個人情報保護意識の高まりのなか注目を集めるプライバシー・バイ・デザインとは?
日常生活のあらゆる場面でインターネットが利用される現在、重要性を増しているのがプライバシーの保護です。
一足早くEUでは2018年からGDPR(EU一般データ保護規則)が施行され、アメリカではFTC法(米国連邦取引委員会法)第5条により個人情報を保護する動きが加速しています。日本でも2022年4月に改正個人情報保護法が施行され、プライバシー保護は企業経営において避けては通れない重要課題となりつつあります。
そこで注目を集めているのが「プライバシー・バイ・デザイン」という考え方です。これはカナダの情報プライバシーコミッショナーであるアン・カブキアン博士※1が1990年代半ばに提唱した概念です。
※1アン・カブキアン博士:プライバシーの専門家。カナダ・オンタリオ州の情報およびプライバシー委員を3期務めた後、現在はカナダのライアソン大学でプライバシーバイデザインセンターオブエクセレンスの責任者を務める。
プライバシー・バイ・デザインは、システムやサービスの完成後にプライバシー保護を行っていくのではなく、プライバシー保護を前提として設計や仕様策定を行っていくという考え方です。
プライバシー・バイ・デザインで特に重要なのが、事後的ではなく事前的に行わなければならないということ。問題が起きてから対応するのではなく、問題そのものが起きないようにするのです。そのためには、ITシステムのデザインや構造設計時にプライバシー・バイ・デザインを組み込む必要があります。
一方でプライバシーを守ろうとするあまり、ユーザーの利便性やセキュリティが損なわれては本末転倒です。そのため、プライバシー保護を前提としつつ、ユーザーへの適切な通知や権限付与のオプションを用意するなど、ユーザーの利益にも最大限に配慮することが求められています。
プライバシーとセキュリティ、利便性はどちらかを優先するゼロサムではなく、双方を両立させる、ポジティムサムで「Win-Win」を構築する必要があります。
事後的に規制の枠組みを強化するだけではプライバシーを守ることができなくなってきています。そのためプライバシー・バイ・デザインのような考え方を導入し、設計段階からより本質的な取り組みを行うことが求められているのです。
プライバシー・バイ・デザインには透明性、可視性、利便性が不可欠です。プライバシー・バイ・デザインを導入する際はシステムの最初から最後までプライバシーを保護し、プロセスの終了時にはプライバシー情報を破棄しなければなりません。
また、プライバシー保護のための機能の詳細はユーザーに公開され、可視性を持たせる必要があります。なおかつ、プライバシー保護の機能は初期状態で有効にし、ユーザーが何もしなくてもプライバシーを守られるようにしなければなりません。
2022年4月に施行された改正個人情報保護法では本人の権利保護が強化され、事業者の責務が増えました。まだ法的な義務はありませんが、日本企業もプライバシー・バイ・デザインの導入を検討したほうが賢明でしょう。しかし、具体的にどうすればよいのでしょうか?
その際に参考になるのが「プライバシー影響評価」(Privacy Impact Assessment、以下「PIA」)です。「PIA」はプライバシー・バイ・デザインに従って、プライバシーが侵害される可能性や侵害された場合の影響を予測し、関係者と協議して必要な対策を行うための手段です。
ISO/IEC29134:2017やJIS X9251で標準化されており、GDPRでは「PIA」(GDPRでは「DPIA」(Data Protection Impact Assessment)と呼びます)の実施が義務化されています。「PIA」の実施プロセスは複数のステップに分けられています。
合わせて扱う個人情報とその目的、誰がどのように扱って、ユーザーはどんな影響を受けるか、利用するハードウェアやソフトウェア、通信経路などもチェックします。
また、事業パートナーなどが存在する場合、パートナー側がアクセスできる個人情報なども把握しておきましょう。
そして、システムやプロセスの中で、利害関係者に対するリスクを特定します。個人情報の過剰収集や認可されないアクセスや変更、持ち出しなどのリスクを確認し、脅威度や発生度を予測。その上で優先順位の高いリスクから対応を進めていきます。
残念ながら企業による個人情報漏洩はもはや日常茶飯事になってきています。今でも毎日のようにインシデントが発生しており、最近では大きな話題になった兵庫県尼崎市で起きた住民約46万人の個人情報が入ったUSBメモリを紛失した事件をはじめ、レコード店を経営するディスクユニオンのECストアから顧客約70万人分の個人情報が漏洩した事件も記憶に新しいところです。また、少し前の話になりますが、Facebookからユーザー5000万人分の個人情報が不正に流出し、イギリスのデータ分析企業が取得。2016年の米大統領選に活用された事例もあります。
個人情報に関するインシデントは企業の信用を著しく毀損します。炎上すれば取引企業が撤退したり、売上が減少する可能性があり、インシデントの内容によっては高額な対応費用や、損害賠償が発生することもあります。
プライバシー・バイ・デザインは法規制に対応するといった目的だけでなく、企業にとっても社会的に信頼され、企業価値を向上させるといったメリットがあります。
2021年にプライバシーマークを運営するJIPDECが行った「プライバシーガバナンスに関するアンケート結果」によると、消費者の73.6%はプライバシー保護に関して高い関心を示しています。
加えて、88.5%は類似商品の選択の際に、企業のプライバシーへの取組を考慮しているとのことです。特に、29歳以下が「非常に考慮する」の比率が高く、若者がプライバシーに高い関心を持っていることが伺えます。
総務省と経済産業省が策定している「DX時代における企業のプライバシーガバナンスガイドブックver1.2」ではプライバシーガバナンス構築についてまとめられています。その中で、プライバシーリスクに対応する姿勢を明文化し、公表している企業の事例が紹介されています。
Appleが定めた4つの原則
例えば、広告を表示するために端末のIDを利用するにはユーザーの許可が必要になりました。「"○○"が他社のAppやWebサイトを横断してあなたのアクティビティを追跡することを許可しますか?」と表示されても、「Appにトラッキングしないように要求」をタップすればIDなどの情報が送信されません。
「マップ」アプリもプライバシー・バイ・デザインに基づいて構築されています。利用するだけならサインインする必要はなく、パーソナライズされた機能はiPhoneなどの端末上で処理されています。場所を検索したり、交通情報を確認する際はAppleのサーバーと通信しますが、Apple IDとは紐づけられないようになっています。そして、その際に使われる識別も、毎回リセットされます。
注意しておきたいのは、プライバシー・バイ・デザインは個人情報を一切扱うな、と言っているわけではありません。個人情報をユーザーが自らコントロールできるようにする、ということが目的です。
今後もインターネットもIoTも広がり続け、サイバー空間(仮想空間)とフィジカル空間(現実空間)が融合したSociety 5.0が訪れます。その時に、個人情報をないがしろにする企業は炎上し、生き残れなくなることでしょう。これからはITシステムやサービスを構築する際は、プライバシー保護という観点が必要になることは間違いありません。
一足早くEUでは2018年からGDPR(EU一般データ保護規則)が施行され、アメリカではFTC法(米国連邦取引委員会法)第5条により個人情報を保護する動きが加速しています。日本でも2022年4月に改正個人情報保護法が施行され、プライバシー保護は企業経営において避けては通れない重要課題となりつつあります。
そこで注目を集めているのが「プライバシー・バイ・デザイン」という考え方です。これはカナダの情報プライバシーコミッショナーであるアン・カブキアン博士※1が1990年代半ばに提唱した概念です。
※1アン・カブキアン博士:プライバシーの専門家。カナダ・オンタリオ州の情報およびプライバシー委員を3期務めた後、現在はカナダのライアソン大学でプライバシーバイデザインセンターオブエクセレンスの責任者を務める。
個人情報保護のためには設計段階からプライバシー保護を前提とすることが必要
プライバシー・バイ・デザインで特に重要なのが、事後的ではなく事前的に行わなければならないということ。問題が起きてから対応するのではなく、問題そのものが起きないようにするのです。そのためには、ITシステムのデザインや構造設計時にプライバシー・バイ・デザインを組み込む必要があります。
一方でプライバシーを守ろうとするあまり、ユーザーの利便性やセキュリティが損なわれては本末転倒です。そのため、プライバシー保護を前提としつつ、ユーザーへの適切な通知や権限付与のオプションを用意するなど、ユーザーの利益にも最大限に配慮することが求められています。
プライバシーとセキュリティ、利便性はどちらかを優先するゼロサムではなく、双方を両立させる、ポジティムサムで「Win-Win」を構築する必要があります。
事後的に規制の枠組みを強化するだけではプライバシーを守ることができなくなってきています。そのためプライバシー・バイ・デザインのような考え方を導入し、設計段階からより本質的な取り組みを行うことが求められているのです。
プライバシー・バイ・デザインの基本原則
また、プライバシー保護のための機能の詳細はユーザーに公開され、可視性を持たせる必要があります。なおかつ、プライバシー保護の機能は初期状態で有効にし、ユーザーが何もしなくてもプライバシーを守られるようにしなければなりません。
プライバシー・バイ・デザインを実現するためのプライバシー影響評価(PIA)
その際に参考になるのが「プライバシー影響評価」(Privacy Impact Assessment、以下「PIA」)です。「PIA」はプライバシー・バイ・デザインに従って、プライバシーが侵害される可能性や侵害された場合の影響を予測し、関係者と協議して必要な対策を行うための手段です。
ISO/IEC29134:2017やJIS X9251で標準化されており、GDPRでは「PIA」(GDPRでは「DPIA」(Data Protection Impact Assessment)と呼びます)の実施が義務化されています。「PIA」の実施プロセスは複数のステップに分けられています。
PIAの実施プロセス
ステップ1:PIAの必要性の決定
まずは特定個人情報保護評価やGDPRを参考に「PIA」を実施する必要があるかどうか、実施する場合はその範囲を確認します。ステップ2:PIAの準備
実施が決定した場合「PIA」を実施するためのチームを用意し、責任者を任命します。またこの段階で充分なリソースを確保しておく必要があります。合わせて扱う個人情報とその目的、誰がどのように扱って、ユーザーはどんな影響を受けるか、利用するハードウェアやソフトウェア、通信経路などもチェックします。
また、事業パートナーなどが存在する場合、パートナー側がアクセスできる個人情報なども把握しておきましょう。
ステップ3:PIAの実施
準備が整いましたら、個人情報の収集法方や処理目的、保有・廃棄ポリシーなどと責任者を具体的に決めます。ユーザーの行動を特定したり、個人情報を処理する目的についてユーザーに明確に通知するといった安全対策要件を決める必要もあります。そして、システムやプロセスの中で、利害関係者に対するリスクを特定します。個人情報の過剰収集や認可されないアクセスや変更、持ち出しなどのリスクを確認し、脅威度や発生度を予測。その上で優先順位の高いリスクから対応を進めていきます。
ステップ4:PIAのフォローアップ
最後に、包括的な報告書を作成し、ステークホルダーへ公表します。機密事項が含まれている場合は、要約を公表しても構いません。これからの企業活動はプライバシー保護抜きには語れない
個人情報に関するインシデントは企業の信用を著しく毀損します。炎上すれば取引企業が撤退したり、売上が減少する可能性があり、インシデントの内容によっては高額な対応費用や、損害賠償が発生することもあります。
プライバシー・バイ・デザインは法規制に対応するといった目的だけでなく、企業にとっても社会的に信頼され、企業価値を向上させるといったメリットがあります。
2021年にプライバシーマークを運営するJIPDECが行った「プライバシーガバナンスに関するアンケート結果」によると、消費者の73.6%はプライバシー保護に関して高い関心を示しています。
加えて、88.5%は類似商品の選択の際に、企業のプライバシーへの取組を考慮しているとのことです。特に、29歳以下が「非常に考慮する」の比率が高く、若者がプライバシーに高い関心を持っていることが伺えます。
大手企業もプライバシー・バイ・デザインを導入
独自の個人情報憲章を制定したNTTドコモ
例えば、NTTドコモは2018年、ユーザーの個人情報を適切に取り扱うための意思決定基準として6つの行動原則を「NTTドコモ パーソナルデータ憲章」として制定しました。どの原則もプライバシー・バイ・デザインの考え方に沿っています。プライバシー保護対策のため組織体制を整備したトヨタ
トヨタはプライバシー保護を実現するために横断的なガバナンス体制を構築し、最高個人情報保護責任者であるChief Privacy Officer(CPO)を据えました。そのうえで「PIA」も実施しており、トヨタが提供する製品やサービスがプライバシーを侵さないように取り組みを進めています。すでにプライバシー保護機能実装を進めているApple
Appleもプライバシー・バイ・デザインへの取り組みを進めています。2021年4月にリリースしたiOS 14.5からプライバシー保護が強化されました。プライバシーを基本的人権として4つの原則を指針とすると発表したのです。Appleが定めた4つの原則
- Data Minimization:データの最小化
- On-Device Intelligence:デバイス上での処理
- Transparency and Control:透明性の向上とユーザーのコントロール
- Security Protection:デバイス内のデータの保護
例えば、広告を表示するために端末のIDを利用するにはユーザーの許可が必要になりました。「"○○"が他社のAppやWebサイトを横断してあなたのアクティビティを追跡することを許可しますか?」と表示されても、「Appにトラッキングしないように要求」をタップすればIDなどの情報が送信されません。
「マップ」アプリもプライバシー・バイ・デザインに基づいて構築されています。利用するだけならサインインする必要はなく、パーソナライズされた機能はiPhoneなどの端末上で処理されています。場所を検索したり、交通情報を確認する際はAppleのサーバーと通信しますが、Apple IDとは紐づけられないようになっています。そして、その際に使われる識別も、毎回リセットされます。
プライバシー・バイ・デザインの有無が企業の未来を左右する
今後もインターネットもIoTも広がり続け、サイバー空間(仮想空間)とフィジカル空間(現実空間)が融合したSociety 5.0が訪れます。その時に、個人情報をないがしろにする企業は炎上し、生き残れなくなることでしょう。これからはITシステムやサービスを構築する際は、プライバシー保護という観点が必要になることは間違いありません。
著者:ITライター 柳谷智宣
