個人情報保持のリスクについて考えてみる

http://www.japan.cnet.com/column/mori/story/0,2000050579,20082508,00.htm
と
http://blog.goo.ne.jp/tbinterface.php/045ff0fe738f25a3160d664f443dead5
より。

先日、CNETで連載されている森祐治氏のコラムにげんなりした後で個人情報保持のリスクモデルってどう考えるべきなのか考えてみた。

前回、このブログ（てゆうか前身の徒然草で）個人情報保護のコストとリスクモデルについては保険や広告効果と比較するほうがいいんじゃないかと脊髄反射で書いたけどこの点、もうちっと掘り下げてみる。

個人情報漏洩のリスクって、

個人情報漏洩"事故"
個人情報漏洩"事件"

の二つの側面を持ってて、

損害賠償、個人情報管理体制（多くの場合はデータベースの管理体制）の見直し費用の発生、ブランド価値の毀損（に伴う広報宣伝費用等の新規顧客獲得コストの上昇と既存顧客の流出率の上昇、残留（？）顧客の客単価低下等）、といった予定外の金銭支出の恐れに集約されるリスクファクター（従業員のモラルダウンによる労働生産性の低下とかいったファクターは因果関係が逆の可能性もあるので別に考えてみたほうがよさげ）

に対して、

確率論的な安全評価手法を用いてよそ様と比較可能な状況を作ったうえで、

相対的に競争優位が作れそうなら、

期待効用理論的に考えて費用対効果の観点から受け入れ可能なリスクに収まるか考えて、

Yesなら個人情報を自前で管理すればいいし、

Noooooo!そんなん無理、って思うならよそ様に管理してもらうなりすればよろし。

Noな場合は、そもそも個人情報に一切触れない形で自分の仕事できるようにして継続してもいいし、それも無理なら商売替えればよろしい、ってことになるのでは？

あー、こう考えて行くと

ペイオフに対するポートフォリオ運用などの理論解

って説と個人情報保護のリスク評価って大して違わない気もしてきたなぁ。

となると問題は、PマークもTRUSTeも取得したらどんくらいのリスクに対してどの程度の効用が期待できるかのベンチマーク出してない（出してるのか？）って点かも。それなら、取得に二の足踏んでもしかたないね。

資格取得という根拠なき圧力

って部分にはなんとはなしに同意できる気もするけど、やっぱり、

根拠なき圧力、じゃなく、PマークやTRUSTeが持つブランドバリュー、なんじゃないの？

行政書士に頼んだら安く済む業務でも高い金払って弁護士に頼みたがる人がいる、とかいう話と同じようなことなんじゃないのかな。

森氏がPマークやTRUSTeは無駄だ、意味ないんだ、ってキャンペーン展開して、市場から支持されたら森氏が感じている恐怖感ってなくなるんじゃない？