「データ保護規制の最前線」第8回目。
IoT活用時のリスクに備えるため、開発段階におけるプライバシー対策として検討すべきポイントを解説します。
本連載は、日刊工業新聞(2021年10月~12月)に連載された記事の転載となります。以下の文章は原則連載時のままとし、場合によって若干の補足を加えて掲載しています。
IoTデータ活用時のリスク対応
昨今の技術進化に伴い、人工知能(AI)やIoT(モノのインターネット)などの新しい技術が、さまざまなサービスの一部として世の中に浸透している。
IoT機器から収集したデータは、機器の操作情報や家電のオン・オフの情報など、一般的にそれら単体の情報で個人を特定することは難しい。しかし、個人の誰かの情報や人が操作した情報は、特定できる場合が多い。何らかの形で個人の識別子と紐づけられ、プライバシー侵害につながるリスクがある。
さらにIoT機器は、物理的な機器の制約などにより、サービス・商品などをリリースしてから仕様の変更を行うには相当の手間を要するケースが散見される。
このような性質から、IoTデータを活用したサービスは、開発段階でプライバシーへの対応(プライバシー影響評価)を検討しておくことが極めて重要である。プライバシー影響評価は、欧州の個人情報保護法であるDPIAなど各国の規制でも実施を義務付けている。ただし具体的な評価方法までは明記しておらず、多くの企業が対応に悩んでいる状況だ。
実務としての「Step1」では、IoT機器の定義や取り扱う情報の対象を決めておく必要がある。IoT機器は、センサーを搭載したデバイスやスマートウォッチ、家電製品など、通信を通じてデータを収集するものと定義することが多い。取り扱う情報の対象は、上述のとおり、個人の誰かの行動や操作に関連する情報であれば、プライバシーリスクがあるものと認識すべきである。
「Step2」では、利用者への影響度からリスクを検討するとよいだろう。特にIoT機器は、利用者からその仕組みやデータの取扱い内容が認識されづらいため、サービスの複雑性の観点も考慮する必要がある。
たとえば、赤外線カメラで体温データを取得し、その人の体温のみを判断している場合はリスクが低いが、その体温データと別のデータを掛け合わせて個人の特性に関する分析を行ったり、その情報を販売したりした場合は、前者よりもリスクが高くなると考える。
「Step3、4」では、評価したリスクの大きさに応じて、プライバシー対策の要否や程度(どこまで手厚い対応を行うか)を検討し、その結果を記録する必要がある。ポイントは国内を含む各国の法令の要求事項を軸に整理することであり、特にIoT機器固有の問題を考慮する必要がある。
たとえば、ユーザーへのプライバシーポリシーや利用規約などの通知、同意が取得しづらい場合や、ユーザーが自らの情報にアクセスできないといった事態が典型例だ。どういった方法でユーザーに対してコンタクトし、説明の義務を果たすかについて丁寧に検討することが求められる。
<IoTに関するプライバシー影響評価実施手順例>
| Step1 | 評価の対象要否判定 →当該企画・サービスが評価の対象か? |
| Step2 | リスク評価 →どのくらいのリスクがあるか? |
| Step3 | リスク対応 →リスクに対してどのような対応が必要となるか? |
| Step4 | リスク対応結果の記録 →実際にどのように対応したか? |
日刊工業新聞 2021年11月26日掲載(一部加筆・修正しています)。この記事の掲載については、日刊工業新聞社の許諾を得ています。無断での複写・転載は禁じます。
