gihyo.jpサイトのロゴ

新春特別企画

2022年のプライバシー標準

2022-01-04

あけましておめでとうございます。@_natこと崎村夏彦です。2022年の年頭にあたり、2021年のプライバシー関連の動きを振り返り、その上で2022年を展望してみたいと思います。

データ倫理が意識された年

2021年は、社会の様々なセクターを横断してAIやIoTを駆使する昨今のデータ駆動型イノベーション関連の進展が、データの共有と再利用の重要性をかつてないほど高めてきた年でした。新型コロナ禍は、公共のためのデータ収集と利用の有用性をわたしたちに意識させることになりましたし、一方では、大量の個人関連情報の蓄積・処理が持ちうる、⁠プライバシー」「人々の自由・価値観」「民主主義に対する脅威などに関する懸念」もクローズアップすることになりました。これらの中には、消費者保護、公正な競争、責任の負担、データ収集・処理の能力に起因する新たなデジタル・デバイドも含まれます。

こうしたことは欧米ではすでにアジェンダとして上がってきており、個人情報の処理を律するGDPRだけでは不十分であるとして次の一歩を模索する動きが始まっています。これには、ある集団に対するデータの再識別による影響であるとか、⁠法的に許される」データ処理の人々への影響などという形があり、データ倫理の問題として取り上げられるようになってきています。

実際、12月9日、10日に行われたOECDのデータガバナンスとプライバシー作業部会のエキスパート・ワークショップは「倫理とイノベーティブなデータ利用とのバランス」がテーマになり、すでにデンマークでは企業がデータ倫理規定を制定することを法令で要求するとともに、D-Sealという認証システムが開始されていることなどが紹介されました。こうしたことは、その後引き続き行われたOECDのHigh-Level会合でも再確認されており、このような観点では、2022年はデータ倫理の側面がより意識されてくる年、いわば「データ倫理元年」になる方向性であろうかと思われます。

金になる「ぼくのかんがえたさいきょうのプライバシー」

一方、そういうレベルの話とは全く独立に動いてきた「プライバシー」関連の動きも2021年には多く見られました。その多くは、全体的にバランス良く考慮しなければならないプライバシーのいち側面だけを取り出して強調することにより、⁠ぼくの考えた最強のプライバシー」を実現しようという形態として整理ができるものです。

その代表例がCookiesによるトラッキングの脅威を強調し、その規制に走る動きです。確かにCookiesはトラッキングに使われており脅威ではあります。しかし、その一方では多くの有用なセキュリティ機能も提供しています。これらは逆にプライバシーを守るものでもあるのです。また、プライバシーを守るということは事業者をまたがったトラッキングを防ぐことだけではないのは言うまでもありません。

この逆に、事業者をまたがったトラッキングは許容するが、データ提供者によるトラッキングは許さないというスタンスもあります。昨今の一部のDID(非集中アイデンティティ⁠⁠/VC(検証可能クレデンシャル)のセクター別識別子(PPID)を諦めたり、選択的提供を諦めたりする動きなどに顕著です。更には、分散型でウォレットを中心にはするが、政府当局はすべてトラッキングできるという「自己主権型アイデンティティ」も出てくるという具合で、それらを主張するひとびとの「変わらぬ下心」には感嘆の声をあげざるを得ません。

このようにある側面のみを強調した主張がなされるとき、それによって誰が金銭的利益や政治的利益を享受するのかも合わせてみることが重要であろうかと思います。すでに実行に移された施策に関しては、実際に利益の変動などからその影響をみることもできますので、ご興味のある方はぜひ数字を追ってみてください。

こうしたことを前提におきながら以降、プライバシー標準の現状に関して概観していきます。

「トラッキング」を定義する:ISO/IEC 27551

昨年の新春特集でDIS (Draft International Standard) になることを報告したISO/IEC 27551(﨑村がメインエディタです)が予想よりも早く国際標準として発行されました。この文書のタイトルは「連結不能属性ベース認証」で、⁠認証」の規格のように見えますが、実際には文書の殆どを「連結不能(≒トラッキング不能⁠⁠」とは何かということの議論に費やしています。もともとは「匿名認証」ということからスタートした議論で、その過程で「匿名って何?」という議論になり、そこを精緻化しなければ前に進めないということで作られた文書なのでそうなっています。

トラッキング不能というときには、誰から見てトラッキング不能かを明示しなければなりません。ISO/IEC 27551はこのことを、情報提供者、ユーザ、情報受領者というロールを設定し、情報提供者単独、情報受領者単独、情報提供者と情報受領者が結託した場合等々にケース分けし、ある程度精緻に論じています。

トラッキング、匿名、仮名といったことを議論するには、まずこれを土台にして、その上に重ねていくのが良いのではないかと思います。

ユーザ中心のプライバシー設定管理フレームワーク:ISO/IEC DIS 27556

個人情報の取り扱いは、同意によるものだけではありません。他の合法な根拠もあり得ます。しかし、このような場合でも当該ユーザの意向を汲んだ形での透明性確保や処理方法の変更などを行うことが考えられます。

ISO/IEC 27556はこうしたことを包括的に考えるための枠組みを与えるもので、KDDI総合研究所の清本博士がメインエディタを務めています。この枠組では、⁠本人(PII principal⁠⁠」が「プライバシー設定(Privacy preference⁠⁠」を通じて個人情報の処理に対して影響力を行使していく形になっており、あらたに「プライバシー設定管理者(Privacy preference administratros, PPAs⁠⁠」というロールと「プライバシー設定マネージャ(Privacy Prefernece Manager, PPM⁠⁠」というコンポーネントが導入されています。

PPMは、1) 同意情報管理、2) プライバシー設定管理、3) データフロー管理ルール生成、4) 透明性管理の4つのサブコンポーネントをもっており、表題の機能を提供します。また、こうしたことを考える上では、常にISO/IEC 29100プライバシーフレームワーク(JIS X 9250)を意識するように求められます。⁠ぼくのかんがえたさいきょうのプライバシー」にならないためにこうしたことは重要です。

10月の国際会議でDISに進むことが決まり、現在投票期間中です。DISですので、規格策定に参加されていない方でも購入・入手できるようになっています。

プライバシー向上のための非識別化フレームワーク:ISO/IEC DIS 27559

日本でも匿名化や仮名化という言葉がしばしば使われます。しかし、その意味するところはあいまいであることが多く、それゆえに「匿名化してあったはずが……」というような事故が起きています。じつはこれは日本に限らないことで、欧米でも同様です。

ISO/IEC DIS 27559はこうした状況の改善のために規格化されている文書で、プライバシーの向上に寄与する非識別化(匿名化は非識別化の一種です)とはどういうことを考慮しておこなわなければいけないかということを記載しています。ISO/IEC 27551が非連結化(匿名化など)ということはどういうことかという概念を整理しているのに対して、この規格では、具体的にどういうことをすればよいかということを整理しています。

このために、この文書では次の項目に関しての説明を提供しています。

  1. データアセスメント(攻撃者が得ることができると思われる対象個人の性質、データの形式、個別属性の性質、データセットの性質などを評価)
  2. 攻撃モデリング
  3. 非識別化可能性評価
  4. 対策実施
  5. ガバナンス

この文書も10月の国際会議でDISに進むことが承認されており、規格策定者以外でも購入できるようになっています。⁠匿名化したデータを」というようなことを言いたい場合、最低限この規格で論じていることくらいは検討すべきでしょう。

Grant Management for OAuth 2.0

昨年の新春特集で取り上げた、データの選択的提供のためのきめ細やかな認可とそれを可能にするAPIを実装するための規格「Grant Management for OAuth 2.0」が2021年、1st Implementer’s Draft として承認されました。1st Implementer’s Draft とはOpenID Foundationの規格書承認に向けた一歩で、知見を提供した人々が、この文書に入っている技術に関して特許不行使を確認するステップです。45日間のパブリックレビューを通じて承認されます。この結果、規格書案に入っている技術を実装しても、規格書案に沿っている限りは、実装者は特許料請求などはされないことになります。

この規格を中心的に推進しているのはオーストラリアの消費者データ標準関係者です。多くのデータ提供メカニズムでは、データの提供を止める場合には、データ提供者側にユーザ(本人)が行って画面操作をする形になっています。たとえば銀行から家計簿ソフトにデータを自動連携しているような場合には、その銀行のサイトに行って作業する形です。データ受領者が1箇所だけからデータを取得して処理するようなモデルであればこれでも良いのですが、データ受領者が多数のデータ提供者からデータを取得するような場合には、ユーザ本人が個別にすべてのデータ提供者に行って制御しなければならなくなります。これはかなり面倒です。

データ提供者側での直接制御とデータ受領者側での間接制御

そこで、オーストラリアの消費者データ標準では、データ受領者側からAPIを経由してデータ提供者側の設定を変更できるようにすることを要求しています。これを実装するための技術規格がGrant Management for OAuthになります。

Implementer’s DraftはOpenID Foundationのサイトから無償で取得可能です。

データ倫理元年へ向けて

冒頭で紹介したOECDのワークショップで、わたしの注目を特にひいた言葉がいくつかありました。

  • データ倫理を考えるときには、個人情報保護の延長としてではなく、データ公正性の観点から考えたほうが良い。個人とともに集団への影響について考えること。
  • 実際の処理の内容だけでなく、それが人々にどのような感覚を与えるかを考える必要がある。実際に監視しなくても監視されているような感覚を与えるだけで人々の行動を変えることができてしまう。
  • 「害するなかれ」原則には問題がある。多くのイノベーターは「わたしはそれで構わない」と思うが、多くの場合彼らは恵まれた人々であり、そのイノベーションによって害される立場になかったり、より大きな利益を得る立場にある。相対的影響度に注目する必要がある。
  • データ処理の対象となる権利の検討は重要。多くの場合恵まれない人々は無視され、それが大きな害を成す。
  • 法令は常に遅れている。倫理は法令のさきがけになる。
  • データ倫理は法令以前、最中、以後をカバーする。
  • 非個人情報に対するData Trusteeの役割の再考が必要。
  • チェックリストをチェックするのではなく、処理に関する様々な立場からの批判的熟慮が重要。このためにはデータ倫理審査会をいかに構成・運用するかが重要。

今年わたしが進めていく標準化・規格化にも、こうした観点を常に入れながら進めていきたいと思っています。みなさんも、業務の上で、時には立ち止まってこれらのことも考えていただければ幸いです。

おすすめ記事

記事・ニュース一覧