レンタルサーバ業者によって違う利用者のデータ保護(2002.9.26)

　Scan Incident Report では、レンタルサーバ事業者8社に対して調査を実施し、事業者によって異なる利用者データ保護の考え方などセキュリティに対する姿勢を整理してレポートした。
　「情報漏洩の責任はどこにある？サーバ事業者へのアンケート結果」と題するレポートがそれである。

　個人情報漏洩事件が続いているが、このレポートによると、どのレンタルサーバを使用するかによって事件発生の可能性が大幅に違ってくる。

>> 違うレンタルサーバを利用していれば起きなかった可能性も高い

レポートでは冒頭で、下記を各事業者に質問している。

「レンタルサーバ（主としてバーチャルドメイン）利用者に対して、特定のディレクトリ以下が自動的にすべてオーナー以外は見ることができない仕組みを提供しているか？」

　この問いに対して、提供していると答えた事業者は、約半数。逆にいうと半数のレンタルサーバには、こうした防御機構はないことになる。過去に発生した個人情報漏洩事件では、レンタルサーバ上に個人情報を放置していたケースもあったが、このようなケースでは、防御機構をもつレンタルサーバ事業者を利用していれば事件にはならなかった可能性が高い。

>> 利用者が考えるよりも大きな利用者側の管理責任

　レンタルサーバは、手軽に利用することができるサービスであるが、事件などが発生した場合の責任は軽視できない。この責任に関して、利用者側の認識とレンタルサーバ事業者の認識は必ずしも一致していない可能性が今回のレポートには見て取れる。

　レンタルサーバ事業者の多くは、WEBサーバに顧客情報や営業情報をおくことの危険性をじゅうぶんに認識しているものの、実際に利用者側がどのような情報をおいているかのチェックまでは行なっていない。（そこまで行なうのは逆に越権行為となる）

　プロであるレンタルサーバ事業者がこうした危険性を認識しているのはあたり前であるが、利用者側は必ずしも認識しているわけではない。ネットでは、当たり前のように個人情報をWEBにおくアンケートなどが行なわれており、個人情報をWEBに保存するフリーのCGIも配布されている。こうした現状を目にしている利用者が個人情報をWEBにおく危険性と責任の認識が甘くなるのも無理からぬことといえる。
　利用者への啓蒙は必須のことと考えられる。

>> 利用者の啓蒙とともに事業者側の情報提供も必要

　利用者自身が危険性や責任をじゅうぶんに認識することも重要であるが、レンタルサーバ事業者側からの情報提供も今後は重要になってくると考えられる。
　例えば、前述のような防御機構の有無などは、WEB上のサービス説明だけではわからない。
　レンタルサーバの説明で用いられる言葉も事業者によって異なる表現を用いているため、利用者が、内容を正しく把握し、適切なサービスを選択するのが難しい。
　利用者と事業者のこうしたギャップを埋めることによって、利用者が自分自身のニーズや考慮すべき危険性、負うべき責任にあった事業者を選べるようになると思われる。

Scan Incident Report
http://vagabond.co.jp/c2/