日本人とセキュリティ・リテラシー ～キム准教授の分析（前編）(2/2)

★仰る通り、まだ実際に危険にさらされたことのない個人が、実感として被害を受けるイメージを持つのはなかなか難しいような気もします。

―それは「運転」と一緒かもしれませんね。自らの合理的判断でリスクを許容している。ギリギリで信号を抜ける、とか（笑）。個人ユーザーの危機感が低い、あっても実践が伴わないのは、それが彼らにとって合理的な判断だからかもしれません。個人情報を発信する代わりに大きな対価がもらえるよう、企業はビジネスモデルを組んでインセンティブを促しています。カードで買えば現金決済より安く買えるとか。でも、そんなコスト（個人情報提供） ／ ベネフィット（安価）の計算はできても、コスト（個人情報提供） ／ リスク（個人情報流出）の計算に対しての認識が甘い。もう少し慎重にリスクのことも考えるべきだと思いますね。

別にリスクの計算ができなくても、日常的な心がけはできます。怪しい人からの添付ファイルは開かないとか、よく分からないことへの緊張感を持つ。パスワードを複雑にする。クレジットカードの請求書をよく読む。それらによって、防御できることは多いし、起きたことへも対処しやすくなります。逆にそういう意識が希薄で無防備な人には、攻撃がすんなりと力を発揮してしまう。

■■グレーゾーンでの問題にはまず民間での自主解決を

★まずは簡単なことから、と。なるほど。しかし、個人の認識はまだそのレベルにも行っていないような気もします。今後意識を高めていくために、情報セキュリティに関して啓蒙したり、ルールを決めたりといった取り組みは可能でしょうか？

―まずは教育です。ITリテラシー、情報リテラシーといった、起こり得るリスクを認識させること。そしてそれを受けた若い世代＝デジタルネイティブが、身近な年配者に教えてあげたり、周りの人とシェアしたり。そういった動きが社会全体のリスク低下につながるはずです。年配者自らが、新たに学習していくのは現実的には難しいですからね。

ただ、問題の多くは明らかな違法ではないグレーゾーンで発生しますから、そこに行政が介入しすぎると社会活動・経済活動が歪められてしまう。リスクが高まったからといって安易にガイドラインばかり出すようなことは避けたほうがいいと思います。民間での自主解決を尊重し、それが不可能だったら行政が介入してバックアップするという共同規制的なやり方が理想ですし。それは民間や個人ユーザーの権利でも義務でもあるでしょう。

★確かに本来は自律的であるはずのネット社会を、政府・行政の側が管理するのは違和感があります。

セキュリティの意識は個人ユーザーが持つリテラシーの中核です。全ての情報を鵜呑みにしては危険、というメディアリテラシーと一緒。サイバー攻撃という最悪のパターンも念頭に、そこへの最低限の認識は絶対に必要です。そのことを呼びかけ、教える側の人材や問題もまだまだ山積していますが、これから社会全体で取り組まなきゃいけないことは確かでしょうね。

日本人とセキュリティ・リテラシー ～キム准教授の分析（後編に続く）