研究のことについて考える。

情報セキュリティの強化のために、外部不経済を内部化する包括的な仕組みを考えている。

  1. コースの定理
  2. 課税・補助金(マイナスの課税)
  3. 直接規制

いずれも、事故の発生確率と、対策方法の定量的な確立が前提となることは変わらない。

1.は情報の非対称性や、消費者の理解の不足により、非現実的。

2.は事業者によりどの程度までの課税・補助金を選択可能。

3.は事業者の選択が不可能。

定量化にある程度幅が生じることを考えると、規制に対して事業者の判断が可能な2.が望ましそう。

事故の発生確率、被害想定、対策方法の確立については、各種の認証基準を使うことがまずは考えられる。実際、政府調達にある種の基準が設定されるのは3.を行っていることになる。今回の議論はその一般化。保管する情報資産の種類、情報資産をあずかるユーザ数、ユーザあたりの課金額の組み合わせによって要対応レベルをランク分けして、課税金額を決定する。

情報資産をあずかるタイプの無料のサービスは、課税額によって初期のLTVがマイナスになる。事業立ち上げのしやすさにとってはマイナスの効果。情報セキュリティ対策の社会的な要請とのバランスの問題。また、営利目的かどうかを問わず、サービスの立ち上げについて登録制を要する行政コスト増。

一方で、不要な情報資産の受け入れを減らす、単価をある程度に抑える、ユーザ数を過剰に増やさずにLTVをあげることへのインセンティブが働く。また、情報資産の保管専門のサービスの立ち上がり、情報セキュリティ対策支援の事業の充実というメリットもある。

課税の効果として、事業拠点の国外への流出という国家的なデメリットもあるから、国際協調か、GDPRみたいな域外への徴収の仕組みが必要。うーん、課税のような継続的な徴収は、後者の枠組みでは難しそうだ。もちろん、グレートファイアーウォールみたいなのがある国は別だが。

課税ではなく供託金にしてもよいか?

  • 供託金総額を、事故時の想定金額に設定
  • その金額を、ある期間内において積み立てることにする

条件が同じなら期間後の供託は0になるから、継続率を重視するインセンティブが働く。

その後、『ミクロ経済学の力』の外部性のところを読んだり。