当面の重点はユーザー情報の保護、知的財産権の保護、ネットにおける実名制、データ保護などの関連立法を推進し、関連する法律法規をさらに完備させることだ」と明らかにしている。

　もちろん、法律規範や政府の努力以外に、ユーザー自身の防犯意識を高める必要がある。

　専門家は「パスワードの安全性向上、階層的管理、定期的な変更、無関係なサイトに不本意に口座番号を登録しないなどが、ユーザーが取り得る防御措置だ」と述べている。だが、一般的なユーザーは技術や情報に対しては弱い立場にあるため、サービス提供側であるサイトがより大きな責任を負うことになる。

　「財布を亡くした後で、ユーザーに財布にあまり大金を入れないようにと言っても後の祭りで、もっと重要なのは全体環境を整備することだ」と王占涛氏は語る。

　今後も政府、ユーザーと企業が共同でこの問題に取り組まなければならない。（イラスト制作／孫有靖）