新春特別企画

2022年のプライバシー標準

この記事を読むのに必要な時間:およそ 3 分

あけましておめでとうございます。@_natこと崎村夏彦です。2022年の年頭にあたり,2021年のプライバシー関連の動きを振り返り,その上で2022年を展望してみたいと思います。

データ倫理が意識された年

2021年は,社会の様々なセクターを横断してAIやIoTを駆使する昨今のデータ駆動型イノベーション関連の進展が,データの共有と再利用の重要性をかつてないほど高めてきた年でした。新型コロナ禍は,公共のためのデータ収集と利用の有用性をわたしたちに意識させることになりましたし,一方では,大量の個人関連情報の蓄積・処理が持ちうる,⁠プライバシー」「人々の自由・価値観」「民主主義に対する脅威などに関する懸念」もクローズアップすることになりました。これらの中には,消費者保護,公正な競争,責任の負担,データ収集・処理の能力に起因する新たなデジタル・デバイドも含まれます。

こうしたことは欧米ではすでにアジェンダとして上がってきており,個人情報の処理を律するGDPRだけでは不十分であるとして次の一歩を模索する動きが始まっています。これには,ある集団に対するデータの再識別による影響であるとか,⁠法的に許される」データ処理の人々への影響などという形があり,データ倫理の問題として取り上げられるようになってきています。

実際,12月9日,10日に行われたOECDのデータガバナンスとプライバシー作業部会のエキスパート・ワークショップは「倫理とイノベーティブなデータ利用とのバランス」がテーマになり,すでにデンマークでは企業がデータ倫理規定を制定することを法令で要求するとともに,D-Sealという認証システムが開始されていることなどが紹介されました。こうしたことは,その後引き続き行われたOECDのHigh-Level会合でも再確認されており,このような観点では,2022年はデータ倫理の側面がより意識されてくる年,いわば「データ倫理元年」になる方向性であろうかと思われます。

金になる「ぼくのかんがえたさいきょうのプライバシー」

一方,そういうレベルの話とは全く独立に動いてきた「プライバシー」関連の動きも2021年には多く見られました。その多くは,全体的にバランス良く考慮しなければならないプライバシーのいち側面だけを取り出して強調することにより,⁠ぼくの考えた最強のプライバシー」を実現しようという形態として整理ができるものです。

その代表例がCookiesによるトラッキングの脅威を強調し,その規制に走る動きです。確かにCookiesはトラッキングに使われており脅威ではあります。しかし,その一方では多くの有用なセキュリティ機能も提供しています。これらは逆にプライバシーを守るものでもあるのです。また,プライバシーを守るということは事業者をまたがったトラッキングを防ぐことだけではないのは言うまでもありません。

この逆に,事業者をまたがったトラッキングは許容するが,データ提供者によるトラッキングは許さないというスタンスもあります。昨今の一部のDID(非集中アイデンティティ⁠⁠/VC(検証可能クレデンシャル)のセクター別識別子(PPID)を諦めたり,選択的提供を諦めたりする動きなどに顕著です。更には,分散型でウォレットを中心にはするが,政府当局はすべてトラッキングできるという「自己主権型アイデンティティ」も出てくるという具合で,それらを主張するひとびとの「変わらぬ下心」には感嘆の声をあげざるを得ません。

このようにある側面のみを強調した主張がなされるとき,それによって誰が金銭的利益や政治的利益を享受するのかも合わせてみることが重要であろうかと思います。すでに実行に移された施策に関しては,実際に利益の変動などからその影響をみることもできますので,ご興味のある方はぜひ数字を追ってみてください。

こうしたことを前提におきながら以降,プライバシー標準の現状に関して概観していきます。

「トラッキング」を定義する:ISO/IEC 27551

昨年の新春特集でDIS (Draft International Standard) になることを報告したISO/IEC 27551(﨑村がメインエディタです)が予想よりも早く国際標準として発行されました。この文書のタイトルは「連結不能属性ベース認証」で,⁠認証」の規格のように見えますが,実際には文書の殆どを「連結不能(≒トラッキング不能⁠⁠」とは何かということの議論に費やしています。もともとは「匿名認証」ということからスタートした議論で,その過程で「匿名って何?」という議論になり,そこを精緻化しなければ前に進めないということで作られた文書なのでそうなっています。

トラッキング不能というときには,誰から見てトラッキング不能かを明示しなければなりません。ISO/IEC 27551はこのことを,情報提供者,ユーザ,情報受領者というロールを設定し,情報提供者単独,情報受領者単独,情報提供者と情報受領者が結託した場合等々にケース分けし,ある程度精緻に論じています。

トラッキング,匿名,仮名といったことを議論するには,まずこれを土台にして,その上に重ねていくのが良いのではないかと思います。

著者プロフィール

崎村夏彦(さきむらなつひこ)

米国 OpenID Foundation 理事長。MyData Japan 理事長。
個人の手に個人の情報をコントロールする力を戻す,Power to the Peopleを実現するために,デジタル・アイデンティティに取り組んでいる。

URL:https://www.sakimura.org/

バックナンバー

新春特別企画

  • 2022年のプライバシー標準

バックナンバー一覧