本文へジャンプ メニューへジャンプ

Fujitsu The Possibilities are Infinite

元のページへ戻る

ここから本文です

第10回 個人情報保護の技術

個人情報収集を狙ったさまざまな技術が開発されています。企業活動の中で必要とされて開発された技術なのですが、一歩誤ると大きな問題を引き起こす可能性があります。メールウィルスなどのようにはじめから悪意をもった技術もあります。

SSL(エスエスエル:Secure Socket Layer)

Netscape Communications社が開発したインターネット上で情報を暗号化して送受信するHTTPとは別のプロトコルがSSL(HTTPS)。現在インターネットで広く使われているウェブやFTPなどのデータを暗号化し、プライバシーに関わる情報を安全に送受信します。公開鍵暗号や秘密鍵暗号、デジタル証明書、ハッシュ関数などのセキュリティ技術を組み合わせ、データの盗聴や改ざん、なりすましを防いでいます。
ウェブから個人情報を入力や修正・閲覧をすると、伝送経路であるインターネット上を個人情報が流れることになります。
一般消費者の中には、「個人情報保護」イコール「SSL」と考えている人も多いようです。
SSLには「暗号通信」だけではなく、「サーバ認証」の意味もあるので、SSLを使用するのが望ましいでしょう。ベンダーにもよりますが、証明機関によるSSL証明書の取得にかかる費用は、年間数万円から十数万円程度です。
「JIS Q 15001」から見ればSSLを使わなくても事前同意があればよいということになりますが、電話・郵送やFaxなどの代替措置がない場合には、SSLは必須となるでしょう。また、ユーザ登録などで、登録は代替措置が用意されていても、修正・削除はウェブだけしか用意されていないという場合には、代替措置がないのでSSLは必須となります。
ウェブ上で個人情報をやりとりする場合には、SSLに関することを、Cookieと同様に個人情報保護方針の安全管理に関する項目、またはウェブサーバのプライバシーポリシーに記載すべき事項であると捉えるべきでしょう。

Cookie(クッキー)

Cookieは、ウェブでホームページをアクセスしている側のコンピュータを特定する技術です。
ユーザのディスクにデータファイルとして蓄積されることもあります。クライアント側にサーバの情報を格納するのが目的で、一度そのウェブページから離れても、再びアクセスした際にサーバ側がクライアントに保管しておいた「クッキー」を読みとることでクライアントのコンピュータを特定するという仕組みです。
Cookieは、サーバからブラウザへ、サーバ側の識別子や有効期間などと共にある任意の文字列を書き込み、サーバが閲覧・修正できるようにします。サーバ側が設定した識別子(ドメイン名・ホスト名)によるアクセス制限を行い、第三者(他のドメイン・ホスト)から閲覧・修正できない仕様になっています。もともとCookie自体はブラウザなどのアプリケーションを識別するものであり、直接的に個人情報を収集・利用するものではありません。しかし、IDやパスワードなど別の情報とマッピングすれば間接的にユーザ認証を行うことがきます。したがって、Cookie情報自体も個人情報として扱わなければならないと考えるべきでしょう。個人情報保護法では、個人情報を構成する個々の情報を「個人データ」と別に定義しています。ですから、Cookieは「個人データ」の範疇に入るわけです。

ウェブビーコン (ウェブバグ)

ウェブビーコンは、クッキーと共に機能します。ホームページなどに電子画像として埋め込まれ、ユーザのコンピュータからのアクセス状況を把握することにより、そのウェブページの使用率に関する統計を取ることができます。1ピクセルや空白の画像データを使用したウェブバグ(ウェブビーコン)は、HTMLメールが主流ですが、事業者としては、アフィリエイト広告などウェブの視聴率調査を行う重要な技術となっています。
割引や特典などのために「どこのサイトからのリンクで来た」というベネフィットにつながっているので、個人情報として気にしてない消費者も多いようです。しかし、Cookie同様に消費者の認知度が高まってくれば、メーラーやブラウザ側で対策が取られるようになるかもしれません。その時には事前に同意を求めるなどの工夫が必要になるでしょう。

プライバシーマーク制度上では、Cookieやピクセル画像なども含めたいわゆるウェブバグの使用を制限していません。しかし、これらウェブバグを使用する場合には、個人情報とのリンクの有無に関わらず、個人情報保護方針、またはウェブサーバのプライバシーポリシーにその旨を記述すべきでしょう。また、消費者に事前の告知と同意を求める必要があります。

プライバシー情報管理システムP3P

インターネットにおいてWebサイトが収集する個人情報の種類や利用目的、第三者提供の有無などをサイト利用者に説明するための技術仕様として、Web技術標準化団体であるW3CのP3P(ピースリーピー:Platform for Privacy Preferences)があります。
P3P はXMLで定義されたタグセット。XMLで記述された文書は、HTML文書と同じで「人間には、ちょっと読みづらいが機械が読める」という特徴があります。このため、ユーザーはあらかじめ自分のポリシーをWebブラウザに設定しておくことで、Webサイトから送られてくるP3P形式のポリシーを、Webブラウザに自動的にチェックさせることができます。
Webブラウザがチェックし、双方のポリシーが違う場合にはポップアップウィンドウで警告します。逆にポリシーに合っている限り、警告は出ません。
IE6がP3Pに対応したことで普及が促進されると期待されています。

【参考資料】
財団法人インターネット協会「個人情報とプライバシー情報管理システム」
http://www.nmda.or.jp/enc/privacy/index.html

中小企業診断士 阿部 将美
[2005年2月18日 掲載]

関連記事

メルマガ登録無料

中堅企業のための経営支援情報


記事についてのご質問・ご意見ご要望など、お気軽にお問い合わせください。

中堅企業のための経営支援情報に関するご質問

 電話でのお問い合わせ

0120-933-200 富士通コンタクトライン

受付時間 9時~17時30分 (土曜・日曜・祝日・当社指定の休業日を除く)

 Webでのお問い合わせはこちら

ページの先頭へ

ここから関連メニューです
ここからサイト内共通メニューです

Copyright FUJITSU

ページの終わりです