ITセキュリティー関連のホットトピックを取り上げ、動向や対策をひもときます。今回は、消費者のプライバシー保護対策を解説します。
個人に関する情報を集め、サービスを良くすることは、企業の活動に欠かせません。しかし、さまざまなデバイスから集めたデータの高度利用について消費者の理解が十分でないことがほとんどです。
企業では、改正個人情報保護法への対応のみならず、当人のプライバシー保護を社会的責任として求められています。プライバシーの侵害があれば、顧客離れや社会的批判、責任追及のおそれがあります。
サイバーセキュリティー対応が前提
2020年公開のアメリカ国立標準技術研究所(NIST)のPrivacy Frameworkは、組織が個人のプライバシーリスクを管理しながら、製品やサービスを構築することを目的にまとめられています。データ漏えいや侵害への対応を含めてサイバーセキュリティーリスクへの対応で有名なNIST Cybersecurity Framework(CSF)を引用し整理しています。
またCSFの下位文書で、情報システムのセキュリティーガイドラインであるNIST SP 800-53Bには、プライバシー保護に有効な対策が統合されました。このように、プライバシー保護ではサイバーセキュリティーリスクの対応に加えて、プライバシーリスクへの対応を行います。
一般にプライバシーリスクのゴールが見えづらいと言われるのは、サイバーセキュリティーと同じ理由です。法令で必達の水準と企業がポリシーを持って決める水準が異なる点、そして対策の効果の測り方が難しい点にあります。
プライバシーマーク制度やISMS-PIMS認証は、これらをまとめてベンチマークを示し、企業の取り組みを推し進めやすくするものです。
プライバシーバイデフォルト
消費者のプライバシーを考慮するための観点は複雑です。それを分解したものを下の図に示しました。これを含めた整理の要点と進め方をまとめたのが、JIS X 9251:2021で、プライバシー影響評価(PIA)という手法です。PIAは、プライバシーへの影響を評価するリスク管理の方法で、個人に関する情報を取り扱う企業内のあらゆる業務を対象にできます。
消費者向けサービスでの個人に関するデータのライフサイクル|関係する要素が複雑にからみ合あう
PIAは、GDPRの法域で普及しており、日本の個人情報保護委員会でも組織での自主的な取り組み方法の推奨策として取り上げています。PIAの結果の活用先は幅広く、事業やサービスの企画や設計のインプットとしてプライバシー要件を提示します。またPIA報告書を一般公開することで企業のガバナンスの透明性や信頼性を消費者、株主、投資家に示せます。
どうすれば個人のプライバシーを守れるかをフレームワークにまとめたのがJIS X 9250:2017です。個人に関する情報を扱う際の原則が述べられています。この原則は、プライバシーポリシー、プライバシー管理策のガイドライン、システム実装や監視システムのガイドライン、監査など幅広い文書で取り込めます。
その他、ISO 31700-1:2023は、製品・サービスの展開を通じたプライバシー保護のためのハイレベルな要件をまとめており、企業の参考になるでしょう。
自社や取引先向けの対応
プライバシー保護の主な施策のアウトプットや展開先を軸に、参考になる文書を下の図に整理しました。
プライバシー保護の主な施策(施策に付随する教育は含まない)|プライバシー保護で参考になる文書
図中#1-6の技術的な対応は、自組織、グループ企業や取引先企業への取り組みを指します。既に手作業による運用業務はあるものの運用負荷の高い場合などに、ヒアリング項目のテンプレートを用意し回答取得や集計の自動化を進めたり、データの分類や保持の状況やデータの流れの可視化を進めたりします。
B2B、B2Cやサービス向けの対応
図中#2-2の技術的な対応は、B2B、B2Cの事業やサービスでの取り組みを指します。内容を順番に見ていきましょう。
a.サービス設計でのプライバシーリスクの考慮、ダークパターンの回避
インターネットサービスのユーザーインターフェースやユーザー体験において、企業に対して倫理観を求める動きがあります。
消費者庁が公開している、2022年にOECDが発表したダークコマーシャルパターンでは、消費者の行動や選択をゆがめて企業が利益を得る例が紹介されています。当人が本当には望まないかたちで個人に関するデータを集め、その後の処理のキャンセルやオプトアウトが困難なケースもあり、プライバシー侵害につながるモデルです。
米カリフォルニア州プライバシー権法、EUのデジタルサービス法、米国欺まん的オンラインユーザー体験削減法(DETOUR法)などで、ダークパターンを禁止する動きが進んでいます。
インターネットサービスの設計段階において、意図せずプライバシーリスクを作り込んでいないかを考慮することで、後続工程に進んでからの改修コストを引き下げられます。その他、外部のサービスとデータ連係する際に、考慮漏れに起因するデータの再結合や流用において、プライバシーリスクがないかを確認することも有効です。
b.システム設計でのプライバシーリスクの考慮
インターネットサービスのアプリケーションの内部設計やインフラの設定において、プライバシーリスクを作り込んでいないかを考慮します。これにより、インシデント発生時のログの漏えいや、運用指示のミス、データの渡し先同士の結託などで、意図せぬプライバシー侵害を避けられます。
システム管理者の運用業務を考慮した管理者アプリのデザインや、出力するログ設計、ユーザーIDの内部識別子の振り方やデータ取得の制限、アクセスの認可も考慮の対象です。日々のシステム運用業務や顧客サポートの窓口業務にも影響し得るため、事業やサービスに即した実際的な内容を定める必要があります。
c.企業側で知る必要のない情報を保護し、目的のデータ利用をする配慮
プライバシーと機密性を保護しつつ、データ分析やデータ共有を行う際に有効なさまざまな技術(Privacy-enhancing technologies、PETs)があります。ユースケースや利用目的に合わせて導入すると、当人への配慮のみならず、データ分析に携わる従業員や、データ分析の委託先であるサードパーティー企業によるプライバシー侵害からの保護にもつながります。
PETsの例として、データにノイズを加えることで統計分析の結果から元の情報を推察されづらくする差分プライバシー、分散しているデータを集めずに各ローカルで分析した結果のみを取得する統合分析、持っている情報が特定の条件を満たすことの証明結果のみを返すゼロ知識証明などがあります。
d.消費者への通知と同意管理、データへのアクセス制御
インターネットサービスにおいて、明確で分かりやすい通知がないと、当人からの本意ではないデータの提供と引き換えにサービス利用を開始させるという、ダークパターンの強制モデルに該当する可能性があります。
実際問題として、当人の同意の撤回やデータの更新と連動し、運用任せにせずにシステムで適切にデータへのアクセスを制御するにはどうすればよいでしょうか。ユーザーのOne ID化や、システム側での認可フレームワークを導入した対応例を下の図に示しました。
利用目的単位での同意管理と連動したアクセス管理|システムでデータアクセスを制御する
UI/UXに関しては、通知で説明すべき項目と同意取得のプロセスをまとめたJIS X9252:2023が発行されました。当人の意思決定に必要な項目を挙げている他、企業の運用面の考慮もまとめられています。さらに、コンビニエンスストアで受け取るレシートのように、同意のやり取りの電子的な記録を確認するコンセントレシートの概念もまとめられています。どの事業者に何のために何を渡したのかを、個人が控えることは、EU・アメリカなどで進んでいる個人の情報(公的身分証、学生証、民間のポイントカードなど)をスマートフォンのアプリをハブとして出し入れするウォレットの構想とも相性が良いと言えます。
サービスの質の向上と共に、当人へのプライバシー侵害のリスクを管理し、必要な対策をとることが、企業で取り組むプライバシー保護では重要です。
※「日経コンピュータ」2023年8月17日号より、一部加筆の上、転載。
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/012300337/080200008/
日経BPの了承を得て転載/無断転載・複製を禁じます。