インターネットのおかげで個人情報の盗難は実に容易になった。Symantecの最近のレポートによると、わずか$14払えば、個人の名前と生年月日、母親の旧性、社会保障番号、銀行口座（パスワードも）、クレジットカード情報（セキュリティコードも）などを手に入れることができるという。ネットではいつでも15万件近いクレジットカード番号が売られている。

私たちが、新時代のウェブでデータをオープンにしよう、と賞賛、奨励しているのはそういうことではない。FTCの推定によれば、個人情報盗難による被害は年間$50B（500億ドル）にのぼる。ひどい被害にあってしまった人が信用を取り戻すのには何年もかかる。

米国において、政府は国民に対する保護対策をほとんどしていない。問題の一面は、信用調査会社や自動車ディーラー、販売業者が大金をはたいて国や州政府が法改正をしないように働きかけていることにある。信用情報を売ったり、クレジットアカウントを作るのが商売の会社というのは、この問題に関して「あちら側」にいて、個人情報をできるだけ簡単にやりとりできるように努力をしているわけだ。

しかし、いつか爆発する時が来る。それは自らが個人情報盗難でひどい目にあう議員がててくるか、国民からの苦情が無視できないレベルに達した時だろう。その時議会が通す法案は、ガンだけでなく正常な細胞も大きく切除してしまうに違いない。

そういう事例は、5年前のNasdaqの崩壊後、性急に制定されたサーベンス・オクスリー法(*1)に見ることができる。この法律のおかげで米国上場企業の情報公開が進んだことは事実だが、報告する側の企業はきわめて大きな負担を強いられることになった。それ以来米国でのIPOが減った最大の原因がこれだ、と考える人は数多い（多くの企業がロンドンなど、外国で上場した）。

*1: 米国企業改革法、SOX法とも。解説記事はこちら。

政府が個人情報保護に立ち上がるとなれば、同じように行きすぎた法律が作られ、インターネットで自由にデータをやりとりすることで生計を立てているすばらしい会社の数々に影響を与えることになるかもしれないのだ。

Jigsawのようなグレーマーケットのスタートアップが個人情報ブローカービジネスをやっているおかげで、業界全体が個人情報の管理に真剣に取り組んでいることを示そうという動きは水を差されている。一方、TrustedIDのように、民間の立場で個人情報の保護に取り組んでいるスタートアップもある（TrustedIDのStolenIDSearchに行けば、自分の個人情報が悪名高い詐欺サイトに載っていないか見ることができる）。

Symantecなどは、企業のサーバー（と、その中のデータ）をアタックから守るサービスを売っている。それも必要だが、最終的に重要なのは、サーバーから顧客データが盗まれた時、その会社が財政面の責任をとれることだ。そして、盗難が起きたかどうかの立証責任があるのはデータを持っている企業の側であって、ユーザーではない。

企業としてはこのような責任を負いたくないから、そんなデータを自社のサーバーから追い出す方法を探しはじめるだろう。リスクを負ってやろう、と思うスタートアップがローンチしてくるに違いない。そしていずれ、重要な個人情報は今よりもはるかに少ない場所に保管されるようになる。結構なことではないか。

[原文へ]