新春特別企画

2021年のプライバシー標準

この記事を読むのに必要な時間:およそ 4 分

Fine Grained Authorization と Grant Management API

データの選択的提供ということでは,きめ細やかな認可とそれを可能にするAPIが重要です。OpenID Connectではこれを行うための枠組みをもともと持っていますが,2020年はこれをさらに具体的にするための活動がGrant Management APIの定義として始まっています。

Grant Management APIではPushed Authorization Request (PAR) というものを使います。PARは,OpenID Connectで定義しているRequest Objectという方式をさらに細かく規定したものです(IETFではOAuth JARとして規格化が最終段階に来ています⁠⁠。このPARの中に書いてサーバに送られた内容を管理していけるようにするAPIがGrant Management APIです。これは,オーストラリアの消費者データ標準に深く関わっているエンジニアが中心になって策定を進めています。2021年中には形になると考えられるので,期待して見ていて良いと思います。

その他のプライバシー関連標準

昨年の新年の特集では,ISO/IEC 29184(プライバシー通知と同意⁠⁠,ISO/IEC 27551(連結不能属性ベース認証⁠⁠,ISO/IEC 29134 ⁠プライバシー影響評価ガイドライン)について紹介しました。このうち,ISO/IEC 29184は6月に出版,ISO/IEC 27551は10月にDIS投票を通過しました。ISO/IEC 29134のJIS版は2021年前半に出版される予定です。

また,2020年はグローバルな動きであるMyDataと日本の動きである情報銀行,そしてEUの動きの結びつきがより強くなった年でもありました。12月にオンラインで行われたMyData Online 2020 Conferenceのパネルディスカッションでは,MyData Operator Award, 情報銀行, Proposed EU Data Governance Actの比較が行われ,より連携を深めるべきとの話になっています。その観点でも,IT連盟がISOに持ち込んで規格化を考えている,既存ISO標準と情報銀行認定の差分については国際的な関心が高まってきています。

 MyData Operata 2020と情報銀行,欧州データガバナンス法の比較
⁠出典]MyData Online 2020 - Interoperability between certifications Session

図

デジタル存在(Digital Being)の7つの原則

このMyData Online 2020 Conferenceで,筆者はメインステージでの講演をする機会を得ました。そのタイトルが「Digital Being」でした。⁠Digital Being」とは,私達のデジタルな分身としての存在を表すために今回筆者が使った造語です。私達はデジタルな存在としてサイバー大陸に実在しているのだということを強調するためにこの言葉を使いました。

新型コロナウイルスによって多くの人々※5は十分な準備もなくサイバー大陸への移住を余儀なくされました。突然のことでしたので,そこには統治の原則もろくに揃っていません。この講演では,それがどうあるべきなのかということを7つの原則にまとめて打ち出しました。最後にこれを紹介して本稿を閉じます。

※5
自然人のみならず法人も含む。

デジタル存在の7つの原則は以下になります。

  1. 責任あるデジタル存在(Accountable Digital Being⁠
    • 誰もが自らがその行動に責任を問われる※6デジタル存在(Accountable Digital Being)を確立・再確立可能であること。
  2. 表現力のあるデジタル存在(Expressive Digital Being⁠
    • 自らの性質に関する他者が証明するデータおよび自己が表明するデータを使って,各人が自分のデジタル存在を通じて,自らを表現できること。
  3. データの正当な取り扱い(Fair Data Handling⁠
    • すべての参加者が,個々人に関するデータの取扱に関してプライバシー原則を遵守すること。
    • データの取扱目的は,当該個人に害を与えないようにすること。
  4. 忘れられない権利の尊重(Right NOT to be forgotten⁠
    • デジタル存在がなかったことにされたり,属性が書き換えられたりしないようにできるように技術的対策が取られること。
    • GoogleやFacebookによるアカウント停止などがまっさきに想定されるが,アプリ/ストア削除という形で現れたり,国家権力による属性の書き換えが行われたりする場合もある。後者の場合によっては広く他の用途でも使われているようなブロックチェーンに自らの情報を書き込むなどということも必要かもしれない。そうすれば,政府が物理的存在としての個人を抹消したとしても記録は残ることになる。
  5. 人間に優しい(Human Friendly⁠
    • 個人と法人の間の情報の非対称性,個人の限定合理性,社会的弱者に配慮した系とすること。
  6. 普及しやすい(Adoption Friendly⁠
    • 技術はオープンで,できるだけ既存インフラを活用し,相互接続の確保のために継続的にテストが実施されていること。
  7. 誰もが利益を得られる(Everyone benefit⁠
    • 個人は当然,企業も政府もこの系から利益を得ることができること。⁠そうでなければ,その系は実装されず,系として立ち行かないため。)
※6
人々は,物理的社会においては,むやみに人に暴言を吐いたり暴力を奮ったりすることは控えます。これは,そうした自らの行動に対して責任を取らなければならないからです。しかし,サイバー世界では「匿名」に隠れているという認識から,無責任に攻撃する例が頻出しています。リアリティ番組の出演者が今年自殺しましたが,彼女はこうした暴力の被害者ですが,こうした重篤なプライバシー侵害は防がれなければなりません。

一つ一つを詳しく説明すると長くなり紙幅の制限もあるので割愛しますが,これらの考え方は,Trusted Web推進協議会にもフィードバックしていきますので,多少は日本の政策にも反映されていくのではないかと思います。

2021年が,プライバシーに関して,みなさんにとってより良い年になりますように。

著者プロフィール

崎村夏彦(さきむらなつひこ)

米国 OpenID Foundation 理事長。MyData Japan 理事長。
個人の手に個人の情報をコントロールする力を戻す,Power to the Peopleを実現するために,デジタル・アイデンティティに取り組んでいる。

URL:https://www.sakimura.org/