去る1月27日、FTC(連邦取引委員会)は、Internet of Thingsとプライバシー・セキュリティに関するレポートを公表しました。結構みんなが待ってたヤツです。
リリースはコチラ
レポート自体はコチラ
インターネットにつながる機器は、2015年には250億個、2020年には500億個に上ると予測される、といって始まるこちらのレポート。
ページ数はExecutive Summaryを除けば55ページ。日本の役所が出してるのよりお手軽です。内容も読みやすくとっつきやすいです。
IoTに関する政府の公表物はこれまで多くはなかったし、プライバシーの総本山の1つであるFTCのまとめということで、現時点の議論の到達点を記録する、最大公約数的なものとして、そこそこの画期的さと相当の重要性を持つレポートだと思われます。
なお、このレポートは2013年11月19日に開催されたワークショップ(WS)での議論のまとめという枠組みを取りつつ、FTCとして考えるベストプラクティスを織り込んでいるということ(このベストプラクティスという表現はクセモノです。)に留意が必要です。あと、基本的にBtoCを念頭においていて、BtoBは対象外になっていることも初めに断りが入っています。
まず、Executive Summaryの部分を簡単にまとめてみます。以下意訳ご容赦ください。
* * * * * * * * * * * * * * * * * *
1.Security
データセキュリティに関して推奨されるベストプラクティスは以下のとおり:
(1) Security by Design=開発の一番最初の段階から情報セキュリティの構築をスタートさせなければならない。これには、以下を含む。
a) プライバシー又はセキュリティアセスメント
b) 取得・保有情報を最低限に抑える(Data Minimization)
c) 製品ローンチ前にセキュリティ対応をテストする、を含む。
(2) 従業員のトレーニング
(3) 合理的セキュリティを維持できる外部委託先の利用
(4) リスク発見時の対応
(5) アクセスコントロール
(6) 製品のライフサイクル全期間にわたるモニタリング
2.Data Minimization
賛否はあったが、基本的には、収集・保有する情報は減らすべきだし、不要になったデータは消去すべき。これにより、事業者の内外からのデータ窃取のターゲットになりにくくなるし、目的外・想定外データ使用も減るだろう。
もっとも、将来におけるデータ活用によるベネフィットとプライバシー保護のバランスを考えたとき、ここで推奨するData Minimizationはフレキシブルなものであり、非匿名化等の複数のオプションを与えるものだ。
3.Notice and Choice (後述)
4.立法
現時点での、IoTに特化した立法は時期尚早だ。もっとも、FTCとしては、連邦議会に対し、情報漏えい時に、当局の法執行手段と、消費者に対する通知を提供する、強力かつ柔軟、そしてTechnology-Neutralな連邦法の制定を改めて提案する。
* * * * * * * * * * * * * * * * * *
次に、Executive Summary以外で小生が気になった点を中心にピックアップしてみます。
P10 -14 (Benefits & Risks>Risks)
* * * * * * * * * * * * * * * * * *
IoTに関わるリスクというのは、以下の3つに整理できる。
1 不正アクセスと個人情報の誤使用
2 他のシステムに対する攻撃を容易にする(例、DoS攻撃)
3 安全上のリスク(例、ネットにつながったインスリンポンプや自動車を誤作動させる)
そして、これらのリスクは、以下の2つの理由により、通常のパソコン等の場合よりも、対応が難しい:
1 IoT市場に参入する会社はセキュリティ問題についてあまり経験がないかもしれない
2 IoT機器は廉価で使い捨てのものも多いので、製造後にアップデートやパッチ適用等によって対応することが難しいし、できたとしても、消費者はそれに意を払わない。そもそも、Low-Endな機器の開発会社は、そのような継続的サポートやソフトウェアアップデートを行う経済的インセンティブがないかもしれない。
* * * * * * * * * * * * * * * * * *
(でも、それは問題だろう。)
P19 - (Application of Traditional Privacy Principles>Summary of WS Discussions)
* * * * * * * * * * * * * * * * * *
特にData Minimizationと、Notice & Choiceに関して、現在のFIPPs(Fair Information Practice Principles)をIoTにも同じく適用できるのかについて議論がなされた。
Data Minimizationは、収集・維持するデータを制限し、不要になったデータを消去するという考え方であるが、若い会社にとってはどのデータを制限すればいいか考えなければならないことでイノベーションが阻害される、あるいは、IoTのポテンシャルそのものを制限するものだとの懸念が表明された。目的の特定や使用制限のルールは厳格すぎるとの意見も出た。
Notice & Choiceに関しては、IoTにおけるデータ収集のユビキタス性からすれば、現状のルールは実際的ではない、事業者にとっても消費者にとっても毎回同意をするのは負担が大きい、などの意見も出た(たとえば運転中にNoticeは読めない、など)。また、スクリーンがない又は非常に小さい機器については、Noticeを提供すること自体非常に難しい。
* * * * * * * * * * * * * * * * * *
P39- (Application of Traditional Privacy Principles>Commission Staff’s Views and Recommendation for Best Practice)
* * * * * * * * * * * * * * * * * *
新しいテクノロジーのもとでも、Notice&Choice(≒通知と同意)は重要だ。IoT時代には、ユビキタスなデータ収集、そしてインターフェース(≒ディスプレイ等)の不存在により、従前のNotice & Choiceのプラクティスはなかなか難しい面があるが、実施は可能である。まず、全てのデータ収集にChoiceを提供しなければならないわけではない。このことはFTCも認める。
具体的には、事業者は、もともとの取引や消費者との関係性と矛盾しない/整合する実務(practice that are consistent with the context of a transaction or the company’s relationship with the consumer)のためにデータを収集又は使用する場合には、事前にChoiceを提供することを強制されない。
例えば、A社が提供する、あるスマート・オーブンを考えよう。このスマート・オーブンは、アプリと連動しており、アプリを通じて家の外からでも操作ができる。A社が、消費者のオーブン使用に関する情報を、オーブンの温度センサーの性能向上や当該消費者に別の商品を勧めるのに使用する場合、これらの使用について、A社は消費者にChoiceを提供する必要はない。消費者との関係性と矛盾しない/整合するからだ。 これに対し、もしA社が消費者のパーソナルデータをデータブローカーや広告ネットワークに提供する場合、そのような提供は消費者との関係性と矛盾する。したがって、消費者にChoiceを与え(て同意を得)なければならない。
ユーザーインターフェースがない機器に関しては、実務的にChoiceを提供するのに困難を伴うが、WSでは以下のような手法が議論された。
■Choices at Point of Sale
製品販売時におけるChoice提供
■Tutorials
プライバシーセッティングに関するビデオチュートリアル(例、Facebook)
■Codes on the Device
製品にQRコードを添付してウェブサイトへ誘導→Choice提供
■Choice during Set-up
セットアップウィザードにてChoice提供
■Management Portals or Dashboards
アプリ等によるダッシュボードでプライバシー設定等を可能に
■Icons
簡単に設定等を操作できるアイコン又はボタン
■”Out of Band” communications requested by consumers
Eメールやショートメールの活用
■General Privacy Menus
プライバシー設定をいくつかのパッケージにする
(プライバシーレベル低/中/高から選ぶようにして、内容につき別途明確な説明を提供するなど)
■A User Experience Approach
例えば、2個以上のIoT機器を提供しているメーカーは、1つの機器についての消費者の好み (例、私の情報は一切第三者に提供してはいけない)を別の機器についてもデフォルト設定にする。また、消費者の過去の行動パターンから、新たに追加された機器について、将来のプライバシー設定に関する「好み」を予測する。このように、消費者の行動から事業者が学習していく方法。
* * * * * * * * * * * * * * * * * *
「新しいものが世の中に生まれ既存のルールでは扱いきれなくなったとき、次のステップとして必要なのは技術を「だめ」というのではなくルールを変えていくこと」が、日本から新しいイノベーションを生み出すために必要だという話(上田学氏)を目にしたばかりだったのですが、そういう意味では本レポート、息苦しすぎるやん、という印象を持った方もいるかもしれません。WS当日もそのようなアツイ意見が結構あったように見受けられます。
とはいえ、Security by DesignとData Minimizationについては、(いずれもこれまで見たり聞いたりしたことのある内容ではあるものの)個人的には、ここまで明確に大正義として掲げられたことが重要なことなのだろうと感じられます。今後、この2つの原則の違反によって生じるリスクの「質」が格上げされることが予想されます。
「ベストプラクティス」とは、聞いたことのある日本語です笑。このレポート自体は、法令ではなく、法的な拘束力があるわけではありません。したがって、遵守しなくてもそれだけでFTCに怒られるということはないのでしょう。ただし、このベストプラクティス未満の対応と、不公正(unfair)あるいは欺瞞的(deceptive)なビジネス手法とあいまった場合、FTCのエンフォースメントが発動される可能性は高まったといえるかもしれません。
近い将来少なくとも米国では、本レポートに記載のベストプラクティスが重要なエンフォースメントの基準あるいは着眼点となるかもしれないという認識が必要だと思われます。
Notice&Choiceについては、サービスや製品のみならず、どうやって通知と同意を実施するか、それについてもクリエイティビティが求められているなと。通知と同意取得は基本的にどの国でも問題となることですので、本レポートの内容は、ベースラインとなるプラクティス例として、日本の事業者も知っておかなければならない内容じゃないかなと思います。
IT、プライバシー、FTC、などなどについては、今後も(長文にならないように)書いていきたいと思います。