身近な同僚によるプライヴァシー侵害は、ハッカーによるものよりもはるかに件数を上回る。
中央ヨーロッパ大学(CEU)、「メディア・データ・社会センター」にて行われた調査によって、過去10年間で起きたヨーロッパ中のプライヴァシー違反の半数以上が外部ハッカーではなく内部によるものと判明した。
CEUのチームは10年間で起きた350件ものプライヴァシー違反に関する研究を行い、そのうちヨーロッパ市民に直接関係のあった229件に着目したところ、個人情報の損失は悪意ある外部からの侵入ではなく、企業内部によるものがほとんどだった。
「ハッカーがシステムに侵入して個人情報を盗むというニュースが、よく聞かれます」と、研究チームのリーダー、フィリップ・ハワードは言う。
「ですがそれは、全体からしたら少数派にすぎません。ほとんどの場合、突き詰めてみればそれは企業側のエラーだったり、その他の管理の不徹底が原因なのです」
多言語を操る12人の学生による協力のもと、ハワード氏はヨーロッパ全域で起きたプライヴァシー違反の記事を6カ月間調査してきた。ノルウェーとスイスを含むEUすべての国から結論に伴うデータを提供されたが、ドイツ、ギリシャ、ノルウェー、オランダが大規模なプライヴァシー侵害を抱えていることも分かった。
ヨーロッパ内で起きたプライヴァシー侵害のうち、実に24パーセントは英国で起こっているようだ。英国にいるほぼ全員が、平均で2つの個人情報を侵害されているという結果が出ている。これはヨーロッパで最も高い。また、ここ10年で、2.26億件分ものヨーロッパ在住者の個人データを破壊されていることになる。
この統計によって、データ保護が効率的に行われていないことが明らかになったが、同時に何百万人もの人が自身のデータが侵害されていることを知らされていないことも分かった。
この問題を解決するには、EU中で、違反発覚時に報告が行われるよう義務づけされるべきだとハワード氏は言う。
アメリカではすでに法律として制定されているところもあるが、やはり対象が特定の州に限定されていたり、違反の大小にかかわる最低ラインが存在すると、彼は言う。
「個人情報が改ざんされた場合、企業と政府機関の両方に対して、被害者と当局の『プライヴァシー局長』に報告をする義務を課さねばなりません。ほとんどの人が、誰が自身の個人情報にアクセスする権限をもっているのか知りませんが、いつ情報が侵害されたか、その詳細を知る権利はあってしかるべきです」
Privacy Internationalの執行役員、ガス・ホセインはハワード氏と同意見だ。
「違反やセキュリティーミスの報告を義務化することが、被害者がどれほどのプライヴァシーが侵害されたかを知る唯一の方法なのです」とホセイン氏は説明する。
「企業や政府は、彼らが管理している情報が侵害されたとき、詳細を常にクリアにしておく義務があるのです。もし情報が保護できないのなら、(個人情報を収集する)ビジネスから退くなり、よりよい管理者となるべく重大な措置をとるべきでしょう」。
TEXT BY KATIE COLLINS
TRANSLATION BY SARA MIKATA