企業が私たちの最も機密性の高いデータをどのように扱うかを規定する、包括的なプライバシーとセキュリティのルールがなぜ必要なのでしょうか? では、処方箋情報を含む何百万件もの盗まれた医療記録をオンラインで公開すると脅迫した、現在進行中の数百万ドル規模の恐喝犯の捜索の事例を考えてみましょう。
犯人逮捕と有罪判決につながる情報提供に対し100万ドルの報奨金を出すという申し出を受け、捜査は継続中だが、その発端は11月に公表されたある事件にある。処方薬給付金を管理する大手企業Express Scriptsは、同社と顧客双方が、特定の恐喝要求に応じなければ社会保障番号、住所、生年月日、処方箋情報などの顧客情報を開示すると脅迫する手紙を受け取ったと報告した(詳細はExpress Scriptsのサポートサイトを参照)。
この件を捜査中のFBIもエクスプレス・スクリプツ社も詳細を明らかにしていないが、同社の広報担当副社長スティーブン・リトルジョン氏は、恐喝犯が書簡で提供したサンプル記録の内容は、同社のデータベースに保管されている「データと相関関係がある」と述べている。リトルジョン氏は、エクスプレス・スクリプツ社は、データ窃盗が内部犯行か外部からの侵入かを含め、犯人が顧客記録をどのように入手したかを把握していないことを認めている。また、窃盗犯が実際に盗んだと主張する数百万件もの記録を保有しているかどうかも不明だ。リトルジョン氏によると、同社はその後、システムの「強化された管理」を導入したという。
数年前、あるFBI捜査官が私に、コンピュータ犯罪はまだ「エンロン事件」のような事態にはなっていないと言った(「インターネット戦争:我々は痛烈な打撃を受けている」を参照。長いブログ記事の4分の3ほどスクロールダウンする必要がある)。つまり、デジタルプライバシーとセキュリティの脅威に対する立法府や規制当局の真剣な行動を促すほど、注目を集める派手な犯罪がまだ起きていないということだ。エクスプレス・スクリプツ事件は、一度侵害されれば回復不可能な、機密性の高い医療記録とプライバシーを扱っているため、まさにエンロン事件のような事態になる可能性がある。
潜在的な被害者のためにも、恐喝犯が脅しを実行しないことを願います。しかし、もし実行に移された場合、その後の政治的な激動が、個人情報に関する強力で健全な国家法や規制の制定につながるかもしれません。民主主義技術センター(CTI)が提案する規則は、透明性(どの企業がどのようなデータを保有しているかを誰もが把握できるようにすること)と選択肢(消費者が特定の企業によるデータ保有を拒否できるようにすること)を求めています。
プライバシー保護だけでは企業がデータを適切に保護することを保証できないため、データ侵害に関する法律(すべての州に存在するわけではない)を標準化し、企業が盗難または紛失したデータを速やかに報告し、適切なセキュリティ対策を導入する強い動機付けとなるようにする必要もあります。
記録をデジタル形式で保存・伝送することで、大幅なコスト削減が実現できるだけでなく、医薬品データへの迅速なアクセスによって危険な処方箋の競合を防ぐことができるため、健康安全の向上にもつながります。しかし、エクスプレス・スクリプツ社の事件は、個人データの取り扱いについて真剣に考える必要があるという警鐘となるはずです。
