PRIVACY BY DESIGN … TAKE THE CHALLENGE (日本語訳) Ann Cavoukian, Ph.D カナダ オンタリオ州 情報・プライバシーコミッショナー Ver 1.0 堀部政男 監訳 一般財団法人日本情報経済社会推進協会 編訳 本著は、“PRIVACY BY DESIGN… TAKE THE CHALLENGE”を訳したものである。オリ ジナル版と日本語版で不一致が認められる場合、オリジナル版のテキストが有効である。 本翻訳は参考のための日本語訳であり、正確には原文(http://www.privacybydesign.ca/cont ent/uploads/2010/03/PrivacybyDesignBook.pdf)を参照されたい。 日本語翻訳協力:次世代パーソナルサービス推進コンソーシアム 東京工科大学 准教授 村上康二郎 株式会社 KDDI 総研 (高崎 晴夫、泉 健太郎) 株式会社 KDDI 研究所 (中村 徹) デジタル・アドバタイジング・コンソーシアム株式会社 (永松 範之、 原田 俊) 株式会社電通、ISID-AO 本翻訳は、JIPDEC(一般財団法人日本情報経済社会推進協会)が、プライバシー・個 人情報保護の新しいグローバル・スタンダードになりつつある“PRIVACY BY DESIGN” について日本に広く認識されることを目的として翻訳したものである。本翻訳が、個 人に関する情報を安全・安心に利活用するための制度的・技術的な課題を検討する上 で、大いに参考になることを望む。 1 Introduction プライバシー・バイ・デザイン…挑戦してみよう ······················································································ 5 プライバシー・バイ・デザイン ····················································································································· 9 プライバシー保護の技術の利用に関する自説を証明するために、 アン・カブキアン・コミッショ ナーは、「強力な切り札」を迎える:プライバシー・バイ・デザイン チャレンジカンファレンス ······16 プライバシーと徹底的なプラグマティズム:パラダイム転換 ·······························································19 PETs から PETs プラスへの前進―今こそ変わるべき時····································································45 Transformative Technology プライバシー保護転換技術がセキュリティとプライバシーの両者を実現する:ゼロサムではなく、 ポジティブサムの思考を···························································································································52 プライバシーと公共交通機関のビデオ監視:特別調査報告 ····························································58 バイオメトリック暗号:強力な認証、セキュリティおよびプライバシーを達成するポジティブサム技 術 ······························································································································································· 105 RFID 情報システム向けのプライバシーガイドライン(RFID プライバシーガイドライン) ············ 142 RFID とプライバシー:医療機関向けのガイダンス ··········································································· 148 高機能運転免許証の RFID タグを作動させるオン/オフのデバイスの付加:プライバシーとセキ ュリティの両者を実現するオンタリオ州製のプライバシー保護転換技術の開発 ······················· 190 高機能運転免許証を作成するための、第 85 号法案(Bill 85)に関するオンタリオ州議会常任委 員会へのコミッショナーの進言 ············································································································ 194 プライバシーを損なうことなく空港セキュリティを向上させるには:カブキアン・コミッショナー は 「プライバシーフィルター」の利用の事例を作成する ······································································ 205 空港スキャナでの全身イメージング:セキュリティとプライバシー保護のためのプライバシーフィ ルターを作動させる ······························································································································· 208 Web 2.0 アイデンティティ 7 原則:プライバシーを組み込んだアイデンティティ原則の事例 ··················· 220 クラウド環境におけるプライバシー: プライバシーとデジタル・アイデンティティに関するホワイト ペーパー ·················································································································································· 240 2 プライバシーとオープン・ネットワーク・エンタープライズ ································································ 258 新たな連合プライバシー影響評価(F-PIA): プライバシーと信頼できる連合体の構築········· 292 Online Social Networks オンラインプライバシー:若年層の理解と教育を優先事項に ························································ 321 Facebook 上でプライバシーをどのように保護するか:ステップ・ガイド ········································ 330 リファレンスチェック:上司が監視している? プライバシーと Facebook のプロフィール機能 · 336 3 General Introduction はじめに 4 プライバシー・バイ・デザイン…挑戦してみよう Ann Cavoukian 博士 カナダ オンタリオ州情報・プライバシーコミッショナー はじめに 私は、多年にわたり、プライバシーは自由で民主的な社会を構築するための不可欠な基盤を構 成するものであると主張してきた。私たち自身に関する情報の収集、利用、そして提供をコントロー ルすることができる私たちの権利は、私たちのその他の自由―結社の自由、移転の自由、生き方 を選択する自由―の拠り所になっている。したがって、私たちのプライバシーを維持することは、私 たちがしばしば当然視するもの―私たちが生活する開かれた社会の意味を明確にする自由(フリ ーダムとリバティ)―を維持することになるのである。 私は、このように考えているからこそ、長い間個人のプライバシー権に関心を持ち続け、献身的 にその理念を強力に追求し続けることができるのである。 私は、長期間、プライバシーの世界におけるさまざまな進展を見てきた。私は、ほんの 20 年前に は誰も予測できなかったような、プライバシーの世界の変化を見てきた。そして、それらの変化に伴 い、とりわけ、急速に展開するバイオメトリクス、RFID、オンライン・ソーシャル・ネットワーク、クラウド コンピューティング、プライバシーやその権利を効果的に行使することに対して新たな課題を突き 付けてきている。 しかし、テクノロジーは必ずプライバシーの侵害に結びつくものだと主張する評論家もいるが、私 は、彼らとは異なり、テクノロジーは本来中立的なものだと長い間考えてきた。テクノロジーはプライ バシーをなし崩しにするものとして使うこともできるが、それと同じくらい、プライバシー強化技術 (Privacy-Enhancing Technologies、以下「PETs」と記す)を用いてプライバシーを保護することもで きるのである。PETs とは、私が 1995 年にオランダのデータ保護庁(Netherlands Data Protection Authority)と一緒に考案した用語である。PETs の概念は、より深遠な哲学に基づいていた―すな わち、それは、テクノロジー自体の設計仕様においてプライバシーを埋め込み、それにより常にそ の存在感を維持しようという哲学である。 1990 年代においても、プライバシーの保護のためには、規則や政策だけではもはや十分ではな い時代になっていたことは私にとっては明らかであった。情報技術がますます複雑になり、相互に 接続されるようになると、私の見解では、システムの設計にプライバシー権を組み込まなければ不 5 十分であった。そこで、プライバシーをテクノロジー自体に埋め込み、さまざまな PETs を通してそれ をデフォルトとする「プライバシー・バイ・デザイン」という概念を開発した。当時はこのようなアプロー チは、かなり論議を呼ぶものであると思われたが、現在では主流になっている。 近年、私は、PETs の概念を発展させ、新しい要素である「ポジティブサム・パラダイム」を加え、 「PETs プラス」(PETs Plus)を考案した。プライバシーとセキュリティ、あるいはプライバシーとビジネ ス慣行が対抗関係に置かれる一般的なゼロサムモデルは必ず失敗し、プライバシーも実現されな い。しかし、そのパラダイムを、プライバシーとセキュリティとを同時に発展させる包括的なポジティ ブサムモデルに変えることで、プライバシーの未来がより確かなものになる。PETs プラスは、プライ バシーを向上させ、ユーザーの信頼を構築するための基盤、設計、そして構造の役割を担うことに なる。これをさらに具体的に発展させることで、私が提唱する「プライバシー保護転換技術」 (Transformative Technologies)を実現することができる。プライバシー保護転換技術は、プライバシ ーを害してしまうような技術を、プライバシーを保護することができる技術に全面的に変え、ポジティ ブサムを実現する力を持っている。 私たちの急速に変化する世界は、プライバシーを現在もまた将来にわたっても保護するための 最適な方法に関する有力な見解を疑問視させるようになるために、このような展開が生じるのであ る。このような展開の主な特徴は、個人のコントロールは個人情報の保護においてますます小さな 役割を果たすにすぎなくなるであろうことを認識していることである。Web 2.0 では、ユーザーの顧 客接点はますます小さくなっているので、コントロール機能はシステムの内在的な部分とならなけれ ばならない。 このような展開を通して変わらないことは、プライバシー・バイ・デザインのない未来―プライバシ ーが注意深くまた一貫して技術の構造そのものに統合されていない未来―はプライバシーが消滅 するであろう未来であるという私の固い信念である。そして、それとともに、私たちが当然視している 基本的な自由の多くも浸食されるであろう。 この論集は、プライバシー・バイ・デザインの分野における私の事務局(オンタリオ州情報・プライ バシーコミッショナー事務局)の最も重要な作業のいくつかを集大成したものである。それは、私た ちが過去 2 年間にわたり特に活動的であった分野である。RFID やオンライン・ソーシャル・ネットワ ーキングのようないくつかの新技術が爆発的に普及し、それらがプライバシー保護態様でどのよう に運用され得るについて問題提起をしている。 この作業の過程において、私たちは、意識啓発をし、技術への責任あるアプローチの展開を奨 励するために、IBM、Intel、Hewlett-Packard、および Facebook のような第一線で活躍している企業 と密接に強調し、強いパートナーシップを築いたことは幸いであった。これらのパートナーシップの いくつかの成果は、この論集に出てくる。 私の事務局が、これからも、引き続き積極的に、PETs プラス の展開と理解を奨励することを大 6 いに期待している。しかしながら、私たちを取り巻く環境がますます複雑になり、プライバシーに対 する脅威の特定がますます難しくなると、これから向かうべき方向は、プライバシー・バイ・デザイン の統合された拡張的なモデルの指向である。 これまで、情報技術の中にプライバシーを組み込むことに主に着目してきた。その一方で、私た ちは官公庁や民間のさまざまな組織とより密接に協調し始め、ビジネス慣行や物理設計の中にプ ライバシーツールを構築するようにもなった。情報漏えい防止規約から病院の待合室のレイアウト まで、最初から設計の基本概念としてプライバシーを取り扱い、他の運用上の目標と並んでプライ バシーの目的に到達する機会は多く存在している。 私は、これをプライバシー・バイ・デザインのトリロジーと呼んでおり、このような方向性が、プライ バシーの利益はゼロサムモデルでは機能しないという考え方を強固にすることを心から望んでいる。 私たちは、セキュリティや透明性のような他の目的とプライバシーをトレードオフする必要はない。 何かを多く所持していると、もう一方の何かが少なくなってしまうという必要はなく、むしろ全く逆であ る。実際のところ、その両方を維持することは可能であり、望ましいことであり、また、実行できる。こ のことは、以下の頁に記述したプライバシー・バイ・デザインの諸原則をきちんと適用することにより 達成できると私は考えている。 私は、読者の職業や関係する技術にかかわらず、ここに集めた論文が示唆に富むものであるこ とを見い出すことを願っている。また、私は、プライバシーと技術の相互作用の方法について考え ていただければと思う。本書は、私の事務局が実施した作業の一例にすぎないが、最善を尽くした 結果でもある。私たちの他の活動の詳細については、www.ipc.on.ca を参照して欲しい。プライバシ ーと自由とのバランスが取れた未来が続くことを願う。 7 Privacy by Design プライバシー・バイ・デザイン 8 プライバシー・バイ・デザイン 2009 年1月 私が最初に「プライバシー・バイ・デザイン」という用語を考案したのは 1990 年代である。その頃 は、技術の設計にプライバシーを埋め込むというような概念はまったく関心がなく、厳しい規制を用 いる手法が好まれる時代であった。その後、状況は大きく変化した。本稿は、現在では一般に認め られているようになった手法であるプライバシー・バイ・デザインの考えや、どのような経緯で確立さ れてきたかについてまとめたものである。 プライバシー・バイ・デザインとは何か。 簡単に言うと、プライバシー・バイ・デザインとは、さまざまな技術の設計仕様にプライバシーの考 え方を内包する哲学と、その手法のことである。このことは、情報処理技術とシステムの設計、操作、 およびマネジメントに対し、公正情報取扱い(Fair Information Practices、以下「FIPs」と記す)の原 則を適用することによって達成することができる。従来、この手法を適用する領域は技術が主であ ったが、プライバシー・バイ・デザインでは他の二つの領域にも適用範囲を拡大する。つまり、(1) 技術、(2)ビジネス慣行、そして(3)物理設計の三つの領域に適用することができる。 プライバシー・バイ・デザインは広い包括的な概念であり、以下のようなさまざまな要素を含むも のである。 1. プライバシーに対して関心を持ち、その問題を解決しなければならないということを認識する 2. プライバシー保護の普遍的範囲を表現する基本原則を適用する 3. 情報技術とシステムの開発時に情報ライフサイクル全体を通したプライバシー問題の早期に 発見し、軽減する 4. プライバシーに係る指導者や、有識者から情報提供が必要である 5. PETs を取り入れ、統合していく プライバシー・バイ・デザインに関する IPC の主張 オンタリオ州情報・プライバシーコミッショナー事務局では、上記の要素の啓蒙活動をこれまで継 続している。具体的には以下に列記する。 1. プライバシーに対する関心と問題を解決することにより、もたらされる利益を認識す る プライバシー・バイ・デザインでは、まず優れたプライバシーの慣例を採用したときに生まれる利 9 益と価値を理解することが第一である。1990 年代中ごろ、『プライバシーの保護は、優れたビジネス 感覚とプライバシーをつくる:電子商取引への鍵(Privacy Protection Makes Good Business Sense and Privacy: The Key to Electronic Commerce)』(オンタリオ州情報・プライバシーコミッショナー事 務局(IPC))において、個人情報を収集、利用、および提供する組織は、積極的にプライバシーの 利益と権利を守らなければならないということが主張されていた。道徳的な要請というよりも、プライ バシーを尊重することにより、すべての関係者にポジティブサムの利益が生み出されるからである。 組織には、さまざまな形の「見返り」1があるだろう。例えば、顧客満足度と信頼の向上、よりよい評判、 法的な責任の減少、より効率的な運用、商業的な利益と ROI の向上、そして、最終的には、競争上 の優位性を保つことができるのである。「プライバシーはビジネスのためである」という私たちのスロ ーガンは、私たちが一貫して主張してきたメッセージであり、これからも主張し続けるであろう。 2. FIPs の普遍的原則を適用する 技術と運用におけるプライバシーの構築は、広く認められているプライバシー原則、標準規格、 そしてその他の関連情報を参考にして、系統立った方法により効果的かつ確実に実施しなければ ならない。オンタリオ州情報・プライバシーコミッショナー事務局は、プライバシー・バイ・デザインを 実現するための原則的な手法をこれまで提案している。FIPs では、個人のプライバシー権やそれ らを守る組織の義務について、実務的な説明が提供されている。 これまでも組織の運営には常に FIPsを適用すべきであると主張してきた。それは、国家のプライ バシー法の作成のための青写真として機能してきた OECD で 1980 年に採択された『プライバシー 保護と個人データの国際流通についてのガイドライン(OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)』などの国際的な FIPs について、情報システムの 設計についても記述されているということに、1990 年代中ごろに気づいたためである。オンタリオ州 情報・プライバシーコミッショナー事務局では、この OECD ガイドラインについても、その後 1995 年 に『CSA 個人情報保護に関するモデルコード(The CSA Model Code for the Protection of Personal Information)』が「情報化時代のプライバシー保護に関するカナダの文脈と新たな挑戦」2について も支持している。 3. プライバシーの問題は、早い段階できちんと特定し、軽減する 私はこれまで「最初からプライバシーに配慮した(システムやビジネスを)構築しよう」というスロー 1 Ann Cavoukian & Tyler Hamilton『プライバシーの見返り:成功した企業は、どのように顧客の 信頼を構築するのか(The Privacy Payoff: How Successful Businesses Build Customer Trust)』 McGraw-Hill (2005) 2 民間セクターにおけるプライバシー保護モデル(Privacy Protection Models for the Private Sector(1996 年 12 月))www.ipc.on.ca/index.asp?layid=86&fid1=328 10 ガンを掲げてきた。これは、このことにより、「後からコストのかかるミスを犯し、高コストの改善が必要 となる事態を避ける」ことができるためである。私は、最も早い段階で(設計段階が望ましいが、開発 と実装の段階においても)プライバシーの問題を予め特定すべきだと主張してきた。例えば、1995 年の論文『プライバシー強化技術: 匿名への道(Privacy-Enhancing Technologies: The Path to Anonymity)』の Volume II では、「設計工程の各フェーズにおいて設計者がユーザーのプライバシ ーを保つ方法」に関する説明とフローチャートを提供している。 この手法に関する私の初期の主張については、1997 年の論文『スマートカード、光カードなど最 先端のカード:プライバシー·アセスメントを行う方法(Smart, Optical and Other Advanced Cards: How to Do a Privacy Assessment)』の内容がおそらく一番明確であろう。ここでは、「一番最初から」 プライバシーをアプリケーションに構築するためのフレームワークと方法論について述べた。この論 文の注目すべきところは、特定の技術にとらわれず、プライバシーを解決する必要性について、系 統的に政策および組織レベルで書かれているということである。プライバシー影響評価(Privacy Impact Assessment、以下「PIA」と記す)ツールや同様のガイダンスは、今日までオンタリオ州情報・ プライバシーコミッショナー事務局の軸となっている成果である。 オンタリオ州政府とカナダ政府は、個人情報にかかわるすべてのプロジェクトのための PIA の開 発と採用において先導的な役割を果たしている。オンタリオ州情報・プライバシーコミッショナー事 務局では、この分野における更に発展させた次世代ツールを今年開発した。このツールは、プライ バシーに対する危険を特定するだけではなく、その管理についても正面から取り組めるものである。 私たちのプライバシーリスク管理(Privacy Risk Management(PRM))ツールは、今年中には発表す ることができるだろう。 4. プライバシーに関する有能なリーダーや専門家の情報を利用する 私は、1995 年のオランダのデータ保護庁との共著『プライバシー強化技術: 匿名への道』では、 「PETs」という用語を考案し、技術とシステムにおいてプライバシーを構築する原則的な手法を提 供した。この論文は、情報システムの設計者向けである。情報技術やシステムがより複雑になり、組 織の運営においてより重要になっている現在、プライバシー設計の慣例、機能、そして標準規格の 適用には、高度な専門技術が必要とされる。 同時に、組織自体に関する知識や、関連するプライバシーのサブドメイン(コンプライアンス、技 術、営業活動、顧客関係)に関する知識なども、プライバシー・バイ・デザインでは必須である。私 は、献身的でしっかりとした個人情報保護管理責任者(Chief Privacy Officer、以下「CPO」と記す) または同様のポジションを設置すべきだということをこれまで主張してきた。これにより、強力なプラ イバシーに関する指導力を発揮し、その責任の所在を明らかにすることができる。 5. PETs の採用および統合 私たちの生活のあらゆる分野においてコンピューターが利用され、データがデジタル化され、ネ 11 ットワークによって繋がるようになると、プライバシーに関する新しく深い問題を無視することができ なくなってきた。しかし、それらは幸いなことに、技術によって対応することができる。プライバシー の観点において、情報通信技術(information and communication technologies、以下「ICT」と記す) は本質的には中立的なのである。問題となるのは、それらを設計・利用する際の私たちの選択であ る。ICT は、その設計の優劣により、プライバシーを害することもあり、プライバシーを向上させること もある。「PETs」は、基本的なプライバシー原則(個人データの利用の最小化、データセキュリティ の最大化、個人への権限の付与)を具体化するものである。先に述べたように、PETsは情報技術、 構造、そしてシステム設計に直接適用することができる。これは、例えば、「アイデンティティ・ドメイ ンを最小化」したり、「データベースに保存した個人データを最小化」3したりすることにより実施でき る。 プライバシー・バイ・デザインの適用 1990 年代半ば、オンタリオ州政府は、「情報ハイウェイ」の出現による利益を享受するために、高 度化する ICT とシステムを採用した。 そして、大規模な IT プロジェクトによってより多くの個人情報が収集、利用、共有、そして保持さ れるようになると、重大なプライバシーの問題も起こるようになった。 オンタリオ州情報・プライバシーコミッショナー事務局には州政府や地方自治体の運営に関する ノウハウがあり、私自身もプライバシーや技術に関する問題について活動していたこともあり、次第 に官公庁や民間の組織から相談を受け、新しいシステムの設計において早期にプライバシーの配 慮を組み込んだ構築方法について聞かれるようになった。 それからというもの、どのようなプライバシー侵害のリスクでも最小化・排除することができるようプ ライバシー設計原理の開発過程への適用に焦点を合わせた革新的な新しい技術プロジェクトのよ うな共同作業が連続した。 1997 年、私たちは、スマートカード、光カードなど最先端のカード業界と共同し、高度なカード技 術を利用するアプリケーション開発者が、プライバシー保護の原理を実用的な方法で理解・実装す ることができるようなツールを開発した。 同年、私たちは加 Ontario Transportation Capital 社と共同し、新設された電子料金徴収設備が ある高速道路(Highway 407)におけるプライバシー設計を実施した。この電子料金徴収監視システ ムは、主として自動伝票発行目的に利用されるが、私たちがプライバシーの問題について助言し、 3 Privacy-Enhancing Technologies: The Path to Anonymity(1995 年 8 月)Volume II: www.ipc.on.ca/images/Resources/anoni-v2.pdf 12 世界初の「匿名アカウント料金徴収システム」となった。 1998 年から 1999 年にかけて、私たちはオランダの Registriekamer と『プライバシーの脅威をプラ イバシー保護へ変える(Turning a Privacy Threat into a Privacy Protector)』を執筆し、知的ソフトウ ェア・エージェントのためのプライバシー設計基準をまとめた。 おそらくこれまでで最大のプライバシー・バイ・デザインプロジェクトは、1999 年から 2001 年に実 施した米司法省との共同作業「Office of Justice Programs」である。この取り組みについては、2000 年に『統合された司法制度のプライバシー設計の原則(Privacy Design Principles for an Integrated Justice System)』を発表している。この論文では、統合司法制度(刑事裁判過程、民事裁判所記録、 少年法情報、検認議事など)の設計と実装に適用するためのプライバシー設計原則がまとめられ ている。「はじめに」でも書いたように、「本稿が以下の二つの分野における議論の発端となることが 意図されている。一つ目の分野とは、司法制度のさまざまな側面におけるプライバシー設計原理と その適用可能性について。二つ目の分野とは、その設計原理方針の実装における、技術の利用 方法についてである。すなわち、技術設計者がプライバシー設計原則を実装することができるよう な、技術設計の原理についてである。」が、その要点である。 同年、これらの要素のすべてを『プライバシー・バイ・デザイン:技術に信頼を構築する(Privacy by Design: Building Trust into Technology)』にまとめた。これは、応用暗号技術研究センター (Centre for Applied Cryptographic Research (CACR))による第一回年次プライバシーとセキュリテ ィ・ワークショップにおける私のプレゼンテーションの内容をまとめたものである。 プライバシーの将来は、プライバシー・バイ・デザインにある その後、オンタリオ州情報・プライバシーコミッショナー事務局は、官公庁や民間組織にプライバ シー・バイ・デザインの重要性と必要性を理解してもらえるよう、以前にも増して活動するようになっ た。このことは、私たちが今日まで変わらずさまざまな主張、ガイダンス、そして共同イニシアティブ を続けてきた結果であり、実際、その活動はますます盛んになっている! 新しい ICT の開発・採用が加速し、個人情報の作成、普及、利用、そして保持が急激に増えるよ うになると、上記のようなプライバシー・バイ・デザインの必要性、重要性はより高まってきたと考えて いる。世界中のプライバシーコミッショナー、科学者、技術者、コンピューター科学者、民間および 公共組織、プライバシー推進者、そして社会全体に私の呼びかけが届き、何らかの反響があれば 嬉しい限りである。いつまでもプライバシーの質が改善され続け、その未来が明るくあり続けますよ うに。 13 IPC 刊行物のリスト Privacy Protection Makes Good Business Sense(1994 年 10 月) www.ipc.on.ca/index.asp?layid=86&fid1=327 Privacy-Enhancing Technologies: The Path to Anonymity(1995 年 8 月)Volume I www.ipc.on.ca/index.asp?layid=86&fid1=329 Privacy-Enhancing Technologies: The Path to Anonymity(1995 年 8 月)Volume II www.ipc.on.ca/images/Resources/anoni-v2.pdf Privacy Protection Models for the Private Sector(1996 年 12 月) www.ipc.on.ca/index.asp?layid=86&fid1=328 Smart, Optical and Other Advanced Cards: How to Do a Privacy Assessment(1997 年 9 月) www.ipc.on.ca/index.asp?navid=46&fid1=297 Privacy: The Key to Electronic Commerce(1998 年 4 月) www.ipc.on.ca/images/Resources/e-comm.pdf 407 Express Toll Route: How You Can Travel the 407 Anonymously(1998 年 5 月) www.ipc.on.ca/index.asp?navid=46&fid1=335 Intelligent Software Agents: Turning a Privacy Threat into a Privacy Protector(1999 年 4 月) www.ipc.on.ca/images/Resources/up-isat.pdf (第 5.6 節「エージェント向けの PETs 設計基準」を参照すること。) Privacy Design Principles for an Integrated Justice System – Working Paper(2000 年 4 月) www.ipc.on.ca/index.asp?layid=86&fid1=318 Privacy Impact Assessment for Justice Information Systems(2000 年 8 月) www.ipc.on.ca/index.asp?layid=86&fid1=326 Privacy by Design: Building Trust into Technology. Presentation by Ann Cavoukian, Ph.D. to the 1st Annual Privacy and Security Workshop. Centre for Applied Cryptographic Research (CACR), Toronto, Ontario, Canada (2000 年 11 月 10 日) www.cacr.math.uwaterloo.ca/conferences/2000/isw-sixth/cavoukian.ppt 14 Commissioner Ann Cavoukian Rolls Out the “Big Guns” to Prove Her Point about Using Technology to Protect Privacy:The Privacy by Design Challenge プライバシー保護の技術の利用に関する自説を証明するために、 アン・カブキアン・コミッシ ョナーは、「強力な切り札」を迎える:プライバシー・バイ・デザイン チャレンジカンファレ ンス 15 プライバシー保護の技術の利用に関する自説を証明するために、 ア ン・カブキアン・コミッショナーは、 「強力な切り札」を迎える:プ ライバシー・バイ・デザイン チャレンジカンファレンス 2009 年 1 月 オンタリオ州情報・プライバシーコミッショナーである Ann Cavoukian 博士は、何年もの間、新技 術の設計段階からプライバシーを考慮した(ビジネスやシステムの)構築するよう政府や企業に勧 めている。だからこそ、彼女は自説の証明のために、技術の世界において奥の手を出してきた。 2009 年 1 月 28 日、トロント市で開かれたプライバシー・バイ・デザイン Challenge 会議には、Intel、 IBM、Microsoft、Hewlett-Packard、Sun Microsystems、そして Facebook のような一流企業に加え、 英 Peratech 社や加 Privacy Analytics 社のような革新的なプライバシー技術を持っている新興企業 より 10 名の講演者が出席した。この会議は、プライバシーの未来を切り開く技術であると Ann Cavoukian コミッショナーが考えている、PETs の出現と改良に焦点を当てたものであった。 この会議は、コミッショナーとトロント商工会議所との共催である。コミッショナーが会議の日程を 1 月 28 日にしたのは、データプライバシーの日(Data Privacy Day)が世界中で祝われていることを記 念したものである。 「消費者がますます賢く相互に情報交換をするようになった現在、組織のプライバシーに対する 取り組みによって、その組織の成功に必要な競争力を高めることができる。」と、Cavoukian コミッシ ョナーは語った。「プライバシーは、長期にわたる既存顧客との信頼関係を醸成するための環境を 作り出すために不可欠である。同時に、新しい関係を作るための機会を創出し、それを円滑に進め てゆくためにも必須である。」 プライバシー・バイ・デザインとは、コミッショナーが、プライバシー保護技術の開発のために技術 会社の協力を求め始めた 1990 年代に考案した用語である。その後この分野は大きく進歩したが、 今回の催しに参加した 10 名の講演者はそれぞれのプライバシー保護技術を実演し、その進歩を 証明した。 招待講演者は、二つに分けられた五人構成のパネルに参加した。一つめのパネルの参加者とト ピックは以下の通り。 Jeff Jonas(チーフサイエンティスト、エンティティ分析ソリューション、IBM)「高度情報システム における責任のあるイノベーション」 16 David Hoffman(セキュリティ政策ディレクター、グローバルプライバシーオフィサー、Intel)「モ バイルコンピューターにおける個人情報の保護」 Stefan Brands 博士(首席アーキテクト、アイデンティティ&セキュリティ部、Microsoft)「クレーム ベースのアイデンティティのためのオープンプラットフォームにおける進歩」 Chris Kelly(CPO、Facebook)「Facebook Connect による Web におけるプライバシーの保護」 Victor Garcia(CTO(最高技術責任者)、加 Hewlett-Packard)「個人のプライバシーおよび企 業データの保護サービス」 二つめのパネルの参加者とトピックは以下の通り。 Khaled El Emam 博士(CTO、加 Privacy Analytics 社)「個人のプライバシーを侵害することの ない機密データの共有」 Eileen MacDonald(首席業務官、GS1 Canada)「エンハンスド・ドライバーズ・ライセンスのオン (オフ)スイッチの開発における調整的役割」 Philip Taysom(最高経営責任者、英 Peratech 社)「エンハンスド・ドライバーズ・ライセンスのオ ン(オフ)スイッチを可能にする技術」 Michelle Dennedy(CPO、Sun Microsystems)「シンクライアント・コンピューティングの進歩―終 点でデータを抹消しデータ流出を防ぐ戦略」 Tom Marinelli(CIO(最高情報責任者)・副社長、加 Ontario Lottery & Gaming 社)「顔面認識 システムにおけるプライバシー保護のためのバイオメトリック暗号の革新的利用法」 17 Privacy and Radical Pragmatism: Change the Paradigm プライバシーと徹底的なプラグマティズム:パラダイム転換 18 プライバシーと徹底的なプラグマティズム:パラダイム転換 2008 年 8 月 序文 私は 20 年間プライバシーレギュレーター(Privacy regulator)として働いてきたが、この間にプライ バシーの世界には大きな変化があり、私はそこからさまざまな教訓を得た。これまで私は、プライバ シーの向上に関する私の意見や手法をよりよいものにするために常に努力してきた。 現在私たちは、生活や相互に関わりあう方法を変えるような、世界を変える大きな変化―ICT の 開発によりもたらされた変化―に直面していると言えるだろう。 当然ながら、概念や権利としてのプライバシーも変化している。この変化は、私たちが絶えず適 合しなければならない変化である。私たちは過去の経験から学び、初期のプライバシー法の作成 者には考えることもできなかった新しい文脈に対応してゆかなければならない。 プライバシーはみるみる時代遅れの概念になり、社会的な討論やコンセンサスの対象というより も、既定で存在する実用的で目立たない機能になると言う人がいる。しかし、私はそうは思わない。 20 年前には、発信者番号通知や逆引き電話帳のプライバシーの賛否について何年も議論になっ ていたということは今では信じ難い!しかし、これらの技術や機能は現在では一般的であり、当たり 前のものとして受け入れられている。そのことについて真剣に異議を唱える者はいなくなった。プラ イバシーに対する私たちの許容範囲は、時間とともに変化するのだ。 Fred Cate 教授の言葉を借りれば、明らかに「ユビキタスなデータ利用」の時代が来ていて、これ から何十年もプライバシーを維持しようとするのであれば、この変化し続ける環境に順応するため に私たちはパラダイムを変えなければならない。 「徹底的なプラグマティズム(Radical Pragmatism)」の時代が来ているのである。 Ann Cavoukian, Ph.D. オンタリオ州情報・プライバシーコミッショナー 2008 年 8 月 19 徹底的なプラグマティズム 本稿は、21 世紀における情報のプライバシーを推進するためのオンタリオ州情報・プライバシー コミッショナー事務局のビジョン、哲学、および手法について述べたものである。ここで新しく主張す る「徹底的なプラグマティズム」とは、制定されている法規制に背くことなく、公正、公平、そして中立 的な態度によりオンタリオ州の情報プライバシーおよびアクセス法を順守しつつ、行動が促進され ることが求められるものである。本稿はそれらを補完し、強化することを意図して記述したものである。 監視やプライバシー侵害は国境を越えて発生することから、法域を拡張し、法規制の境界をまたい だアプローチを私たちは提案している。私たちは実用的・実践的な手法を提案しているが、だから といって現状の維持を勧めているわけではない。 「プラグマティズム(Pragmatism)」とは、実用化が成功するかどうかということに基づいて理論や 信条を評価する手法である。 「徹底的な(Radical)」プラグマティズムとは、(この radical は、「広範囲に及ぶ」とか「完全な」とい う意味で使われている)はポジティブサム・パラダイム(以下参照)の具現化であり、実務的手法を 取り、プライバシー保護転換技術の必要性の喚起を伴う。 実益的なアプローチを取ろうとするとき、監視技術の潜在的な害だけではなくその利益について も私たちが理解しているということが前提となる。私たちは、ポジティブサムのプライバシーを高める パラダイムを具体化すべきである。それにより、プライバシーに対する害は削減され、ポジティブサ ム(ゼロサムではない)が実現できるように技術を設計することにより利益を得ることができる。 ポジティブサム・ソリューションの創出 徹底的なプラグマティズムの大きな特徴は、ポジティブサム・ソリューション(ゼロサムの逆)の創 出に焦点を当てているということである。ゼロサム・パラダイム(しばしばこれが一般的な見方ではあ るが)において、プライバシーは、イノベーションや望ましい目標の障害と見なされている。この手法 の実例として、セキュリティおよび監視技術を挙げてみよう。 これまで、監視技術とプライバシーとの関係において、「ゼロサム」手法は一般的であった。ゼロ サム・パラダイムとは、ある者の利益はまた別の者の損失によりバランスが取られる(勝ち負け、どち らか一方のみ)という概念や状況のことである。ゼロサム・パラダイムでは、監視機能やセキュリティ を高めるためには、プライバシーを犠牲にしなければならない。逆に、ユーザーによるプライバシー 管理を高めると、システムのパフォーマンスが落ちると見なされる。私はこのような見方―他の技術 的な目標の達成の障害としてプライバシーを見る考え方―には大反対である。同様に、プライバシ ー推進者が、監視機能は大変普及していて潜在的な利点もあるということを見落し、その機能を持 つあらゆる技術を拒絶するのも賢明ではない。このようなことは過去にうまくいかなかったし、これか らもうまく行くとは思えない。 20 テロへの恐怖に包まれた世界において、公安やセキュリティに対する心配は尽きない。同様に、 ビジネスの世界では、国際競争の時代においてプライバシーを高める呼びかけが効率性を妨げる ものであれば、しばしばそれは無視されてしまう。これは過去 20 年間において私たちが経験してき たことである。 ゼロサム手法を選択するよりも、ポジティブサム・パラダイムのほうが望ましく、達成可能であると 私は考えている。監視システムをプライバシー(「私たちが私たち自身に関する情報の収集、利用、 そして提供を制御することができる権利」)に配慮して構築することは、セキュリティや機能性を弱め るどころか、設計全体を向上させる。ポジティブサム・パラダイムによって、すべての関係者が同時 に利益を得る状況が生まれるのである(WIN-WIN)。 ポジティブサムモデルの具体化のためには、先を見通してシステムにプライバシーを構築しなけ ればならず、それにより、プライバシー保護は初めから技術設計に直接反映される。私はこれを「プ ライバシー・バイ・デザイン」と呼んでいる。これには、システムにおける不必要な個人データの収集 や利用を最小化し、データセキュリティを強化し、個人がみずからの情報に対してよりきちんと管理 できる権限を与える効果がある。それは高度なセキュリティとプライバシーを実現する技術をもたら し、「WIN-WIN」の結果を生むのである。 プライバシー保護転換技術(Transformative Technology) ポジティブサム・パラダイム + (監視技術に適用する)PETs = プライバシー保護転換技術 ポジティブサム・パラダイムを採用し、PETs を監視技術に適用すれば、私が「プライバシー保護 転換技術」と呼んでいる技術を開発することができる。これは、プライバシーを害する機能を、プライ バシーを保護する機能に変えることができるので、転換なのである。とりわけ、プライバシー保護転 換技術は、監視の関連技術を、文字通りプライバシーを一切侵害しない技術に変えることができる。 そのようなポジティブサムの環境と、技術における限りないイノベーションのためには、創造性が必 須条件である。そのようなイノベーションの一例として、情報システムにおける知能エージェントの開 発が挙げられる。これは、きちんと個人情報を保護する、そして厳密な規則構造に従って意図され た目的のためだけにそれを提供するという、二つの仕事を同時にこなすために「進化」してきた。こ こでは、ある積極的な研究者の言う「スマートデータ」 1 に個人データを変換する。これにより個人 データの不要な収集、利用、そして提供が最小化され、結果として、国民の信頼やデータ管理体 制への信頼が増す。 1 George Tomko 博士(エキスパート・イン・レジデンス、IPSI、トロント大学)2008 年 7 月 27 日 http://www.ipc.on.ca/index.asp?navid=46&fid1=784_ 21 背景 「プライバシーは死んだ。あるいは、死にかけている。」という言葉は、情報技術が世界を変え社 会における革命が起こっている現在、多くの人々が口にする言葉である。 情報化時代では、あらゆる規則が変化してゆくように思われる。センサー、処理能力、通信リンク、 および記憶容量などが、より強力に、安価に、そして費用対効果に優れてきたおかげで、私たちは、 急増する個人データをまとめて作成、利用、伝達、そして保存することができる。 実用的で目立たないものという大昔からのプライバシーの基礎は、みるみるその姿を消している。 そして(Fred Cate 教授の言葉を借りれば)私たちはユビキタスなデータ利用の世界に向かっている のである。 一頃、個人のプライバシーへの最大の脅威は、主として大きな政府やメディアのような大規模で 中央集権的な機関が生むものであった。これらの機関の行き過ぎた行為が発端となり、社会は是 正のための法律を可決し、名誉棄損不法行為法のような管理メカニズムを整備した。プライバシー は、列記とした権利や義務、そして他の権利に対する正当な制限として確立された。 記録管理がコンピューター化されると、プライバシーの脅威はさまざまな産業や組織に広がり、 法規制の境界を横断して発生するようになった。1960 年代から 1970 年代にかけて、信用調査機関 において何千ものミスや乱用が発生し、信用を求める個人に大きな損害を与えた。これに対して、 管理法や監督メカニズムが拡大された。FIPs 原則が生み出され、何千ものプライバシー法や行動 基準における国際的な DNA として機能した。これらにより、個人が他人に所持されている個人デー タの存在や管理について知ることができ、それについて口を出すことができるような個人の権利が 確立された。新しい管理メカニズムは、組織はその約束を守って決められた規則を順守し、そして (最も重要なこととして)無許可で個人データを利用しないということを確実にするために作られた。 今日、Web2.0 の登場により、環境は大きく変化している。「検索はいいが、ソートはするな」という のは、情報管理において主流になりつつある手法である―ほとんど誰もがデータの処理者になるこ とができ、目新しくて責任がない方法で個人データを集め、利用することができるからである-。そ れは、まるで水門が大きく開かれ、データの大洪水に私たちが圧倒されているようである。私たちの 個人データはどこにでもあり、いつ誰がどのような目的にでも利用することができるように思われる。 これは私たちにさまざまな影響を与える可能性がある。 まるで私たちは、オーウェルの「1984 年」の世界からフランツ・カフカの「審判」の世界に移ったか のようである。今日存在しているプライバシーへの脅威は、社会を直接管理している単一で全能の 組織によるものではなく、むしろ、私たちの個人データを利用してそれを基に意思決定をする未知 で説明できない無数の組織が、私たちの生活に微妙な影響を与える手の届かないレバーやスイッ チを操作することによるものである。私たちの個人識別情報(personally identifiable information 、 以下「PII」と記す)の不眠不休の監視、プロファイリング、差別、アイデンティティ窃盗、およびその 22 他の誤用は慢性化している。多くの人々は、プライバシーとは何か、そして、なぜ私たちの自由(フ リーダム)と自由(リバティ)を維持するためにそれが必要なのかということを忘れつつある。一般の 人々は、私たちのプライバシーに対する期待は、どの程度までが合理的であるのか、ということを忘 れつつある。 監視技術 日常生活において、私たちすべては何らかの監視下に置かれる(リアルタイムまたはオフライン に関わらず)ことが多くなった。一般的に、監視管理技術とは以下のような技術のことである。 公共または個人によるビデオ監視(公安) 従業員のモニタリングおよび監視(企業データのセキュリティ) ネットワーク監視、プロファイリング、データベース分析(ネットワークフォレンジック、マーケ ティング) デバイスの位置追跡(安全、資源割振り、マーケティング) 「顧客全体」へのトランザクション集合処理(顧客サービス) 特定・確認・評価の目的による「改良された」プロフィールの作成と利用(セキュリティ) 相互運用可能な生体認証データベースの構築と利用(アクセス制御とセキュリティ) 監視技術とは、まるでマジックミラーのように、常に誤用の可能性がある非対称的な権力を反映・ 増強させるものである。監視者は、個人の振る舞いをモニター・追跡することによって、その個人に 関するまったく意図されていない新しい情報を得て、見当違いの方法でその知識を利用するかも 知れず、潜在的にその個人に影響を与える差別的な決定を下す可能性がある。 しかしながら、モニタリングや監視は、非常に正当で有益な目的により行われる場合もある。ここ での問題の本質は、そのような技術がしばしばゼロサム・パラダイムに基づいているということである。 多くの監視システムにおける基礎的な命題は、そのシステムのセキュリティや機能を高めるために、 必ずユーザーや主体はある程度のプライバシーを犠牲にしなければならないということである。この ように、プライバシーは、より社会的、法的、経済的に重要とみなされるものにより、しばしば「無視さ れて」しまう。このような設計においては、通常、システムへのプライバシーの構築のためには他の 何かを差し引かなければならないということである。これは古典的なゼロサム・パラダイムである。 ゼロサムのセキュリティ? 他のビジネスや技術の目的を達成するためには、必ずプライバシーが問題となり障害になるとい うよくある考え方に、私は反対であり、そのような考え方はもはや存続することはできないと考えてい る。 23 個人のプライバシーよりも、社会、ビジネス、または運営上のより切実な目的を優先させなければ ならないという、技術開発者、提案者、ベンダー、インテグレーター、会社経営者、そしてプログラ ム・マネージャの主張にゼロサム精神は姿を見せる。 例えば、以下のような構図をよく見かける。 プライバシー 対 セキュリティ プライバシー 対 情報システムの機能性 プライバシー 対 経営効率 プライバシー 対 組織管理 プライバシー 対 利用性 また、プライバシー推進者が技術革新の反対者になって人を騒がせてみたり、あるいは複雑な 技術的・組織的な必要性に疎い圧力団体のメンバーになったりことがある。 一部ではあるが、このようなゼロサムな考え方により、監視技術は、適切なプライバシーに関する チェックを受けず、バランスも悪いまま普及してしまっている。 私は、初期の段階から情報技術システムにプライバシーを考慮して構築するべきだと言い続け ている。それによって、より良いプライバシー、コンプライアンス、そしてユーザーの信頼を得ること ができ、ポジティブサムの利益が生じるからである。そうしなければ国民の反感を買い、 「LOSE-LOSE」のシナリオになってしまうであろう。 さらに言えば、害となる監視技術であっても、データのセキュリティ、システムの機能性、効率性、 利用性、または責任を犠牲にすることなく、プライバシーを直接構築することができると私は考えて いる。 それは本当だろうか。ではどのようにすればよいのか。徹底的なプラグマティズムについて考え てみよう。 徹底的なプラグマティズムの基礎 プライバシーに関する徹底的なプラグマティズムとは、これまでやっていた事の延命や現状維持 を認めるものではない。それは、最後のユートピアではないし、感動的だが空想的な(Quixotic) 2 2 ウィキぺディアでは、「Quixotism」は、「手の届かない目標の追求や、高貴な行為のロマンスに とらわれた人または行動」と定義されている。またそれは、実用性を考えない理想主義という意味で もある。衝動的な人や行為を Quixotism と見なすことができる。Quixotism は、「過剰な理想主義」に 24 行動のきっかけでもない。それは、21 世紀のプライバシーに対するカッサンドラの呪いの予言やレ クイエムでもない。 徹底的なプラグマティズムは、楽観的あるいは現実的であり、原則的あるいは情熱的でもあると 共に、打算的、包括的、そして実用的でもあり、将来世代においてもプライバシーを必ず反映させ ていく決意とエネルギーとで満ち溢れた考え方である。徹底的なプラグマティズムでは、プライバシ ーとは絶対的な権利や価値観ではなく、むしろ社会によって絶えず定義、決定、増強される社会 的価値(十分な情報を得たうえでの論議、対話、そして時には、「バランス」によってさえ決められる 価値)であるということが明示的に認識される。ジョン・スチュアート・ミルのように、プライバシーの価 値とその利益は、開かれた会話、社会的対話―あらゆる関心や考え方を提供することによって達 成することができると私は考えている。 オンタリオ州情報・プライバシーコミッショナー事務局では、過去 20 年間、この徹底的なプラグマ ティズムを実践してきた。実に、それは私たちの作業の基礎となっている。 「プライバシーとは、単なる政策やコンプライアンスの問題ではない。それは、新しい経済の中心 に位置するビジネスの問題なのである。」3 「プライバシーの見返り」 ビジネスにおけるプライバシーでは、顧客の信頼、忠誠心、取引の継続、そして、「顧客離れ」を 避けるということに焦点が当てられる。一般的には、それらは以下のように分けることができる。 1. 顧客の信頼は、カスタマー・リレーションシップ・マネジメント(CRM)と生涯価値、言い換え れば収益の獲得を促進する。 2. 信頼の喪失は、シェアの損失、収益の低下、および株価の低下をもたらす。 3. 顧客の信頼は、その組織におけるデータのプライバシーポリシーと慣例の厳格さと信頼性 に依存している。 また、「プライバシーの見返り」は、逆に働くときもある。すなわち、プライバシー対策が乏しいと、 追加的な費用が発生したり、機会や収益を逃したりすることである。データのプライバシーについて きちんと注意しないと、以下のような数多くの悪い結果がもたらされる可能性がある。 関連付けられ、結果を考慮に入れない理想主義を意味する。またそれは、ナイーブなロマンやユ ートピア的な理想とも関連付けられる。 3 The Privacy Payoff: How Successful Businesses Build Customer Trust, Ann Cavoukian, Ph.D. and Tyler J. Hamilton www.privacypayoff.com 25 個人データが不当に利用・提供されたクライアントや顧客への損害 組織の評判やブランドへの損害 個人データの質や完全性の低下による金銭的な損失 取引上の損失、新製品の実装の遅延、またはプライバシー問題の対処費用等の金銭的な 損失 悪い評判によるシェアの下落や株価の損失 プライバシー法違反 その業界における信用の低下4 (カナダでは)データ違反開示法が整備されたおかげもあり、個人情報を大量に収集、利用、そ して共有する場合、民間と監督機関による精査を受けなければならなくなった。特にその運営を外 部に委託している場合(負の外部性)、個人情報を扱う組織は、個人情報管理をきちんと実施しな いと、市場で罰せられ、また法廷でも罰せられるようになった。 時には、ごく一部の人々の行動により、産業全体における消費者の信用や収益が低下し、多数 の関係者が苦しむようになる場合もある(マーケティング、金融・電子商取引セクターなど)。多くの 研究では、消費者のプライバシーやセキュリティの問題から生じるビジネスの「損失」や「潜在性が 台無しにされること」は、特にオンラインで生じるということと結論づけられている。 このような事から、プライバシーへの配慮を採用することによって、市場における差別化を達成し、 競争力において有利な立場を維持することができると言えるのである。5それは法律や規制へのコ ンプライアンスの問題と同じくらい重要な観点として、消費者が期待していることなのである。それな らば、同じような情報管理、透明性、ガバナンス、および責任を追加して、ガバナンス構造をさらに 充実させるべきであろう。そうすることで、プライバシーの見返りとは、より現実のものになるのであ る。 あるマーケティングコンサルタントの言葉(2001 年)を借りれば、 「一つだけ確かなことがある。技術の進歩により、世界中のプライバシー保護法を変更することが 4 the IPC Publication, Privacy and Boards of Directors: What You Don’t Know Can Hurt You, at www.ipc.on.ca/docs/director.pdf 5 The Privacy Payoff: How Successful Businesses Build Customer Trust, Ann Cavoukian, Ph.D. and Tyler J. Hamilton. www.privacypayoff.com 26 急務である。これらの変更がまとまるまで、ただ待っているだけでは、強い競争力を維持することは できないだろう。人は先導者を信頼するのであり、追随者を信頼するわけではない。適切な行動に 関する新しい法律ができれば、それが義務付けられる前からその内容を実践していたと主張するこ とができる会社に人は引きつけられるだろう。」6 最初から「プライバシー・バイ・デザイン」を構築するということ 上記のように、ある組織がプライバシー原則に持続的に関与し、革新的に、賢明に、そしてきち んとした情報管理の慣例を実践すれば報われることになると私は考えている。そして、その実現を 支援していくことが、オンタリオ州情報・プライバシーコミッショナー事務局における重要な作業の一 つであると考えている。 このような背景から、私は長い間、情報技術とシステムの設計と運用において、早い段階からプ ライバシーを考慮した構築をするべきだと主張してきた。プライバシー・バイ・デザインから生み出さ れる利益は大きい。それは重要な組織的デューデリジェンスの実践であるというだけではなく、不 運な事態が起こったときに必要となる高価なシステム設計の変更や修復のコストを省くことができ る。 きちんとプライバシーを考慮すれば、設計の構造がより簡単でより信頼できるものになり、効率や コスト削減が大きく改善されることもあるのだ。 リスクの減少というものは常に簡単に定量化できるわけではないため、良いプライバシー・バイ・ デザインの効果は、その測定が難しい場合もある。適切で先見的なアクションをとったおかげでプ ライバシーに関する事故が発生しないのならば、それによりどれだけの利益が生み出されるのだろ うか。プライバシーや機密保護への違反が公表される頻度が多くなる中で、プライバシーの問題に ついて相当な注意を払っているということを示し、最初から「正しく実施」するために、ますます秘密 主義や怠慢を避けなければならなってきている。 オンタリオ州情報・プライバシーコミッショナー事務局では、IT セキュリティ、コーポレートガバナ ンス、e-イニシアティブ、同様の組織の変化、マーケティング、サプライチェーン・マネジメントのよう な企業イニシアティブに対し、プライバシー問題を確実に統合、特定、解決することができるよう、 取り組んできた。そして多くの場合は、プライバシーへの考慮が利益を生み、他のシステムの行き 過ぎを防ぐことができ、その(経済的)利益が実現されるのである。 6 Bruce Kasanoff, Making it Personal: How to Profit from Personalization Without Invading Privacy(Perseus、2001 年 10 月)65 ページ 27 PETs PETs とは、「個人データが不必要または不法に処理されないようにしたり、個人が自分のデータ を管理するためのツールを提供したりすることによって、情報システムにおける個人の私生活の保 護を強化する ICT の首尾一貫したシステム」7のことである。この概念には、情報システム構造の設 計も含まれる。私たちが最初にその言葉を考案した 1995 年以来、その概念と用語は広く使われ、 世界中でプライバシーの用語として認知されている。 PETs とは、FIPsを ICT に直接適用することを示し、それは情報システムの機能、性能、または責 任への影響を最小化(またはゼロにして)して展開することができるものである。 PETs を採用すれば、ユーザーの信用が増し、新しい ICT によりさまざまな目的を達成することが できる。PETs をポジティブサム・パラダイムにおける監視技術に適用した場合、以下のような特徴を 持つプライバシー保護転換技術になる。 個人データの不要な提供、収集、保持、および利用を最小化する。 個人が自分の個人データの管理に参加することができる権限を与える。 個人データが収集および利用されるとき、そのデータのセキュリティを強化する。 個人データのガバナンス構造への市民からの信頼を促進する。 その技術が広範囲に採用されるよう啓蒙・促進する。 これまで長い間、さまざまな有望な PETs にスポットライトを当て、それらが世間に認知され、広範 囲に開発・採用されるよう支援してきた。当初、PETs は主として個人用のツールであった(個人メー ル、ファイル暗号化、オンラインアノニマイザー、パスワードマネージャーなど)。しかし、時間がたつ につれ、個人のプライバシーを実現するためのネットワークまたはシステムレベルの PETs に焦点が 当てられるようになった(例: Platform for Privacy Preferences (P3P)標準、相互運用可能なアイデ ンティティ基盤構築のための、プライバシーを組み込んだアイデンティティ七原則、さまざまな組織 中心のデータ最小化ツール)。 本稿でも後で(事例集で)紹介しているように、新しい多くの PETs には組織と個人の両方が関与 し、真に変換が可能であると言うことができる。 7 Kenny S. and Borking J., The Value of Privacy Engineering, Refereed Article, The Journal of Information, Law and Technology (JILT) 2002 (1) http://www2.warwick.ac.uk/fac/soc/law/elj/jilt/2002_1/kenny/ 28 情報管理とガバナンスのベストプラクティス これまで、オンタリオ州情報・プライバシーコミッショナー事務局では、他のさまざまな分野でも徹 底的なアプローチを実践してきた。 具体的には、さまざまな組織や協会が、効果的なデータセキュリティとアクセス制御、暗号化、 RFID、ダイレクトマーケティング、スマートカード開発、ID 連携を普及させる過程で、個人情報保護 管理責任者を選任し、その監査と保証手段の啓蒙活動を行いながら、プライバシー自己評価にお けるベストプラクティスの実践とその採用に深く関与してきた。 また、さまざまなプライバシー利害関係者への啓蒙活動も広く行ってきた(小学校や中学校にお ける Facebook ユーザーのプライバシー保護に関するヒント集の配布、なりすまし詐欺の被害者の 救済、重要な社会問題のディスカッション、PKI 普及に関する政府機関への助言、違反危機対策 の実践など)。 これらの教育用資料は Web サイトで入手することができる。私たちは、スピーチ、プレゼンテーシ ョン、メディアのインタビュー、特別な催しなどにおいてもメッセージを発信している。 プライバシー権とその保護は無機質な空間に存在しているわけではないし、法律や規則だけか ら引き出すことができるわけでもない。社会の広範囲のサポートと需要がなければ、プライバシー法、 政策、および技術は役に立たないのである。 私は常に新しい情報を得て、精密で妥協のない考え方、適切で有効な考え方を持つことができ るよう、絶えず周りの環境を調査し、可能な限り多くの社会の構成者と対話をするようにしている。 徹底的なプラグマティズムは、プライバシー保護の最適な結果を得るために、整理された方策を タイムリーに戦略的に運用するということに焦点を当てている。対立や衝突を起こさず、何かを犠牲 にしたりぞんざいな介入をしたりすることなくそれを実践することが理想である。 徹底的なプラグマティズムの適用 徹底的なプラグマティズムの考え方では、以下は行わない。 損害ベースのアプローチ ビジネスや政府の利益に相反する行為 技術的な面で空想的・理想的な姿の追求 徹底的なプラグマティズムでは、高リスクでもチャンスのある分野に対して、戦略的に関与してゆ く考え方である。 それは、(公共利用でも商業利用でも)個人データの利用において重複、時には競合する利害 29 関係を解決するために、プライバシーとデータ保護に関する原則や、その本質への回帰である。 プライバシーとデータ保護法には常に保護と利活用という二面的な目的があったということを思 い出してほしい。そのような法律は、個人の権利が侵害されないようにするため、また、個人データ の自由でスムーズな(そして責任のある)流れと利用を可能にするためにある。それはビジネスを活 性化させるためでもあり、あるいは、公的機関がみずからの行動に責任を持つようにするためでも ある。またより一般的に言えば、個人の利益に沿って開放的で透明性の高い手段により、個人デ ータが収集、利用、保有、そして共有されるようにするためでもある。そして何よりも、どのような狙い (能率の向上、新しい革新的サービスの提供、競争力のある高品質なサービスの促進、経営効率 と継続的改善の担保、犯罪者の検挙など)であったとしても、救済という目的を達成するためであ る。 対話を継続し、この問題に関与し続けることの重要性を強調したい。実世界における継続的な 対話と理解は、必須条件である。 また、限りある資源を利用して最大の効果を得るための有効な戦略や戦術の重要性も認識し、 評価されなければならない。 私たちは、さまざまな技術、イノベーション、そして機能においてプライバシーがきちんと確保さ れていないのであれば、それらを支持することはない。 徹底的なプラグマティズムの追求にあたって、私たちには可能性を模索する技術も必要である。 プライバシー保護転換技術の例 それでは、徹底的なプラグマティズムの適用例を見てみよう。すでに触れたように、ここでは法や 規制のコンプライアンスに対してというよりも、PETs の採用に重きを置いている。PETs では、ベスト プラクティスや意識向上の取り組みを自発的に行うものである。もちろん言うまでもないが、あらゆる 法律や規制は順守しなければならない。 本節では、以下のような先端技術を検証する。 1. バイオメトリック暗号 2. IBM の RFID タグ「clipped tag」 3. CCTV 画像暗号 4. プライバシーを強化したネットワーク・トレーシングとモニタリング 5. 全身イメージング 30 6. 個人のデジタル・アイデンティティ 1.バイオメトリック暗号 この 10 年ほど、私たちはバイオメトリクス技術が急速に進化・成熟する過程を見てきた。現在で は、バイオメトリクス技術はさまざまな公共および民間部門において利用されている(例:物理的・論 理的アクセス制御、出席記録、支払いシステム、犯罪と詐欺の予防および検挙、国境警備管理)。 バイオメトリクスは、より強力なユーザー認証、より高いユーザーの利便性、より高度なセキュリテ ィや経営の効率化のようにさまざまな利益を生み出す。しかしながら、バイオメトリクス技術の普及、 あるいはバイオメトリクスデータの収集、利用、そして保持に関するデータのプライバシーやセキュリ ティの問題は重大であり、以下のような問題がある。 バイオメトリクスデータの無許可の二次利用(拡大流用(function creep)) 拡張的な監視追跡、プロファイリング、潜在的な差別 データの誤用(データ漏えい、身分詐称・窃盗) 不一致による個人への悪影響、誤合致、システムエラーと欠陥 バイオメトリクスデータシステムの監視、責任、および開放性の欠如 個人の知識と同意の欠如、個人による管理の欠如、信頼の損失 さまざまな重大なデータセキュリティのリスクが、情報ライフサイクルを通して存在する。その例と して、スプーフィング、改ざん、再生、代替、なりすまし、トロイの木馬攻撃、はい・いいえの応答の 無視や不正確性などがある。 特定されたプライバシーとセキュリティのリスクを容認できる水準にまで最小化し、ユーザーの信 用の向上を促すためには、法律と規則の管理機構の強化、明確なデータ利用方針の作成、意識、 教育、およびトレーニングの改善などが必要である。バイオメトリクスシステムにおけるプライバシー 保護では、構造的なアプローチ(例:識別(1:n)目的ではなく、認証(1:1)目的へのバイオメトリクス 技術の設計と運用の制限、バイオメトリクスデータの大規模集中データベースの構築の回避、静止 中および送信中のバイオメトリクスデータの暗号化)によって、これらの方針に基づく管理を実践す ることができる。 これらの取り組みにも価値はあるが、私はさらにもう一歩進んで、個人がより早く、より細やかにみ ずからの個人識別情報(PII)を管理し、プライバシーのリスクを最小化することができるよう、PETs を 開発・採用すべきだと考える。 バイオメトリクスの擁護派は、PETs を採用するとバイオメトリクス対応の認証情報システムおよび アプリケーションの目的と機能が妨げられると主張する。しかし、このような考え方は、より大きな社 31 会計画に従った運営上のニーズ(例:説明責任やセキュリティ)のためには、必ず個人のプライバシ ーを犠牲にしなければならないという一般的な想定、信念、または主張に基づいている。 (バイオメトリクス)情報システムにおけるプライバシーに考慮した構築は、理想的な形で実現可 能であるし、すべての利害関係者に対してポジティブサムの成果が出るような方法で達成すること ができると私は考えている。バイオメトリック暗号(Biometric Encryption (BE))技術は、どのようにプ ライバシーとセキュリティとがポジティブサムモデルにおいて共存することができるのか、ということを 示す良い例である。 簡単に言えば、バイオメトリック暗号とは、暗証番号(PIN)や暗号鍵をあるバイオメトリクスにセキ ュアに割り当てるプロセスであり、その鍵とバイオメトリクスのどちらも保存されたテンプレートから取 得することはできない。その鍵は、生きている正規のバイオメトリクスサンプルが検証時に提示され た場合に限り、再作成される。バイオメトリック暗号とは、真の意味における PETs である。この技術 は、欧州やアジアのパイロットプロジェクトにおいて既に採用されている。 バイオメトリック暗号技術の主な利点は以下の通り。 オリジナルのバイオメトリクス画像やテンプレートを保持しない。 同一のバイオメトリクスから、さまざまな用途のために、相互にリンクできない複数の識別子 を作成することができる(キャンセルも可能)。 改良された認証セキュリティ(ユーザーのバイオメトリクスと識別子とのより強力な結合) 改良された個人データと通信のセキュリティ。 より大きな国民の信頼、承認、および普及。プライバシー法に対するコンプライアンス。 大規模のアプリケーションに適している。 これらの利点やソリューションについては、私の論文『バイオメトリック暗号:セキュリティとプライバ シー、強固な認証を成し遂げるポジティブサム技術(Biometric Encryption: A Positive-Sum Technology that Achieves Strong Authentication, Security AND Privacy)』8 において詳しく書いて いる。 要するに、バイオメトリック暗号は、さまざまなコンテキストにおいて、アイデンティティのバイオメト リクスとプライバシーが強化されたことを検証するためのオンカードマッチング(1:1)を可能にする。 これは、望まれていない識別、相関、ベースとなるバイオメトリクス画像とテンプレートのプロファイリ 8 www.ipc.on.ca/index.asp?navid=46&fid1=608&fid2=4 32 ング、そして、1:N の比較を防ぐものである。バイオメトリック暗号技術は盛んに研究されている分野 であり、より広範囲にわたる公の場での政策の検討、プロトタイプ開発、そして応用が考慮されてい る技術である。 2.RFID(Radio Frequency Identification) RFID(Radio Frequency IDentification)タグは、バーコードを超えた次世代技術である。RFID タグ には、マイクロチップと小さいアンテナが搭載され、製品に取り付けることができる。それはユニーク な特定番号を電子リーダーに伝え、続いてそのリーダーは製品に関する情報が保存されているコ ンピューターのデータベースにリンクし、時間と位置情報を伝える。RFID タグは離れた所からでも 速く、簡単に読むことができ、在庫やサプライチェーンの管理において貴重な存在である。 しかしながら、消費者製品にタグを付けることが増えてくると、プライバシーやセキュリティへの懸 念も生じてくる。特に、スキャンの対象となるタグ付けされた商品が、識別可能な個人に結びつくと いうことには問題がある。私たちの身の回り品(処方箋薬、衣服のブランド、スタイル、サイズ、読ん でいる本など)が、私たちが知らないところで、隠れた無許可のリーダーによりスキャンされるという ようなことは大きな問題である。さらに、もし私たちの持ち物につけられた RFID タグに基づき、監視、 プロファイリング、差別が行われるようなことがあれば、この技術に対する国民の信頼や、その普及 の可否を揺るがす問題である。 RFID タグによる「データ漏えい」や、望まれない監視に関する問題について、これまでさまざまな 解決策が提案されてきたが、コスト、技術、そして利用性との関係により、有効な解決策はほとんど ない。最も明快な解決策としては、商品が売り渡されたときに単純にタグを撤去または破壊すれば よいのだが、商品の返品があったときに、それを倉庫に戻し、製品を検査し、保証の適用範囲や付 帯サービスを確かめ、あるいはリサイクル目的により製品を識別するときに不便になってしまう。 恐らく、消費者のために最も有望な PETs のソリューションは、IBM の開発した RFID タグ「clipped tag」だろう。RFID タグ「clipped tag」は望まれない監視を防ぎ、プライバシーへの配慮を向上させる ものである。同じようなユーザー中心の RFID PETs におけるイノベーションにより、RFID 搭載身分 証明書、支払いトークン、モバイル認証、その他の認証形式(乗換料金前払いカード、ポイントカー ドなど)に大きなビジネスチャンスが生まれている。 33 3.ビデオ監視画像の暗号化 センサー、処理、そしてネットワーク能力の技術的進歩により、ビデオ監視カメラは多くの場所に 設置され、離れた場所からの操作によって、集約的に、同時に複数のデジタル送信を行い、視聴、 保存、インデクシング、そして追加処理を可能にしている。データ送信の多くは Web 上で実施され る。ここでも、その用途において監視や個人のプライバシーに関する問題がある。 とはいっても、設置者がビデオ監視カメラの透明性を高め、説明責任を持って利用するのであれ ば、それは有用である(例:犯罪の検挙、事故があったときの証拠の保存)。それにもかかわらず、 記録された映像が何に使われるのか、その映像が無関係の二次的な目的に利用されないというこ とをどう保証するのか、または、それが誤用されたときに個人は保証を求めることができるのか、とい うような心配がある。 カナダのトロント市において、大量輸送機関の構内で何千台ものビデオ監視カメラの設置が計 34 画されたとき、私たちが報告・助言を行った結果、トロント市は乗客の不必要な識別を防ぐプライバ シー強化暗号化対策の実施について調査することになった。 トロント大学の Kostas Plataniotis 教授と Karl Martin 教授は、ビデオ監視のための変換可能なプ ライバシー強化手法を開発した。この手法では、プライベートオブジェクト(個人識別情報)の保護 のために暗号化手法を利用し、許可された人物がその暗号化オブジェクトを、秘密鍵を用いて開く ことによって見ることができる(『安全な画像物体符号化によるプライバシー保護監視(Privacy Protected Surveillance Using Secure Visual Object Coding)』9)。別の言い方をすれば、対象オブジ ェクト(例:顔、体)が背景フレームとはまったく別の実体として保存され、効率的に暗号化される。 セキュアなオブジェクトベースのコード化手法を用いれば、テクスチャー(すなわち、コンテンツ) とそのオブジェクト形状(写真(b))の両方、またはテクスチャーのみ(写真(c))を暗号化することが できる。この点において、この手法は大きな技術的に躍進している。この手法は柔軟性に富むとい うだけではなく、利用される暗号化もコンテンツのストリーム全体を暗号化する既存の手法よりも効 率的である。これにより、テープに記録された個人のプライバシーをきちんと保護する一方で、決め られた人物が無許可の行為をモニターすることができる。追加的な調査を必要とする場面(すなわ ち、犯罪事件)が記録された場合には、当局は、そのオブジェクトのコンテンツを解読して、問題と なっている主体を識別することができる。この復号化は、リアルタイムでも、またはアーカイブ映像に 対しても実行することができる。暗号化は、そのオブジェクトを最初にコード化するとき(監視カメラ 映像の記録時)に実行されるので、結果としてリスクが減少する。 写真(a):元のコンテンツストリーム。写真(b):形状とテクスチャーの両方が暗号化されている。 たとえ不正なキーを用いて視聴しようとしても、対象オブジェクトを解読することはできない。写真 (c):全身(あるいは顔だけ)のテクスチャーのみ暗号化された例。 9 K. Martin; K.N. Plataniotis. “Privacy Protected Surveillance Using Secure Visual Object Coding,” IEEE Transactions on Circuits & Systems for Video Technology: Special Issue on Video Surveillance, Vol. 18 no. 8, 1152-1162 ページ、2008 年 8 月 35 4.プライバシー強化ネットワークのトレーシングとモニタリング 今日のインターネット接続サービス業者(Internet service providers、以下「ISP」と記す)は、ネット ワークにおける足跡を記録し、ネットワーク管理に利用している(例:トラフィック操作、キャパシティ 計画、脅威分析、顧客への課金処理)。残念ながら、このようなデータの収集においても、重大な プライバシー上の問題がある―ある人物のオンライン活動の追跡、その情報の紛失・盗難、あるい は、その情報が広告主に売却される可能性さえある。このようなデータの保護のためには、そのた めの企業内手続きを当てにするだけでは不十分である。最近の事件では、カナダのインターネット ユーザーに関する秘密データが、正規のアクセス権を持つ従業員に盗まれたことがあった 10。さら に、このような秘密データはしばしば訴訟の対象となる。最近では、米 Viacom 社が Google に呼び 出し状を送り、すべての YouTube ユーザーのビューイング履歴を渡すよう要求している11。 トロント大学の研究者は、「Bunker」という技術を開発し、ISP がネットワークをセキュアにトレース することができるようにした12。Bunker は、ISP のネットワークから秘密データを収集し、不正防止シ ステムにそれを保存する。続いて Bunker は、ユーザーのプライバシーを損なうことなくこのデータを 集約し、トレースされたネットワークに関する情報を含むユーザー指定のレポートを作成する。 Bunker の不正防止設計では、システムに対して攻撃を加えても、すべての秘密データが破壊され、 その収集はうまくいかない。Bunker を利用することによって、ISP はプライバシー保護方針を浸透さ せ、トレースデータが呼び出されないようにすることができる。 5.全身イメージング 乗客に対するスキャニング技術は、あらゆる空港において安全上の脅威を特定するために利用 されている。しかしながら、スキャニング技術もスキャンされる人物の物理的なプライバシーを侵害 する可能性がある。安全上の脅威を特定するためには金属検出器だけでは不十分である。なぜな ら、爆薬、プラスチック製またはセラミック製武器、あるいはその他の密輸活動(麻薬など)を検出す ることができないからである。セキュリティチェックの担当者は、プライバシーへの影響を最小限に おさえる方法により、隠されている品物を検出することができる。現在広く試されているソリューショ ンは、「全身イメージング」である。 全身イメージングは、ボディチェックを実施したり服を脱がせたりせず、衣服の下に隠されている 品物を明らかにすることができる。そのような技術の一つに「後方散乱」がある。これは、低量の X 10 http://www.cbc.ca/money/story/2008/02/12/bell.html 11 http://blog.wired.com/27bstroke6/2008/07/judge-orders-yo.html 12 以下の文書は大変機知に富んでいて、そのシステムの初期設計について述べている。 www.cs.toronto.edu/~stefan/publications/hotnets/2007/sectrace.pdf 36 線放射(飛行機に 2 分間乗っているときに浴びる放射線と同等)だけでその目的を達成することが できる。低い(高い)原子番号の要素をそれぞれ検出することにより、後方散乱は隠された金属、プ ラスチック製武器、爆薬、あるいは麻薬を識別することができる。 検査の過程においてもきちんとプライバシーが確保されるよう、後方散乱スキャンで生成した画 像は、訓練を受けたセキュリティ担当者が離れた場所で視聴する。その担当者はスキャンされた個 人と直接対面せず、その人に関するいかなる個人情報も知ることができない。その画像は送信の 前に暗号化され、保存、印刷、転送は認められず、次のスキャンを実行する前にスクリーン(および コンピューター)から削除される。最も重要なこととして、個人の裸の身体的な特徴がオペレーター によって見られるかもしれないという心配があるが、これは「プライバシーフィルター」の適用により 解決されている。スキャン画像の視聴に先立ってこのフィルターが適用され、元の画像(図 1)を変 換し、潜在的な脅威だけが強調される外形表示(図 2)にする。 図 1:元の後方散乱画像の例 図 2:プライバシーアルゴリズム適用後の後方散乱画像(注意:別のサンプルである。) 6.個人のデジタル識別 より広範囲で、頻繁、義務的、そしてより強力な認証を用いて、ある個人を識別するということが 行われるようになってきた。しばしば組織には、説明責任を持ち、あるいは不正から身を守るために、 ある人の身元を知る(オンラインまたはオフライン)正統な理由がある。 オフラインの世界では、あなたが自分の年齢を示して何かの購入や割引を受ける権利を証明し たとしても、その記録は残らない。ところがオンラインの世界では、そのような身分情報や認証デー 37 タは記録、転送、そして保持される可能性がある。個人情報が過度に収集され、その後その紛失、 盗難、あるいは誤用が発生する可能性は高く、これでは取引の媒体としてのインターネットに対す る国民の信頼を失ってしまうだろう。 さらに悪いことに、オンラインの世界では(オフラインの世界とは異なり)ある人物の識別情報を異 なるドメインの情報と結び付けることにより、その個人の取引に関する非常に詳しいプロファイルを 簡単に作成されるリスクがある。よく知られていることとして、Web におけるユーザーの振る舞いはか なりのところまで記録されていて、あらゆるインタラクションが追跡されている。このような監視は、識 別システムによって可能になっている。 加 Credentica 社(後に Microsoft によって買収された)は、革新的な「ユーザー中心」識別技術を 開発した。これにより、ユーザーは、どうしても必要な情報以外は絶対に提供されないような身分証 明をオンラインで利用することができる13。U-Prove 製品を用いれば、識別情報がどこに行こうとも、 組織はこれまでないくらいにライフサイクルを通してそのセキュリティを維持することができる。それ はオーダーメイドのオンラインユーザー認証であり、フィッシング攻撃に耐え、さまざまなドメインをま たいで識別情報を共有し、その人の財布にあるカードと同じように便利な電子サービスを提供して いる。 また同時に、U-Prove 製品のプライバシー機能は優れている。例えば、オンラインのユーザーは、 求められていないプロファイリングや監視を受けずにどのような番号に対してでもシームレスに認証 され、相互に関係のないアカウント間においてデータを転送し、あるいは、ユーザーの正規のトラン ザクションを証明するデジタル署名された追跡記録を保存することができる。これらの機能は、デー タ保護における必要条件を満たすように設計されている。 大規模な情報技術イニシアティブが成功するかどうかは、多くの市民に利用されるかどうか、ある いは彼らの支持を得られるかどうかということにかかっている。そのためには、データのプライバシ ーへの配慮を市民が信頼することができ、セキュリティに関する彼らの要求が満たされなければな らない。Credentica 社の革新的な U-Prove 製品を用いれば、オンラインのトランザクションにおける 個人データの収集および利用は最小化され、ユーザーは自分自身の識別情報の管理を行うこと ができる。U-Prove 製品は真に変形可能な技術であり、識別情報のプライバシーと認証において、 ポジティブサムを満たす徹底的なプラグマティズムを可能にする。 13 http://www.credentica.com/ 38 終わりに(コミッショナーからのメッセージ) レギュレーターとしての在職中、私は人から色々な呼ばれ方をしたが、夢想家と呼ばれたことは ほとんどない。しかし、プライバシーへの配慮を存続させるだけではなく、将来まで繁栄させるように するのであれば、夢想家こそ人がなるべきものである。プライバシーへの配慮の繁栄は私の望みで あり、夢でもある。しかし、夢を見るだけでは不十分である。プラグマティズム者として、私はその夢 を現実にしなければならない。先に触れたように、そのための一つの方法は、あらゆる技術の設計 や構造においてプライバシーを配慮した構築を行い、それが将来まで繁栄するようにすることであ る。結局のところ、私は徹底的なプラグマティズム者であると同時に、大きな七色の夢を持っている。 白黒がはっきりした問題などないのだから。私たちの日常生活においてプライバシーを構築する新 しい方法を発見するために、本稿の読者と協力してゆくことができればと思う。何か実例があれば ぜひ送っていただきたい。優れた実例をいただければ、私たちの Web サイトにおける「Instances of Radical Pragmatism」に掲載したいと思う。 新しい実例がますます増え、プライバシーがさらに向上していきますように。それこそが私の夢で あり、ぜひ読者と一緒にこの夢を実現させたいと思う。 Ann Cavoukian, Ph.D. 本稿の作成に尽力してくださった Fred Carter 氏(シニアプライバシー&技術アドバイザー、オン タリオ州情報・プライバシーコミッショナー事務局)に感謝の意を表したい。 39 IPC 参考文献 バイオメトリック暗号 How to Preserve Freedom and Liberty: Design Intelligent Agents to be Smart and Respectful of Privacy (George Tomko, Ph.D. – IPSI Seminar, トロント大学)2008 年 10 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=784 Fingerprint Biometric Systems: Ask the Right Questions Before You Deploy.2008 年 7 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=769 Biometric Encryption: A Positive Sum Technology that Achieves Strong Authentication, Security AND Privacy.2007 年 3 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=608&fid2=4 ニュースリリース http://www.ipc.on.ca/index.asp?navid=55&fid1=609 エグゼクティブ・サマリー http://www.ipc.on.ca/images/Resources/up-bio_encryp_execsum.pdf FAQ http://www.ipc.on.ca/index.asp?navid=46&fid1=608&fid2=4 RFID(Radio Frequency Identification) RFID and Privacy: Guidance for Health-Care Providers. 2008 年 1 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=724 Commissioner Cavoukian issues RFID Guidelines aimed at protecting privacy. News Release. 2006 年 6 月 http://www.ipc.on.ca/index.asp?navid=55&fid1=427 Privacy Guidelines for RFID Information Systems (RFID Privacy Guidelines). 2006 年 6 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=432 Practical Tips for Implementing RFID Guidelines. 2006 年 6 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=430 Guidelines for Using RFID Tags in Ontario Public Libraries. 2004 年 6 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=410 Tag, You’re It: Privacy Implications of Radio Frequency Identification (RFID) Technology. 2004 年 2 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=319 40 ビデオ監視 K. Martin; K.N. Plataniotis. “Privacy Protected Surveillance Using Secure Visual Object Coding,” IEEE Transactions on Circuits & Systems for Video Technology: Special Issue on Video Surveillance, vol. 18 no. 8, 1152-1162 ページ、2008 年 8 月 Privacy and Video Surveillance in Mass Transit Systems: A Special Investigation Report – Privacy Investigation Report MC07-68. 2008 年 3 月 http://www.ipc.on.ca/index.asp?navid=53&fid1=7874 Guidelines for the Use of Video Surveillance Cameras in Public Places. Updated 2007 年 9 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=647 Fact Sheet #13: Wireless Communication Technologies: Video Surveillance Systems. 2007 年6月 http://www.ipc.on.ca/index.asp?navid=46&fid1=626 Privacy Review: Video Surveillance Program in Peterborough. 2004 年 12 月 6 日 http://www.ipc.on.ca/index.asp?navid=46&fid1=582 Guidelines for Using Video Surveillance Cameras in Schools. 2003 年 12 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=412 オンライン環境におけるプライバシー Privacy in the Clouds: Privacy and Digital Identity – Implications for the Internet. 2008 年 3月 http://www.ipc.on.ca/index.asp?navid=46&fid1=748 7 Laws of Identity The Case for Privacy-Embedded Laws of Identity in the Digital Age. 2006 年 10 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=471 Concerns and Recommendations Regarding Government Public Key Infrastructures for Citizens. 2002 年 12 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=339 Privacy and Digital Rights Management (DRM): An Oxymoron. 2002 年 10 月 41 http://www.ipc.on.ca/index.asp?navid=46&fid1=241 An Internet Privacy Primer: Assume Nothing. 2001 年 8 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=286 Best Practices for Online Privacy Protection. 2001 年 6 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=403 Should the OECD Guidelines Apply to Personal Data Online? 2000 年 9 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=246 P3P and Privacy: An Update for the Privacy Community. Jointly produced with the Center for Democracy and Technology (CDT). 2000 年 3 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=238 Geographic Information Systems. 1997 年 4 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=345 プライバシーとセキュリティ Transformative Technologies Deliver Both Security and Privacy: Think Positive-Sum not Zero-Sum. 2008 年 7 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=758 Creation of a Global Privacy Standard. 2006 年 11 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=575 Cross-National Study of Canadian and U.S. Corporate Privacy Practices. 2004 年 3 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=341 Statement to the House of Commons Standing Committee on Citizenship and Immigration Regarding Privacy Implications of a National Identity Card And Biometric Technology. 2003 年 11 月 4 日 http://www.ipc.on.ca/index.asp?navid=46&fid1=113 The Security-Privacy Paradox: Issues, Misconceptions, and Strategies. 2003 年 8 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=248 National Security in a Post-9/11 World: The Rise of Surveillance…the Demise of Privacy? 2003 年 3 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=236 42 Security Technologies Enabling Privacy (STEPs): Time for a Paradigm Shift. 2002 年 6 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=245 Commissioner issues challenge to technologists: Take the next STEP. 2002 年 1 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=333 個人情報の盗難 Identity Theft Revisited: Security is Not Enough. 2005 年 9 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=233 その他 Contactless Smart Card Applications: Design Tool and Privacy Impact Assessment. 2007 年 5 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=614 Privacy and the Open Networked Enterprise. 2005 年 6 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=576 Incorporating Privacy into Marketing and Customer Relationship Management. Co-produced with the Canadian Marketing Association (CMA). 2004 年 5 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=234 EPAL Translation of the The Freedom of Information and Protection of Privacy Act [version 1.1]. 2004 年 3 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=344 Intelligent Software Agents: Turning a Privacy Threat into a Privacy Protector. Result of a joint project of the Office of the Information and Privacy Commissioner/Ontario and the Registratierkamer, The Netherlands. 1999 年 4 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=316 Privacy-Enhancing Technologies: The Path to Anonymity. Co-produced with the Dutch Registratierkamer. Volumes I and II. 1995 年 8 月 Volume I: http://www.ipc.on.ca/index.asp?navid=46&fid1=329 Volume II: http://www.ipc.on.ca/index.asp?navid=46&fid1=242 Privacy and Electronic Identification in the Information Age. 1994 年 11 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=325 43 Moving Forward from PETs to PETs Plus: the Time for Change is Now PETs から PETs プラスへの前進―今こそ変わるべき時 44 PETs から PETs プラスへの前進―今こそ変わるべき時 2009 年 3 月 従来の PETs PETs とは、個人データの不要または不法な収集、利用、および提供を防ぎ、または個人が自己 の個人データのコントロールを強化することができるツールを提供することによって、情報システム における個人のプライバシー保護を強化する ICT のことである。 PETs は、プライバシーを侵害するというよりもむしろ、プライバシーを強化する技術の支えとなる ものを獲得する目的で 90 年代に開発された。しかし、仕切りを前に動かす時が来た。PETs のみで はときには不十分であることが理解されうるので、私たちはこの概念を「PETs プラス」に発展させ た。 1995 年にオランダのデータ保護庁と共に「PETs」という用語を最初に考案して以来、私は「プラ イバシー・バイ・デザイン」の一部として FIPs の普遍原則を、情報処理技術とシステムの設計と運用 に直接組み込む必要性を強調してきた。 1980 年に最初に OECD で体系化されてから、FIPs は、さまざまな味付けのものになっている。そ れらには、EU データ保護指令(E.U. Directive on Data Protection)、カナダ規格協会(CSA)プライ バシーコード(Privacy Code)、アジア太平洋経済協力(APEC)プライバシー・フレームワーク、米国 セーフハーバー原則(Safe Harbor Principles)、また、最近では、私が 2006 年に国際プライバシー・ データ保護コミッショナーと共に先導した、調和のとれた世界プライバシー標準(Global Privacy Standard)がある1。 これらの FIPs は、多少の違いはあるものの、次に掲げる基本的な共通点を持っている。 データの最小化 ― 個人を識別できる情報の収集、利用、提供、および保持は、可能な 場合はどこでも、また、可能な限り最大限に、最小化するべきである。 ユーザーの参加 ― 個人は、自己の個人データのライフサイクルを通じて参加する役割 を果たし、また、コントロール権を行使することができるような権限を与えられるべきである。 1 Cavoukian, Ann, Ph.D., Creation of a Global Privacy Standard(2006 年 11 月 8 日) http://www.ipc.on.ca/images/Resources/gps.pdf 45 セキュリティの強化 ― 個人データの機密性、完全性、および可用性は、その情報の機微 性の程度に適合するように、保護されるべきである。 往来の PETs は、ユーザーの参加とユーザーへの権限委譲を促進する 理想的には、PETs はこれらの基本原則のすべてを促進すべきである。ある組織が不正なアクセ スや利用に対して詳細な顧客情報を守るために強力な暗号化技術を用いることは、非常に大切で あるとは言え、それだけでは、データの最小化とユーザーの参加資格はほとんど伝えられない。 従来の PETs は、顕示的な自己決定というプライバシーの理想、すなわち個人情報の収集、利 用および提供を管理する個人の能力に寄与する。1990 年代の PETs の初期開発、すなわちオンラ イン監視の問題に対して増大する懸念に関連付けられていた歴史を踏まえると、これは驚くべきこ とではない。その結果、オンライン環境における PETs は、通常、以下のような機能を実行するため に定義された。 通信や保存されているファイルへの不正アクセスの防止。 データ収集者のプライバシーの実行に関する情報の検索の自動化による、これらの実行に 基づくユーザーの意思決定の自動化。 クッキー、HTTP ヘッダー、Web バグ、スパイウェアなどによる自動化されたデータ収集の防 止。 通信により特定の個人に結合されることの防止。 最小の個人情報を提供する取引の促進。 不要なメッセージのフィルタリング。 これらは、ユーザー中心のツールおよび機能である。このリストは 10 年以上追加されていない。 そしてこのリストは、PETs が、個人が自分自身の個人を識別する情報をより詳細に管理するための 離散的な技術であることを、強く示唆している。 しかしながら、PETs には不要な境界線が配置されていたのだろうか?PETs とは、より大規模な システムや情報システム全体に組み込まれた、暗号技術の基本、ソフトウェア(ハードウェア)アプリ ケーション、あるいはコンポーネントのことなのだろうか?PETs とは、人間による排他的制御の下に 位置づけられた技術と理解されるべきか、または、もっと大きな基盤のコンポーネントを含むような、 より拡張的な定義の余地があるのだろうか?門戸を広げなければならない。 PETs プラス 門戸を広げるには、私は PETs の概念が拡張されなければならないと感じていた。PETs プラスと は、ICT の設計とその利用に“ポジティブサム”パラダイムを追加することにより、PETs そのものを改 46 良するものである。その結果、PETs プラスは個人の利益の保護という意図を加え、その目的を達成 することを目指している。すなわち、PETs プラスでは、ゼロサムモデルではなくポジティブサムモデ ルで、その他の参加者や利害関係者(例:システム所有者、オペレーター)の目的を達成すること を促進している。それらの目的は、システムの機能および運用に関する目的(例:電子通信の転 送・ルーティング、支払い処理、サービスの提供)、または、その他のセキュリティ、監視、不正検出 のような目的であってもよい。繰り返しになるが、これらの追加の目的は、個人を犠牲(ゼロサム)に したものではなく、加える(ポジティブサム)ことにある。 PETs プラスは、基盤の重要性を認識する PETs プラスではプライバシーに加えて、どのように他の目的を達成することができるのだろう か?そのためには、プライバシー対その他の権利という一般的なゼロサムモデルを捨てればよい のである。ゼロサムアプローチは失敗する運命にあるが、それは利用に際して最も効率的なモデル でもある。まずは、事実上ほとんどの PETs は、最適な水準を満たすための基盤の構成要素を所持 していることを認識しなければならない。例えば、個人がファイルや e-メールのメッセージを安全に 暗号化するために、彼らのコンピューターにダウンロードしてインストールするソフトウェアユーティリ ティのような伝統的な PETs を採用する。これが機能するためには、ユーザーは組み込まれた暗号 化アルゴリズムに「マジック」をおこさせなければならない--それは、ダウンロードされるファイル が信頼できるソースから来ていて、インストール時には「クリーン」に埋め込まれる暗号化アルゴリズ ムについて、ユーザーが信頼を寄せるということである。セキュアな通信のために、他のユーザーも 同じソフトウェアプログラムをコンピューターにインストールし、適切な基盤を用いて接続ができなけ ればならない。暗号鍵(PKI)の交換や検索を容易にするために、公開鍵サーバーが信頼できる団 体により運営され、利用することができなければならない。 基 盤 や 第 三 者 機 関 へ の 依 存 は 、 ま た 別 の 典 型 的 な PETs で あ る Platform for Privacy Preferences(以下「P3P」と記す)においても同様である。ここでは、ユーザーはコンピューターに可 読な個人情報設定をすることができ、それは訪問した Web サイトにおける個人情報保護指針に自 動的に照合される。個人が妥当なプライバシーを得てユーティリティを利用するためには、P3P プロ トコルは「基盤によって」サポートされていなければならない。 最後に、プロキシサーバーやネットワークの匿名化(個人が匿名、仮名、またはそれ以外の追跡 不能な方法でネットサーフィンや通信をすることを可能にする)は、信頼できる基盤があるかどうか に強く依存している、ということに注意するべきである。あるユーザーのコンピューター上に存在す る何らかのリンクされたコンポーネントは、その個人が管理することができるかもしれない。しかし、 ネットワークはそれ自体が PETs であり、そのユーザーのインタフェースは、単なるインタフェースで しかないのである。 47 設計と構造の重要性を認識する PETs プラス 従来のスタンドアロンの PETs は、「基盤」に組み込まれたとたん、PETs として機能しなくなってし まうのだろうか?もちろん、そんなことはない。例えば、パスワード管理、「クッキーカッター」、または スパムフィルターなどは、しばしば PETs の実例として挙げられるが、これはユーザーに権限を与え、 望まれない機密データの処理を最小化するための個別最適なツールである。では、これらの PETs が OS やブラウザーと統合された場合、必ずプライバシー強化機能を失ってしまうのだろうか?スタ ンドアロンのパスワードマネージャーと、Firefox や Internet Explorer が提供するそれとの間には、 何か違いがあるのだろうか?専らホームコンピューターやクライアントアプリケーションにインストー ルして設定されたスパムフィルターは、ISP の基盤レベルでインストールおよび運用されている PETs よりも優れているのだろうか?私はそうは思わない。それらのどちらか、あるいは両方とも PETs であると言える。いずれにせよ、しばしば基盤は PETs の重要な構成要素であり、時には PETs 全体になることさえある、と認識することが大変重要である。 ユーザーからの信用を高める PETs プラス 情報構造の設計や基盤の重要性がますます増加する現在、ユーザーへの権限の委譲と、ユー ザーによる管理能力を改善する必要がある。しばしば個人の直接的なアクセスや管理の及ばない ところにある基盤コンポーネントにおいては、ある程度はそれらを頼り、信用できることにしておくこ とは重要である2。ネットワーク上のクラウドコンピューティングが普及し、ますます多くの主体者によ り個人情報が作成、利用、そして提供されるような状況において、そのような信頼はより高められな ければならない。これは、PETs が徐々に適切ではなくなってきているという意味ではなく、そのまっ たく逆である。PETs は周りと共に進化し、プライバシーに対する信用において、新しい時代を形作 らなければならない。つまり、これからは PETs プラスの時代なのである。 例として、組織におけるニーズとプライバシーの保護を両方可能にする、企業内 PETs について 考えてみよう。これは、個人ではなく組織によって所有・運用される情報構造やシステムにおいて 利用される PETs である。「企業内」PETs は、特定のシステムにおいて、あらゆる個人データの利用 におけるより良い組織的管理やプライバシー上のコンプライアンスを推進することができる。データ の最小化やセキュリティの強化といった基本的なプライバシーの習慣も完全に運用することができ るが、個人の参加と違うところは、システムの透明性、一貫性、そして説明責任を維持するということ にもっと重点がおかれているということだ。例えば、プライバシー保護方針を個人データに直接適 2 その信用性を担保する方法にはさまざまな種類がある。例えば、オープンソースコード、代替 的手段の提供競争と有用性、サードパーティによるテストと証明、保証書、人の評判、直接的監査 ツールなどが存在する。実際のところ、最近増えてきている PETs は透明性および監査ツールであ る。それらを用いれば、個人のオンライン(オフライン)のインタラクションにおいて、プライバシーに 関する意思決定をより多くの知識に基づいて行うことができる。 48 用し、その使われ方を自動的に追跡することにより、企業全体に(あるいは外部にまで)きちんとそ の方針が浸透するようにする、企業内プライバシー技術がある。 ここでは、ユーザーによる参加のレベルは減少しているかもしれないが、プライバシーは維持さ れている。ユーザーによる参加が最小限あるいはまったくないとしても、PETs を組織の基盤に直接 構築し、プライバシーをきちんと維持することができるということは、それほど難しい話ではない。 総括すると、企業内 PETs や「構造上の」PETs において、プライバシーやシステム機能を保ちな がら、プライバシーと企業内機能の両方をポジティブサムにより実現している PETs プラスの実例は いくつもある。 プライバシー保護転換技術 それは、ますます良くなっている:ビデオ監視システムのような、旧来のプライバシーを侵害する 技術に対し、PETs プラスを適用すれば、その機能をほとんど落とさずに、プライバシー保護技術と 同じようにこれらの技術を変化させることができる。このような PETs プラスを、私たちは、プライバシ ー保護転換技術と呼んでいる。 私は、以下の旧来の「プライバシーを侵害する技術」分野で、プライバシー保護転換技術を特定 した。 バイオメトリクス RFID(Radio Frequency Identification) ビデオ監視カメラ ネットワーク・トレーシングとモニタリング 全身イメージング オンライン・デジタル・アイデンティティ 結論 PETs プラスとは、ゼロサム・パラダイムではなく、ポジティブサム・パラダイムにおいて適用される PETs であり、それはしばしばプライバシー保護転換技術(Transformative Technology)の創出をも たらす。 プライバシーの観点からすれば、すべての ICT は基本的に中立である。重要なことは、その設計 や利用 - 技術(テクノロジー)はプライバシーを侵害するようにもプライバシーを強化するようにも 設計することができる - になされた選択である。PETs は、個人データの利用を最小化し、データ の安全性を最大化し、そして個人に権限を与えることにより、基本的なプライバシー原則を具現化 49 する。私が 90 年代に導入したプライバシー・バイ・デザインの概念は、情報技術、構造、そしてシス テムの設計段階 - しばしばこれらには個人による管理が行き届かない - においてプライバシ ーを組み込む必要性を強調し、PETs の概念を拡張したものである。早くからプライバシーを組み 込む組織は、結果として、プライバシーの見返りを受け、多くの持続的な方法により、便益を得るだ ろう。 (Fred Cate 教授の言葉を借りれば)今日、私たちは全体としてユビキタスなデータを利用できる 世界に直面するように、これらのメッセージはこれまで以上に適合してきている。ポジティブサム手 法に基づきプライバシーを前進させ、私は、ほとんど、またはまったく機能性を落とさず、プライバシ ーを侵害する技術をプライバシーに積極的な技術に変換することができる新世代の PETs - PETs プラス - の開発を進める。プライバシー保護転換技術というこの新種はまた、プライバシー の問題をプライバシーの永久的な解決策 - 将来までプライバシーが存続するように保証する - に変換することもできる。 50 Transformative Technologies Deliver Both Security and Privacy: Think Positive-Sum, Not Zero-Sum プライバシー保護転換技術がセキュリティとプライバシーの両者を実現する: ゼロサムではなく、ポジティブサムの思考を 51 プライバシー保護転換技術がセキュリティとプライバシーの両者を 実現する:ゼロサムではなく、ポジティブサムの思考を 2009 年 3 月 情報プライバシーとしてのプライバシーとは、個人がみずからの記録情報の収集、利用および提 供を個人的に管理できる能力を意味する。これまでのところ、監視技術とプライバシーとの間の関 係では、「ゼロサム」アプローチが優勢だった。ゼロサム・パラダイムとは、1 人の利得が他の人の損 失と均衡する、勝ち負けという概念または状況を表す。ゼロサム・パラダイムにおいては、監視とセ キュリティの強化によって、必然的にプライバシーが犠牲になると考えられ、逆に、ユーザーのプラ イバシー管理を追加することは、システム性能を損なうものと見なされるであろう。私は、プライバシ ーを他の技術目標達成への障害とみなす、この観点には徹底的に反対する。同様に、プライバシ ー関係団体が監視機能を有するあらゆる形の技術を拒絶し、これらの技術の用途の増大を見過ご していることも受け入れがたい。 ゼロサムアプローチを選ぶより、「ポジティブサム」パラダイムが望ましくかつ達成可能なものであ り、これによって監視システムにプライバシー対策を追加することは、セキュリティや機能性をぜい 弱化するものではなく、むしろ、実際には総合的な設計が強化されると私は考える。ポジティブサム (WIN-WIN)・パラダイムとは、選択肢によって、参加者全員が一緒に利益を得るか、または損失を 被るという状況を示す。 ポジティブサムモデルを達成するには、プライバシー保護が最初から直接、技術の設計に組み 込まれるように、プライバシーを先を見越してシステムに組み入れる必要がある(私はこれを「プライ バシー・バイ・デザイン」と呼ぶ))。これにはシステムによる不要な個人データの収集および利用を 最小限に抑え、データセキュリティを強化し、個人に自分自身の情報をより制御できる権限を与え るという効果がある。結果は、WIN-WIN の結果を伴う、強力なセキュリティと共にプライバシーへの 配慮を達成する技術であろう。 ポジティブサム・パラダイムの採用と PETs の監視技術への適用によって、私が「プライバシー保 護転換技術」と呼ぶ技術が開発される。とりわけ、プライバシー保護転換技術は、個人データの不 要な収集、利用および提供を最小限に抑え、データ管理構造への大衆の信頼を促進することによ って、文字通り、通常、監視に関連づけられる技術を、プライバシーを侵害しない技術に転換する ことができる。 ポジティブサム・パラダイム+(監視技術に適用される)PETs =プライバシー保護転換技術 52 監視技術 リアルタイムであるかオフラインであるかを問わず、日常生活において、我々全員にとって監視 下に置かれる状況はますます増加している。監視制御技術には、通常、以下が含まれる(典型的 な目的): ・ 官民によるビデオ監視(公衆の安全) ・ 従業員のモニタリングおよび監視(企業のデータセキュリティ) ・ ネットワークモニタリング、プロファイリングおよびデータベース解析(ネットワークフォレン ジック、マーケティング) ・ デバイスのロケーショントラッキング(安全性、リソースの割り当て、マーケティング) ・ 「顧客全体の」取引の集約(顧客サービス) ・ 識別、照合および評価のための「質の高い」プロファイルの作成および利用(セキュリテ ィ) ・ 相互運用可能なバイオメトリックデータベースの作成および利用(アクセス管理/セキュリ ティ) 隠されたマジックミラーのように、監視は悪用されやすい権力の非対称性を反映し強化する。個 人をモニタリングおよびトラッキングすることで、監視者は個人に関する多数の新たな事項を知り、 その知識を個人に影響する差別的な決定を下すことが可能になるというみずからの利益のために 利用することができる。 しかしながら、モニタリングおよび監視の目的は、極めて正当なもので、有益なものであるともい える。多くの監視システムの基本的な命題は、ユーザー (その対象者)が、システムセキュリティお よび機能性の向上による利益を享受するためには、必然的にみずからのプライバシーの一部をあ きらめなければならないというものである。このように、プライバシーは、より切迫した社会的、法的、 経済的要請によって、すなわち、システムにプライバシーを追加することは何か他のものを失うこと を意味するという理由によって、犠牲にされている。これが古典的な「ゼロサム」という考え方であ る。 ゼロサム・セキュリティとは プライバシーが、他の望ましいビジネスや、技術や、社会的な目的の達成に対して、必然的に対 立し、または障害になるという一般的な考え方には私は、徹底的に反対する。例えば: ・ プライバシー対セキュリティ(どのようなセキュリティか。情報、個人、または公的/国家的 53 なセキュリティか) ・ プライバシー対情報システムの機能性 ・ プライバシー対運用またはプログラムの効率性 ・ プライバシー対組織管理および説明責任 ・ プライバシー対ユーザビリティ ゼロサムという考え方は、個人のプライバシーは、より重要な社会的な、ビジネス上の、または運 用上の目的には道を譲らなければならないという、技術開発者と提案者、ベンダーとインテグレー ター、企業幹部とプログラム管理者の議論に体現される。 同時に、プライバシーの擁護者または賛同者は、技術的進歩に反対する人々、技術について心 配する人々、または、主として複雑な技術要件や組織の差し迫った実態を把握していない圧力団 体など、さまざまな形態をとることが多い。 このゼロサムという一般的な考え方のため、監視および 制御技術の拡散は、適切なプライバシーによる抑制やバランスを欠いたまま展開されつつある。 私が初期の段階でプライバシーを情報技術システムに組み込むことを主張するのは、そうしなけ れば大衆の反発や「LOSE-LOSE」シナリオを引き起こすからだけでなく、そうすることでコンプライ アンスやユーザーの信頼の向上という点で、関与する全員にポジティブサムの利点が生まれるから である。 さらに良いことに、侵害的な情報通信監視技術にプライバシーを組み込むことは、データセキュ リティ、システムの機能性、効率性、ユーザビリティ、または説明責任を犠牲にすることなく、達成さ れうる。 PETs プライバ シー および 特に情 報プライバ シー技術 は、ゼロサ ム・ シナリオ を ポジティブサ ム 「WIN-WIN」シナリオに変貌させることができる。 「PETs」という用語は、「不要なまたは不法な個人データの処理を防止することによって、または みずからの個人データへの個人のコントロールを強化するためのツールおよびコントロールを提供 することによって、情報システムにおける個人の私生活の保護を強化する一貫した ICT のシステム」 を意味する。この概念には、情報システム構造の設計も含まれる。IPC が初めてこの頭字語を作っ た 1995 年以降、この概念と用語は世界中で幅広く語彙に含まれ、また利用されている。 PETs は、普遍的な公正情報取扱原則を ICT に直接組み込もうとするものであり、情報システム の機能性、性能または説明責任にはほとんど、またはまったく影響をおよぼさずに展開できるもの である。 54 PET の採用は、ユーザーの信頼を増大させ、複数の目的を達成できる方法で、新しい ICT を利 用することを可能にする。監視技術に適用すると、PET は以下のようなプライバシー保護転換技術 となる。 ・ 個人データの不要な提供、収集、保有および利用を最小限に抑えるために役立つ。 ・ 個人にみずからの個人データの管理に参加する権限を与える。 ・ 収集/利用される場所にかかわらず、個人データのセキュリティを強化する。 ・ (個人)データの管理構造に対する市民の信頼を促進する。 ・ 技術の幅広い採用の促進に役立つ。 プライバシー保護転換技術の例 バイオメトリック暗号 - BE は、1 対 N 照合だけでなく、バイオメトリック画像およびテンプレートに 基づく不要な識別、関連付けおよびプロファイリングの排除に役立つことよって、幅広い状況で、生 体認証の 1 対 1 オンカードマッチングとプライバシーを強化された個人の照合の実行可能性を提 供する。 RFID - IBM の RFID タグ「clipped chip」は不要な監視の排除に役立つ消費者向けの PET であ る。ユーザー目線の RFID における PET の同様のイノベーションは、広範囲にわたって影響を与え るもので、RFID を埋め込んだ身分証明書、支払い用のトークン、携帯電話の認証、およびその他 の権限付与の機能(交通料金カード、ポイントカードなど)などにおいて、商業的に利用される可能 性がある。 個人向けデジタル ID - Credentica(現在はマイクロソフト社に所属)は、主要な IDM のプラットフ ォーム上で機能し、トランザクションが負うべき責任やその制御を損なうことなく、オンライン ID プロ バイダーによる不用意なユーザー活動の関連付けの排除に役立つような、開示を最小限に抑えた デジタル ID トークンを開発した。 ビデオ監視 - トロントの公共交通機関のビデオ監視システムは、通行人の不要な識別を防止 する、プライバシーを強化した暗号ソリューションの導入の可能性について検討している(以下参 照)。 ビデオ監視カメラ:革新的なプライバシー強化アプローチ カナダのトロント大で、Kostas Plataniotis 教授と Karl Martin は、ビデオ監視に対する、転換可能 55 なプライバシー強化アプローチを開発した3。これは「安全な映像客体のコーディングを利用するプ ライバシーを保護された監視(Privacy Protected Surveillance Using Secure Visual Object Coding)」 と表現されているように、秘密鍵で暗号化された客体を復号することで、権限を持つ指定された人 物のみによって閲覧されるように、私的な客体(個人識別情報)を保護する暗号技術を利用してい る。言い換えれば、関心の対象となる客体(例えば、顔や身体)は、背景の監視フレームからまった く別個の存在として保存され、効果的に暗号化される。これは、技術に関する重要なブレークスル ーを意味する。というのは、安全な客体ベースのコーディングというアプローチを利用することで、 客体のテクスチャー(つまり内容)と形状の両方(以下の図(b)参照)、またはテクスチャーのみ(以 下の(c)参照)を暗号化できるからである。このアプローチは、コンテンツストリーム全体を暗号化す る既存のアプローチよりも、より柔軟性が高いだけでなく、利用される暗号化がより効率的でもある。 これにより、指定された人物は、テープに記録されたすべての人物のプライバシーを強力に保護し ながら、権限のない活動の映像を監視できるようになる。さらなる取調べを必要とする事件(犯罪の 場面など)が捕捉された場合、当局は問題の対象者を識別するために、客体のコンテンツを復号 することができる。復号は、リアルタイムか、または記録された映像で実行できる。暗号化は客体の 初期コーディングと連動して実行されるため、監視画像の取得中に実行することが可能であり、こ れによって迂回のリスクが削減される。 図(a):元のコンテンツストリーム。図(b):形状とテクスチャーの両方が暗号化され、間違ったキー でハッキングしようとしても、関心の対象となる客体を復号することはできない。図(c):全身(または 顔)のテクスチャーのみが暗号化されている例。 なお、上図には研究者の1人の写真が含まれている。写真の研究者は、この報告書での提供に同 意している。 3 Karl Martin および Konstantinos N. Plataniotis による『Privacy protected surveillance using secure visual object coding』the Edward S. Rogers Sr. Dept. of Electrical and Computer Engineering, University of Toronto, Multimedia Lab Technical Report 2008.01 参照。オンライン版: http://www.ipsi.utoronto.ca/Assets/News/Technical+report+mass+transit+system+surveillance.p df 56 Privacy and Video Surveillance in Mass Transit Systems:A Special Investigation Report プライバシーと公共交通機関のビデオ監視:特別調査報告 57 プライバシーと公共交通機関のビデオ監視:特別調査報告 2008 年 3 月 序文 特に英国で見られるとおり、世界中におけるビデオ監視カメラの大幅な増加は、プライバシーに 関する多大な懸念を生み出している。この報告書は、トロント市の公共交通機関におけるビデオ監 視カメラ利用の拡大に関して、Privacy International(英国を本拠とする非営利団体。以下「PI」 と記す)から寄せられた苦情を契機に作成された。ビデオ監視に関する見解には相違があることか ら、私の研究室では、本報告書を拡張して、この苦情の調査に加えて、プライバシー強化技術がビ デオ監視カメラのプライバシーを侵害する性質の軽減において果たす役割に関する検討と共に、 文献の再調査を含めることとした。そのため、ビデオ監視の幅広い状況について観察する包括的 な分析の提供も試みており、報告書としては長い内容になっている。公共交通機関や司法当局に よるビデオ監視カメラの使用が市民から大きな支持を受けていることを前提に、プライバシー強化さ れた技術の利用を通じたポジティブサム・パラダイムの追求という観点から、この問題を広く取り扱う ことが我々の目指す目標である。 背景 2007 年 10 月 24 日、Office of the Information and Privacy Commissioner of Ontario (IPC)は、ト ロント市運輸委員会(Toronto Transit Commission、以下「TTC」と記す)が管轄するオンタリオ州トロ ントにおける公共交通機関全体へのビデオ監視カメラの導入に関連して、団体から苦情の手紙を 受け取った。この団体は、その後、英国を拠点とする PI であることが判明した4。 この苦情の手紙には、TTC によるビデオ監視カメラの利用は、オンタリオ州における Freedom of Information and Protection of Privacy Act(以下「本法」と記す)のプライバシー規定に反するという 見解が表明されていた。この手紙で、PI は 「収集の必要性が無いという点で、本法の収集原則に 十分な注意が払われておらず、この(監視カメラ設置)構想が、プライバシーや関連する慣習への 配慮なく、アクセス権限に関する検討も不十分なまま導入されようとしている」と訴えている。PI は、 公共交通機関のビデオ監視が、犯罪やテロ攻撃の脅威を大幅に減少させるという証拠はないとい う事実にもかかわらず、このプログラムが犯罪防止と犯罪検知に基づいて着手されていると主張す る。また、PI は、ビデオ監視が捜査に与える影響はわずかであり、それによる技術面や管理面の問 4 苦情の手紙は以下の Privacy International のウェブサイトに投稿されている。 http://www.privacyinternational.org/issues/compliance/complaint_ttc_privacy.pdf 58 題が生じるとも主張している。最後に、PI は、ビデオ監視システムに対して、広聴、開示並びに公益 に係る制度確立のための法的要件を TTC は尊重していないと述べている。これらの問題に対処す るため、このプライバシーに関する苦情の申し立てが行われ(MC07-68)、調査が開始された。 この苦情調査の概要を説明する前に、ビデオ監視カメラにおけるプライバシーの意味合いに関 する背景と、これらの問題が当事務局長年に渡ってどのように対処されてきたかについて説明する。 また、この調査で極めて重要な事項であるため、ビデオ監視の有効性に関する研究の議論につい ても触れていく。当該調査自体のみに関心のある方々は、調査の具体的な内容を扱った報告部分 (71 ページ参照)に直接進んでいただきたい。 プライバシーとビデオ監視 従来から、広範囲に渡るビデオ監視はプライバシーと憲法で規定されている権利に脅威を与え て来た。政府機関により管理された場合、法律を遵守する国民の日常生活に関する膨大な量の情 報が、ビデオ監視によって政府に提供されることになる。自らが監視されていることを個人が知った 場合、会話し、行動し、他者と交際する国民の自由に対して、萎縮的な効果をもたらすおそれがあ る。監視されていることに気付けば、個人が自らの行動を検閲する可能性があることから、ビデオ監 視は社会的同調を強制する手段とみなされる場合もある。 プライバシーと個人が匿名で日常生活を営む権利は、表現の自由と結社の自由を守るだけでな く、日常生活への政府の介入から人々を守るものでもある。したがって、政府機関が、全国民のプ ライバシーに影響を及ぼすような方法で、監視技術を使用しようとする場合は、それを正当化する 明確な理由が存在しなければならない。具体的に言えば、当該技術の利点が、いかなるプライバ シーへの侵害をも正当化しえなければならないのである。 公共の場所、特に多くの人々が比較的限られた空間に集中する可能性のある都会の公共交通 システムの場合では、人々は、プライバシー保護に対する合理的期待を有しえないということが議 論されてきた。さらに、このような場所でのビデオ監視は、公の場所で起こっていることを観察すると いう人々の生まれ持っての才能を増強するという議論もされてきた。公共の場所において期待され るプライバシーの保護は、私的空間より低いと思われるが、まったく排除されているわけではない。 人々には次のことを期待する権利がある。自らの個人情報が、合法的で、限定された特定の目的 のみのために収集されることや、自らの個人情報の収集が、当該特定目的のために必要最小限な ものに限定されること、それに自らの個人情報が当該特定目的のみのために使用および開示され ること。これらの一般原則は、すべてのビデオ監視システムに適用されるべきである。 政府機関がビデオ監視システムの配備を決定した場合の状況に対処するため、当事務局では、 2001 年に『公共の場所におけるビデオ監視の使用に関するガイドライン(以下「ガイドライン」とい 59 う)』を発行している。このガイドライン5は、その後 2007 年に更新され、オンタリオ州の『情報の自由 とプライバシーの保護法』 および地方自治体でこれに相当する『情報の自由とプライバシーの地 域保護法』(以下、両者をあわせて「諸法」という)の規定に基づいている。発行されてから、ガイドラ インは、諸法に従って、プライバシーを保護する方法で、ビデオ監視プログラムを開発および導入 するため、多数の政府機関に活用されてきた。 ガイドラインは、ビデオ監視を用いた個人情報の収集が政治的選択として合法的かつ正当と認 められるものであるかの判断において、またそのように判断された場合に、当該システムにプライバ シー保護対策をどう組み込めるかの判断において、その組織を支援することを目的としている。ガ イドラインは、秘密裏の監視、または当該監視を実施する法的権限や捜査令状を有するような法執 行目的のため、特定事件の捜査手段として用いられる場合の監視には適用されない。 ビデオ監視を用いるべきかどうかの決定前に、ガイドラインは、諸機関が以下の点を考慮するこ とを推奨している。 公共の安全を守り、または犯罪活動を阻止、検出し、もしくは犯罪活動の捜査を支援するため の他の手段が検討され、それらが機能しえないとして却下された場合にのみ、ビデオ監視は 採用されるべきである。ビデオ監視は、法執行または公共安全について同じような目的を達成 するための従来の手段(徒歩での巡回など)が、監視に比べて著しく有効性に劣り、または実 行可能性がなく、監視の利点が、ビデオ監視システムを用いた個人情報の収集に内在するプ ライバシーの減少を十分に補って余りある場合にみ用いられるべきである。 ビデオ監視カメラの利用は、犯罪の発生または重要な安全への懸念についての明確かつ詳 細な報告に基づいて正当化されなければならない。 提案されたビデオ監視システムが個人のプライバシーに与える影響並びにいかなる悪影響を も軽減しうる方法について評価がなされなければならない。 提案されたビデオ監視プログラムの必要性とそれが市民に受け入れられる可能性に関して、 利害関係者との協議が実施されなければならない。 諸機関は、提案されたビデオ監視システムの設計および運用が、必要かつ合法的な目的の 達成のために絶対必要であるというレベルにまで、プライバシー侵害を最小限に抑えることを 確保しなければなない。 ガイドラインは、ビデオ監視の導入が決定された後の、プライバシーへのインパクトを最小化する ためのビデオ監視カメラの実装方法を規定している。 TTC のビデオ監視プログラムを調査するにあたり、これらのガイドラインを考慮した。 5 http://www.ipc.on.ca/images/Resources/up-3video_e_sep07.pdf 60 ビデオ監視の有効性に関する証拠 前述の苦情の手紙の中で、PI はビデオ監視の有効性に取り組む実証的研究に言及している。 有効性に関する見解にはかなりの相違があるため、当事務局では、罪を犯した可能性のある人物 や刑事司法手続に対するビデオ監視の有効性と、その結果に関する文献の選択的レビューの実 施を決定した。このレビューの焦点は、過去 10 年間に実施された研究に置いた。 文献のレビューでは、広範な現場における、犯罪へのビデオ監視の有効性について研究が実 施されていることが判明した。しかしながら、これらの研究には、方法論の厳密さの点で、相当な相 違があった。これらの各研究を掘り下げてレビューすることは、我々の調査の範囲内では実現不可 能であったため、この主題に関する幅広い研究の評価を行い、結論前に実証的証拠の質に基づ いて結論を導き出している信頼できる専門家の研究に依拠することとした。 研究結果に影響を及ぼす可能性のある外部要因の制御が困難であるため、自然環境でビデオ 監視に関する質の高い調査を行うには大きな課題が存在する。犯罪防止に対するビデオ監視の 有効性を実証するには、ビデオ監視カメラが導入された場所での犯罪率の減少、または犯罪率増 加の鈍化が研究によって示される必要がある。このような変化がビデオ監視によるものであることを 確認するには、同様の犯罪の低下、または犯罪率増加の鈍化が、ビデオ監視カメラが導入されて いない場所(制御区域)では生じなかったことが研究によって示される必要があるということになるで あろう。また、このような犯罪率の変化が一時的なものではなく長期的なものであることを確認する には、評価期間をかなりの期間に延長する必要があるであろう。残念ながら、方法論の厳密さでこ の水準に達する研究は極めて希である。 1997 年、カリフォルニアを拠点とする Marcus Nieto は、公共の場と私的な場でのビデオ監視の 使用が犯罪防止に有効かどうかを分析し、この技術が犯罪の減少および防止に成功しており、犯 6 罪を実行したとして逮捕された人物の起訴に役立つことをデータは示していると結論づけた 。 Nieto は、世界中のこの技術に関する評価について考察している。 2001 年、『公共の場における閉鎖回路テレビ(CCTV)に対するニューサウズウェールズ州の政 策綱領の評価:最終報告』で、ビデオ監視に関する部門間委員会(Interdepartmental Committee) は、オーストラリアのニューサウスウェールズ州全体のビデオ監視技術の評価に関する報告を行っ た7。同委員会は、事例報告と統計データにより、ビデオ監視は特定の状況で有効であると思われ、 6 Marcus Nieto の『Public video surveillance: is it an effective crime prevention tool?』 Sacramento: California Research Bureau, California State Library, June 1997 参照 7 2001 年 7 月に Crime Prevention Division, Attorney General’s Department 宛て、CCTV で Inter-Departmental Committee 向けに作成された『Final report: evaluation of the NSW government policy statement & guidelines for closed circuit television (CCTV) in public places』参照 61 高い水準の支持を受けていることが示唆されると結論づけている。しかしながら、同委員会は、この 技術が体系的に評価されたものとはみなしえないと述べている。 2003 年、王立カナダ騎馬警察隊(Royal Canadian Mounted Police)は、犯罪に対するビデオ監 8 視の影響の評価を委託した 。オタワ大学の犯罪学の教授であり、多くの専門分野に渡る国家セキ ュリティ作業部会のディレクターを務める Wade Deisman 氏が評価を実施した。報告では、「犯罪に 関するビデオ監視の影響は変化しやすく、かなり予測困難である9」ということともに、ビデオ監視の 抑止効果は、時間の経過や犯罪の分野によって異なることが示された。ビデオ監視システムの治 安騒乱に対する効果は最も低いことも判明した 10。犯罪に対するビデオ監視の抑止効果は、場所 によって異なり、駐車場では最大の利点があることが判明した。この評価では、犯罪抑止効果のた めには、ビデオ監視カメラが作動している必要がなかったことも示されている。抑止効果は、ビデオ 監視を他の犯罪削減対策と共に使用し、その地域の状況に合わせ調整された場合に最大となっ た。ビデオ監視システムの犯罪に対する効果を長期的に維持するには、継続的な広報も必要であ った。ビデオ監視の導入により有罪判決率が増加したという証拠は見いだせなかった。 2002 年、英国内務省は『CCTV の犯罪防止効果:体系的調査』という報告書を発行した11。この 報告書は、マサチューセッツ・ローウェル大学、刑事司法学部の Brandon Welsh 教授と、ケンブリッ ジ大学、犯罪学研究所の犯罪心理学者である David Farrington 教授によるものである。著者達は、 厳密な方法論的基準にしたがって、米国および英国からの 46 件の関連研究を評価した結果、22 件のみが厳密な分析として彼らの分析に含まれるべきものと判断した。これら 22 件の研究に基づき、 彼らは、ビデオ監視は、犯罪をわずかに減少させ、駐車場での自動車犯罪の削減には最も効果的 であったと結論づけている。ビデオ監視は、公共交通機関や都心部での犯罪にほとんどまたはま ったく影響がないことが判明した。 2005 年、英国内務省は、ビデオ監視システムの有効性の研究に関して、もう 1 つの報告書を発 http://www.dlg.nsw.gov.au/Files/Information/CCTV%20final%20report.PDF 8 Wade Deisman『CCTV: literature review and bibliography』Research and Evaluation Branch, Community, Contract and Aboriginal Policing Services Directorate, Royal Canadian Mounted Police, 2003 参照 オンラインで要請により入手可能: http://www.rcmp-grc.gc.ca/ccaps/cctv_e.htm 9 同上、2 ページ。 10 公序への違反には、暴動や酩酊など、個人または個人のグループによる暴力行為や威嚇行 為が含まれる場合もある。 11 C. Welsh および David P. Farrington『Crime prevention effects of closed circuit televi¬sion: a systematic review』Home Office Research Study 252 参照 http://www.homeoffice.gov.uk/rds/pdfs2/hors252.pdf 62 行した12。ライセスター大学(University of Leicester)の犯罪学教授である Martin Gill 教授がその評 価を指導している。この報告書では、町の中心や都心、駐車場、病院および住宅地など、幅広い 状況で実施された 13 件のビデオ監視プロジェクトを系統的に評価している。結果は、一部の対象 地域では犯罪は減少し、他の地域では上昇するという矛盾した内容であった。(駐車場と病院とい う)混合型の領域に設置されたビデオ監視システムでは、特に駐車場で最大の犯罪減少を示した。 アルコール関連などの衝動的犯行は、自動車盗難などの計画的犯行に比べて、減少率が低くなる 可能性があることが分かった。全国的な犯罪統計データの傾向通り、自動車盗難は減少傾向を示 したが、暴力事件は増加傾向を示している。 ビデオ監視の有効性に関する実証的研究が決定的でないにもかかわらず、英国内務省がこの 技術の利用を支持する決定を思いとどまっていないことに注意する必要がある。2007 年 10 月に発 行された『国家 CCTV 戦略』と題する報告書13は、ビデオ監視が、市民保護に大きな役割を果たし ており、警察の犯罪捜査を支援していると述べている。また、同報告書は、この技術は、重大な犯 罪やテロリストの紛争を含む、あらゆる犯罪行為に関与した人物の警察による識別と起訴に役立っ ていると述べている。同報告書は、この技術が「戦略的な指導、管理または規制無しに、断片的な やり方で開発されてきた」という事実にもかかわらず、ビデオ監視による公衆保護や警察の犯罪捜 14 査支援への貢献が実現されてきたと述べている 。同報告書は、ビデオ監視インフラの可能性を最 大化する戦略の開発を推奨している。 2006 年、米国司法省のコミュニティ志向型警察サービス室(Office of Community Oriented Policing Services)は、『公共の場におけるビデオ監視』と題する報告書15を発行した。同報告書は、 テンプル大学、刑事司法学部の Jerry Ratcliffe 教授によるものである。同報告書は、ビデオ監視シ ステムの概説を提示し、この技術に関連する利点と問題を調査し、さまざまな評価の結果を要約し ている。 同報告書は、システム管理者と大衆との間には、ビデオ監視カメラが犯罪防止に効果的であると いう一般的な認識があるものの、実際に犯罪が減少したという証拠を見いだすことは非常に困難で 12 Martin Gill および Angela Spriggs『Assessing the Impact of CCTV』Home Office Research Study 292, February 2005 参照 http://www.homeoffice.gov.uk/rds/pdfs05/hors292.pdf 13 Graeme Gerrard、Garry Parkins、Ian Cunningham、Wayne Jones、Samantha Hill、および Sarah Douglas『National CCTV Strategy』Home Office, October 2007 参照 http://www.crimereduction.homeoffice.gov.uk/cctv/cctv048.pdf 14 同上、5 ページ 15 Jerry Ratcliffe『Video Surveillance of Public Places』Problem-Oriented Guides for Police, Response Guides Series No. 4, U.S. Department of Justice, Office of Community Oriented Policing Services, 2006 参照 http://www.cops.usdoj.gov/mime/open.pdf?Item=1693 63 あると述べている。それにもかかわらず、複数の評価調査によって提供された証拠に基づき、明ら かになった事項は以下の通りである。 ビデオ監視は、暴力犯罪や公安犯罪より、窃盗犯罪の削減により効果的である(ただし、こ れらの分野でもある程度の成功は見られる)。 ビデオ監視は小規模で、境界が明瞭な区域(公共駐車場など)で最善の機能を果たすと思 われる。 システムが活用されている個々の状況とその利用方法が重要であると思われる。 犯罪率には一般的に変動があるため、犯罪における統計的に有意な減少を達成するのは 困難である。 警察の関与がシステムの成功のための重要な決定要因である。 犯罪が発生した場合、ビデオ監視には捜査上の利点がある。 要約すれば、著者は次のように結論づけている。「システムの大部分において、犯罪減少に関 するある程度の証拠は存在したと言える。CCTV が犯罪削減にある程度の成功を収めたことを示唆 する評価はますます増加している16」 ビデオ監視に関する実証的研究の議論 ビデオ監視の用途は、様々な点で大きく異なりうることに言及しておくべきであろう。このため、調 査間で比較を行い、その評価から一般的な結論を導き出すことは困難である。例えば、以下のよう な点からも用途は変化する。 用途の目的 使用されるビデオ監視技術の種類 ビデオ監視が受動的か、能動的か 対象領域の種類(閉鎖空間か、開放空間か) 対象領域の大きさ カメラの設置密度 固定カメラか移動可能カメラか 法執行機関の関与 さらに、犯罪との戦いにおいて、ビデオ監視の有効性を支持する実証的証拠が期待されている よりも弱いものではあるものの、一部、連邦政府からの相当な額の財政支援によって、ビデオ監視 技術が拡散している英国で、その研究の大部分が実施されていることに注目することも重要である。 対照的に、オンタリオ州へのビデオ監視カメラの導入は、連邦政府からも州政府からも大規模な財 政支援は受けていないため、より選択的である。状況的要因がビデオ監視カメラの有効性に影響 16 同上、20 ページ 64 を与えていることを研究は示していることから、英国など他の司法管轄からの研究結果は、オンタリ オの状況には直接適用できないかもしれない。 例えば、ビデオ監視システムは英国の町の中心や都心ではほとんど犯罪に影響を及ぼさないも のの、オンタリオ州サドベリーにおける犯罪へのビデオ監視カメラの有効性の調査では、非常に好 ましい結果が示されている17。 この調査では、特に最初のカメラの設置後、繁華街での犯罪率が劇 的に低下したことが示されている。ビデオ監視プロジェクトにより、300~500 件の強盗、暴行、窃盗 およびその他の犯罪行為が阻止され、80 万ドルにも及ぶ直接の金銭的損失が削減されたと推計さ れている。さらに、売春や麻薬犯罪に関連する逮捕は、これらの犯罪の捜査能力が強化された直 接の結果として、年間平均 18 パーセント増加している。著者達は、ビデオ監視システムは、犯罪阻 止と捜査の両方において効果的であったと結論づけている。 英国とオンタリオ州における研究結果の不一致は、技術の用途における状況的なばらつきによ るものと考えられる。例えば、このようなものへの財政支援が乏しい場所では、ビデオ監視システム がより戦略的な方法で導入されている可能性がある。この結果として、財政支援がより豊富な場所 に比べて、地域の犯罪率の低下が大きくなっている可能性がある。 また、ビデオ監視の有効性に関する研究は、その方法論の不備に悩まされ続けてきたことに注 意することも重要である。最も顕著な点としては以下が挙げられる。 適切な制御領域(調査期間中に他の犯罪防止対策の導入によって犯罪率が影響を受けて いない地域) の欠如 適切な犯罪統計(ターゲットとなるエリアの統計データが分離されていないなど)の欠如。 時間の経過とともに、犯罪の定義や犯罪の報告方法に変化が生じるため、犯罪率は信頼で きる指標と言えない可能性がある(地域にビデオ監視カメラがあると思うと、個人が犯罪通報 をあまりしない傾向を示す場合がある。または証拠として採用される可能性のあるビデオ監 視画像が入手できることで、警察が犯罪者を逮捕できると個人が考えれば、犯罪を通報す る傾向が高まる場合がある)。 効果の周辺地域への便益の波及についての評価がない。 データが収集されるビデオ監視前後の期間が不適切である。 ビデオ監視が実際に特定種類の犯罪の検知を増加させ、よって犯罪通報率を上昇させると いう事実。 新しいビデオ監視技術に比べて、犯罪者識別への有効性が低いと思われる時代遅れのビ デオ監視技術が多数の評価に含まれている。 17 ビデオ監視が単独で設置されることはめったにない。通常は、犯罪防止対策のパッケージ 『Evaluation of Lion’s Eye in the Sky Video Monitoring Project』KPMG, 2000 参照 65 の一構成要素として導入されるため、その効果を分離するのは困難である。 ビデオ監視カメラの導入後の違いがわからないほど犯罪率の低い対象地域にカメラが配置 される場合がある。 ビデオ監視カメラは、断片的に導入される場合も多く、導入前後の犯罪統計データを比較 することが困難である。 犯罪率は時間の経過とともに変動することは必然であり、季節性や長短期的傾向の証拠も 示されていることから、ビデオ監視カメラの影響を分離することや、統計的に有意な結果を 入手することが困難である。 ビデオ監視カメラ導入の明確な目的の欠如により、適切な有効策を見いだすことが困難で ある。 犯罪者がカメラの存在に気づかない可能性があり、犯罪の抑止が実質的に不可能である。 独立した第三者によって実施されている研究がほとんどない。 残念ながら、明確に導かれた結論はない。ビデオ監視が犯罪を減少させ、刑事司法手続に役 立つという、統計的に有意な証拠を見いだすことは難しい。しかしながら、文献で報告されている明 らかになった事項にも曖昧性があることから、ビデオ監視が実際に犯罪活動の抑止に効果的でな いと結論づけるのも同様に困難である。この結論は、犯罪抑止に関するビデオ監視の効果に関す る研究より、特に明らかに曖昧さの少ない犯罪の検知や捜査におけるビデオ監視の有効性に関す る他の証拠によって支持されている。 例えば、1993 年には、幼児 Jamie Bulger が 2 人の 10 歳の誘拐犯にマージーサイド州のショッピ ングモールから連れ去られたビデオ監視画像が、殺人者の特定と逮捕において警察の役に立っ た18。一般に公開されたビデオ画像は、容疑者の早期特定につながり、1999 年のブリクストンのク ギ入り爆弾事件の起訴や 2005 年 7 月 21 日のロンドンの地下鉄網での爆破未遂事件でも重要な 役割を果たした。後者では、4 人の男性が殺人の計画に関与したとして有罪となった19。最近では、 オンタリオ州サドベリーの病院に設置された監視カメラから回収された画像が、一人の女性の特定 と発見に大いに役立った。彼女は、新生児を病院から誘拐したという罪状を認めた20。カメラから回 収された画像は、新生児を家族に返す際に非常に有効であった。 ビデオ監視画像がロンドンのテロ捜査に使用された際の効率性によって、ビデオ監視に関する 18 hirley Lynn Scott『The Video Tape』参照 Crime Library ウェブサイト版: http://www.crimelibrary.com/notorious_murders/young/bulger/4.html 19 『4 Guilty in Failed 2005 London Bombing』New York Times, July 9, 2007 参照 オンライン版: http://www.nytimes.com/2007/07/09/world/europe/09cnd-london.html?hp 20 『Woman pleads guilty to Sudbury baby abduction』CanWest News Service, November 24, 2007 参照 オンライン版:http://www.nationalpost.com/news/story.html?id=121816 66 認識は劇的に変化している。 例えば、Nigel Brew 氏は、2005 年にオーストラリア政府のために実施した『CCTV 監視の効果に 関する調査』と題する研究で、「ビデオ監視は、抑止力としてよりも、証拠としてより価値があると思 われる」と結論づけている21。しかしながら、メリーランド大学の健康国土安全センター(Centre for Health and Homeland Security)で責任者を務める Michael Greenberger 氏は 2005 年のテロ攻撃の 後、「CCTV を効果的に捜査に使用することは、ロンドンの公共交通機関での今後のテロ活動に非 常に大きな抑止力となると思われる22」と反論している。 ビデオ監視に関する実証的研究からの結論 実証的研究の大半は多くの点で不完全なため、ビデオ監視カメラの有効性について、決定的な 結論を導き出すのは困難である。結果に影響を与える多くの要因と、結果を生じさせた状況および メカニズムを制御する能力なしでは、これまでの評価結果が雑多で、相反し、ときには矛盾するの は驚くことではない。ビデオ監視システムが、幅広い犯罪の分野にわたって、均一な効果をもたら すとは思われない。現時点で、ビデオ監視が、犯罪を抑止し、または防止しているという絶対的な 証拠を見いだすのは困難である。しかしながら、逆の結論を下すこともまた同様に困難である。ビ デオ監視にとってのより価値ある役割は、犯罪の検知と捜査における証拠の供給源になる可能性 がある。決定的な発言がなされる前に、一貫した厳密な方法論によって、より大規模な研究が行わ れる必要がある。 なぜビデオ監視が市民の安全を強化すると考えられるか 従来、ビデオ監視は、犯罪抑止効果の期待ゆえに、公共の場所に最も多く導入された23。通常、 犯罪抑止と犯罪防止の目標は、犯罪を起こす可能性のある人物が、犯罪を控えたり、犯罪行動を 延期したり、あるいは特定の対象を避けたりするような状況を生じさせることである。多くの犯罪防止 策同様、ビデオ監視は犯罪を起こす可能性のある人物に検挙のリスクが高いと思わせることを目的 21 Nigel Brew『An overview of the effectiveness of closed circuit television (CCTV) surveillance』 Research Note no. 14 2005-06, Parliament of Australia, Foreign Affairs, Defense and Trade Section. October 28, 2005, page 6 参照 オンライン版: http://www.aph.gov.au/Library/pubs/rn/2005-06/06rn14.htm 22 Michael Greenberger『The need for closed circuit television in mass transit systems』Law Enforcement Executive Forum. 6(1), 2006 の抄録参照 オンライン版: http://www.umaryland.edu/health-security/docs/CCTV%20in%20Mass%20Transit%20Systems.pdf 23 Jerry Ratcliffe『Video Surveillance of Public Places』Problem-Oriented Guides for Police, Response Guides Series No. 4, U.S. Department of Justice, Office of Community Oriented Policing Services, 2006 参照 オンライン版:http://www.cops.usdoj.gov/mime/open.pdf?Item=1693 67 としている。リスクの認知を高めるには、犯罪を起こす可能性のある人物にカメラの存在を認識させ、 カメラによって、意図した犯罪の報酬を十分に上回る逮捕のリスクが生じると思わせる必要がある。 カメラに対する認識は、啓蒙、明示、およびカメラが捕捉した事件のマスコミ報道で強化される可能 性がある。しかしながら、その認識に加えて、カメラにより捕捉されていることの結果を理解するには、 理性的な思考も必要である。犯罪を起こす可能性のある人物が薬物やアルコールの影響下にある 場合、カメラの存在によって、暴力行為や治安騒乱の行為を思いとどまるとは考えにくい。 ビデオ監視は、犯罪者の検知、逮捕および起訴を支援することで、犯罪を減少させるとも考えら れている。ビデオ監視カメラの存在する場所で事件が発生した場合、警察はすばやく、より状況に 適した方法で対処できる。ビデオ監視による証拠を使用して、犯罪者が逮捕され、有罪判決を受け るかぎり、犯罪者が更なる罪を犯すことを防ぐことができる。 ビデオ監視は、多数の人目を引くような事件で犯罪者の検挙に貢献する一方で、これまでは犯 罪活動の検知よりも、その抑止力にその価値が見出されてきた。しかし、この見解は変化しつつあ る。現在では、犯罪検知の価値を重視し、それがビデオ監視の主な目的と考えられている。 ビデオ監視画像は、警察の犯罪捜査も支援する可能性がある。ビデオ監視映像は、警察による 犯罪者の識別に役立つ可能性があるだけでなく、映像がなければ名乗り出るのをためらう可能性 のある潜在的な目撃者の識別にも役立つ可能性がある。 また、ビデオ監視は、人々に、より多くの安心感と信頼感を与えると考えられる。これは、すべて の公共交通機関におけるセキュリティプログラムの重要な目的である。大衆の中に安心感を得られ ない人物がいれば、公共交通の利用を避けることになり、利用者数の減少につながる可能性があ る。 要するに、ビデオ監視が犯罪防止や警察の犯罪捜査に役立つ理由には、抑止力以外の理由 があるということである。これは、ビデオ監視システムが強力な支持を受け、広がり続けている理由 の説明に役立つと思われる。 新たなプライバシー強化型ビデオ監視技術 技術というものは、基本的にプライバシーに関し中立であるが、プライバシーへの影響を慎重に 検討することなく導入すると、極めて侵害性が高くなる可能性がある。私は、技術強化を促進し、こ の技術をプライバシーサービスに入れ込むことに対する熱心な支持者であった。この技術のサポ ートを仰ぐことで、プライバシーはむしばまれるのではなく強化されると考えている。プライバシー強 化技術(PET)とは、個人情報の収集、保存、利用および開示を、除去または削減することでプライ バシーを保護する手段を組み入れる情報通信技術である。これは「データ最小化」と呼ばれること も多く、プライバシー保護でますます重要な要素となりつつある。 プライバシー問題の対処のため、高価で効果のない導入後の技術改造を避けるため、プライバ 68 シー保護を最初から設計と導入に直接組み入れることが重要である。この考え方は、私の持論で ある PbD に体現されている。監視システムの導入を希望する場合、特に商用に実施する場合は、 できる限り PET を意識し、採用する責任がある。 最近の研究は、法律を遵守する国民のプライバシーを保護すると同時に、適切に市民の安全問 題に対処しうる監視システムを設計することが可能であることを示している。 ビデオ監視画像に現れる個人のプライバシーを保護するため、現在、さまざまな技術がデジタル 画像処理に基づいて開発されている。研究文献によると、これらのアプローチは次のように機能す る。 ステップ 1:対象物検出および区分手法を用いて、画像やビデオフレーム内の人物の顔な ど、興味のある対象物を探す ステップ 2:ステップ 1 の完了後、監視画像を見る一部またはすべての人たちが、内密な対 象コンテンツ(表示されないようにするコンテンツ)を識別できないように、対 象物のあいまい化や安全保護手法でピクセルデータを操作する 最初のステップの対象物の検出および区分については、パターン認識アルゴリズムを使用した 確立された方法が多数存在し、一部は、監視および認識システムに、現在、使用されている。2 番 目のステップのオブジェクトのあいまい化または安全保護化については、さまざまなアプローチが あり、どれを選択するかはその用途要件次第である。最も簡単なアプローチは、内密な対象コンテ ンツを不鮮明にする、または破棄する(黒いボックスで見えなくする)ことである。このアプローチに ける大きな制約は、監視画像の取得中に適用されると、将来の捜査目的の際に、コンテンツが回 復できないことである。新しい種類のプライバシー強化アプローチでは、元のビデオストリームにあ る個人を特定しうる情報または興味のある対象物を、閲覧から安全に保護すると同時に、元のコン テンツストリームを保持しながら、必要に応じ、後日この情報の読み取りを可能にする必要がある。 革新的なプライバシー強化アプローチ トロント大学で、Karl Martin 氏と Kostas Plataniotis 氏がビデオ監視に対して前述のようなプライ バシー強化アプローチを開発したことを報告できるのは喜ばしいことである。彼らの研究は、「安全 な映像対象符号化技術を用いたプライバシー保護型監視(Privacy Protected Surveillance Using Secure Visual Object Coding)24」において記述されており、秘密鍵で暗号化された対象物を解除 24 Karl Martin および Konstantinos N. Plataniotis による『Privacy protected surveillance using secure visual object coding』the Edward S. Rogers Sr. Dept. of Electrical and Computer Engineering, University of Toronto, Multimedia Lab Technical Report 2008.01 参照 http://www.dsp.utoronto.ca/~kmartin/papers/tech_report_2008.01-surveillance 69 することで、権限を持つ指定された人物のみが閲覧できるように、非公開な対象物(個人を特定で きる情報)を安全にする暗号技術を使用している。言い換えれば、対象物(例えば、顔や身体)は、 背景の監視フレームからまったく別の存在として保存され、効果的に暗号化される。安全な映像対 象毎の符号化という方式を採用することで、模様(つまりコンテンツ)と対象物の形状(以下の図(b) 参照)の両方、または模様のみ(以下の(c)参照)を暗号化できる25。この方式は柔軟性が高いだけ でなく、使用される暗号化がコンテンツストリーム全体を暗号化する既存の方式より効率的でもある。 これにより、テープに捕捉された任意の人物のプライバシーを強力に保護しながら、指定された人 が無許可行為の映像を監視できる。詳細な調査を必要とする出来事(すなわち犯罪の場面)が捕 捉された場合、適切な当局が対象となるコンテンツを復号して、問題の対象者を識別できる。複合 化は、リアルタイム、またはアーカイブされた映像で実行できる。暗号化は対象物の最初の符号化 と連動して実行されるため、監視画像の取得中に実行される可能性があり、いかなる回避リスクも 軽減される。 図(a):元のコンテンツストリーム。 図(b):形状と模様の両方が暗号化され、間違った鍵でハッキングしようとしても、対象物を復号す ることはできない。 図(c):全身(または顔のみなど)の模様のみが暗号化されている例。 ゼロサムアプローチの落とし穴 長年にわたって、私はどちらかが勝ち、どちらかが負けるというゼロサム・パラダイムの採用は、視 野が狭く、最も効率が悪いと論じてきた。結果として、当事務局では、両者が「勝ち」、必然的にど ちらも負けることのない、新たな技術の採用において検討するための「ポジティブサム」モデルを開 発した。ビデオ監視カメラが関与するシナリオにおいて、警察は犯罪活動検知のツールとして、ビ デオ監視カメラを使用する合法的な目的を有する可能性がある一方で、個人は日々の活動がモニ 25 図には研究者の 1 人の写真が含まれている。写真の研究者は、この報告書での公開に同意 している。 70 タリングされテープに保存されないという正当な期待を有している。Martin 氏と Plataniotis 氏の画期 的な研究では、両方の利益が優先されるポジティブサム技術の理想的な事例が提示されている。 ビデオ監視カメラは、公衆の安全と法の執行という一貫した理由で展開される可能性があるが、複 合化鍵を所持しない、権限のない関係者はカメラ画像の個人情報にアクセスできない。複合化鍵 へのアクセスを承認された限られた人数の人物に制限するこの技術と共に、強力な指針が実装さ れる必要がある。犯罪や安全に関する事故が発生した場合に限るなど、ビデオ監視画像の復号の ための条件を統制するプロトコルも開発する必要がある。 この種のプライバシー強化技術を利用することにより、ビデオ監視はこの種の監視に係る懸念な しに実施できるであろう。監視画像の大部分については、アクセスや個人を特定するような情報の 表示はまったく行われず、好奇心から表示したり、「のぞき見」するなど、権限のない行為は不可能 となるだろう26。したがって、このプライバシー強化技術は、いずれか一方を失うことなく、ビデオ監 視カメラの利用とプライバシーを併存させることができる、つまりゼロサムではなくポジティブサムと なるである。 捜査行為 上述の通り、IPC への書簡の中で、PI は、TTC によるビデオ監視カメラの導入に関して懸念を表 明し、TTC のビデオ監視の利用は、 情報の自由とプライバシーの保護法 のプライバシーに関す る条項に従ったものではないと主張していた。PI の書簡は、法的な考慮とともに、ビデオ監視の有 効性、ビデオ監視の利用に関する技術的な懸念に関する過去の研究に言及していた。 TTC にこの苦情で提起された問題に対処する機会を提供するため、当事務局では、TTC のスタ ッフと面会を行った。この苦情の背景にある事実に関する私の理解を確認し、ビデオ監視システム の操作が情報の自由とプライバシーの保護法 の規定に従っているかどうかに関する TTC の書面 による表明を取得するため、私も TTC に手紙を書いた。TTC からは完全で詳細な回答が提供され た。PI にも追加情報を提出する機会が提供されたが、PI は辞退した 当事務局のスタッフは、代表的な TTC の地下鉄の駅に配置されたビデオ監視システムの分析 のため、現地視察も行った。 26 英国で認定を受けていないビデオ監視カメラの操作者が、魅力的な若い女性や性的行為中 のカップルにズームインして楽しんでいたビデオ監視ののぞき見の例については、大きな影響を及 ぼした Jeffrey Rosen の書籍『The Naked Crowd』(2004 年)を参照。 この書籍で、彼は適切に策定 された法律と技術を採用することで、自由とセキュリティのバランスを効果的に取ることは可能だと 論じている。 71 監視の程度 TTC は、現在 TTC の地下鉄網と地上車両(バスと路面電車)の両方にカメラが配置されているこ とを明らかにしている。TTC の 1,750 台の地上車両のうち、286 台のバスに 4 台のカメラが搭載され ており、合計 1,144 台のカメラが使用されている(今のところ、路面電車にカメラは設置されていな い)。TTC の地下鉄網については、現在 1,200 台のカメラが 69 の駅に配置されている。これらのカ メラは通常、交通の渋滞地点(主要アクセスポイント)、指定待合室、自動出入口、エレベーター、 改札、その他場所特有の懸念がある地域に配置されている。 TTC は、監視プログラムを地上車両と地下鉄網内の両方で拡張する計画を表明している。具体 的に言えば、TTC は残り 1,464 台の地上車両にカメラを設置し、2008 年末までにすべての地上車 両にカメラを搭載することを計画している。各車両に 4 台のカメラの設置が計画されているため、 TTC の地上車両全体に、合計 7,000 台のカメラが設置されることになる。さらに、2008 年末までに ホイールトランス社の車両 144 台すべてに 5 台のカメラを搭載する計画がある(合計 720 台)。地下 鉄網について、TTC は 2011 年末までに現在の 1,200 台から 1,100 台増設して 2,300 台とすること を計画している。さらに、TTC は地下鉄車両内にもカメラの導入を計画している。現在、2009 年後 半に TTC システムに導入が開始される新たな地下鉄車両 39 セットに合計 1,014 台のカメラを設置 する計画がある。 既存および提案されているカメラは、すべて個人の画像を捕捉する可能性のある場所に配置さ れていると理解している。 システムの運用 TTC では、カメラの運用に関する情報も提供している。具体的に言えば、TTC は、ビデオ監視 画像の保存、使用される技術の種類、ライブビデオ監視画像のモニタリングや、地上車両と地下鉄 網両方のビデオ監視画像の録画へのアクセスに関する情報を提供している。 TTC では、保存スケジュールについて、地上車両からのビデオ監視画像の録画は 15 時間保存 され、その時点で自動的に上書きされると説明している。地下鉄の駅で作動しているカメラについ ては、ビデオ監視画像の録画は最大 7 日間保存され、その時点で自動的に上書きされる。 使用されるビデオ監視技術の種類については、地上車両に配置されるカメラはすべてデジタル 技術を使用している。地下鉄網内に配置されているカメラは、アナログ技術とデジタル技術の両方 を使用している。 ビデオ監視画像のモニタリングについては、地上車両に配置されたカメラはモニタリングしておら ず、また、運転手も画像にアクセスできないと、TTC では述べている。遠隔地から地上車両のビデ オ監視画像をモニタリングする唯一の方法は、ワイヤレスビデオ監視ネットワークを介した方法であ る。TTC はこのようなネットワークを設置していない地下鉄網に関しては、TTC は、これらのカメラは 72 通常モニタリングされていないが、16 の地下鉄の駅のカメラは現在光ファイバーケーブルを介して リンクされており、TTC の 4 部署、交通制御室、信号・電気・通信保守部門、信号・電気・通信技術 部門および特別巡査サービス部門でビデオ監視画像へのライブリモートアクセスが可能であると述 べている。これらの各部署をライブビデオ監視画像にアクセス可能にしている理由を以下で説明す る。 交通制御室については、ライブフィードとそのモニターは地下鉄網内で問題が生じた場合のた めに、1 日 24 時間「オン」になっているが、ビデオ監視画像の能動的なモニタリングは行われてい ない。ライブフィードを介して、どの地下鉄のプラットフォームをモニタリングするかを決定している。 およそ 8 台のカメラを一度に表示できる。交通制御室、信号・電気・通信保守部門と技術部門に関 して、カメラは能動的にモニタリングされていない。ビデオ監視信号へのリモートアクセスは、システ ム障害、カメラの故障、ネットワーク障害または予防保守など、保守関連の問題に厳密に限って使 用される。特別巡査サービス部門も、ライブビデオ監視フィードの能動的なモニタリングは行わない。 すべてのアクセスは、厳密にログに記録され、インシデント駆動型(何か異常があった場合等に利 用する形式)である。 光ファイバーケーブルにリンクされたカメラからのライブビデオ監視フィードに加えて、平日朝夕 のラッシュアワーには、TTC 施設管理者が表示できるライブフィードへのモニターも設定されてい る。ライブフィードは、南北の路線と東西の路線が交差する駅の地下鉄のプラットフォームをモニタ リングする。ライブビデオ監視画像は、プラットフォームの過密状況をモニタリングして、乗客の安全 を確保する目的に厳密に限定して使用される。必要に応じて、施設管理者が一般向けアナウンス で乗客に最新情報や注意喚起を行う。 現在、地上車両と地下鉄網の両方からのビデオ監視画像の録画へのアクセスについては、何か の異常が発生し、捜査で使用するには、保存期間が終了する前に、捜査官が画像を分離してコピ ーする必要がある。したがって、ビデオ監視画像の録画にアクセスしてダウンロードする能力は、厳 密に管理されている。捜査は、TTC により内部的に行われるか、またはトロント警察などの外部の 法執行機関により行われる。 また、トロント警察の諮問委員会と TTC との間で覚書(MOU)が締結されると、警察は地下鉄網 内で収集されたビデオ監視画像の録画へ、直接リモートアクセスすることが可能になる。ビデオ監 視画像へのすべてのアクセスは、インシデント駆動型であり、事件簿番号を必要とする。アクセスは、 映像管理部門内の 8 名に限定される。すべてのアクセスは完全にログに記録される。 TTC によるビデオカメラ操作は「ビデオ録画ポリシー」(以下「ポリシー」と記す)によって管理され ている。これは当事務局に草案の形で提供されたものである。このポリシーはまだ完成しておらず、 TTC により正式に採択されたものではない。施行されれば、ポリシーは、以下を含む TTC によるカ メラ使用のすべての主要な側面を対処することになる。 73 プログラムの論理的根拠と目的について明らかにする 監視システムに関する TTC 内のさまざまな業務指示の責任を明らかにする 監視カメラを介して画像を収集されたすべての TTC 乗客に提供される収集通知書(Notice of Collection)の要件 を明確にする 潜在的なプライバシー違反への対応手順 を明らかにする 録画画像の受け入れ可能な保存期間 を明らかにする 公的諮問 TTC は、様々な時点で、ビデオ監視に関する様々な形での公的諮問に着手したと述べている。 例えば、地下鉄網内のカメラについては、「シェパード地下鉄拡張(Sheppard Subway Extension)」 の設計中に、カメラの設置を含めて、新しい地下鉄線のセキュリティ機能に関する意見の提供のた め、「個人のセキュリティ設計調査グループ(Personal Security Design Review Group (PSDRG))が 創設された。PSDRG は「トロント安全都市委員会(Toronto Safe City Committee)」や「女性に対す る公共暴力に関する都市行動委員会(Metro Action Committee on Public Violence against Women)」を含む複数の公益団体で構成されていると TTC は述べている。 新しい地下鉄車両でのビデオ監視カメラの利用に関して、TTC は 2006 年 6 月 6 日から 7 月 21 日まで新しい地下鉄車両の実物大模型の公開を実施し、ビデオ監視カメラの利用を含めて、市民 からその機能に関する意見を求めた。 路面電車に計画されているカメラについても、TTC は新しい路面電車の購入に関して、公的諮 問に着手したと言及している。とりわけ、この公的諮問では、ビデオ監視カメラ設置の可能性につ いて対応している。さらに、TTC は地上車両用の追加カメラの購入に関する提言が公的報告書 27 のテーマであり、報告書に対する意見の提出を希望する団体は、TTC 委員会会合にてそれを行 う選択肢を有していると述べている。 調査から判明した課題 この調査から明らかになった課題を以下に列記し、順に解説する。 (A) TTC の監視カメラで収集された情報はこの法律の第 2 条 1 項で定義する『個人情報』に該 当するか? (B) ガイドライン TTC の監視カメラによる個人情報の収集はこの法律の第 28 条 2 項を遵守した ものか? (C) 乗客に示される情報収集通知はこの法律の第 29 条 2 項を遵守しているか? (D) 個人情報のトロント警察への開示はこの法律の第 32 条を遵守しているか? 27 http://www.ttc.ca/postings/gso-comrpt/ 74 (E) TTC では収集した個人情報を保護するために適切なセキュリティ対策を整えているか? (F) TTC では記録した情報が不要になった際に適切に情報を処分する手段があるか? (G) TTC では収集した個人情報の保存期間を適切に定めているか? (H) TTC は監視カメラ採用の前に適切/必要なすべての手段を取っているか? (I) TTC の監視カメラシステムには定期的に監査が行われるか? 75 課題 A:TTC の監視カメラで収集された情報はこの法律の第 2 条 1 項で定義する『個人 情報』に該当するか? 個人情報の記録がこの法律のプライバシー規定の対象となるには、この法律の第 2 条1項にあ る『個人情報』として認められる要件を備えていなければならない。第 2 条1項によれば 『個人情報』とは個人を特定できる記録情報で、以下を含む (a) 個人の人種、国籍または種族的出身、肌の色、宗教、年齢、性別、性的指向や婚姻区分、 家族状況に関する情報 (b) 個人の学歴や、通院履歴、精神・心療科受診履歴、犯罪歴または職歴、また個人が関与し た金融取引履歴 (c) 個人に割り当てられた、識別番号、シンボルもしくはその他の特徴的なもの (d) 個人の住所、電話番号、指紋や血液型 (e) 個人に関する一個人的な意見や視点で、他者には関するものではないもの (f) 個人よりある機関へ送られた書簡で、暗黙的もしくは明らかに個人的もしくは機密的である もの、およびその書簡への返信で、元の書簡の内容を明らかにする可能性を有しているも の (g) 当該個人に対する他者の視点や意見 (h) 個人に関するその他の個人情報上に記される、もしくは開示することで当該個人に関する 他の個人的な情報を明らかにする性質を持つ当該個人の氏名; (以下略) であると定められている。[文字の強調は筆者による] また、ガイドラインでは以下のように定めている 個人情報とは同法の第 2 条で定める、個人を特定可能な情報で、人種、肌の色、国籍または種 族的出身、性別や年齢などを含むが、これに限定されるものではない。もし監視カメラシステムがこ れらのような個人を特定可能な性質を含んだ映像や、個人の関与する活動を映し出すものであれ ば、その映像内容は同法でいう『個人情報』だと考えられる28。 28 ガイドライン P2 参照 76 ここで問題になるのは、TTC システムのカメラで補足された個人の映像である。この映像は特定 の一個人の身元を明らかにする類のもので、『個人を特定できる記録情報』に該当することは明白 である。 よって、問題になっているこの情報が、この法律第 2 条 1 項でいう「個人情報」だとみなされるとい える。また、この見解に TTC も同意している。 結論:TTC のビデオ監視カメラで収集した情報は、第 2 条1項で定義されている「個人情報」に 当たる。 課題 B:ガイドライン TTC の監視カメラによる個人情報の収集は法律第 28 条 2 項を遵 守したものか? IPC に送られてきた手紙の中で PI が問題としているのは、TTC による監視カメラを通じた個人情 報の収集が、この法律の適用範囲内で容認されるものであるかという点であり、以下のように書か れていた: 今回我々が問題としているのは、情報収集の原則への認識が不足しているが故に、情 報の収集は必要性のないものであり、このシステムはプライバシーや関連要綱への配慮な く、また情報へのアクセス権への考慮も足りない状態で利用されている点である。 この法律において個人情報の収集について定めているのは第 28 条 2 項であり、同項では個人 情報の収集を原則的に禁じているが、個人情報の収集を行っても良いとする三つの条件が記され ている。第 28 条 2 項では、 法律によってその機関が個人情報を収集することが明示的に認められていること、個人 情報の利用が法律の執行、もしくは法的に認められている活動の適切な運営管理のため に必要である場合を除き、何人もいかなる機関のためにも個人情報を収集してはならない。 と定めている。個人情報収集がこの法律に沿ったものであるためには、第 28 条 2 項に定める三 つの条件のうち少なくとも一つを満たしていることが明らかにされなければならない。言い換えれば、 個人情報の収集は(1)法律によって明示的に認められているか、(2)法執行の目的で利用される、も しくは(3)法的に認められている活動の適切な運営管理のために利用することが必要である、とい うことを示さなければならないということである。 第 28 条 2 項に基づいて分析する上での第一歩として、この場合の個人情報の収集が上記の条 件に当てはまるかを検討する。本件の場合、TTC はビデオ監視を通じて個人情報を収集する旨を 記載した法律について言及していない。よって、この第一条件は当てはまらない。 77 残る二つの条件について、PI は第三の条件でいうところの『必要性条件』が焦点だと手紙の中で 記している。この中で PI はオンタリオ控訴裁判所におけるキャッシュ・コンバーターズ・カナダ会社 対オシャワ市29の判決(Cash Converters)を例に挙げてこう述べている。 我々は、これが間違いなく法執行の活動であり、よって MFIPPA(情報の自由とプライバ シーの地域保護法)第 28 条 2 項にいうデータ機密性の原則のための適用除外が適用され ることは理解している。最近、オンタリオ控訴裁判所は、キャッシュ・コンバーターズ・カナダ 会社対オシャワ市事件の裁判において、個人を特定可能な情報が警察に提示される場合 には、「機関は収集した個人情報の各項目もしくは種類が法律で認められた活動の適切な 運用管理のために必要であることを示さなければならない」という必要性条件を満たさなけ ればならないと判断した。また定められた法的目標を達成することがその他の手段によって 可能である限りには、機関はその他の手段をとらなければならない。我々は、TTC は情報 収集の必要性について適切に示しておらず、またアクセス方針についても考慮が足りなか ったと考えている。 この調査では、必要性条件がおそらく適用されようが、第 28 条 2 項にいう、法執行の目的のため に使用される個人情報収集の許可(法執行条件)についても、追加条件として検討の必要がある。 キャッシュ・コンバーターズ事件判決では法執行の条件は適用されなかったが、それは問題とされ た個人情報の収集がオシャワ市の都市条例に準じて行われたものだからである。オンタリオ州の都 市条例では、地方自治体が法執行のために条例を制定することを認めていない。そのため、この 判決において第二条件の検討は必要がなく、今回の調査の例には当てはまらない。 次に、この法律第 28 条 2 項にある必要性条件と法執行条件について検討を進めていきたい。 法的に認められている活動の適切な運用管理のために必要な場合(必要性条件) キャッシュ・コンバーターズ事件でオンタリオ控訴裁判所は、必要性条件の適用について当事務 局が過去に取った手法を採用して以下のように述べた。 コミッショナー事務局で判決された事件では、必要性条件を満たすためには、当該機関 は、収集する個人情報の各項目もしくは種類が、法律で認められた活動の適切な運用管 理のために必要であることを示さなければならないことを求めてきた。よって、個人情報がそ の活動のためにただ有用であるというだけでは、この法律で言うところの「必要」という範疇 には含まれない。同様に、活動の目的が他の方法で達成可能なものであれば、当該機関 29 2007 ONCA 502 78 はその他の手段を選択する義務がある30。 当事務局で策定し、控訴裁判所によって採用された検証方法に基づき、必要性条件を満たす ためには、機関はまず対象となる「法的に認められた活動」が何かを明らかにし、次に個人情報の 収集はその目的を達成するにあたってただ有用なのではなく、いかに「必要」であるかを示さなけ ればならない。そして、この正当化は収集されるすべての種類の個人情報に対してなされなけれ ばならない。 今回の場合問題になっている『活動』は、TTC による公共交通機関の運営である。TTC は 2006 年のトロント市法第 17 章(City of Toronto Act, Part XVII)により法的に運営を認められており、同 法では TTC にトロント市の『トロント市内における旅客輸送システム』を設置し、運営および管理す る排他的な権限を与えている。よって第 28 条 2 項で定める必要性条件を満たすためには、個人情 報を監視カメラ経由で収集することが、トロント市内における公共交通機関の適切な運営のために 必要であることを TTC は証明する必要がある。 必要性条件が満たされているかを判断するため、TTC より提供された文書と、PI からの手紙にあ る情報、そして先に本報告書で検討した課題の調査結果を再考した。それに加え、この調査の最 中に、大量輸送機関におけるビデオ監視に関連する追加情報を当事務局で入手したため、それら も情報収集の必要性を判断する際の検討材料に加えた。これらすべての資料については以降で 論じる。 大量輸送機関におけるビデオ監視はそう新しいことではない。北米の公共交通機関では、これ まで幾年にもわたり運用性の改善と公共の安全性およびセキュリティ向上のために監視カメラを頼 りとしてきた。 大量輸送機関が適切に機能するためには安全性とセキュリティが不可欠だということは、これま でに幅広く認識されている31。 あらゆる大量輸送機関におけるセキュリティシステムの目標として、 次の 6 点が提示されている。 30 交通システムの従業員および利用者へのリスクを認識すること。ここでいう認識には、すべ 同上、第4段落参照 31 これについては、B.M. Finn, 『Keeping an Eye on Transit』 (2004 年電気学会)および Michael Greenberg の 『The need for closed circuit television in mass transit systems』(2006 年法 執行機関フォーラム 6(1)) http://www.umaryland.edu/healthsecurity/docs/CCTV%20in%20Mass%20Transit%20Systems.pdf 等を参照 79 てのリスクそれぞれについての性質、度合い、およびその影響力への理解が含まれる 各リスクを可能な限り緩和すること、および緩和不可能なリスクについてはその性質を理解 すること 交通システムを適切に機能させることへの脅威を理解し、これらのリスクを可能な限り緩和 すること リスク事象への対応策を、リスク事象発生前後への対応も含めて策定すること 交通システムの従業員、利用者および潜在的利用者の認識および懸念事項を理解するこ と 活動やコミュニケーションを通じ、安全性やセキュリティに対する懸念に対処すること32 大量輸送機関はその性質上、多くの拠点を有し、幅広く複雑に展開し、大量の乗客を抱えてい る。輸送機関が抱えるこれらの要因が重なることで、安全性とセキュリティ面で成し遂げるべき目標 を達成することを非常に困難にしている。そのためビデオ監視は、これらのセキュリティ目標の一部 を達成する上で欠かせないツールだとみなされている。ビデオによる監視は、大量輸送システムに おける多くの主要機能に役立つとされており、それらには次のようなものがある。 混雑の監視、危険な状況にいる人物の監視、危険因子となりかねない人物の監視などによ って事故を防ぐ 人の流れを整理して進行の妨げの発生を防ぎ、乗客の流れを円滑にする 集団や個人の挙動を監視し、セキュリティ担当者に報告することで、犯罪、治安紊乱やテロ 活動を防止する 事件発生の折には、発生原因を見分け、容疑者や証人となる可能性のある人物を特定し、 また犯罪の証拠や、テロリストの標的となる可能性の根拠を提示する33 TTC においては、TTC および合同交通組合第 113 番地方組合((Amalgamated Transit Union Local 113)の代表者からなる対運転者暴力問題調査特別委員会(Operator Assault Task Force) が 2002 年に設置され、トロント交通機関において日々増加している運転者への暴力行為に対処 すべく活動している。2005 年に特別調査委員会は、運転者の被害防止対策のために、すべての バスと路面電車への監視カメラの導入を提案した報告書を発行した34。 2008 年 1 月 28 日、トロントスター紙では、TTC のバス、路面電車及び地下鉄の従業員に対し、 職場における仕事のストレスが与える影響についての調査を行い、その結果を公表した35。同紙の 32 B.M. Finn, 『Keeping an Eye on Transit』 (2004 年電気学会)P12 参照 33 同上、P13 参照 34 TTC の『Operator Assault Task Force Report of Findings』(2005 年)参照 35 2008 年 1 月 21 日付の The Toronto Star、『TTC drivers in crisis Star investigation finds frequent abuse at work puts them at high risk of stress disorder』の記事参照 80 調査で、記者は、労働災害保険委員会(Workplace Safety and Insurance Board)に提出された労働 災害報告書のうち 2005 年から過去 5 年分の記録を入手した。TTC の運転手へのインタビュー等に よる調査では、少なくとも 181 人の運転手が PTSD(心的外傷後ストレス障害)を発症し、平均 49 日 休職していることが判明した。怪我や死亡などにつながりかねない衝撃的な事件に巻き込まれる、 もしくはそれらを目撃することによる PTSD 発症は、TTC における欠勤理由として 2 番目に多いもの だった。TTC の運転手は業務中にさまざまな被害を受けており、銃で撃たれる、唾を吐き掛けられ る、殴られる、頭突きされる、割れたボトルで切り付けられる、集団に囲まれる、暴行されるなどはご く一例である。運転手が PTSD を抱えている割合は、トロント市警の警察官と比べて 4 倍高いことも 分かっている。加えて TTC の運転手 102 人も、不安や神経症性障害、鬱などで長期に渡り出勤で きなくなっているとの報告がある。TTC の運転手はオンタリオ州のどの労働者よりも高い割合でこれ らの障害を申請していることも判明した。さらにトロントスター紙の調査では、TTC の敷地内で起き た犯罪件数は急増傾向にあり、2005 年の 2,744 件から 2006 年には 3,415 件と 24%も増加したこと も明かされた。 大量輸送機関は、現代社会の重要な基盤としてテロの対象になりやすいということは一般的にも 認められている。そのためこれらの機関では、運転手が巻き込まれる地方レベルの犯罪や被害ば かりでなく、国家の安全保障問題への対処をも迫られている。そのため、増加するテロの可能性へ の対策として、大量輸送機関に設置されるビデオ監視カメラの機能や範囲は日々向上、拡大して いる。 1995 年 3 月 20 日、日本の東京都内の地下鉄がオウム真理教36信者による国内テロの対象となり、 毒ガスによる襲撃を受けた。犯人達は営団地下鉄(現東京メトロ)の複数路線から 5 ヶ所を選んで 襲撃し、サリンガスを散布した結果、12 名が死亡、50 名が重体、1,000 名程が視覚障害を起こした。 この襲撃は日本政府の中枢である霞ヶ関と永田町を狙って行われたものである。 近年では欧州の公共交通機関を狙った事件も発生し、これもテロの脅威が公共交通機関に及 ぶ可能性を強調する一件となった。2004 年 3 月、スペインのマドリッドの通勤列車網を狙った一連 の爆破活動により、191 名が死亡し、1,755 名が負傷した。2005 年 7 月 7 日、ロンドンの公共交通 機関では、朝のラッシュ時を狙ってテロリストが複数の爆弾攻撃を仕掛けた。8 時 50 分、ロンドン地 下鉄の列車 3 両において、最初の爆発から約 50 秒の間に立て続けに 3 つの爆弾が爆発した。4 つ目の爆弾は、ほぼ 1 時間後の 9 時 47 分、タヴィストック広場のバス車内で爆発した。この一連の 爆発で通勤客 52 名と自爆テロ犯 4 名が死亡、700 名が負傷し、市内の交通機関は途絶(特に当日 は深刻な被害を受けた)し、国内の携帯通信網なども一時利用不可能となった。 36 オウム真理教は宗教団体であったが、世界の終末であるハルマゲドンを早めるためにテロ戦 術へ走ったとみられている 81 2004 年、TTC に対し、トロント地下鉄システムの活動に関する国内セキュリティ調査が 2 回行わ れた。その際にトロント警察局長より TTC のセキュリティシステムを機能改善するよう提言があった。 この提言は王立カナダ騎馬警察(Royal Canadian Mounted Police-RCMP)の統合治安維持部隊 (Integrated Enforcement Security Team)からも支持された。それに加えて独立系セキュリティコン サルタントからも、TTC に対して実施したテロ特定リスク・ぜい弱性評価の結果を受けて、各駅と全 地下鉄車両を対象とした交通システム全体の監視システムの設置を提案されている。 上記の報告、研究および調査は、大量輸送機関全般、特にトロントの交通機関における運転手 の被害や犯罪の面で、公共の安全とセキュリティの確保を必要としていることを示す切実な証拠を 提示している。では次に、ビデオ監視が、近年差し迫った重大な社会的懸念事項に、実際対処し えているのかどうか評価してみよう。 9 月 11 日のテロ事件より前の 2001 年 5 月、国立交通研究所(National Center for Transit Research)では米国全土の交通機関に対して運転手被害と治安に関して行った調査結果を発行し た37。調査に協力した 32 事業者のうち、大多数(26 事業者)が何らかの監視システムを導入してい ると回答した。公共交通機関では、以下にあげる目的などのために監視カメラを設置していること が明らかにされた。 犯罪防止および犯罪対応 リスクマネジメント 事故などの際のリアルタイム対応 顧客サービス 従業員のセキュリティおよび従業員に関する課題の対処 法的証拠の記録 これまでのところ、ビデオ監視システムを利用している圧倒的多数の交通事業者(全回答事業者 中 1 社を除く全社)が、他の事業者にもシステムの利用を勧めると回答した。また、監視システムに よる犯罪事件の発生抑制効果の設問に回答した事業者は、自社システムは平均以上の効果を挙 げていると回答した。多くの事業者は、暴行事件や設備の破壊行為の減少に大きな効果があった と答えた。監視による犯罪件数の立証の有効性については、自社システムは平均より少し上程度 だとの回答を寄せている。また多くの事業者が、乗客と運転手双方に、監視ビデオの利用によって セキュリティが確保されているとの認識が強まっているとも答えた。 37 Patricia Maier と Jud Malone の共著による『Electronic surveillance technology on transit vehicles: a synthesis of transit practice』(2001 年 Transit Cooperative Research Program 発行、 TCRP Synthesis 38 より)を以下より参照: http://onlinepubs.trb.org/onlinepubs/tcrp/tsyn38.pdf 82 TTC は北米の交通事業者 26 社に対し、輸送車両への監視カメラ利用について調査を行った38。 回答を寄せた事業者のうち圧倒的多数がビデオ監視システムの利用によって前向きな効果が得ら れたと答え、犯罪件数の大幅減少、運転手や乗客の被害件数低下、不正な保険請求件数の減少、 苦情数の減少、安全性への認知向上、犯罪調査での容疑者発見、検挙率起訴率の向上や学生 による乗車マナーの改善等を例に挙げた。 トロント地下鉄内に設置されている監視カメラの犯罪調査目的による利用と有効性判断のために、 TTC では、2007 年 1 月から同 7 月にかけて警察捜査官より出された情報提供依頼を調査した39。 この調査では、回答を寄せた捜査官の 86%が提出されたビデオ映像は価値のあるものだったと答 えている。更に回答者の 38%がカメラに映っていた容疑者もしくは容疑者グループの映像が証拠と なって容疑者逮捕につながったと答えた。 米国では国土安全保障省(DHS)が、国内の鉄道や交通システムのリスク管理やシステム強化に 必要なさまざまな手立てを講じており、州や地方政府に対し、リスク管理に必要なプログラム実施や 設備のための助成などを行っている。また同省ではリスクの高い分野への人材や資源の投入およ びそれに関連する訓練の実施、新技術のテストと採用、国内全土の交通システムに対するセキュリ ティ評価なども行っている。カナダ政府も同様に、「カナダにおける都市輸送システムを利用する者 すべてのセキュリティを向上40」させる交通セキュリティシステムに予算を割り当てている。ビデオに よる監視は大量輸送機関のセキュリティ問題に幅広く対応するメカニズムの一つであるとみなされ ている。 2007 年 12 月 17・18 日の両日に行われた DHS ワークショップにおいて、米国政府によるセキュリ ティ対策への財政支援や、州・地方政府によるこれら資金を利用したビデオ監視システムの活用に ついて取り上げられた。同省では、政府がプライバシーの保護と市民の自由を確保できることにつ なげられるような成功事例を、ビデオ監視システム導入に補助金助成を受けた州の導入結果から 探していた。それについての幅広い見解が、ワシントン D.C.で開かれた会議で示された。市民権 団体は、公共のビデオ監視システムはプライバシー侵害へとつながる一面があり、特に他の技術 (データマイニング、GPS トラッキング、RFID、インターネットや熱感知カメラなど)と併用することで、 一般市民と政府との関係を変えかねない要素を抱えていると主張した 41。その一方で法執行団体 38 この評価に関する報告書のコピーは TTC より IPC へと提供されたものである 39 この調査概要は TTC より IPC へと提供されたものである 40 カナダ交通局のプレスリリース『Canada’s new government invests $37 million to improve transit security in six urban areas』(2006 年 11 月 14 日付)を同局サイトより参照: http://www.tc.gc.ca/mediaroom/releases/nat/2006/06-h138e.htm 41 Mark Scholosber と Nicole A. Ozer 共著『Under the watchful eye: the proliferation of video surveillance systems in California』(2007 年 8 月米国自由人権協会カリフォルニア支部発行)を以 83 や危機管理団体などは、ビデオ監視システムは犯罪抑止、犯罪調査や逮捕の支援、安心感の向 上、商業促進、そして裁判支援のための主要なツールとしてのビデオ監視の必要性を指摘した。 しかしここで興味深いのは、大量輸送機関におけるビデオ監視システムの分野については双方 から一般的な合意と支持が得られたという点である。広い範囲(トンネル、プラットフォーム、階段) や、多くの利用者(特にラッシュ時)、交通機関が一日中稼動しているという性質を踏まえ、従業員 の増員という手段だけではセキュリティ問題への適切な対処は実現不可能であるという考えで一致 した。1 人の従業員よりも、1 台もしくは複数のカメラの方が幅広い範囲をカバーできることは広く認 知されている。また、空港で利用されているような検出装置を使った検査の導入は非常にわずらわ しい(また実用的でない)という点でも意見が一致した。その結果、プライバシー擁護側と、危機管 理や法執行側の双方ともに、都市における大量輸送機関ではビデオ監視が必要であるとの認識 で一致し、両者ともこの目的のためには監視カメラの利用が正当であると合意した42。 その他、職場の安全性確保のためのビデオ監視システムの利用についても、人権擁護団体や プライバシー擁護者側から特に異議は唱えられなかった。上記の通り、職場の安全性、特に運転 手被害に関する問題は、TTC にとって大きな課題となっている。 上記の見解と連動し、危険性の高い特定の場所におけるビデオ監視システムの利用は正当で あり、またビデオを利用した監視の場合でも、リアルタイムの監視と記録映像によるものは別種のも のだと一般市民が認識していることを示す証拠が提示された。Christopher Slobogin 氏は、フロリダ 州ゲーンズビルで陪審員 190 名を召集し、警察がさまざまな状況の監視ビデオ 20 種を見せる形で 調査を行った43。陪審員にはビデオに写されている対象者は一切の犯罪活動にかかわっておらず 無罪だとの前提でビデオを見るように指示し、その後、各ビデオにおける監視状況の(プライバシ ーの)「侵害性」について、1 を『侵害的ではない』、100 を『極めて侵害的』とした 100 段階で評価す るよう求めた。陪審員がもっとも侵害的ではないと判断したビデオ監視システムの設置場所は、国 の史跡などの建物、空港や駅などの交通拠点であった(評価値=20)。平均では、路上でビデオ監 視を行い、テープを 96 時間後に処分した場合の評価は中間より少し上(評価値=53)だったが、テ ープを処分しなかった場合にはかなり侵害的(評価値=73)だとの評価がついた。この結果から、大 量輸送機関におけるビデオでの監視は、特にそのテープが適切な期間の後に処分される場合に 下より参照: http://www.aclunc.org/docs/criminal_justice/police_practices/Under_the_Watchful_Eye_The_Prolif eration_of_Video_Surveillance_Systems_in_California.pdf 42 この結論はワシントン会議のパネリストによる広範囲の議論に基づいたものである 43 Slobogin, Christopher, 『Public Privacy: Camera Surveillance of Public Places and the Right to Anonymity』2002 年 Mississippi Law Journal Vol. 72。オンライン版は以下を参照: http://ssrn.com/abstract=364600 84 は不適切ではないと市民は考えているとの意見を裏付けることになった。この調査結果は今回の TTC に関する調査にも関連がある。TTC ではリアルタイムでのビデオ映像による監視は積極的に 行っておらず、記録映像については、事件調査等に利用されない限りは短期間の保存の後に処 分を行っている。そのため、トロント交通機関で行われている類のビデオ監視システムはプライバシ ー権への影響を最小限に留めるように努めており、極めて侵害的であると市民からは見なされない と考えられる。 また TTC は、輸送機関における監視カメラの利用がカナダだけではなく国外でも広く行われて いることを指摘している。TTC からの情報では、カナダ国内においてはモントリオールとバンクーバ ーの交通局で、TTC が地下鉄での採用を検討している監視システムよりもかなり広範囲の軌道上 でビデオ監視システムを利用しているとのことである44。 IPC への苦情の手紙の中で、TTC のビデオ監視システムについて、「情報の収集は必要性のな いものであり、このシステムはプライバシーや関連要綱への配慮なく、また情報へのアクセス権への 考慮も足りないのは、情報収集の原則への認識が不足しているからである」と、PI は述べていた。 私は、これらの申し立てを、今回の苦情に対して TTC から提供された資料や、本報告書で引用し た他の文書を元に検討してみた。プライバシー要綱や情報へのアクセス権については、本報告書 の後段の章で扱っている。 トロント内の公共交通機関内のビデオ監視システムによる情報の収集は不要かつ行き過ぎた行 為であるとの立場を裏付けるために、PI は、ビデオ監視システムの拡大は犯罪件数を減少させ、か つテロ対策手段を向上させるという TTC の主張に反論した。特に、PI は、ベルリンの地下鉄で行わ れた実証実験に関する報告書に言及した45。この計画の有効性についての中間報告では、ビデオ 監視システムは犯罪件数の減少にはつながらず、むしろわずかに増加したことが報告されている。 この報告書を再度見直したところ、この報告書の不備が明らかになった。実験の評価対象期間 が極端に短かった(5 ヶ月程度)ことに加え、ビデオ監視システム導入は犯罪率の低下にはつなが らなかったものの、従業員への暴力事件の証拠提供につながるなど、それ以外の安全・セキュリテ ィ問題に関する目的は達成されていたのである。大量輸送機関におけるビデオ監視システムは犯 罪件数を抑えることだけが目的ではなく、さまざまな側面があったことを思い起こしていただきたい。 また、さまざまな評価実験の中で犯罪率の統計上の大幅な減少結果を見出そうとする点の課題に ついては、本報告書で既に検討済みである。 44 この調査結果の概要については IPC に提出された TTC からの説明資料にある 45 Heise Online の記事『Study shows video surveillance on the Berlin underground has not improved safety』(2007 年 10 月 10 日付)を以下アドレスより参照: http://www.heise.de/english/newsticker/news/97168 85 PI では他にも、英国の調査でビデオ監視システムが犯罪抑止効果に欠けているとの結論が出た ことを挙げ、その証拠を送ってきた。しかし、ビデオ監視システムが犯罪抑止の確実な対処法では ないことには同意するが、大量輸送機関におけるシステムの利用には幅広い目的があり、その幅 広さを考慮すれば、ビデオ監視に代わる実現可能な手段はまず見当たらないということを再度指 摘したい。さまざまな手段をそれぞれの限界を認識した上で組み合わせて利用することが、公共大 量輸送機関における安全とセキュリティを確保する上で最も実現性の高い最良の手段であるという のが、私の、そして多くのセキュリティ専門家の見解である。 TTC より提供を受けた多くの情報を精査すると、大量輸送機関にはセキュリティ面でビデオ監視 システムを必要とする特定の要件があることが明らかである。公共交通機関は限られた小さな空間 で大量の乗客を運ぶという性質上、中にいる乗客は戸外にいる乗客とは別のセキュリティリスクにさ らされていることは容易に想像できる。 また大量輸送機関では、セキュリティ問題に加え、乗客の健康と安全、運転手の安全、また多く の乗客を運ぶために大量の乗客整理への配慮が必要になる。よって、ビデオ監視システムの必要 性を判断する基準として、TTC のような大量輸送機関には、監視システムに対する独特で多角的 なニーズがあることも認識している。 これまでに検討した資料から、交通機関の運転手や市民の間で、ビデオ監視システムは犯罪の 抑止効果があり、刑事裁判手続きの際の助けとなっていると広く認識されていることが判明している。 また実証結果が集まるにつれ、ビデオ監視システムには犯罪抑止計画や国家安全計画の一端と して警察に効果的支援を行える可能性があることが示唆されるようになった。それに加え、交通シ ステムセキュリティの専門家や国家安全問題の専門家は、ビデオ監視システムを大量輸送機関に おける包括的なセキュリティ戦略の一部として活用するよう強く訴え続けている。TTC によるビデオ 監視システム利用の拡大が十分に正当であるかを評価する上で、これらの要素すべてを考慮し た。 安全とセキュリティはトロントの公共交通機関が適切に機能する上で必要不可欠な要素だと考え る。交通機関の安全とセキュリティを確保するためには、TTC は増加し続ける運転手への暴力行為、 TTC 敷地内での犯罪やテロへの脅威だけではなく、数百数千にも上る多くの乗客を日々安全かつ 迅速に輸送し続けるという課題にも注力する必要がある。これらの安全やセキュリティ問題に伴うニ ーズや、トロント市内における幅広く複雑な公共交通機関の性質上、監視システム以外の他の手 段(セキュリティスタッフの増員、照明の強化)のみを組み合わせてこれらの目的を達成しようとして も、それは実現不可能である。ビデオ監視システムを含んだ、可能な限りのあらゆる安全・セキュリ ティ対策を活用することが最良の戦略である。 最後に、再びオンタリオ州控訴裁判所のキャッシュ・コンバーターズ事件判決の事例に立ち戻る が、ここでは個人情報の収集が必要条件を満たす条件について以下のような判断がなされた。 86 (略)機関は収集した個人情報の各項目もしくは種類が法律で認められた活動の適切な 運用管理のために必要であることを示さなければならない。その結果、個人情報がその活 動に単に有用であるにすぎない場合は、この法律の定義においては『必要』とはみなされな い。 今回問題になっている個人情報の種類とは、TTC システムに写った乗客の個人映像である。上 述の見解に基づけば、個人映像の記録は有用であるだけではなく、TTC の適切な運用管理の上 で必要なものであり、この法律第 28 条 2 項に準じていると判断される。 法執行目的での利用(法執行条件) 先述の通りに TTC のビデオ監視システムによる個人情報の収集は必要条件(法律で認められた 活動の適切な運用管理に必要であること)を満たしているため、第 28 条 2 項に基づいて認められる との結論を出したが、次に個人情報の収集が法執行条件(法律を執行する目的で利用されること) のもとで認められるかについて検討する。 TTC は、ビデオ監視システムを利用して収集された映像は法執行の目的で利用されるとし、監 視システム経由で取得した記録映像の主な利用部署である TTC 特別巡査活動部門(Special Constable Services Department)に所属する従業員の活動について触れた。 『法執行』の定義はこの法律第 2 条 1 項にあり、次の様に記されている。 『法執行』とは、 (a) 警察活動、 (b) 裁判所等での訴訟につながるもしくはその可能性のある捜査もしくは査察で、その訴訟に おいて処罰もしくは制裁が行われる可能性のあるもの、および (c) (b)項にいう訴訟を行うこと 特別巡査活動部門で活動する従業員の役割について TTC は次のように述べている。 (略)我が特別巡査活動部門の従業員は、トロント警察活動審議会 (Tronto Police Services Board)および法務次官(Solicitor General)より『特別巡査(special constable)』の地 位が与えられている。その特別巡査には、交通機関において刑法を執行するなど、特定の 目的のために警察官としての権限を付与されている。 TTC による『特別巡査』権限の解説については、警察法第 53 条にそれを裏付ける箇所がある。 (1) 法務次官の承認を受け、審議会は自らが適切と判断する期間、場所および目的 87 のために特別巡査を任命することができる (中略) (3) 特別巡査を任命することで、その任命の際に定める特定の目的の範囲で目的を 遂行するための警察官としての権限を授与することができる (後略) 警察法に加え、TTC 特別巡査の身分についての詳細が、トロント警察活動審議会と TTC の間 で締結された 1997 年 5 月 9 日合意書(改訂版)にあり、ここにおいて TTC 特別巡査の権限、権限 の及ぶ範囲およびいくつかの手順について定めている。 TTC 特別巡査は、さまざまな連邦および地方法を執行することが可能であり、その中には連邦 刑事法典(Criminal Code)や、それにまつわる薬物・規制薬物に関する法律、精神保健法、不法 侵入法および酒類免許法、そして州犯罪法の一部条項が含まれる。それに加え TTC 特別巡査は、 TTC 条例 #1 と呼ばれる、さまざまな目的の中でも特に公共の安全と治安を推進するために乗客 が遵守するよう定めた規則を執行することが許されている。例えばその条例では以下の規則などが 定められている。 何人たりとも当局の敷地または車両内において迷惑行為や治安撹乱行為、または公共 の秩序を乱す行動を取ってはならない。 何人たりとも他者にとって恐怖、迷惑、不快となる、もしくは他者を負傷または器物を破損 させる可能性のある凶器、危険物、毒物、可燃物または爆発物を、これらが適切な容器に 納められているかにかかわらず、当局の許可無く持ち込むこと、または当局に対し局の車 両で運搬するよう求めることは許されない。 TTC 特別巡査の管轄は地理的制限を受ける。TTC 特別巡査の権限が及ぶ範囲は、トロント市 内における TTC の管理下にある資産及び車両、TTC の全設備、TTC の系列会社もしくは関連会 社のリース・賃貸設備に限定される。その他、発生した事件が TTC の敷地内に起因もしくは関連す るものである場合には、TTC 特別巡査はトロント市内においてその事件に関する調査を行うことが 許されている。 またこの合意書では、特定の条件下や事件に際しての捜査権限や、警察および TTC 特別巡査 の取るべき手順についても定めている。例えば、警察官と TTC 特別巡査の双方が TTC 管轄内か らの通報を受けて現場を訪れた場合、正式起訴に該当する犯罪であるか、正式起訴、即決裁判の どちらともなりうるデュアル型犯罪(つまり深刻な性質の犯罪)の場合には、TTC 特別巡査は警察官 の指示および命令に従わなければならない。もし対象となる犯罪がデュアル型でも正式起訴犯罪 でもない場合には、TTC 特別巡査が捜査を継続する。更に、交通機関における深刻な事件(武器 がかかわる暴力事件、傷害事件もしくは傷害事件となりうる可能性のあるもの)の捜査と対応につい 88 ての主要な責任は警察が負い、武器が関わらないものや口論などの規模の小さい事件は TTC 特 別巡査によって対応可能であるとも定めている。他にも、強盗、武器、薬物、爆発物関連の犯罪お よび性犯罪などを含む特定の犯罪リストについては、警察に通報されなければならず、警察が捜 査を行いうることを合意書は定めている。しかし、被害額が 5 千ドル未満の犯罪の場合には、警察 に通報される必要はないとしている。 合意書では、TTC 特別巡査は、審議会が警察官に対して定める訓練基準に従い、TTC 特別巡 査の権限、管轄および責任に合わて適宜改良しながら、TTC による訓練を受けなければならない と定めている。 その他、今回の件に関連すると思われる要素を以下に記す。TTC 特別巡査は、CPIC(Canadian Police Information Centre)や犯罪記録などの警察の機密情報へのアクセスが可能である。TTC 特別巡査は、武器の携帯をしてはならず、車両の追跡行為を行ってはならないが、『唐辛子スプレ ー』を携帯してもよい。TTC 特別巡査は、犯人逮捕を行うことができ、拘留した犯人は警察に搬送 しなければならない。TTC 特別巡査によって行われたすべての逮捕および犯罪捜査については 警察に報告する義務がある。 最後に、TTC は TTC 特別巡査が執り行った案件に対する苦情調査手順を確立しなければなら ず、その手順は警察のものと同様でなければならず、またすべての苦情調査結果や、TTC 特別巡 査による不正行為もしくは不正行為の疑惑について、審議会に報告しなければならない。その報 告により不正行為もしくは不正行為に関する情報が確認された場合、審議会は、TTC 特別巡査の 停職もしくは免職を行うことができると定めている。 上記を考慮し、特に警察法第 53 条の定める権限と、TTC と審議会の間で交わされた合意書に 定める権限、管轄および手順から、TTC 特別巡査が、『警察活動』に従事し、この法律における 『法執行』の定義を満たしていることに私は満足している。特定の条件下では TTC 特別巡査の身 分と権限は、警察に対して従属的なものであると解釈されることもあるが、彼らの活動は十分に警 察と似通っており、『法執行』の定義における『警察活動』の範囲にあると理解している。 最後に、ビデオ監視システムへのアクセスは、事件発生を受けて、TTC 特別巡査により行われ、 『法執行目的で利用』されていることから、個人情報の収集は、第 28 条 2 項にいう法執行条件を遵 守していると判断する。 第 28 条 2 項-結論 本件における個人情報の収集は、法律第 28 条 2 項に定める条件のうち少なくとも一つを満たせ ば容認されことを指摘する。これに基づいて判断すれば、当該ビデオ監視システムによる個人情 報の収集は、第 28 条 2 項の要件の少なくとも二つを満たしているために許容されると判断できる。 TTC 特別巡査の活動としての個人情報収集は、必要性条件だけでなく法執行条件も満たしてい る。 89 当該ビデオ監視システムによる個人情報の収集が、法律第 28 条 2 項の基に許可されるとの結論 から、TTC にはビデオ監視システムを乗客のプライバシーに強く注意を払い、システムを管理する 責任がある。TTC の乗客はある程度の監視を容認するだろうが、安全やセキュリティ以外の目的の ために、自分の個人情報や映像が不適切に記録、利用されることを想定しているものではない。よ って、本報告書の以降の部分では、TTC の監視カメラ利用に関する管理面について焦点をあてて いる。 結論:TTC のビデオ監視カメラによる個人情報の収集は、法律第 28 条 2 項に従ったものである。 課題 C:乗客に発行される情報収集通知は法律第 29 条 2 項を遵守しているか? 法律第 29 条 2 項は、次のように定めている。 もし個人情報をある機関ために収集する場合、代表者はその個人情報が関係している 個人に対して、次のことを通知しなければならない。 (a) 収集に際しての法的権限 (b) 利用を予定している個人情報の主な利用目的、および (c) 個人情報収集に関する質問に対応する機関の役員もしくは従業員の役職、事業所 の住所、電話番号 この項では、個人情報を収集する機関に対し、法律第 29 条 2 項に規定されている個人情報の 情報収集通知(Notice of Collection)を対象となる個人に提示するように求めている。ビデオ監視シ ステムの場合について、ガイドラインは、情報収集通知を提示する際の法的要件について詳述し、 次のように記載している。 ビデオ監視の行われているエリアや機器の設置場所に、明確に書かれた標示を目に止 まる形で掲示することで一般市民に通知を行うべきであり、それにより市民は、そこに監視 カメラがあること、もしくはカメラのあるエリアに入る以前にその場所でカメラが稼動している ことを、適切かつ適正に知らされることになる。監視エリアの周辺に設置する標示には、当 該ビデオ監視システムについての質問回答が可能な担当者を明示し、連絡先としてその者 の住所、電話番号または web サイトなどを記載する46。 46 ガイドラインの 7 ページを参照 90 またガイドラインでは、個人が監視下にあることを知らせる基本的な情報を標示に含むべきであ ると記している一方、パンフレットや他の印刷物などの形でその通知の全文を表示することで、他の 通知要件すべてを満たすことが可能であると記している。 TTC のビデオ監視システムに関しては、「TTC は一般の目に見える形で、すべての入口に、ま た/もしくはビデオ録画を行っている場所の周辺に目立つ場所で掲示する形で、標示を出すこと」と TTC 規定の中で要件を定めている。更に TTC の規定では、この標示は法律第 29 条 2 項に定め る通知要件にある情報をすべて含まなければならないと記している。TTC 規定の別表で、カメラの イラストと以下の文章を記した標示の図解を載せている。 このエリアではセキュリティのためにビデオ録画を行っています。 この場所でビデオ機器を通じて収集された個人情報は、2006 年トロント市法(City of Act) および居住者責任法(Occupiers’ Liability Act)による権限の元で収集されています。 この情報収集についてのご質問は、情報公開/記録管理部の調整担当者までお問い合 わせ下さい [以下電話番号および連絡先] 地上の乗り物の場合には、カメラが搭載された全車両で上記の文面を含んだ情報収集通知のス テッカーを掲示していると TTC は述べた。また地下鉄には上記の標識はいまだ導入されていない が、現在 69 ヶ所の駅において 761 個の標識を導入する予定であると認めた。TTC では監視カメラ の利用拡大に合わせて標示の導入を行う予定である。 この情報収集通知の草案は、法律第 29 条 2 項およびガイドラインで定める要件を満たしている と受け止めている。また、TTC が計画する標示の数や場所が適切であると判断する。しかし TTC は、 監視カメラを特定の場所で稼動する前に確実に標示の導入を行うことが不可欠であり、本件につ いては当事務局に進展状況を通知するよう提案する。 結論:法律第 29 条 2 項に従い、TTC の乗客には収集通知が提示されていた。 課題 D:個人情報のトロント警察への開示は法律第 32 条を遵守しているか? TTC では、地上車両および地下鉄システムの監視カメラによって収集された記録映像は、犯罪 捜査にかかわる事件の情報提供をトロント警察局(以下、「警察」と記述)より受けた場合に、開示さ れるものであると認識している。また、将来的に警察との間に覚書が締結された場合には、その覚 書に沿って、地下鉄構内の一部カメラから収集された監視ビデオの映像に外部から警察がアクセ スできるようになる予定であると TTC は述べている。TTC は覚書草案の写しを当事務局に提出し、 この草案がトロント警察活動審議会を通過した暁には同覚書が締結されることになると伝えてきた。 91 警察にリモートアクセスを許可することは、この法律のもとでは TTC による警察への個人情報開示 として扱われる。 個人情報の開示に関する規則は、法律第 32 条で以下のように定められている。 いかなる機関も、自らが保管もしくは管理する個人情報を、以下の場合を除いて開示し てはならない。 (a) 第 I 章の規定に従う場合 (b) その個人情報にかかわりのある個人が特にその情報を確認し、開示に同意した場合 (c) その情報を収集、蓄積した目的のため、もしくはそれに整合する目的のため、 (中略) (g) 法執行手続きによる、もしくは法執行手続きへとつながる可能性のある捜査を支援す る目的でカナダ国内の機関や法執行機関に開示される場合 (後略) 第 32 条は個人情報の開示を基本的に禁じているが、特定の条件下において、個人情報の開示 は容認されると定めている。個人情報の開示が法の下で認められるためには、対象となる機関が 行おうとしている情報の開示が、第 32 条に定める例外規定の少なくとも一つに従っていることを示 さなければならない。TTC は、警察への情報開示が許容されるとの立場を支持するために、第 32 条の規定を複数引用してきた。 今回の場合、大まかにいって2種類の個人情報の開示がなされている。一つは、刑事責任へと つながる可能性のある事件への対応として、警察(もしくは他の法執行機関)に対し物理的な形で 個人情報を開示すること。もう一つは、TTC 地下鉄システムの監視ビデオ映像に直接警察がリモ ートアクセスをすることによって生じる開示である。 最初の種類の開示では、記録された監視ビデオ映像を特定の事件への対応として捜査当局者 に物理的に開示するもので、これらの映像は地下鉄や地上の車両(路面電車に搭載された場合に はそれも含む)に設置されたカメラで記録されたものである。 TTC の規定は、地上車両および地下鉄システムの監視カメラから得られた記録映像が、特定の 事件が発生した際にどのように捜査当局に開示されるかを記している。 法執行に際した調査の上で記録映像へのアクセスを求められた場合には、アクセスを請 求する捜査官(緊急の場合にはその映像の開示を許可した運用者)は、TTC の法執行担 当者申請書(Law Enforcement Officer Request Form)に必要項目を記入し(中略)、その申 請書を[指定された部署の管理者] に提出するか、法執行官による請求を受けて、当該日 92 付および当該時間の事件記録を[誰が]提示するかを指名しなければならない。 私の見解では、情報を請求する担当者が捜査する事件の起きた特定の日時および場所を規定 の書式に記入しており、この場合の個人情報の開示は、特定の事件への対応として行われたもの で、法律第 32 条(g)項の「法執行手続きによる、もしくは法執行手続きへとつながる可能性のある調 査を支援する目的でカナダ国内の機関や法執行機関に開示」することに相当するものである。よっ て、このような形式での個人情報の開示は、この法律の下で容認されるものであると認識している。 第二の種類の開示(警察による監視ビデオ映像へのリモートアクセス)は、既に草案が作成され た覚書に定められたものであるが、まだトロント警察活動審議会と TTC との間で締結されてはいな い。この覚書草案では、監視映像へのリモートアクセスは、法執行目的もしくは公共の安全のため にのみ許可され、それ以外の場合には TTC からの書面による同意なしには許可されないと定めて いる。TTC によれば、映像へのリモートアクセスは警察本部内に設置されるコンピューターから光フ ァイバーで TTC の地下鉄システムに接続する形で行われるとしている。監視映像へのアクセスは、 事件発生に対応する形で行われ、アクセスの際には事件登録番号が必要となる。またアクセスが 可能なのは映像管理部(Video Services Unit)内で指定された 8 名のみに限定される予定である。 当事務局にもたらされた MOU の初期草案では、警察にはライブ映像と記録映像の双方にリモ ートアクセスする権限が与えられていた。当事務局では、警察によるライブ映像へのアクセスはプラ イバシーの侵害や不適切な監視につながる行動になりかねないと懸念していた。しかしこの調査の 間に、TTC は覚書の草案を再検討し、警察のリモートアクセス権を記録映像のみに限定する形に 修正した。記録映像の保存期間は極めて短いことから、本件のような形での警察への開示につい ての懸念は弱まった。 しかし、警察に対して行われるすべての個人情報開示が合法的な法執行行為であり、公共安全 の目的で行われるものであることを確実にするためには、すべての開示案件を厳しい説明責任と 監督の対象としなければならない。よって、警察に対して監視ビデオの記録映像に直接リモートア クセスできる権限を提供する前に、TTC は、覚書草案を修正し、警察への情報開示記録を定期監 査の対象とし、TTC に代行して各案件への監査が行われるように覚書で求めることを提案する。 TTC は覚書を交わす前に、修正した草案の写しを当事務局に提出するべきである。 結論:トロント警察への個人情報の開示は、法第 32 条に違反しない。 論点 E:TTC では収集した個人情報を保護するために適切なセキュリティ対策を整えて いるか? 規制第 823 号では、同法に従って、機関が管理する記録の一般的なセキュリティ要件が述べら 93 れている。規制第 823 号の 3 項には、次の記載がある。 (1) すべての機関の長は、保護対象の記録の性質を考慮した上で、機関が保持する記 録への不正アクセスを防止するために妥当な対策が定義、文書化、導入されている 状態を確保しなければならない。 (2) すべての機関の長は、業務上の必要性を持つ個人のみが記録にアクセスできる状 態を確保しなければならない。 (3) すべての機関の長は、保護対象の記録の性質を考慮した上で、機関が保持する記 録を不注意による破壊や損傷から保護するために妥当な対策が定義、文書化、導 入されている状態を確保しなければならない。 ガイドラインには、ビデオ監視システムを運営している機関のセキュリティに関する責任が詳しく 述べられている。次に一部を抜粋する。 使用していないストレージ・デバイス(テープなど)はすべて、入退管理された場所に ある鍵付きの容器に安全に保管する。使用済みの各ストレージ・デバイスには日付 を付け、一意の連続する番号やその他の検証可能な記号を示すラベルを貼る。 ストレージ・デバイスへのアクセスは、許可を受けた人員のみが行う。適正な監査証 跡とするため、記録資料へのすべてのアクセスと使用についてログを作成する。記 録が電子的に保管されている場合は、ログも電子的に作成する47。 ビデオ監視に関する方針を扱う項において、ガイドラインは次のように記載する。 従業員が同法または他の関連法の指針または規定に違反した場合、懲戒処分の対象と なる。サービス・プロバイダーが同法の指針または規定に従わない場合、契約違反と見なし、 契約の解除を含む措置をとる。 機関の従業員およびサービス・プロバイダーの従業員は、機密保持を含む、指針および 同法に基づく各自の義務に関する同意書に署名する48。 PI は、TTC 側の「アクセス権についての検討が不十分だった」と述べている。当事務局は、この コメントから、PI は TTC がビデオ監視カメラの導入時にライブおよび録画ビデオ監視画像にアクセ スできる人員への制御を十分に組み込まなかったと考えていると理解した。しかし、私の意見は反 対である。TTC から提出された資料には、TTC がビデオ監視システムによって取得した画像への 不正アクセスを防止するために講じているセキュリティ対策の説明がある。 47 ガイドラインの 8 ページを参照 48 ガイドラインの 5 ページを参照 94 TTC の地上車両に搭載されたカメラについては、録画ビデオ画像を格納したハード・ドライブに アクセスするためにはパスワードが必要で、このパスワードは TTC の限られた数の管理者しか知ら ないと書かれている。よって、TTC の車両の運転手は、録画ビデオ画像に対するいかなるアクセス 権も有していない。TTC は次のように説明している。 抽出したデータへのアクセス、閲覧、記録を行うには別のコンピューターが必要であり、こ れらの操作を行うことができるのは TTC の許可を得た人員のみである。車両から記録装置 を取り外すには特殊な鍵が必要であり、運転手はこれを持たない。(略) また、カメラの取り 外し、改変、その他の干渉を行った場合、記録装置には内部ログが作成され、その操作の 発生と時刻が記録される。 また、TTC からは『地上車両の保安カメラシステムに関する TTC の暫定規約(Interim TTC Protocol for Surface Vehicle Safety Camera System)』という文書の写しも提出されている。この文書 には、個別調査への回答として、地上車両に搭載されたカメラで収集した録画画像へのアクセス権 をどのように付与するかが説明されている。 地下鉄網に搭載されたカメラに関しても、TTC は同様の対策を講じている。また、地下鉄網の特 定の場所で録画された画像を要求するための TTC の内部プロセスについての手順書の写しも提 出されている。これらの手順書には、録画画像を内部で使用する方法や、それらにアクセスできる スタッフの指定ならびにアクセス権の付与方法が記載されている。さらに、録画画像へのアクセス が許可されているすべての指定スタッフは、プライバシーとセキュリティに関する研修を受けなけれ ばならない。 録画ビデオ画像にアクセスする TTC のすべての人員は、アクセスの時刻と目的を含むす べてのアクセス活動についてログを記録する必要がある。ログ日誌は各駅で管理する。(略) 各記録装置では、記録装置へのアクセスまたは画像へのアクセスが行われるたびに、独自 の内部ログが作成される。 TTC はさらに次のようにも述べている。 特定の地下鉄駅に設置されたカメラからは、地下鉄駅の安全な部屋に設置された記録 装置に画像が同時転送される。すべての記録装置は、入退管理された部屋で鍵付きのキ ャビネットに保管される。 TTC の方針、手順書、その他の提供された情報に記載されている内容から、包括的なセキュリ ティ対策が講じられていると考えられる。ただし、TTC の指針には、ビデオ監視システムを扱うすべ ての従業員が機密保持などの指針および同法に基づく義務に関する同意書に署名することが要 件として定められていない。この要件は、ガイドラインに記載されている。したがって TTC は、規制 第 823 号およびガイドラインに基づいて記録情報のセキュリティに関する責任を完全に果たすため に、指針を変更してこのような文言を組み込むべきである。 95 結論:TTC では、収集した個人情報を保護するために十分なセキュリティ対策が講じられている。 ただし、TTC は指針を変更し、ビデオ監視システムを扱うすべての従業員が機密保持を含む義務 に関する同意書に署名することを必須とすべきである。 論点 F:TTC では記録した情報が不要になった際に適切に情報を処分する手段があるか? 前述したように、規制第 823 号では、機関に対し、記録を不正アクセスから保護するためのセキ ュリティ対策を講じることを求めている。不正アクセスを防止しなければならないという原則は、破棄 に至るまでの記録のライフサイクル全体に適用される。 ガイドラインには、ビデオ監視の使用を通じて過去作成した記録の破棄について次のような記載 がある。 古いストレージ・デバイスの破棄は、個人情報の再構築や取り出しができないような安全 な方法で行われなければならない。破棄の方法としては、電子的記録の上書き、個人情報 の細断、焼却、磁気による消去などがある49 つまり、ガイドラインでは、すべての録画ビデオ画像を安全に破棄することが推奨されている。 TTC によると、地上車両から収集した画像は、システムによって 15 時間ごとに自動的に上書きさ れるようになっている。実際の録画は、車両の稼働中のみ行われるため、少なくとも 24 時間ごとに は、古い画像が削除されて新しい画像が上書きされる。 TTC の指針には、ビデオ記録の安全な破棄について次のような記載がある。 TTC は管理する記録のセキュリティを確保し、安全な方法で破棄するために、相応の努 力をする。古いストレージ・デバイスの破棄は適用可能な技術資産破棄プロセスに従って行 い、破棄する前に個人情報が消去されており、取り出しや再構築ができないことを確実にす る。破棄の方法としては、ストレージ・デバイスの種類によって、細断、焼却、消去などがあ る。 指針に記載されている破棄に関する一般的な要件に加え、録画画像の安全な破棄について具 体的な情報が TTC から提供されている。TTC は、地上車両に搭載された記録装置から取得した 画像について、次のように説明している。 49 ガイドラインの 9 ページを参照 96 画像の要求を受けると、デジタル・ビデオ記録装置から捜査局(ラップトップ・パソコン)に その画像がダウンロードされる。画像を保管する場合は、ラップトップ・パソコンから DVD に 画像を記録する。車両からビデオ録画情報をダウンロードするための適切なソフトウェアが インストールされているすべてのラップトップ・パソコンには、TTC の許可を受けた管理者が 有効化することでダウンロードした各ファイルを抹消するファイル抹消ツールをインストール する。 地下鉄網から録画した画像は、任意の地下鉄駅の入退管理された場所に保管すると書かれて いる。 画像の保管期間は最長で 7 日間とされ、その後は上書きされる。 TTC から提供された情報を検討した結果、ビデオ監視カメラから補足された画像の破棄方法は 適切であり、ガイドラインに基づく要件を満たしていると考える。これらの破棄方法は、規制第 823 号の 3 項に記載されている、録画画像のセキュリティを保護するための「合理的な手段」に当たる。 結論:TTC には不要になった記録情報を適切に破棄するプロセスが導入されている。 論点 G:TTC では収集した個人情報の保存期間を適切に定めているか? 規制第 823 号の 5 項には、機関が収集した個人情報の最短保存期間が次のように定められてい る。 機関が使用した個人情報の保存期間は、使用後 1 年か、または、機関または影響力を持 つ別の機関の内部規則または決議で決められた期間のうち、いずれか短い方とする。ただ し、情報の主体である個人が早期の破棄を承諾する場合は例外とする。 この条項には、「使用した」個人情報の最短保存期間は 1 年と定められている。この条項の目的 は、個人が自分の個人情報にアクセスする権利を守るために、個人情報を含む記録を少なくとも 1 年間は保存するよう機関に求めることである。 現時点で、指針や当事務局に提出された資料には、使用した記録を 1 年間保存するという要件 は記載されていない。したがって、TTC には、指針を完成させる前に、適切な保存期間に関する記 述を盛り込むことを推奨する。 ガイドラインでは規制における保存要件を詳しく取り上げ、収集しただけで使用していないビデ オ監視画像の保存期間について、次のように推奨している。 記録情報の使用と保存については、組織として次のような書面による方針を策定する。 97 (略) 法執行や治安を目的で閲覧されなかった情報の保存期間を定める。このように未使 用の記録情報は、標準スケジュール(通常は 48~72 時間)に従って定期的に消去さ れる。 (略) 法執行や治安を目的として閲覧された情報の保存期間を別に定める50。 指針では、ビデオ監視カメラから収集した記録画像の保存期間は最終決定されていない。ただ し、提出された資料には、前述のように、地上車両から録画した画像は、捜査に使用される場合を 除き、15 時間後に上書きされると書かれている。地下鉄網の場合、未使用の画像は 7 日間の保存 期間を経過した後に上書きされる。 TTC からは、カナダ運輸省の『保安用途の閉鎖回路テレビのためのリファレンス・マニュアル (Closed Circuit Television Reference Manual for Security Applications)』が提出されている。この文 書では、ビデオ監視カメラから録画した画像の保存期間として 7~30 日間が推奨されている。当事 務局のガイドラインでは、さらに短い 72 時間という保存期間を推奨している。トロントのダウンタウン の繁華街に警察が設置しているビデオ監視カメラは現在、最長保存期間を 72 時間として、数年間 問題なく運営されている。TTC と警察にとって、72 時間は事件の発生を把握し、ビデオ監視画像 が捜査に役立つかどうかを判断するのに十分な時間であると考える。したがって、保存期間を推奨 する 72 時間から延長する理由は見当たらない。 結論:TTC は未使用のビデオ監視画像の保存期間を変更し、最大保存期間を現在の 7 日間か ら 72 時間に改めるべきである。 論点 H:TTC は監視カメラ採用の前に適切/必要なすべての手段を取っているか? PI は「プライバシーと関連する規約を考慮せずに計画が展開されている」と主張しているが、 TTC の指針草案は当事務局が『公共の場でのビデオ監視カメラの使用に関するガイドライン (Guidelines for the Use of Video Surveillance Cameras in Public Places)』の条項で示した推奨事項 に基づいている。このガイドラインは、プライバシーを保護しながらビデオ監視を展開するための手 引である。TTC は、ガイドラインのプライバシーに関する主な条項を指針草案に注意深く盛り込ん でいる。 50 ガイドラインの 8 ページを参照 98 我々のガイドラインには、ビデオ監視を導入する前に機関が取るべき措置についての推奨事項 が示されている。 次は、ガイドラインからの引用である。 提案されたビデオ監視システムが個人のプライバシーに及ぼす影響について、また 個人情報の収集、利用、開示、保存を調査することで悪影響を軽減する方法につ いて、プライバシー影響評価を実施する。 (略) 提案されたビデオ監視プログラムの必要性と公共での容認可能性について、関係 者と協議する必要がある。広く公的諮問を行う51。 (略) 前述したように、TTC は、ビデオ監視システムのある種の要素について公的諮問を行っている。 新しい路面電車の設計について一般の人々の意見を募ったり、新しい地下鉄車両の実物大模型 を公開して意見を受け付けたりしたことが、その例である。いずれの場でも、諮問プロセスに関与し た人々は、ビデオ監視カメラの設置に対して肯定的と見られた。 正式なプライバシー影響評価を実施しなければならないという要件については、指針に「監視ビ デオのセキュリティ脅威の評価」という付録がある。TTC は、2008 年前半に予定している指針の完 成前に、正式な脅威評価を実施すると述べている。 IPC のガイドラインでは、関係者がビデオ監視システムの知識と情報を得た上で意見を出せるよ う、「広く」公的諮問を実施することが推奨されている。TTC は数回の諮問を実施済みだが、TTC の 全体的なビデオ監視プログラムに限った内容ではなかった。これらの諮問によってガイドラインの 要件が満たされているとは考えられない。また、TTC がビデオ監視を導入する前に取った措置は、 特に広く公的諮問を行うという点で十分とは言えない。 TTC はビデオ監視プログラムを拡大し続けているため、公的諮問を増やすことを推奨する。例え ば市役所で会議を行って一般の人々に知識を提供し、トロントの公共輸送機関でビデオ監視シス テムを拡大することを推奨する。公的諮問のほか、TTC の Web サイトや印刷物に総合案内を適宜 掲載し、一般の人々がビデオ監視プログラムを知ることができるようにすることも推奨する。 結論:TTC は公共輸送機関でビデオ監視カメラの使用を拡大しており、Web サイトに総合案内 51 ガイドラインの 4 ページを参照 99 を掲載したり、市役所の会議などを通じてより広範な諮問を行ったりすることで、一般の人々に情報 を提供するための追加措置を取る必要がある。 論点 I:TTC の監視カメラシステムには定期的に監査が行われているか? ビデオ監視において、監査とは、機関の政策慣習、手順の検証ならびにこれらの文書に記載さ れている義務が内部で守られているかどうかのテストを介して検討されなければならない。当事務 所のガイドラインには、監査要件が次のように記載されている。 ビデオ監視装置の利用とセキュリティの監査を定期的に実施する。また、監査では、運営 方針および手順に従っているかどうかも検証する。監査を実施するために外部組織を利用 してもよい。 監査によって明らかになった問題や懸念事項には速やかに対応する必要がある。従業 員およびサービス・プロバイダーは、各自の活動が監査の対象であり、監視による利害の正 当性を示すことが特定の個人に求められる可能性があることを認識する52。 組織的なプライバシー監査の一般用途は、カナダ勅許会計士協会(Canadian Institute of Chartered Accounts)(CICA)および米国公認会計士協会(American Institute of Certified Public Accounts)(AICPA)によって認められている。両協会は『一般に認められたプライバシー原則 (Generally Accepted Privacy Principles )(GAPP) – A Global Privacy Framework』(GAPP プライバ シー・フレームワーク)を共同発行した。この GAPP プライバシー・フレームワークは、プライバシー に関するリスクの特定と管理を支援し、独立した監査を実施するための基準を示すことを目的とし て策定されている53。 TTC は、個人のプライバシーへの不適切なアクセスや侵害を最小限に抑えるための包括的な方 針および手順を策定している。決められたスタッフにしか権限を付与せず、ログによってアクセスの 痕跡を残すという前述のシステムも、監視システムの潜在的な悪用を防止することを目的としたもの である。 しかし、このような保護を行っても、TTC の組織としての規模や複雑さ、また運営しているカメラの 数で示される監視の規模から、悪用される可能性はある。そのため、システム全体の監査を定期的 に(少なくとも年に 1 回)実施することで、プライバシーを保護した上でシステムが適切に運営されて 52 ガイドラインの 10 ページを参照 53 GAPP フレームワークは CICA の Web サイトから入手可能 http://www.cica.ca/index.cfm/ci_id/36529/la_id/1 100 いることを確認でき、プライバシー侵害のリスクを低減するためにも役立つ。 IPC に提出された資料の中で、TTC は監視システムの定期的な監査を実施する計画について 述べている。また指針の「役割と責任」の項には、TTC の事務局長の責任として、指針が遵守され ている状態の確保とビデオ監視システムの年次監査の調整が挙げられている。 TTC の指針には、これらの監査の詳細は示されていない。指針には監査に関する他の項目は なく、監査を年に 1 回実施するという要件も言及されていない。 したがって、TTC には指針を変更し、監査要件をさらに明らかにすることを推奨する。また、最初 の年次監査の写しを IPC の政策部門に提出して審査を受けることも推奨する。当事務局が審査す ることによって、当該監査が健全な方法で包括的に実施されていることを確保することができる。ま た、最初の監査は独立した第三者が GAPP プライバシー・フレームワークを使って実施し、この報 告書の推奨事項に従っているかどうかも調べるべきである。このようにすることで、監査によって明 らかになった問題点を当事務局が追跡調査することを可能にする。 結論:TTC は、そのビデオ監視システムが、GAPP プライバシー・フレームワークを用いて、独立 した第三者が行う、効果的で徹底した監査の対象となることを保証しなければならない。 結論のまとめ 要約として、本調査での結論は以下のとおりである。 A TTCのビデオ監視カメラで収集した情報は、法第2条1項で定義されている「個人情報」に 当たる。 B TTCのビデオ監視カメラで収集した個人情報の収集は、法第28条2項に違反しない。 C 法第29条2項に従い、TTCの乗客には収集通知が提示される。 D トロント市警察への個人情報の開示は、法第32条に違反しない。 E TTCでは、収集した個人情報を保護するために十分なセキュリティ対策が講じられている。 ただし、TTCは指針を変更し、ビデオ監視システムを扱うすべての従業員が機密保持を含 む義務に関する同意書に署名することを必須とすべきである。 F TTCには不要になった記録情報を適切に破棄するプロセスが導入されている。 G TTCは未使用のビデオ監視画像の保存期間を変更し、最大保存期間を現在の7日間から 72時間に改めるべきである。 H TTCは公共輸送機関でビデオ監視カメラの使用を拡大しているため、Webサイトに総合案 内を掲載したり、市役所の会議などを通じてより広範な諮問を行ったりすることで、一般の 人々に情報を提供するための追加措置を取る必要がある。 101 I TTCは、ビデオ監視プログラムが、独立した第三者がGAPPプライバシー・フレームワークを 使って実施する効果的かつ徹底的な監査の対象であることを確保する必要がある。 推奨事項 この報告書の結論から、TTC には、ビデオ監視システムを通じて収集した個人情報の保護を強 化するため、次の措置を取ることを推奨する。具体的な推奨事項は次のとおりである。 1. TTCは、警察がビデオ監視画像に直接リモートアクセスできるようにする前に、覚書の草案 を変更し、開示ログをTTCのために実施される定期的な監査の対象とすることを要求する。 また、署名前に、変更後の覚書案の写しを当事務局に提出する。 2. TTCの指針を変更し、変更覚書に記載されている条件を反映する。 3. TTCは指針を変更し、ビデオ監視システムを扱うすべての従業員が機密保持を含む義務 に関する同意書に署名することを必須とする。 4. TTCは、乗客に収集通知を提示する標識の取り付けについて、当事務局に進行状況を報 告する。 5. TTCはビデオ監視画像の最大保存期間を現在の7日間から72時間に変更する。 6. TTCは指針を変更し、使用済みの画像の保存期間を最短で1年間、未使用の画像の保存 期間を15時間または72時間(カメラの状況によって異なる)にする。 7. TTCは公共輸送機関でビデオ監視カメラの使用を拡大しており、Webサイトに総合案内を 掲載したり、市役所の会議などを通じてより広範に諮問を行ったりすることで、一般の人々 に情報を提供するための追加措置を取る必要がある。 8. TTCは指針に項目を追加し、年1回の監査を要件として明記する。指針には、年次監査が 徹底的かつ包括的なものであり、TTCのビデオ監視の全プログラム領域をテストすることで、 指針および手順書が遵守されていることを確保することを記載する。最初の監査は独立し た第三者がGAPPプライバシー・フレームワークを使って実施し、この報告書の推奨事項に どの程度従っているかどうかも調べる。 9. TTCは当事務局に年次監査の写しを提出して審査を受け、監査の詳細と方法について意 見を受け入れる。 10. TTCは、この報告書の日付から1カ月以内に、当事務局に変更後の指針の写しを提出す る。 11. TTCは、新しいプライバシー強化技術の調査に後れを取らず、可能な場合はそれらの技術 を採用する。 12. TTCは、トロント大学の研究者であるK. MartinおよびK. Plataniotisの両氏が開発したビデ オ監視のためのプライバシー強化技術を評価するための場を選択する。 13. TTCは、この報告書の日付から3カ月以内に、これらの各推奨事項に従っているという証拠 または最新の状況報告を当事務局に提出する。 102 コミッショナーからのメッセージ プライバシーに公に携わる者として、ビデオ監視は公平な視点で取り組みにくい問題である。表 面的には、ビデオ監視は本質的にデータ取得の可能性によってプライバシーを侵すものだからで ある。しかし、その事実に反して、この報告書で述べているようなビデオ監視の正当な使用は、プラ イバシー法に違反しない。そのため、さしあたっての課題は、システムが不適切に展開される可能 性をできるだけ厳しく抑えることである。当事務局はそのために、強力な管理策の整備に努めてき た。ガバナンス(方針や手順)や監督(独立した監査と当事務局への報告)、革新的なプライバシー 強化技術の導入である。このような技術の導入は、取得した個人情報への不正アクセスや利用を 効果的に防止する上で、最も確実な長期的対策である。 監視技術が進化し、生体(バイオメトリクス)認証やセンサー機器も広がる中、プライバシーの未 来のためには、必要な保護を設計に確実に組み込むことが重要である。プライバシー・バイ・デザ イン(PbD)は将来に向けた究極の保護として、所与の技術を捨てることなく、プラス・サムの世界を もたらすものである。私の目標は、新しいすべての技術のアーキテクチャにプライバシーを組み込 むことであり、それによって、将来にわたりプライバシーを維持していくことである。 Ann Cavoukian 博士 コミッショナー 103 Biometric Encryption: A Positive-Sum echnology That Achieves Strong Authentication, Security, and Privacy バイオメトリック暗号:強力な認証、セキュリティおよびプライバシーを達成するポジティブサ ム技術 104 バイオメトリック暗号:強力な認証、セキュリティおよびプライバ シーを達成するポジティブサム技術 2007年3月 要旨 本稿では、プライバシー対応が強化されたバイオメトリクスの利用について、特に他のバイオメト リクスを利用する場合と比較しつつ、バイオメトリック暗号(BE)のプライバシーとセキュリティに関す る利点について重点的に論じるものである。本稿は、幅広い読者に本人確認、プライバシー保護 およびセキュリティ確保へのバイオメトリック暗号を使用したアプローチの利点について知ってもらう ことを意図している。広く知られている「ゼロサム」という考え方、つまり識別と情報システムにプライ バシーの配慮を追加すると、必然的にセキュリティや、機能性がぜい弱化してしまうとするという考 え方を乗り越えるために、BE 技術が役立つというのがその中心となるメッセージである。本稿では、 BE 技術がなぜ、どのように、すべての利害関係者の関係が“WIN-WIN”となる「ポジティブサム」を 保証するか説明する。 背景/状況 識別と認証の必要性は、オンライン、オフライン問わず着実に増加している。公共および民間部 門の事業者側では、自らが対応している相手が誰であるかを「知る」必要性が高まっている。身元 確認、情報保護および施設やサービスへのアクセス許可のための現在のセキュリティモデルは、ト ークンの使用に基づいており、その個人と結び付き、その個人を表現することで、身元の認証、ま たは情報、施設またはサービスへのアクセスを許可する。このトークンには、パスワードや共有秘密 キー(知識によるもの)、ID カード(持ち物によるもの)、またはバイオメトリック(本人の特長によるも の)が使用できる。これらすべての場合において、トークンの詳細は第三者が保有している。この第 三者の機能は、個人のトークンの詳細がデータベースに保存されている内容と一致する場合、認 証したり、時には取引の進行を認めたりする。バイオメトリックは、身元証明のための第三の要素、 および最終的に判定できる要素を提供する認証または識別の究極の形態と見なされるようになっ てきている。そのため、バイオメトリックは多数のセキュリティアプリケーションで使用されつつある。 しかしながら、個人情報の保護が関係するプライバシー関連の分野はそれほど強固ではなく、 バイオメトリクスではまだこのニーズを満たせていない。個人が自らの(財務的なあるいは医学的な) 個人情報を相手方に提供するとき、相手側はその個人情報の使用を合意した目的にのみ使用し、 権限のない関係者によるアクセスから情報を保護すると規定する場合が多い。情報を提供する個 人と相手方との関係は、一般に信頼という規範に基づいている。 現在の技術的、地政学的状況の変化に伴って、信頼という規範の実効性ははるかに低下しつ 105 つある。個人情報の売買や共有は、現在、多数の企業が実践する利益の多いビジネスモデルであ る。同様に、テロリズムの脅威の高まりから、政府および司法当局は、ますます多くの個人情報への アクセスを要求することができるようになっている。インターネットの能力が増大しつつあることから、 個人に関する膨大な電子的な書類が、本人の認識や同意なく作成される可能性が生じている。さ らに大きな懸案事項は、個人の生活に悪影響を及ぼしかねない誤用が簡単に生じる可能性がある ことである。 これらの書類には、バイオメトリクスなどのトークンベースの取引の詳細が含まれる場合もあり、個 人と個人の取引履歴に関する驚くほど完全な記録が、本人の認識や同意なく作成できる可能性が ある。同様に、ここでも前述のデータベースに含まれる可能性のある間違いを個人が訂正する資格 を排除し、問題は増加するばかりである。要するに、個人情報への不正アクセスは、個人情報の盗 難や個人情報を使用した嫌がらせから、誤って使用された個人情報の永続化まで、多数の否定的 な影響を引き起こす可能性がある。 政府および司法当局は国民や国家の安全のために個人情報を要求し、企業は商行為や顧客 サービス向上のために個人情報を要求すると我々は認識している。しかしながら、これらのシナリオ では、プライバシーと情報を保護する既存のモデルは常にゼロサムゲームに至り、プライバシーの 保護がセキュリティの低下やよりコストのかかるサービス提供になってしまうことが多い。しかし、この ような事態を生じさせる必要はないのである。 国民と国家の安全の保護は、文明社会に必要かつ重要な機能であるが、より費用対効果が高く、 より優れた顧客サービスにつながる、より効率的なサービス提供の展開も大いに望まれる。社会福 祉と経済的福祉は、これらの両方の機能によって実現する。 しかしながら、豊かで自由な社会の機能には、選択の自由も必須である。ここ数十年の情報の 収集および処理における技術的進歩により、このリソースは個人の健康、福祉および自由に必須 のものとして位置付けられている。さらに具体的に言えば、個人情報の不正使用は、膨大な損害、 資源の浪費を呼び起こし、そして社会的な損失につながる可能性がある。例えば、個人情報の盗 難や悪用、または個人情報の不正な検索や取得について個人が常に不安を抱くような社会は、最 適なレベルで機能することができない。 現在使用されているセキュリティモデルは、ゼロサム・パラダイムからプライバシーの必要性や個 人情報の保護というニーズとセキュリティに対するニーズの両方を満たすことのできるポジティブサ ム・パラダイムに変化すべきであると我々は考えている。したがって、本稿では「バイオメトリック暗号」 に基づいて情報を保護し、セキュリティを提供する新たなポジティブサムモデルを通じて、我々が その目的の達成における最初のステップと考える内容を示す。 市民の意識と関心の高まり システムにバイオメトリックによって身元を証明するためには、バイオメトリクスによる新たな水準の 106 セキュリティをアプリケーションに追加する必要がある。このようなシステムでは、ユーザーがパスワ ードを記憶する必要がないため、ユーザーの利便性も向上する。 バイオメトリクスの使用に対して、市民の意識と関心が高まっているという状況もある。 国境警備管理:最も目につき(かつ議論を呼ぶ)バイオメトリクスの使用は、運輸部門におけるも のであろう。空港や国境検問所での識別要件には、今や旅行者の指紋、顔画像および虹彩パタ ーンの収集と処理が関与する場合がある。パスポート、運転免許証およびその他の ID や乗車カー ドなどのコンピューターによる読み取りが可能な移動のための文書にも、バイオメトリック・データや 画像が含まれる場合がある。頻繁に旅行する人々は、広範囲に及ぶ身元確認を申請しなくてはな らない税関や入国管理を素早く通過できるように、バイオメトリクスを使用する可能性がある。 犯罪と詐欺の防止、検出および科学捜査:司法当局による指紋の利用は長年に渡って行われ ているが、現在では指紋はデジタル化され、保存、検索および照合を瞬時に行うことができるように なり、警戒リストの策定や、民間部門での身元確認など多くの新たな利用法が出現している。米国 の一部では、小切手を現金化する際に、表面にバイオメトリック印影を求めることもある。市民は、 犯罪を解決したり、犯罪者を逮捕したり、更にはより住みやすい世の中を実現する新たな「革命的」 バイオメトリック技術について、毎日のように知らされている。 出勤記録:建物に入館したり、昼食を取る資格があることを示したり、図書館で本を借りたりする ために、社員や学生がバイオメトリック(指や手など)を提示するケースも増えつつある。 支払システム:民間部門でもサービスの簡便さを増強するため、バイオメトリクスの利用が増えて おり、「pay ’n’ go」システムのように、登録顧客が指をかざすだけで食料品やガソリンを購入できる など、非常に便利さが増している。 アクセス管理:バイオメトリクスの最も普及している用途の 1 つは、セキュリティ保護された領域ま たはリソースへの物理的および論理的アクセスである(医療記録のデータベースやノートパソコンの 使用など)。このような状況において、バイオメトリクスは扱いに注意を要するリソースへのアクセスを、 承認された人物のみに厳格に限定するために役立ち、セキュリティを強化できる。 バイオメトリクスへの手引 「バイオメトリクス」とは、測定可能な物理的、生理学的特長または行動特性を利用して身元を認 識したり、個人が主張する身元を検証/確認する自動システムを意味する。自動認識に使用される バイオメトリックの特長の例としては、指紋、虹彩、顔、手、指の幾何学的な形、網膜、声、署名、キ ーストローク・ダイナミクス(キー入力の癖を使った本人確認技術など)などが挙げられる。 これらのシステムは次の手順に基づいている。指紋や虹彩のスキャンなどの生体サンプルは、個 人から取得する。この物理特性は、画像として提示される場合もある。多くの場合、このサンプルか らデータが抽出される。これらの抽出データは、バイオメトリックテンプレート を構成する。バイオメ 107 トリック・データは、画像、テンプレートのいずれかまたは両方で記憶媒体に保存される。この媒体 はデータベースまたはスマートカードなどの分散環境にすることもできる。これらの準備段階を合わ せて登録 プロセスが構成される。データが保存された人物を登録者(enrolee)と呼ぶ。 バイオメトリックシステムの実際の目的は、これより後の段階でのみ達成される。ある人物が自ら の存在をシステムに提示すると、システムはその人物に生体特徴を提示するように求める。次に、 システムは提出されたサンプル(またはサンプルから抽出した生体情報)の画像を登録者のバイオ メトリック・データと比較する。照合に成功すると、その人物は認識され、システムはその人物を「受 け入れる」。照合が成功しないと、その人物は認識されず、「拒否」される。 従来のバイオメトリクス:プライバシー対セキュリティ - ゼロサムゲーム まず、従来のバイオメトリクスへのゼロサムアプローチとポジティブサムのバイオメトリック暗号アプ ローチとの本質的な相違を要約した表(次ページ参照)から始めるのが分かりやすいと思われる。こ のような比較を行うことで、参照や相互の相違を理解しやすくなる。ここには、それぞれに関する詳 細な考察が行われているページ番号を記載した。 適用される法律や条例はさまざまであるが、人体から派生するバイオメトリック・データ(特に人体 の身元の確認または認証に使用される場合)は、個人を特定できる情報(personally identifiable information、以下「PII」と記す)とみなされる。バイオメトリック・データ(画像またはテンプレート)の 収集、利用および開示は、個人の側には権利を生じさせ、組織の側には義務を生じさせる。 顔認証へのビデオ画像(個人の認識や同意なく収集される場合がある)、そしてまた身元以上の ものを明らかにする指紋およびDNAサンプルの収集と使用については、難しい倫理上および運用 上の問題がある。 バイオメトリックの利用とデータベースが増大するにつれて、収集された個人データが妥当かつ 説明責任のある方法で利用されないのではないかという懸念も増大している。バイオメトリック・デー タが二次的な目的に利用される場合に、「予測不能な目的での利用」、データマッチング、集積、 調査・監視およびプロファイリングにつながり、プライバシーに関する懸念が生じる。他者によって ネットワークを介して転送され、さまざまなデータベースに保存されるバイオメトリック・データも、盗 難、コピーまたはその他の方法で悪用することができ、関係する個人に多大な影響を及ぼす可能 性がある。 108 従来のバイオメトリクス:プライバシーま たはセキュリティ ― ゼロサムゲーム 1 バイオメトリック暗号:プライバシー及び セキュリティ ― ポジティブサム・ゲーム 保存されたバイオメトリックテンプレー トは、個人に固有の識別子である。 従来型のバイオメトリックテンプレートは ないため、固有のバイオメトリックの識別子 は個人に結び付けられない。(121~122ペー ジ「バイオメトリック暗号化とは?」) 2 バイオメトリクスが幅広く利用されるよ 固有の識別子がないと、取引を収集または うになると、テンプレート(固有の識別子) 個人と結び付けることはできない。(122~ が二次利用で取引のログに使用される可能 123ページ「バイオメトリック暗号化の利点」、 性がある。 131~132ページ「科学的、技術的およびプラ イバシー関連の利点」) 3 個人のバイオメトリクスまたはテンプレ 大容量のバイオメトリクスのデータベース ートのデータベースが危害を受けると、すべ は作成されず、バイオメトリック的に暗号化 ての個人のプライバシーに影響する。 されたキーのみが作成される。1つのキーに対 しての危害は発生する可能性はある。(127 ~129ページ「バイオメトリック暗号化の現 状」) 4 プライバシーとセキュリティは両立でき ない。 プライバシーとセキュリティは容易に達成 できる。(122~126 ページ「バイオメトリッ ク暗号化の利点」、132~136 ページ「ケース スタディ#1~#3」) 5 6 バイオメトリックでは高レベルの認証方 チャレンジレスポンス方式のセキュリティ 式であるチャレンジレスポンス方式は達成 は、容易に達成できる選択肢になる。(132 できない。 ~136ページ「ケーススタディ#1~#2」) バイオメトリクスは、大容量の民間または 公的データベースの個人情報のプライバシ ーを間接的にしか保護できない。 BE では、大容量の民間または公的データベ ースの個人情報に対して、セキュリティ保護 性の高い匿名データベース構造を作成でき る。(125 ページ「6.大規模なアプリケーシ ョンへの適切さ」、134~135 ページ「ケース スタディ#2」) 7 データベースが危害を受けると、1対多の 識別システムではプライバシーに関する深 109 1対多の識別システムにおいて、秘密のまま でありかつセキュリティは保護される。(121 刻な懸念が生じる。 ~122ページ「バイオメトリック暗号化と は?」、125ページ「6.大規模なアプリケーシ ョンへの適切さ」) 8 ユーザーのバイオメトリック画像または データベースの侵害やデータベースが危害 テンプレートは、侵害、盗難またはアカウン を受けた場合は、バイオメトリック的に暗号 トが危害を受けた場合でも、簡単に交換でき 化されたアカウントを破棄して、新しいアカ ない。 ウントを生成できる。(123ページ「2.複数/ キャンセル可能/取り消し可能識別子」) 9 バイオメトリックシステムは、潜在的な攻 撃に対して脆弱である。 BEは、多数の既知の攻撃に対して回復力を 持つ。(123~125ページ「3.改善された認証 セキュリティ:ユーザーのバイオメトリック と識別子とのバインディングの強化」) 10 データ集約 データ最小化。(122~123ページ「1.バイ オメトリック画像またはテンプレートを保持 する必要がない」) 110 バイオメトリクスに関するさまざまなプライバシーの意味合いに関する幅広い論議は、Information and Privacy Commissioner of Ontario のウェブサイト、www.ipc.on.ca から入手できる1。 バイオメトリック識別対照合 具体的な用途やその展開シナリオにかかわらず、多くのバイオメトリックシステムは識別または照 合/認証という2つの基礎的な目的のいずれかを持っている。 識別とは、コンピューターシステムが(バイオメトリック・データのみを使用して)1人の個人をファイ ル上の個人に関するより規模の大きいバイオメトリック・レコードから一意的に区別する能力のことで ある。このため、理論上は、国家的なバイオメトリック識別システムでは、システムへ事前登録されて いるとすれば、国民は一切文書に頼ることなく自らの身元を証明できることになる。提示されるバイ オメトリック・データは、照会のために、国家的データベースのその他すべての登録と単純に比較さ れ、一致すると、関連する身元データがデータベースから取り出すことができる。これはしばしば「1 対多」照会と呼ばれ、警戒リストの犯罪者の特定に警察が使用したり、給付金の受給資格や投票、 運転免許証、その他の申請などの登録システムでの特定に政府が使用している。このため、例え ばパスポートや運転免許証申請のために提供された顔画像は、同じ申請者に複数の文書が発行 されていないことを確認するため、日常的に多数のデータベースと比較(詐欺発見)される可能性 がある。 バイオメトリックによる照合や認証には、「1対1」検索が関与し、ここでは対象者がその場で提示 する生体サンプルが(スマートカードまたはデータベースに)保存されたサンプルと比較され、一致 が確認される。この時、サービスまたは便益に関する対象者の適格性は事前に決まっている。ある 個人を有資格のユーザーとして認証するために必要なのは、生存しているバイオメトリックとサンプ ルとを一致させるだけである。一部その他の識別データが使用されるという条件で、中央データベ ースは使用できるが、中央データベースの検索やマッチングは必要ない。例えば、IDカードのシリ アル番号をバイオメトリックデータベースでの個人の「検索」に使用してから、その個人が正当なカ ードの持参人であることを確認するために、生体サンプルをレコードに保存されたサンプルと照合 することができる。さらに簡単にするため、その人物にユーザー名を入力させ、バイオメトリックテン プレートが照合用のデータベースから呼び出すことができる。 識別用のバイオメトリックテンプレートは、管理人が管理するデータベースに常に保存される。1 対 1 テンプレートは、データベースまたはユーザーが携帯する媒体(例えばパスポート、スマートカ ードまたはトークン)に保存できる。後者の場合、ユーザーが自らのバイオメトリックテンプレートの 1 『Privacy and Biometrics』、『Biometrics and Policing: Comments from a Privacy Perspective』 および『“Biometrics and Consumer Applications』など。すべての文書は www.ipc.on.ca から無料で 入手できる。 111 管理を行う。 現在、一部の展開では、識別と照合の両方が要求される。例えば、ある人物がパスポート/IDカ ードを申請すると、その人物の生体サンプルに対して、まず「1対多」検索が行われる。これはそ の人物の背景を確認するため、つまりその人物が以前に別の身元で犯罪者/テロリストデータベー スに掲載されていなかったかを確認するために行われる。問題がなければ、その人物にはパスポ ート/IDカードが発行され、これは後に「1対1」システムで使用される。 「1 対多」識別と「1 対 1」認証の間のどこかで、「1 対少数」のバイオメトリック・データが利用さ れることになる。この場合の「少数」とは 2~10,000 である。例えば、バイオメトリックス鍵には家庭や 企業のすべてのメンバーからのテンプレートを保存できる。一部のトークンレスアクセス管理システ ムは、次のように運用される。従業員またはユーザーは単純に生体情報をシステムに提示し、承認 されたユーザーの小規模なデータベースとサンプルを比較する。一致すれば、アクセス権が付与 される。個人が承認されたユーザーとして「識別」および「確認」がされれば、それ以外の識別は行 われない。 識別目的でのバイオメトリクスの使用に関する問題 トム・クルーズが出演する未来的映画「マイノリティ・レポート」では、個人が虹彩のミリ秒単位のリ モートスキャンで自動的かつ即座に識別される姿が描かれていた。検出から逃れるには、文字通り 眼球自体を交換しなければならない。幸いなことに、さまざまな理由から、バイオメトリック技術は大 規模な 1対多 のリアルタイムの識別目的にはあまり適していないため、このシナリオは当面実現し そうにない。 生体サンプルの収集およびそれらのマッチング用のバイオメトリックテンプレートへの処理には、 変動的な要素がつきまとうことを念頭に置くことが重要である。簡単に言えば、バイオメトリックは「フ ァジー」であり、完全に一致するサンプルは2つと存在しない。例えば、顔認証技術は照明条件、角 度、被写体の動きなどの相違で、ばらつきが生じやすいことで悪名が高い。パスポート写真の撮影 時に微笑まないように言われるのは、このためでもある。同様に、信頼性があり一貫した指紋サンプ ルを取得する能力には、多数の要素が影響する。さまざまなバイオメトリックのタイプの中で、虹彩 が最も正確かつ一貫性が高いと思われる。 結果として、実際の生体サンプルは、保存された参照用サンプルと若干相違する可能性があり、 比較、マッチングおよび識別処理を不正確にしてしまう。言い換えれば、バイオメトリックシステムは 100 パーセント正確ではないということである。バイオメトリックシステムが正しい照合を実行できず (誤って)正当なユーザーを拒否した場合、これは「本人拒否」と呼ばれ、通常、ユーザーはシステ ムによる詳細な比較用に 1 つ以上の生体サンプルを再提出することが求められる。 このばらつきが取り除かれ、システムが適切に機能できるようにするため、バイオメトリックシステム 設計者は、システムの本人拒否率 (false rejection rate。以下、「FRR」と記す)を下げるための手段 112 を取ることができる。新しいサンプルが取得される条件の制御、および数学アルゴリズムの改善以 外に、これを実現する方法の1つとして、照合にかかる閾値を下げる方法が挙げられる。しかしなが ら、このアプローチの難しさは、これによりしばしばシステムの誤認率 (false acceptance rate。以下、 「FAR」と記す)が上昇する、つまりバイオメトリックが誤って保存された参照用サンプルと間違って 照合され、人物誤認につながる可能性があることである。通常、FRRとFARとのはトレードオフの関 係にあり、片方の誤差率を下げると他の誤差率が犠牲になる可能性がある(例えば、一部のアプリ ケーションではより低いFRRを要求するとより高いFARが許容され、その逆もまた然りとなる)。 バイオメトリックを提供するベンダーによるFRR/FAR値は信頼できない場合が多い。読者には、 U.S. National Institute of Standard (NIST) 2 ま た は International Fingerprint Verification Competitions (FVC2000/2002/2004)3が主催するバイオメトリックコンテストなど、信頼できる独立し た情報源を調べることをお勧めする。大多数のバイオメトリックシステムのFRRは0.1~20%であり、正 当なユーザーが平均して1,000回に1回から5回に1回拒否されることになる。FARは100回に1回(セ キュリティの低いアプリケーション)から10,000,000回に1回(セキュリティの非常に高いアプリケーシ ョン)まで幅広い。 バイオメトリックシステムのその他の問題としては、速度(システムはリアルタイムで正確な決定を 下す必要がある)およびセキュリティ(システムは攻撃に対する回復力を持つ必要がある)が挙げら れる。 ここまで、我々はFARおよびFRRの重要な概念の技術面での議論を提示してきた。次に、運用 面への影響およびFARおよびFRRの1対多 識別目的への影響について検討する。 例えば、FRRが0.01%、FARが0.0001%の生体識別システムがあると仮定する(考えら れない高精度であるが)。これは、システムが平均して10,000回の試行から、純粋な生 体サンプルを9,999回一貫して照合できるということである。このシステムでは、1つの生 体情報を1,000,000件のサンプルのデータベースと比較したとき、平均して1回の完全な 一致(ユーザーが実際にデータベースに登録されている場合)に加えて、1回の誤認が 発生することを示唆している。 ここで、30,000,000 件の登録のあるデータベースがあり、各生体情報で毎回約 30 件の他人受入 が生成されるとする。これは明らかにリアルタイムの自動識別システムでは受け入れられない数値 であり、これを機能させるにはかなりの人的関与が必要と思われる。 したがって、バイオメトリックシステム設計者は、1対多 識別に内在する技術的問題を克服する 2 http://www.frvt.org/; http://fpvte.nist.gov/; http://fingerprint.nist.gov/minex04/ 3 http://bias.csr.unibo.it/fvc2004/ 113 ため、他の技術を使用している。大幅に精度を向上させる方法の1つとして、複数の生体情報を収 集し比較する方法が挙げられる。例えば、マルチモーダル・バイオメトリクス(複数情報からの生体 認証)には、1つではなく2つ(またはそれ以上)の指紋の収集および使用が必要とされる可能性が ある。1つの指紋で、数十または数百の他人受入が発生する場合、2つの指紋を使用するとデータ ベースの他の指紋と誤って照合される可能性は大幅に減少する。これが、パスポートなどのコンピ ューターによる読み取りが可能な渡航書類に2つの異なるバイオメトリクス(顔と指など)を含めると いう、新たな国際的な要件の背景にある主な理由である。 もちろん、ここでのプライバシーの問題には、システムを適切に機能させるには、ますます多くの 個人情報である生体情報を収集、転送、保存および処理する必要があるという事実が関係してくる。 例えば、数億の記録を保管しているFBIのIntegrated Automated Fingerprint Identification System (AFIS)は、精度と速度の向上のため、10本すべて指の指紋を使用している。US-VISITプログラム でも、2個の指紋から10個の指紋への移行、およびUS-VISITとIAFISとの相互運用の展開を計画し ている4。 識別目的でより多くのバイオメトリック・データを無制限に収集し使用することについては、多大な プライバシー(および運用上の)懸念が生じる。そもそも、ネットワーク上でリアルタイムのアクセスが 可能な、大規模な集中型のデータベースの作成は、運用上およびセキュリティ面で多大な懸念を 生じさせる。 ネットワークに障害が発生したり、使用不能になると、識別システム全体が崩壊する。これを認識 して、システム設計者は冗長性の高い並列システムやミラー(および障害および例外管理プロセス) を構築する場合が多い。しかしながら、これによりバイオメトリック・データのセキュリティリスクとぜい 弱性が高まるという影響がある。 ネットワークに接続され、分散型の検索が可能なバイオメトリックPIIの大規模集中型データベー スは、ハッカーや他のぜい弱性を攻撃する悪意のある団体の重要なターゲットになりやすい。また、 集中型データベースは予測不能な目的で利用(二次利用)されやすく、内部の人間により悪用さ れやすいというのも残念ながら現実である。また、傍受、コピー、および実際にしばしば検出される ことなく改ざんされる可能性がある場合、ネットワークを介してバイオメトリック・データを送信すること に関連した多大なリスクも存在する。 一部の大規模なバイオメトリック識別データベース(上述の IAFIS など)は、複数の生体サンプル を収集およびファイルしているだけでなく、他の指紋識別システムとの最大限の互換性を維持する という努力の一環として、テンプレートだけでなく、関与するバイオメトリクスの完全な画像 を保存し 4 http://www.gao.gov/new.items/d07278.pdf 114 ている!。例えば、バイオメトリック対応でコンピューターによる読み取りが可能な渡航書類につい て提案されている国際基準では、他のデータベースとの相互比較および識別を容易にするため、 バイオメトリックの構造化された縮写を一意のテンプレートにするのではなく、生体情報の画像 を 文書に保存することを要求している。 生体情報の画像を保存、転送および使用することは、テンプレートから元の生体情報画像を正 確に再構成することはできないという、テンプレートによって可能になる非常に重要なプライバシー 保護が除去されるため、大規模な識別システムでのプライバシーの問題に悪影響を及ぼすだけで ある。 逆に言えば、画像は、マッチングや識別(またはその他の未知のまたは違法)目的に、例えば個 人プロファイルの作成や、忘れてはならない、個人情報の盗難などに使用される数百のテンプレー トに変換することができる。この時点で、プライバシーの懸念は急上昇する。 窃盗犯が自身の目的のためにバイオメトリックを使用できるとすれば、1人のバイオメトリック画像 の紛失または盗難が膨大な個人情報の盗難への門戸を開くことになるのは明らかである。例えば、 10個のバイオメトリックシステムのうち9個を欺くことのできる「グミベア(熊のグミ)」から低コストで偽 の指紋の複製を作成する方法は、十分に立証された文書が存在している5。その他にも、写真を提 示することで、いかに簡単にバイオメトリックシステムを欺くことができるかについても文書が存在し ている。当然ながら、バイオメトリック業界は指の「生体検知」や3D顔画像のキャプチャリングなどの 対抗策を取っているが、攻撃者側もさらに対抗するだろう。さらにデジタルの領域では、必要とされ るデジタル情報を代わりにネットワークに提供すれば、「偽の指」を提示する必要すらない。 さらに悪いことに、これらすべての識別に関するシナリオでは、ログインユーザー名がコンピュー ターネットワークの登録ユーザーを識別する役割を果たすのと同じように、生体情報が関与するデ ータベースへのインデックスまたはキーとして事実上機能する。 しかしながら、普通の人間の親指は 2 本、目は 2 個、頭は 1 個である以上、関連するバイオメトリ ック・データが改ざんされても、これを変えることはほぼ不可能である。この意味で、生体情報は、秘 密を知っていれば入場を許可される共有秘密またはパスワードのように機能する。ただし、生体情 報とパスワードにはいくつか非常に重要な違いがある。変更することはできず、生涯持ち続ける以 外に選択肢はないという点である。生涯のパスワードを制御できなくなったとしたら、何らかの理由 があるだろう。このような事実があるにもかかわらず、セキュリティの専門家は変更不可能なパスワ ードを共有秘密として使用することを厳しく非難している(生年月日や SIN など)。 5 T. Matsumoto, H. Matsumoto, K. Yamada, S. Hoshino, “Impact of Artificial Gummy Fingers on Fingerprint Systems,” Proceedings of SPIE Vol. #4677, Optical Security and Counterfeit Deterrence Techniques IV, 2002. 115 プライバシー関連団体の見解 世界的なプライバシーとデータ保護に関する団体では、ほとんどの 1 対多 識別目的での生体 認証の使用について一貫して反対 しており、生体情報の大規模な集中型の、または相互運用可 能なデータベースの作成についても反対 している。 ・ International Data Protection Authoritiesの決議6 ・ 欧州データ保護監視官局およびArticle 29 Working Partyの見解7 ・ オンタリオ州情報・プライバシーコミッショナー事務局の出版物や証言 世界的なプライバシー関連団体は、Fair Information Principles and Practicesの要件とPIIの収集、 使用および開示に関して適用されるプライバシー法を確実に反映させるため、可能な限りバイオメ トリックシステムに直接プライバシー強化技術(PETs)を組み入れるよう主張している。世界中でプラ イバシー、消費者および市民権を提唱する人々は、特に分散環境(生体サンプルがトークン、つま りスマートカード上でユーザーによって保持される8)における照合/認証目的でのバイオメトリクスの 使用の制限を強く支持している。 現在までの展開状況 現実には、評価の高いプライバシー強化された1対1 バイオメトリック認証技術の使用は広まらな かった。最もよく知られている例はノートパソコンへの搭載で、この場合ユーザーはノートパソコンに アクセスするため、バイオメトリック(指紋)の照合を行う必要がある。 他方、公共部門の政府機関は、大規模な相互運用可能なバイオメトリックデータベースの構築 を主張する傾向がある。このような傾向の理由は複雑であり、別の研究論文での調査テーマに値 6 International Data Protection Commissioners, “Resolution on the Use of Biometrics in Passports, Identity Cards and Travel Documents,” Montreux (September 2005)。次の URL から入 手可能。 www.edps.europa.eu/legislation/05-09-16_resolution_biometrics_EN.pdf 7 文書および出典については、別表 1 参照。8 「現実の」世界では、テンプレートまたはバイオメト リックイメージはユーザーがカードを紛失した場合に備えて、バックアップとしてデータベースに保 存される。そうしないと、ユーザーはトークンを間違えたり紛失するたびに再登録しなければならな くなる。ただし、これらのデータベースは限定して使用され、ネットワーク化や暗号化はされない。 8 N.K. Ratha, J.H. Connell, R.M. Bolle. 『Enhancing Security and Privacy in Biometrics-Based Authentication Systems』.IBM Systems Journal, vol. 40, no. 3, pp. 614-634, 2001. 116 する。ここでは、次のように簡単な説明に留めておく。 ・ 個人のプライバシーの利益より、公共の利益または(二次的)目的を優先するという主張。 ここでは個人のプライバシーを優先すれば公共のセキュリティが低くなり、その逆もまた然りで あるという「ゼロサム」ゲームという考え方が優勢である。 ・ システム設計者と運用者が個々のユーザーのバイオメトリクスへの制御を放棄したがらな い。ここでも、プライバシーの追加は、システムの機能性、制御および有効性を損なうものと見 なされることが多い。 ・ より多くの身元確認(前科、テロリストの警戒リストなど)を実行するための、または複数の 身元登録や給付金詐欺(福祉、医療保険、運転免許証、移民申請など)を防ぐための要件。 ・ 証拠を保持し、必要に応じて刑事事件化する必要性(単なるテンプレートではなく、専門 家によって確認されたバイオメトリック画像のみを裁判所が受け入れるようにする) ・ バックアップの必要性と預託要件 - バイオメトリック・データのコピーはファイルに保持し、 システム運用者およびその他の当局が「万一」システムに障害が発生した場合のために利用 できるようにする必要がある。 ・ 適切で信頼性があり、コストパフォーマンスの高いプライバシー強化されたバイオメトリック 技術およびシステムが利用不可。 ・ 攻撃者が不正に他者になりすました場合、すべてのバイオメトリックシステムの改ざんに つながる、信頼できないバイオメトリック登録/照合手順および実行。 ・ プライバシー強化されたバイオメトリックシステムの選択肢を追求するインセンティブに欠 けているかもしれない技術ベンダーからの強い圧力およびまたは独立したコンサルタントやイ ンテグレーターからの助言。 ・ 単純化されたプライバシーとセキュリティの融合、すなわち、バイオメトリック・データの機 密性と整合性を確保するためにシステム制御を構築することで、すべてのバイオメトリックに関 するプライバシーの利益が満たされるという見当違いの(誤った)確信。これはセキュリティ専 門家の間でよく見られる問題であり、彼らはプライバシーを設計の中で別個かつ独自の内容と して過小評価する傾向がある。 ・ 一般の人々の要求およびプライバシーとデータ保護団体からのガイダンスが少ない。 これらの説明のほとんどはゼロサムゲームという考え方であり、すなわち、個人のプライバシーと ユーザー制御が増加すれば、実質的にそれ以外のすべてのメリットが減少すると断言されているこ 117 とに読者はお気づきであろう。この観点から、適正なバイオメトリックのプライバシーを情報システム 内に構築することは、常にコストと考えられ、機能強化と考えられることは希である。 より多く見られる展開シナリオは、データベースに保存された単一のサンプルに対して1対1 の バイオメトリック認証を実行するというものである。例えば、バイオメトリック対応のIDカードは、生存 している生体サンプルに対して1対1で比較し、認証するためにバイオメトリック「パスワード」を呼び 出す、データベースへのインデックスまたは検索キーとして機能するシリアル番号を持つことができ る。 バイオメトリックシステムのセキュリティのぜい弱性 バイオメトリックシステムは、特に1対1のものは潜在的な攻撃に対してぜい弱になる可能性があ 9 る。 このようなセキュリティのぜい弱性には、次の内容が含まれる。 スプーフィング。バイオメトリックシステムは、時には偽の指紋、顔、虹彩画像などが適用 されることにより欺かれることが実証されている。 リプレイアタック。例えば、システム入力の際に、記録された画像を注入してセンサーを回 避する―センサーを攻撃するよりはるかに容易である。 改ざん攻撃。個人の生体情報は、ユーザー照合のために保存される必要がある。ローカ ルまたはリモートで記憶装置へのアクセス方法を取得した攻撃者は、正当なユーザーの情報 を自らの情報で上書きする―つまり、正当なユーザーの個人情報を盗むことができる。 改ざん。照合に関する特徴の組み合わせやテンプレートを修正して、システムに提示し た画像に関係なく、照合スコアを高くすることができる。 マスカレードアタック。指紋テンプレートから作成したデジタル「アーティファクト」画像をシ ステムに提示して一致を生じさせられることが実証されている10。アーティファクトは元の画像に 似ていない場合すらある。攻撃者は純粋な生体情報を取得する必要さえないため、この攻撃 は(例えば、ウェブなどを経由した)リモート認証システムにとって真の脅威である。攻撃者に 必要なのはリモートサーバーに保存された情報へのアクセスを取得することだけである(これ 9 N.K. Ratha, J.H. Connell, R.M. Bolle. “Enhancing Security and Privacy in Biometrics-Based Authentication Systems”. IBM Systems Journal, vol. 40, no. 3, pp. 614-634, 2001. 10 C.J. Hill『Risk of masquerade arising from the storage of biometrics』B.S. Thesis, Australian National University, 2001 (supervisor, Dr. Roger Clarke). 118 は通常のハッカーによるセキュリティホールからの操作の説明と完全に一致する)。 トロイの木馬攻撃。照合装置など、システムの一部を常に高い照合スコアを出力するトロ イの木馬プログラムと置き換えることができる。 Yes/No応答の無効化。既存のバイオメトリックシステムの固有の欠陥は、システムの出力 が常にバイナリのYes/No(一致/不一致)応答であるという事実に起因する。言い換えれば、 バイオメトリックとアプリケーションとの間は基本的に切断しており、システムは潜在的な攻撃に 対して開かれた状態である。例えば、バイオメトリックとアプリケーションとの間の通信の適当な ポイントに偽のYes応答を挿入することができれば、攻撃者は任意のアプリケーションで正当な ユーザーのふりをして、バイオメトリックの部分を回避できる。 FRR および FAR の両方について、多数の商用バイオメトリックシステムは精度が不十分である。 FRR が高ければ正当なユーザーにとって不便であるため、システム管理者は照合のしきい値 を低くしがちである。こうすると、FAR が上がり、システムのセキュリティレベルが低下することに なる。 このセクションで概説したバイオメトリックシステムのプライバシーとセキュリティの問題は、図 1 に 図解されている。 119 図1 バイオメトリックシステムに関するプライバシーとセキュリティの問題 従来のバイオメトリックシステムの登録の部分は、少なくとも、画像を取得するバイオメトリック・セ ンサー、バイオメトリックテンプレートを作成する特徴抽出器およびテンプレート、または画像、ある いはその両方のための記憶装置という 3 つのブロックで構成される。記憶装置はデータベース、ま たは分散型媒体にすることができる。 照合または識別の部分は、(最低限)新規画像サンプルを取得するセンサーと、記憶装置から 受信した登録済みテンプレートと画像を比較する照合装置から構成される。照合装置の出力は Yes/No(つまり一致/不一致)応答で、さまざまなアプリケーションに対して行われる。 システムのユーザー登録をするとすぐに、次のような複数のプライバシーの問題に直面する。 透明性、つまりシステムの目的がユーザーにとって明確であるか。 登録が任意である場合、様々な理由により登録されないことによる影響は何か。 システムは信頼できるのか、すなわち個人データは適切に保護されるのか。 バイオメトリック・データの品質:品質が低いと FRR および FAR が高くなる可能性がある。 FAR はシステムのセキュリティリスクを高める一方で、誤った拒否はしばしばいくつかのフォ ローアップ手につながる場合が多く、個人にとってはプライバシーの侵害となる可能性があ る。 その他のプライバシー/セキュリティの問題は、前のセクションで説明されている。 120 バイオメトリック暗号化 バイオメトリクスと暗号作成 従来の暗号作成には、暗号化キーが使用されており、これは通常128ビット以上の十分な長さの ビット文字列である。これらのキーは「対称」、「公開」、または「秘密」のいずれかで、公開鍵基盤 (PKI)などの暗号システムに必須の部分である。人間はこれほど長い無作為のキーを記憶できな いことから、キーはいくつかの手順の後、記憶可能なパスワードやPINから生成される。パスワード は推測が可能であり、力任せの検索で発見したり、攻撃者によって盗まれる可能性があることから、 パスワード管理は暗号システムで最もぜい弱な点である。 他方、バイオメトリックには常にそこにあるという独自の特徴がある。バイオメトリックを暗号化キー として使用できないか?残念ながら答えはノーである。バイオメトリック画像またはテンプレートは、 生来変化しやすいものであり、各々の新たな生体情報は常に異なる。従来の暗号作成では、1ビッ トのエラーですら許容されない。 前の節で述べたとおり、バイオメトリックシステムは常にYes/No応答を生成し、これは本質的に1 ビットの情報である。したがって、従来の暗号システムにおけるバイオメトリクスの役割は、Bruce Schneier氏が述べたとおり、単なるパスワード管理に過ぎない 11。 Yes応答を受け取ると、システム はパスワードまたはキーのロックを解除する。キーは安全な場所(いわゆる「信頼した」デバイス)に 保存する必要がある。バイオメトリックシステムとアプリケーションは1ビットのみを介して接続されて いるため、この枠組みも、図1で説明したとおり、セキュリティのぜい弱性を呈する傾向がある。 データベースに保存されたバイオメトリックテンプレートまたは画像は、従来の暗号化の手段で 暗号化できる。攻撃者はまず暗号化キーへのアクセス方法を取得する必要があるため、これはシス テムセキュリティのレベルを向上させることになる。しかしながら、キー、つまりバイオメトリック・デー タは管理者に制御されるため、大規模なデータベースに関連する大多数のセキュリティの問題は 残ったままである12。 11 B. Schneier, “The Uses and Abuses of Biometrics,” Comm. ACM, vol. 42, no. 8, p. 136, Aug. 1999.12 暗号化の手段を使用することでバイオメトリックテンプレートの機密性と整合性をサポート するため、最近、国際標準化機構(International Organization for Standardization)による活動が行 われている。 (ISO/IEC WD 24745, “Biometric Template Protection”): www.nia.din.de/sixcms/media.php/1377/SC27N4997rev1_SD7_Catalog_Proj&Stand_May20 06.htm?backend_call=true#24745; www.incits.org/tc_home/CS1/2007docs/cs1070006.pdf 12 『Future of Identity in the Information Society』 (FIDIS) report,『D3.2: A study on PKI and biometrics』 2005. www.fidis.net/fileadmin/fidis/deliverables/fidiswp3del3.2.study_on_PKI_and_biometrics.pdf 121 バイオメトリクスと暗号作成に関連する問題の包括的な検討は、別途行われている13。 バイオメトリック暗号化とは? ばらつきがあるため、バイオメトリック画像またはテンプレート自体は暗号化キーとして機能しない。 しかしながら、バイオメトリック画像に含まれる情報量は極めて大きい。例えば、8ビット/ピクセルで エンコードした標準的な300x400ピクセルの画像には、300x400x8 = 960,000ビットの情報が含まれ ている。当然ながら、この情報は冗長性が高い。ここで次のような疑問が生じる。この960,000ビット から、一貫性を持って比較的少ないビット数、例えば128ビットを抽出することは可能か?あるいは、 キーが一貫性を持って再生成されるよう、128ビットキーをバイオメトリック情報とバインドすることは 可能か?最初の質問への回答には問題があるが、2番目の質問によってバイオメトリック暗号化 (BE)という、新たな研究分野への道が拓かれている14。 バイオメトリック暗号化とは、PINまたは暗号化キーをバイオメトリックとバインドして、キーとバイオ メトリックのどちらも保存されたテンプレートから取得することができないプロセスである。キーは、正 確な生存している生体情報が照合時に提示された場合のみ、再作成される。 「バイオメトリック暗号化では、コンピューター、銀行の機器類、建物などへのアクセスなどを可能と するための多数のアプリケーション用のPIN、パスワードまたは英数字の文字列を暗号化するためにバ イオメトリックを利用できる。PINは何百桁の長さにすることができるが、記憶する必要がないため、長さ は重要ではない。最も重要なのは、データベースに保存する必要があるのは、バイオメトリックテンプ レートではなく、バイオメトリック的に暗号化されたPINまたはパスワードである。」 Dr. George Tomko, OECD Report on Biometric-Based Technologies (2004) 13 この技術に対して使用される他の用語としては、バイオメトリック暗号システム、プライベートテ ンプレート、ファジーコミットメント方式、ファジーボールト、ファジーエクストラクタ、セキュアなスケッ チ、バイオメトリックロック、バイオメトリックキーバインディング、バイオメトリックキー生成、バーチャ ル PIN、バイオメトリック強化されたパスワード、バイオメトリック署名、バイオハッシングなどが挙げら れる。我々は「バイオメトリック暗号」という用語を広い意味で使用している。 14 Other terms used for this technology: biometric cryptosystem, private template, fuzzy commitment scheme, fuzzy vault, fuzzy extractor, secure sketch, biometric locking, biometric key binding, biometric key generation, virtual PIN, biometrically hardened passwords, biometric signature, bioHashing. We use the term “Biometric Encryption” in a broad sense. 122 デジタルキー(パスワード、PIN など)は、登録時に無作為に生成されるため、ユーザー(または 他の人物)は知ることすらない。キー自体はバイオメトリクスから完全に独立しているため、常に変 更または更新が可能である。生体情報の取得後、BE アルゴリズムは安全かつ一貫してキーとバイ オメトリックをバインドし、「プライベートテンプレート」とも呼ばれる保護された BE テンプレートを作成 する。要するに、キーがバイオメトリックで暗号化される ということである。BE テンプレートは優れた プライバシー保護を提供し、データベースまたは身の回り(スマートカード、トークン、ラップトップ、 携帯電話など)に保存できる。登録終了時に、キーとバイオメトリックの両方が破棄される。 照合時にユーザーは自らの新しい生体サンプルを提示する。正当な BE テンプレートに適用さ れると、BE アルゴリズムに同じキー/パスワードを読み出させる。言い換えれば、バイオメトリックは 復号化キー として機能する。照合終了時に、生体サンプルは再度破棄される。BE アルゴリズムは、 入力されたバイオメトリックで受け入れ可能なばらつきを示すように設計されている。他方、生体情 報が十分に異なる攻撃者は、パスワードを読み出すことができなくなる。従来の暗号作成における 暗号化キーとは異なり、生体情報は毎回異なるため、この暗号化/復号化方式はファジーである。 当然のことながら、システムを機能させるには、大きな技術的課題がある。 デジタルキー、パスワード、PINなどは読み出された後、あらゆる物理的または論理的アプリケー ションの基盤として使用することができる。最もわかりやすい方法は、パスワードで公開キーと秘密 キーのペアが生成されるPKIなどの従来の暗号システムにある。 バイオメトリックとパスワードが基本的なレベルでバインドされているため、バイオメトリック暗号化 は、バイオメトリックパスワード管理のための効果的、安全かつプライバシーを守るツールである。 バイオメトリック暗号化の利点 (他のバイオメトリック・システムとの比較) バイオメトリック暗号技術には、プライバシーとセキュリティを強化する巨大な可能性がある。この 技術の主な利点と強みには次の内容が含まれる。 1.バイオメトリック画像またはテンプレートを保持する必要がない プライバシーの観点からのベスト・プラクティスは、最初から可能な限り、個人情報(PII)を収集し ないことである。これは「データ最小化」と呼ばれ、収集および保持する個人データを最小限に抑 えることで、後に生じる悪用の可能性を排除する。 プライバシーとセキュリティに関する懸念の大多数は、バイオメトリック・データの保存と誤用に起 因する。 共通する懸念は、「(データベースを)構築すれば誰かが(データを求めて)やってくる」というもの である。プライバシーとセキュリティに関する一番の懸念は、データマッチング、調査、プロファイリ 123 ング、傍受、データセキュリティの侵害および他者による個人情報の盗難の可能性が含まれる。他 者によるバイオメトリック・データの不正使用または誤った管理によって、「負の外部性」および収集 側の組織ではなく主として個人に対してコストが生じるだけでなく、収集側の組織の説明責任や信 頼性、ひいてはプログラム全体の存在にまで危険がおよぶことになる。 バイオメトリック暗号化は、これらのリスク、脅威および懸念に直接対処する。 ユーザーは自らのバイオメトリクスを完全に(ローカルで)制御および使用する。 ローカル制御によりシステムの信頼性が強化され、最終的に登録と利用がさらに促進されること になる。 2.複数/キャンセル可能/取り消し可能識別子 バイオメトリック暗号化では、個人は別々の識別子や利用が単一のバイオメトリック画像またはテ ンプレートによってリンクされることを恐れることなく、複数のアカウントや目的に単一のバイオメトリッ クを使用できる。 したがって、1 つのアカウント識別子が危害を受けた場合でも、その他すべてのアカウントが危害 を受けるリスクははるかに少ない。 さらに優れている点として、バイオメトリック暗号技術ではアカウント識別子を変更または再計算 することができる。つまり、識別子を破棄または取り消して、同じバイオメトリックから計算された、新 しく生成された識別子と置き換えることができるのである! 従来のバイオメトリックシステムでは、これは不可能である。 3.改善された認証セキュリティ:ユーザーのバイオメトリックと識別子とのバインディン グの強化 アカウント識別子はバイオメトリックとバインドされ、照合時にバイオメトリックから直接再計算され る。このため、アカウント識別子(パスワード)は次の理由でより強力になる。 ・ より長く複雑である。 ・ ユーザーが記憶する必要がない。 ・ セキュリティ攻撃の影響を受けにくい。 図 1 に記載したバイオメトリックシステムに関する多数のセキュリティのぜい弱性に対応している。 改ざん攻撃を受けない:攻撃者もそれ以外の人物も、正当なテンプレートの作成に使用された デジタルキーやその他の一時的なデータを知らないため、攻撃者は自らのテンプレートを作成す 124 ることができない。 改ざんができない:抽出された特徴が保存されていないため、攻撃者がこれを変更する方法が ない。 マスカレードアタックを受けない:システムがバイオメトリックテンプレートを保存していないため、 攻撃者はシステムに提示するデジタルアーティファクトを作成できない。バイオメトリック暗号化は、 リモート認証システムに効果的な保護を提供する。 トロイの木馬攻撃を受けない:BEアルゴリズムは、決定を下すのに最終的かまたは中間のどちら の照合スコアも使用せず、単にキーを読み出す(または読み出さない)だけである。このため、攻撃 者には高い照合スコアを出力することでシステムを欺く手段がない。 Yes/No応答の無効化ができない:BEアルゴリズムの出力は、バイナリのYes/No応答ではなく、 128ビット(以上)のデジタルキーである。攻撃者は、プライベートテンプレートからキーを取得するこ とができない。 バイオメトリック暗号技術のセキュリティは、必要に応じて、トークン(スマートカード、PDA など)や 追加の PIN の使用によって増強できる。 4.改善された個人データと通信のセキュリティ さらに、ユーザーは自らの個人または機微データの暗号化に、便利かつ容易なバイオメトリック 暗号技術の利点を活用できる。例については、ケーススタディ#1 を参照すること。 キーはユーザー独自のバイオメトリックによりローカルで使用されるため、この技術は個人が直接 管理下に置ける強力なツールである。 バイオメトリック暗号化は、一般の人々が簡単に利用できる暗号とみなすことができる。 5.より大きな大衆からの信頼、受け入れおよび利用、プライバシー法の更なる遵守 あらゆるバイオメトリックシステムの展開を成功させるために必要な要素は、大衆からの信用と信 頼である。バイオメトリックテンプレートの大規模集中型データベースに関連する大きなデータ侵害 や恐ろしい話が 1 つあっただけで、業界全体が数年間後退する可能性がある。 データガバナンスの方針と手順は、大衆の信頼を促進するためのみに向けられるべきである。し かしながら、プライバシー、セキュリティおよび信頼をバイオメトリックシステムに直接組み込むことが できれば、大衆およびデータ保護当局はプライバシーに関する申し立てをはるかに受け入れやす くなるであろう。 個人の利益となり、監視や個人情報の盗難を最小限に抑えるような方法で、バイオメトリック・デ 125 ータを確固として個人の排他的制御下に置くことは、プライバシー法およびデータ保護法の要件を 満たすために大きな役割を果たし、バイオメトリクスのより幅広い受け入れと利用を促進するであろ う。 6.大規模なアプリケーションへの適切さ バイオメトリック暗号技術は、識別目的のみというよりも、バイオメトリクスを身元の認証や照合に 使用するプライバシー・データ保護当局に好まれ、推奨されている。 したがって、我々はバイオメトリクスがカードやトークンを持参した人物とのポジティブリンクに使 用され、バイオメトリック・データの集中型保存とリモートアクセス/検索に依存したシステムの作成を 避けることを望んでいる。 この見解に関する有力な理由は、バイオメトリック技術が数百万件以上の膨大なサンプルのリア ルタイム識別が可能なほど正確かつ信頼性の高いものかどうかわからないということである。このよ うな見解があるにもかかわらず、多数の大規模な 1 対多 の公的なバイオメトリック・プロジェクトが提 案され、進行中である。 これらのシステムのバイオメトリック・データは、実際には識別ではなく認証目的で使用されてい るが、複数のデータ項目が収集され、比較用のデータベースに送信される場合、これら 2 つの概念 の間の線引きは曖昧である。何が識別子になり、何が認証子になるかは、いくらか恣意的である。 プライバシーの観点から、バイオメトリック画像またはテンプレート・データを認証用の集中型デ ータベースに送信することは、より多くの個人識別子を共に送信することによるリスクと組み合わせ ることなくしても、十分に危険である。「マルチモーダル」バイオメトリック・ソリューションは、複数のバ イオメトリックの収集と比較に依存している。問題のあるユーザーのためのフォールバック(代替機 能の提供)を提供する以外に、「マルチモーダル」ソリューションを使用する主な理由は、既存のバ イオメトリクスに精度/速度/セキュリティが不十分であることを指摘すべきである。このため、認証の ためにバイオメトリクスを使用する技術的な「解決策」は、より多くのバイオメトリックおよびその他の 個人データを収集することのように思われる。 2006 年に、欧州データ保護監視官 (EDPS)である Peter Hustinx 氏は、バイオメトリック画像また はテンプレートを相互運用可能なデータベースのインデックスまたはキーとして使用することでプラ イバシーが危険にさらされると正式な見解として警告している15。 幸いなことに、バイオメトリック暗号技術は、従来のバイオメトリックシステムのリスクを最小限に抑 えるデータベースアプリケーション(例として、ケーススタディ#3 を参照すること)を可能にする(ただ 15 参考文献および URL については、別表 1 参照 126 し、我々はやはりローカルにテンプレートを保存する、1 対 1 のアプリケーションを希望する)。実際 のバイオメトリック画像やデータを公開する必要なく、ユーザーとその他いくつかのトークン識別子 との安全でローカルなバイオメトリック対応のバインディングの作成が可能である。 さらに、匿名識別子と暗号化された(従来の暗号化の手段で)ユーザーのレコードとのリンクをバ イオメトリック暗号プロセスで制御する、いわゆる「匿名データベース」を作成することも可能である。 これは、医療記録などのセンシティブ情報を含むデータベースに関して非常に有用である(詳細は ケーススタディ#2 を参照)。 BE のもう 1 つの有望な用途は、「二重取り」防止のための、プライバシー保護された 1 対多 のデ ータベースである。データベースはマルチモーダルで、1 つのバイオメトリック(指紋など)とプライベ ート・テンプレート(虹彩など)に対して、往来のユーザーの暗号化されたレコードとのリンクを制御 する。ただし、匿名のテンプレートが含まれている。ユーザーのレコードは、従来のテンプレートとプ ライベートテンプレートの両方について、ポジティブマッチであった場合のみ、復号され表示される。 一致しない場合、すべての情報はシステム管理者でもアクセス不能である。 バイオメトリック暗号化では、自らのバイオメトリクスを使用しながら、バイオメトリック・データ自体 を開示する必要なく、任意の相手に任意の目的で、身元を安全に証明する能力がユーザーに付 与される。 バイオメトリック暗号プロセスの高レベルの図表が図 2(次ページ)に示されている。 バイオメトリック暗号システムの登録の部分は、バイオメトリック・センサー、通常は無作為のキー を出力するキージェネレーター、BE(プライベート)テンプレートを作成するバインディング・アルゴリ ズム、および BE テンプレート用の記憶装置という最低 4 つのブロックで構成される。キーと画像の いずれも、BE テンプレートから復元することはできない。キー、画像および一部の一時的なデータ は登録プロセスの終了時に破棄される。 照合の部分は、最低限、新規画像サンプルを取得するセンサーと、記憶装置から受信した登録 済み BE テンプレートに画像を適用するキー検索アルゴリズムで構成される。アルゴリズムは、照合 時の画像が登録されたものと十分に似ている場合はキーを検索し、そうでない場合は検索せずユ ーザーは拒否される。PKI などのキーがアプリケーションに入力される。各アプリケーションは一意 のキーを保有する。バイオメトリック画像は、照合プロセス終了時に破棄される。 127 図 2:バイオメトリック暗号プロセスの高レベルの図表 バイオメトリック暗号化の現状 指紋用のバイオメトリック暗号化という元々の概念は、1994年にMytec Technologies(カナダ、トロ ント)の創設者であるGeorge Tomko博士が開発したものである。これ以降、多数の研究グループが BEおよび関連技術の開発に参加している。現在までにおよそ50件の論文と特許が公表されており、 その大多数は2002年以降である。出版物のリストと簡単なレビューは別表2に掲載されている。 この技術に対してバイオメトリック暗号化(BE)以外に使用される用語としては、バイオメトリック暗 号システム、プライベートテンプレート、ファジーコミットメント方式、ファジーボールト、ファジーエク ストラクタ、セキュアなスケッチ、バイオメトリックス鍵、バイオメトリックキーバインディング、バイオメト リックキー生成、バーチャルPIN、バイオメトリック強化されたパスワード、バイオメトリック署名、バイ オハッシングなどが挙げられる。 BEおよび関連技術は、Michigan State University、West Virginia University、Carnegie Mellon University、University of Cambridge(英国)およびUniversity of Bologna(イタリア)など、バイオメトリ クスを専門とする主要学術研究センターから注目されている。現在の業界リーダーとしては、IBM T.J. Watson Research Center 、 RSA Laboratories 、 Lucent Technologies 、 Sandia National Laboratories、およびPhilips Researchなどが挙げられる。 128 指紋、虹彩、顔、キーストローク・ダイナミクス、声、手書きの署名、掌紋、耳の音響認識など、ほ ぼあらゆる種類のバイオメトリクスによるデジタルキーのバインド(または生成)がテストされている。 最も有望な結果が得られたのが虹彩で、140ビットキーの生成で、FRR = 0.47%、FAR = 0(最低でも 200,000件に1件未満)であった。これらの誤差率は、同じ入力画像を使用した、従来の虹彩ベース のバイオメトリックシステムよりわずかに大きいのみである16。現在、FRRが10%を超える指紋の使用 も、BEの精度の点で実現可能である。虹彩とは異なり、従来の指紋システムの精度には、顕著な 低下が見られる。指紋は、歪みやその他精度を低下させる要素の影響を受けやすいため、これは 理解できる。バイオメトリック暗号化では「ブラインド」モード(登録された指紋またはその特徴点のテ ンプレートが表示されない)で機能するため、これらの要素の補正はより困難である。この問題を克 服するには、フリー・エアー(つまり非接触式)指紋センサーを使用する、同じ人物の複数の指を使 用する、または複数のバイオメトリクスを組み合わせるなど、いくつかの方法がある17。 通常、従来のバイオメトリクスの精度の点で、(虹彩、指紋に続いて)3 番目に挙げられる顔認証 は、ここ数年、パフォーマンスで大幅な改善を示している。このことから、Philips Research では顔バ イオメトリックを使用した、実用向け BE システムを作成している。公開されている結果は、画像のば らつきが低~中程度の顔データベースで FRR = 3.5%、ばらつきが高いデータベースでは FRR = 35%の範囲で、いずれの場合も FAR = 0(最低でも 100,000 回に 1 回未満)であった。使用されたキ ーサイズは 58 ビットで、これはパスワード置換に十分と考えられる。Philips Research の Michiel van der Veen 博士からの情報によれば、privID™と呼ばれる彼らの技術は、現在運用可能で、展開準 備が整っており、具体的に言えば、EU 3D Face プロジェクト(WP2.5)18の一部となっているというこ とである。我々が知る限りで、Philips のシステムは BE 技術で初めての実在するアプリケーションと なる。 他のバイオメトリクスに、長いキー(128 ビットなど)のバインドに十分なエントロピー(すなわち、冗 長でない情報量)があるかどうかは明らかではない。これは今後の研究分野である。 2002年以降に発表された一部の研究では、暗号法の観点から、BE技術の一般的な理論的基 礎が提供されている。これらの研究により、「強引な」探索攻撃からシステムを守ることができると証 明されている。これは、攻撃者がキー(またはバイオメトリック)を検索するために、考え得るすべて 16 虹彩画像は実験室環境の理想的条件に近い状態で取得されている。実生活のシステムでは、 パフォーマンスにある程度の低下が予測されるが、これはバイオメトリクスに常に当てはまることであ る。 17 比較的トラフィックが低く、ユーザーが協力的な場合は、本人拒否率が 10~20%であっても受け 入れ可能な場合もある。これは、単に本人が平均して 5~10 回に 1 回拒絶され、指を再度リーダー に置くようシステムから要求される可能性があるということである。 18 www.3Dface.org 129 の組み合わせを無作為に確認するという方法である。従来の暗号作成同様、攻撃者はアルゴリズ ムを完全に熟知しており、テンプレートを入手している可能性があるが、秘密のロックを解除するた めの適切なバイオメトリック(つまり、バイオメトリックにバインドされたキー)は持っていないと仮定さ れている。 しかしながら、攻撃者は、一般的にBEシステムおよびバイオメトリクスに内在するぜい弱性を利 用し、より巧妙な攻撃を試す可能性がある。この研究分野は、ほとんど見落とされてきた。このような 攻撃が成功すれば、システムの実効的なセキュリティは128ビットから、おそらく、69、44、あるいはさ らに低いビット数に低下する可能性がある。「これは暗号法純粋主義者にとっては、驚くほど小さな 数字に思われるかもしれない」(Hao, Anderson, and Daugman, 2005)。他方、BEは単に別の形の 暗号アルゴリズムではなく、むしろキー/パスワード管理方式であると言える。忘却、盗難、推測、共 有などの可能性をパスワードに依存していることから、キー管理は暗号システムで最もぜい弱な部 分である。バイオメトリック暗号化はキー/パスワードをバイオメトリックにバインドするため、システム をより安全にすることができる。比較すると、従来のバイオメトリックは、Yes/No応答のわずか1ビット のセキュリティしかない! 暗号解読はセキュリティの問題に比べて減少しており、テンプレートの暗号化されたデータベー スを使用し、暗号化キーの解読がすべてのテンプレートを開示するようなシステムは、セキュリティと プライバシーの問題の両方を抱えるが、BE では暗号解読がプライバシーほど問題ではないという のは興味深い点である。バイオメトリック的に暗号化されたキーの解読は、そのキーを開示するに 過ぎず、データベース全体は言うまでもなく、必ずしもバイオメトリックを開示するものではないため、 はるかに安全なシステムになる。 著名な Philips privID™を除き、我々の知るところでは、現時点で商用に使用されている BE シス テムは他にない。この理由は、技術的な問題と市場の両方にある。市民だけでなく、多くの先端技 術の開発者は、この新技術に気付いていない。したがって、この分野のリソースや財源は今のとこ ろ極めて少ない。技術的な問題の多くは、虹彩または顔を使用することで克服されており、特に指 紋については、BE 技術の導入はプロトタイプ開発段階に非常に近づいており、間もなくパイロット プロジェクトでのテスト準備が整うかもしれないと我々は考えている。 関連技術 1.信頼できるシステムへのキーの保存 いわゆる信頼できるシステム(例えばコンピューターまたはデジタルシグナルプロセッサー(DSP)) に暗号化キーまたは PIN を保存する製品がいくつか存在する。19キーはバイオメトリック照合が成功 19 以下などを参照 www.ceelox.com; www.sequiam.com; 130 すると解除され、公開鍵基盤(PKI)などの従来の暗号システムに入る。バイオメトリック・テンプレー ト(または画像)も、(従来の手段による)暗号化された形で別の場所に保存されることも多い。 適切に実装されれば、このようなシステムはセキュリティ上の利点を提供する。しかしながら、多く は前節で概説した問題が残ったままである。例えば、キーの解除にはバイナリの Yes/No 応答がい まだに必要であるが、アルゴリズムのこの部分は隠されている方が良い。テンプレートの保存に関 連する多くのプライバシーの問題も残っている。 これらのシステムでは BE と同じ技術を使用しているか、同じ利点を示している場合があるが、実 際はキーとバイオメトリックとの間を固定する機能を提供しているわけではない。 2. キャンセル可能なバイオメトリクス BE に密接に関係する新たな研究分野に、キャンセル可能なバイオメトリクスと呼ばれるものがあ る。これは IBM T.J. Watson Research Center と複数の学術グループによって開発された。このプラ イバシー保護技術では、バイオメトリックテンプレートに(可能であれば不可逆の)歪みの変換 (distortion transform)が適用される。これらの歪んだテンプレートのみが保存され、歪んだ形態で 照合される。歪んだテンプレートが危害を受けた場合、別の歪みの変換を選択することで「キャンセ ル」できる(すなわち、バイオメトリックは失われない)。変換はアプリケーション依存であり、これはテ ンプレートが別のアプリケーションで再利用できないということである(予測不能な目的での利用が 防止される)。 キャンセル可能なバイオメトリクスは、バイオハッシングと呼ばれる技術を両方の技術に使用でき るなど、BE とその他いくつかの類似性を有する。BE とは異なり、キャンセル可能なバイオメトリクス においてキーの生成または解除は行われないため、システムは、やはりバイナリの Yes/No 応答を 作成し、攻撃に対してよりぜい弱である。歪みの変換は真に不可逆(つまり一方向のみ)とし、秘密 保持される必要がある。そうでなければ、攻撃者は元のバイオメトリックを再構成したり、改ざん攻撃 のために独自の偽のテンプレートを作成したり、またはマスカレードアタックのための「人工的な」画 像を作成できることになる。キーが生成されないため、匿名データベースが作成できないなど、BE に関する潜在的なアプリケーションの多様性はより低くなる。他方、BE はキャンセル可能なバイオメ トリクスのあらゆる機能性を保持しているため、キャンセル可能なバイオメトリクス向けの手法と言え る。いずれの技術も同様の精度/セキュリティの問題に直面する。 www.lacie.com/products/product.htm?id=10166 および www. axistech.com/Biomeric_Time_attandance_Axis_Technology_Encryption.asp 131 3. 柔軟性のあるアイデンティティベースの暗号化 柔軟性のあるアイデンティティベースの暗号化(FIBE)と呼ばれる別の関連技術が、2005 年に A. Sahai 氏と B. Waters 氏によって提案されている。この技術も基本的レベルでバイオメトリクスと暗号 作成を結び付けている。BE とは異なり、ユーザーのバイオメトリックはある程度公開される。D. Nali 氏、C. Adams 氏および A. Miri 氏によって提供された例では(B. Waters 氏によるウェブキャストの プレゼンテーションも参照)20、ユーザー(A)は陸運局(D)に行き、研修を受けた代理人が継続的 に監視をする下で、虹彩スキャンによって自らの身元を証明することができる。ウェブなどを介して この情報を安全に A に送信する必要がある場合、D はこのスキャンを使用して、毎年更新する運転 免許証などの A の情報を暗号化することができる。ユーザーのバイオメトリック秘密キーを取得する ため、A は D が使用した認証手順と同じ手順を介してキーを配信する州当局などの信頼できる第 三者機関に行く必要がある。A はその際に FIBE を使用して、自分宛のメッセージを復号できる。A はその時点でバイオメトリックの読み取りは必要としない。言い換えれば、A は自らのバイオメトリク スを D と信頼できる第三者機関(一般的に、信頼された機関(TA)と呼ばれる)の最低 2 つの場所に 預けることになる。 この方式では虹彩写真や潜在指紋など、A の生体サンプルを密かにキャプチャすることで、A の なりすましを防止する。「FIBE はバイオメトリック測定を公開する」(Nali 氏、Adams 氏、Miri 氏)ため、 これらの秘密のサンプルは役に立たなくなる可能性がある。科学的観点からは興味深いが、この技 術は少なくともプライバシー関係団体によって採用された意味でのプライバシー保護は行わない (バイオメトリック・データは個人情報と見なされる)。復号中に本人拒否が生じた場合、ユーザーA には別の生体サンプルを提示するチャンスがないという、本人拒否の扱いに関する問題も存在す る。 科学的、技術的およびプライバシー関連の利点 バイオメトリックなどの柔軟なキーによる暗号化は、従来の暗号作成に最近導入されたばかりで ある。パスワードの少数のスペルミスを受け入れたり、あるユーザーのお気に入りの映画のリストの 一部を別のユーザーと共有させるといった些末な事項を超えて、バイオメトリック暗号技術はこれら の理論的研究で、はるかに重要なアプリケーションである。このような技術に対する市場の要求は、 この現代数学と暗号作成の有望な分野に、大きな動機付けを提供すると思われる。 BE はバイオメトリックシステムの歪みの許容、識別、およびセキュリティに関して、より厳しい要件 をもたらす。これらの問題を解決することは、バイオメトリクスと暗号作成の両方の分野において、大 きな科学的突破口となるであろう。これは、より優れたバイオメトリック・センサーおよび他のハードウ 20 http://www.researchchannel.org/prog/displayevent.aspx?rID=3913 132 ェア、また新しく、より正確なアルゴリズムやソフトウェアの研究開発を加速すると思われる。これが バイオメトリクス全体にとって、技術的利点をもたらすことには疑いの余地がない。 BE は特に分散環境において、バイオメトリックシステムの多数のセキュリティ上のぜい弱性を克 服する。これにより、ポータブルデバイスやハンドヘルドデバイス(ノートパソコン、携帯電話、PDA など)でのバイオメトリックシステムの展開が促進される可能性がある。 一般に、バイオメトリクスがプライバシーを侵害する技術と見なされていると言っても大げさなこと ではない。これまでに見てきたとおり、これは根拠がない感覚である。他方、バイオメトリック暗号化 は、プライバシー強化技術である。ユーザーに自らのバイオメトリックを完全に制御させると同時に、 多数のアプリケーションで匿名性を保つ、すなわち自らのバイオメトリックとリンクされた、無作為に 生成され、キャンセル可能な識別子によってのみ示されるようにすることができる。住所、電話番号、 生年月日など、その他の個人データが公開される必要はない。 BE は「プライベートテンプレート」で構成されるため、データベースをプライバシーが保護された 状態にする。このようなデータベースは身元確認には使用できない一方で、1 対 1 の出入管理シス テムや、複数の登録および関連する詐欺を防止するシステムに最適である。ユーザーはデータベ ースに保存された医療記録や財務記録など、自らの機微情報に対するコントロールができるように なる。 BE 技術の広がりは、バイオメトリクスに対する市民の感じ方を最終的に変化させる可能性がある。 これにより、バイオメトリック技術の水準が上昇し、業界による新たなプライバシーを守るソリューショ ンの開発や採用が促進されるであろう。BE によって生成される「プライベートテンプレート」が市場 で大きな存在感を示せれば、バイオメトリック業界全体が再編される可能性がある。ユーザーの受 け入れと信頼が高まることは、業界にとって極めて有益と思われる。 ケーススタディ#1:小規模なバイオメトリック暗号の使用 BE の威力を実証するため、第三者認証を使用したバイオメトリック認証プロトコル(リモートまたは ローカル)を簡単に紹介する。ファジーエクストラクタに関する Boyen 氏の論文21を基に、簡単に解 説する。 ここではアリスがバイオメトリクスを使用して、ボブに対して自らの身元を証明したがっていると仮 定する。プライバシーに関する懸念から、アリスはボブにバイオメトリック情報は開示したくないと考 えている。逆に、認証を有意にするため、ボブは認証が行われた時点で、アリスがバイオメトリクスを 実際に保持している(つまり、アリスになりすましている人物がいない)という何らかの保証が欲しい 21 X. Boyen『Reusable Cryptographic Fuzzy Extractors』CCS 2004, pp. 82–91, ACM Press. 133 と考えている。ここではボブが第三者(信頼された機関(TA)と呼ばれる)であるトレントがアリスのバ イオメトリクスを正当に認証してくれると信頼しており、アリスはその証明書を作成する目的で、自ら のバイオメトリクスへの一時的なアクセスをトレントに付与しようとしていると仮定する。アリスはこのよ うな証明書を必要な数だけ取得することができ、プライバシーの漏えいの恐れやなりすましのリスク なく、不正直な人物が含まれている可能性のある、ボブのような相手に対して、必要なだけ証明書 を再利用できる。プロトコルは以下の通りである。 登録と認証:トレントの監督下で、アリス自身のバイオメトリックを使用して、以下が行われる。 1. アリスは自らのバイオメトリックと無作為に選択されたPINから、バイオメトリック暗号テンプ レートを作成する。バイオメトリックとPINのいずれも、テンプレートから復元することはできな い。 2. PINは公開キーと秘密キーと呼ばれる一組のキーを生成するために使用される。 3. バイオメトリック、PINおよび秘密キーは破棄される。 4. アリスが手順を誠実に実施したとトレントが納得すると、トレントはアリスの名前と公開キ ーとのバインディングを認証、つまり["アリス," 公開キー]というペアにデジタル署名 する。この時点で、アリスはボブに公開キーを送信することも、公開キーを誰もが表 示できるように公開することもできる。 照合:アリスの照合にはチャレンジ/レスポンス方式が使用される。 1. いつでも適切なときに(アリスが自らの身元をボブに証明したいと考えるときはいつでも)、 ボブはアリスに新たなランダムチャレンジを送信する。 2. 新しい生体サンプルを取得し、バイオメトリック暗号テンプレートに適用することで、アリス は自らのPINをオンザフライで復元し、代わりに自らの秘密キーを再生成する。 3. アリスは自らの秘密キーでチャレンジに署名し、ボブに署名を提供する。 4. ボブはアリスの本物の公開キーで、署名の正当性を確認し、アリスを認証する。 このプロトコルでは、アリスは自分の PIN や秘密キーを記憶または保存する必要がない。バイオメ トリック暗号テンプレートは、スマートカード、またはバイオメトリック・センサー付きのアリスのノートパ ソコンに保存することができる。別のアプリケーション(「複数のボブ」)には、PIN から新たな公開キ ーと秘密キーのペアが生成される。これらのキーは定期的に更新される。一部のアプリケーション には、別の PIN が必要な場合があり、この場合は数個のバイオメトリック暗号テンプレートを保存で 134 きる。正しいテンプレートは、アプリケーションによって自動的に認識できる。 デジタル署名に基づくシステムは、リモートアクセスとローカルアクセスの両方に導入することが できる。重要な点は、暗号システムの最も重要な部分である PIN(またはパスワード)がバイオメトリク スに安全に対応づけられていることである。 要約すれば、アリスは必要なだけの数の BE テンプレートを所持し、自らの制御下に置けるという ことである。そして、そのテンプレートはデジタル署名、リモート認証、論理的アクセスまたは物理的 アクセスに使用できる。認証は、単に標準的な暗号化の手段を使用して、デジタル署名の正当性 を確認することで行われる。アリスのバイオメトリックも PIN も、保存または開示されない。結果的に、 システムは安全でありながら、プライバシーも十分に保護される。 ケーススタディ#2:匿名データベース:大規模または中規模のアプリケーション 医療記録のデータベースを所有する診療所、病院または病院のネットワークがあると仮定する。 アリスはたとえ統計目的でも、権限のない人物または第三者を自分の記録にアクセスさせたくない と考えている。そのため、彼女の記録は(一般的な手法で)匿名化され暗号化されている。データ ベースで唯一公開される入力内容は、彼女の個人識別子で、これは本名にすることもできるが、特 定の症例(薬物中毒診療所など)については、仮名(「ジェーン ドゥ」)にすることもできる。アリスの 識別子と医療記録とのリンクは、バイオメトリック暗号によって制御される。 登録時に BE テンプレートがアリスのバイオメトリックと無作為に生成された PIN から作成される (アリスは PIN すら知らない)。PIN はアリスの医療記録へのポインターと記録を暗号化する暗号キ ー、および公開キーと秘密キーと呼ばれるキーのペアの生成に使用される(ケーススタディ#1 と同 様)。BE テンプレートと公開キーはアリスの ID と関連付けられ、データベースに保存される(アリス のスマートカードに保存することもできる)。アリスのバイオメトリック、PIN、秘密キー、ポインターおよ び暗号キーなどのその他の一時データは破棄される。 アリスが医者を訪問し、自らの医療記録や、記録が構造化されている場合は、記録の一部への アクセスを医者に付与したいと仮定する。医者のオフィスから、アリスはデータベース管理者である ボブに依頼を行う。チャレンジレスポンス方式を使用した認証手順は、ケーススタディ#1 の場合と 同様である。 1. アリスがスマートカードを持っていない場合(緊急時など)、ボブはアリスの BE テンプレート を医者のオフィスに送信する。 2. アリスは自らの新たな生体サンプルを BE テンプレートに適用し、オンザフライ(直接的な書 き込み)で自らの PIN を復元する。 3. PIN はアリスの秘密キー、医療記録へのポインター、および暗号キーの再生成に使用され る。 4. ボブはアリスに新たなランダムチャレンジを送信する。 135 5. アリスは自らの秘密キーでチャレンジに署名し、ボブに署名を提供する。 6. ボブはアリスの公開キーで、署名の正当性を確認することで、アリスを認証する。 7. アリスは医療記録へのポインターを安全にボブに送信する。 8. ボブはアリスの暗号化された医療記録(またはやはり暗号化されたその一部)を復元して、 アリスに送信する。 9. PIN から再生成された暗号キーを使用して、アリスは医師のために医療記録を復号する。 10. アリスのバイオメトリック、PIN、秘密キー、ポインター、および暗号キーは破棄される。 要約すれば、ボブ(データベース管理者)は、アリスが自らの主張通りの人物であるという保証が 得られ(医師のオフィスで BE テンプレートのロックを解除できた)、彼女の医療記録が適切な人物 に送信されたという保証も得られる。他方、アリスは自らの医療記録への完全な制御を保持してお り、復号のための暗号キーを持っていないボブは、医療記録にアクセスすることさえできない。非常 に基本的な技術レベルで、システムにプライバシー保護が組み込まれる。 ケーススタディ#3:渡航文書:大規模なデータベースアプリケーション 渡航文書へのバイオメトリクスの使用は、論議での話題になっている。BE がユーザーのプライバ シーを保護すると同時にセキュリティのレベルを向上させることを実証するため、我々は van der Veen 博士などによって提示されたシステムに関する説明について検討する。(別表 2 の参考資料 [40])。 国際民間航空機関(The International Civil Aviation Organization (ICAO))は、ePassport 用を含 む機械読み取り式渡航文書(Machine Readable Travel Documents (MRTD))に関する国際基準を 決定している。勧告の中に、国境検問所での安全な照合のための「三方向チェック」がある。これは、 (i)バイオメトリック・センサーに由来するデータを(ii)ePassport に保存されたバイオメトリック画像、 および(iii)外部(集中型)データベースに保存されたバイオメトリック・データと比較するというもので ある。 ePassport に保存されたバイオメトリックテンプレート以外に、その安全なバージョンである BE テ ンプレートも第三者データベースに保存されているため、BE 技術では、プライバシーを維持しなが らこの比較を行うことができる。バイオメトリックス画像、または従来のテンプレートはデータベースに は保存されない。「三方向チェック」はデータベースからの BE テンプレートを ePassport、キオスク (申請端末)でスキャンされた生体バイオメトリック測定データと照合して実施される。国境の通過は 次の手順となる。 1. キオスクでユーザーは身元(ID)を申請し、測定用に自らのバイオメトリック(顔画像、指紋 または虹彩など)を提示する。 2. 対応するBEテンプレート抽出のため、IDが第三者データベースに送信される。 3. BEテンプレートがキオスクに送信される。 136 4. BEテンプレートとバイオメトリック測定値を組み合わせて、暗号化キー、またはそのハッシ ュされたバージョンを派生させる。 5. 虹彩、顔または指紋の画像がePassportから抽出され、BEテンプレートと共に使用されて、 暗号化キーの別のハッシュされたバージョンを派生させる。これによって、ePassportに保存さ れたバイオメトリックが認証される。 6. 手順4および5で派生したキーのハッシュされたバージョンは、両方とも国境警備当局に 送信され、データベースと照合される。3つのバージョンすべてが正確に同じ場合、認証が達 成される。 要約すれば、バイオメトリック画像またはテンプレートは中央データベースに保存されておらず、 代わりに BE テンプレートが保存されているため、ユーザーのプライバシーは保護されている。デー タベースは本質的に安全であることから、複雑な暗号化やキー管理プロトコルは必要ない。潜在的 な攻撃者または権限のないユーザーには BE テンプレートの作成に使用されている暗号化キーが わからないため、ePassport は改ざんに対して保護されている。 バイオメトリック暗号をプロトタイプ段階にするための次のステップ バイオメトリック暗号は、90 年代半ばから研究されている。技術的に、この分野は従来のバイオメ トリクスより、はるかに難しい。しかしながら、現在、BE は急速に次の段階、つまりプロトタイプの作成 と実証に近づいている。以下に述べる問題には、今後の対処が必要である。 適切なバイオメトリックの選択 精度に関して最も有望な結果は、虹彩から得られている。画像サンプルのばらつきが低いことと、 自然の調節機能(瞳孔)が存在することから、このバイオメトリックは BE の最右翼の候補である。 顔認識は最も広く受け入れられているタイプのバイオメトリックである。最近の技術の進歩により、 Philips Research 社では初の運用向け BE システムを作成した。しかしながら、現時点での顔ベース の BE システムの欠点の 1 つは、安全にバイオメトリックと対応可能な暗号化キーのサイズが比較的 小さい(~58 ビット)ことである。 BE の先駆者的な指紋も主要な選択肢である。指紋バイオメトリックは、虹彩や顔より幅広く使用 されており、プライバシーに関する懸念の最も多くが指紋に関連している。他方で、BE への指紋の 使用は、はるかに困難であることが判明している。指をセンサーに押し当てたときに、皮膚の歪み が強く出る可能性があり、登録者側で指紋の調整を行うのが難しいことがその理由である。前述の 通り、BE は「ブラインド」モード(登録された指紋またはその特徴点のテンプレートが表示されない) で機能するため、従来の指紋照合に比べて、BE では状況把握がはるかに困難である。これらの問 題の一部は、光学処理画像(a free-air picture)で克服できる。これには別の光学上の問題が存在 137 する可能性があるが、我々は現在の技術で解決可能であると考えている。一般に、顔および特に 虹彩は、歪みや調節の問題に対するぜい弱性が低い。22 その他の声、筆跡、掌紋などのバイオメトリクスには、十分なエントロピー(十分に長い暗号化キ ーをサポートするための、冗長でない情報の量)がない可能性がある。これらは「補助的な」バイオ メトリクス、つまり虹彩、顔または指紋、あるいは従来のパスワードと組み合わせた BE とを使用する (強化する)ことが考えられる。 画像取得プロセスの改善 指紋の場合、皮膚の歪みの影響を受けにくい、適切な指紋センサー(高度補正(a free-air)セン サーなど)の選択、または歪みを制御下に置くことのできる、既存のセンサーエルゴノミクスの変更 を意味する。画像品質は、アルゴリズムレベルでも(ソフトウェアを介して)改善できる。 攻撃に対する回復力を持つ BE この研究分野、すなわち攻撃に対する BE の潜在的なぜい弱性の分析は、大いに見落とされて きた。つまり、技術力の高い攻撃者であれば、BE テンプレートとアルゴリズム両方へのアクセスを取 得できる可能性があるということである。攻撃者が唯一取得できないのが、ユーザーのバイオメトリッ クである。アルゴリズムとアルゴリズムのぜい弱性の利用について熟知した攻撃者は、BE テンプレ ート解読のために、単なる力まかせ探索(128 ビットキーに対して約 2 の 128 乗回の計算)は行わな い。代わりに、現実的な期限内に実行可能な、さまざまな攻撃を考案する。 BE アルゴリズムには、これらのオフライン攻撃に対する回復力が必要である。従来の暗号作成 においても、同じアプローチ(攻撃に対する回復力)が採用されている。 BE アルゴリズムの精度とセキュリティの改善 一連の国際的なコンテストで実証されている通り、過去数年間、従来のバイオメトリクスにおける アルゴリズムには、かなりの進歩が見られた。これらの多くは、BE に適用可能である。 マルチモーダルアプローチの活用 これは、従来のバイオメトリクスにおいて、話題の研究開発分野である。さまざまなアルゴリズム、 22 虹彩認識について、著しく高い誤差率を報告している、ドイツの BioPII のような独立試験もある。 www.bsi.de/literat/studien/biop/biopabschluss2.pdf; www.europeanbiometrics.info/images/resources/90_264_file.pdf これらの結果については、John Daugman 教授によって疑問視されている(『BioPII Controversy to Be Tackled』Biometric Technology Today, vol. 13, no. 10, pp. 1-2, 2005)。 138 指、またはバイオメトリクス(指と顔など)を組み合わせることで、バイオメトリックシステムの性能は大 幅に改善される。組み合わせるモードは「直交的」、つまり統計的にそれぞれが独立している(関連 していない)必要がある。マルチモーダルアプローチは、BE にも機能すると考えるのが妥当であ る。 BE アプリケーションの開発 ケーススタディで説明したようなアプリケーションは、BE の使用によってもたらされるプライバシー とセキュリティに関する利点を明確に示している。 要旨と結論 バイオメトリック暗号技術は、研究成果の多い分野であり、より幅広い公共政策の検討、プロトタ イプ開発、およびアプリケーションの検討に向けて、十分に成熟してきた。 本稿は、企業や政府機関のニーズを満たすための、プライバシー強化されたバイオメトリック暗 号技術の可能性と利点について研究したものである。 我々は、BE 技術が、既存のあらゆるバイオメトリック技術ソリューションより優れたデータ最小化、 ユーザーの権利拡大、およびセキュリティを世界中で裏付ける、基本的なプライバシーおよびデー タ保護原則を体現していると考えている。 本稿が、プライバシー強化された、強力な識別および認証プロトコル達成に最も適した方法に関 する、現在の国内外での議論に価値ある貢献ができることを期待している。 バイオメトリクスの情報システムへの導入には多大な利点がある一方で、前述の通り、多数の新 たなセキュリティとプライバシーのぜい弱性、リスクおよび懸念も生じている。しかしながら、大多数 でないとはいえ、これらのリスクやぜい弱性の多くを克服して、WIN-WIN でポジティブサムのシナリ オに結びつけられる今までにないバイオメトリック暗号技術が開発されている。 これらのシステムのバイオメトリックの部分が適切に処理され、可能であれば、常に勝者と敗者が 生まれるような、ゼロサム・パラダイムに基づいたモデルとならないことを期待する。バイオメトリック 暗号の形でのポジティブサムモデルは、セキュリティとプライバシーの両方に、明確な利点を提示 しているのである。 139 別表 2 つの広範囲に及ぶ別表については、www.ipc.on.ca でオンラインバージョンの『Biometric Encryption: A Positive-Sum Technology That Achieves Strong Authentication, Security AND Privacy』を参照のこと。 著者について Ann Cavoukian, Ph.D. Information and Privacy Commissioner of Ontario である Ann Cavoukian 博士は、世界一流のプ ライバシーの専門家の 1 人と認識されており、Don Tapscott との共著『Who Knows: Safeguarding Your Privacy in a Networked World (1997)』、および Tyler Hamilton との共著『The Privacy Payoff: How Successful Businesses Build Customer Trust (2002)』というプライバシーに関する 2 冊の画期 的な書籍の著者である。カナダで最も人口の多い州で、アクセスのオペレーションとプライバシー 法を監督するコミッショナーの Cavoukian は、現在の政府から独立した立法機関の役員を務めてい る。 Alex Stoianov, Ph.D. Alex Stoianov 博士は、1994 年に Mytec Technologies Inc.(カナダ、トロント)に参加してから、バ イオメトリクスの分野での研究を開始し、ここでのプライバシー強化技術であるバイオメトリック暗号 の創始者の 1 人である。Mytec を引き継いだ Bioscrypt Inc.では、2001 年から 2006 年にかけて首 席科学者を務め、指紋照合アルゴリズムに関して、多数の技術面での進歩や改善を生み出してい る。「指紋のオリンピック」と言われる Third International Fingerprint Verification Competition (FVC2004)では、同社を代表して受賞している。また、30 本を超える科学論文の共著者で、7 つの 特許を取得している。 本論文の作成に関連して、両著者は IPC Senior Policy and Technology Advisor である Fred Carter の研究に謝辞を表する。 また、両著者は、ドイツ、Fraunhofer IGD の Christoph Busch 博士、フランスの Bernard Didier 氏 のおよび Alexandra Michy 氏に対して、査読と掲載前の原稿への寄稿に感謝する。 また、オランダ、Philips Research、Business Development Biometrics の Senior Manager である Michiel van der Veen 博士には、最近の白書『privID™: Privacy Protection in Biometric Security Applications』、および Philips が現在、運用と展開準備の整ったバイオメトリック暗号アプリケーショ ンを開発しているという事実に我々の注意を喚起してくれたことに感謝する。 140 Privacy Guidelines for RFID Information Systems(RFID Privacy Guidelines) RFID 情報システム向けのプライバシーガイドライン(RFID プライバシーガイドライン) 141 RFID 情報システム向けのプライバシーガイドライン(RFID プライ バシーガイドライン) 2006 年 6 月 序文 本稿は、組織が無線自動識別(以下「RFID」と記す)の情報技術とシステムを設計および運用す る際のプライバシーの「ベストプラクティス」の指針として役立つことを意図している。 オンタリオ州情報・プライバシーコミッショナー(Information and Privacy Commissioner of Ontario、 以下「IPC」と記す)は新しい情報技術を一般に広め、その技術によって提起されたプライバシーに 関する課題に対する有効な解決策を追求する目的で取り組む使命を負っている。そのため、IPC は業界やその他利害関係者の協力のもと、本ガイドラインを制定した。本ガイドラインは、既存のプ ライバシー法またはプライバシーに関する規制に取って代わることを意図したものではない。 RFID タグは私たちの日常生活に浸透しており、セキュリティ・アクセス・カードからイグニッション・ イモビライザー、高速道路の通行料金支払システム、その他さまざまな電子通過システムなどの多 くの利益や利便性を与えている。 サプライチェーンのプロセス内で使用されている RFID タグは、プライバシーを脅かすことはまず ない。これらのタグは、製品を追跡する目的で運搬用の木枠やパレット、ケース等に取り付けられて おり、個人情報とは何の繋がりもない。RFID タグはサプライチェーンにおいて製品を自動認識する ための RFID における一意の識別子として機能する。このタグには製品に関連する基本情報のみ を有し、個人情報は一切含まない。 消費者、小売業者および供給者に RFID 技術がもつ可能性を明確にするためには、この技術の 進化および実装に関する原則を作り上げる一方で、本技術が現状引き起こしているプライバシー 問題への懸念にも取り組むことが重要である。そのため組織には、消費者に直接かかわる形で RFID 技術を展開する際に、本ガイドラインを採用し順守することを奨励する。 サプライチェーン・マネジメントのプロセスの中で RFID タグを使用すること自体は問題ではない。 しかし、これを消費財レベルで使用する際に問題が生じる。RFID タグが個人識別情報(以下「PII」 と記す)と関連づけられたとき、個人活動の追跡や監視にかかわるプライバシー侵害へと繋がる可 能性が生じる。本ガイドラインは、このようなデータの結びつきに関連して生じるプライバシー問題 を軽減し、RFID システムに関する公開と透明性を向上させることを目的としている。最終的には、 本ガイドラインを適用することで、既存の顧客との信頼ある取引関係を維持し、新規顧客開拓の手 助けになるはずである。 142 適用範囲 RFID プライバシーガイドラインは、PII に関する、もしくは潜在的に関わる可能性のある消費財に 対して RFID 技術を使用する情報システムを運用するすべての組織に適用される。 「組織」とは、団体、企業、慈善団体、同好会、政府機関、公共機関や専門機関などを幅広く指 す。多くの場合、このガイドラインは小売業者に特に関連したものとなる。 「情報システム」とは、RFID およびそれに関する情報を収集、転送、処理および保管する RFID タグ、リーダー、データベースおよびネットワークのあらゆる組み合わせを指す。 「個人情報」とは、識別可能な個人に関するすべての記録情報を指す。これは、個人の氏名、連 絡先や経歴に加えて、個人的な嗜好、取引の履歴、活動記録または移動記録、もしくは先述の情 報から派生したプロフィールや成績等の情報、および個人のファイルに付随する家族や友人、同 僚等についての記録も含まれる。アイテムレベルでの RFID タグにおいては、PII を RFID タグに関 連づけることで、その関連づけられたデータを個人情報とみなす。 本ガイドラインは企業や業界、消費者団体等の幅広い利害関係者によって 1996 年に策定され たカナダ規格協会(Canadian Standards Association(以下「CSA」と記す))プライバシーコードの 10 原則に基づくものである。CSA プライバシーコードの原則は、今日のカナダにおけるプライバシー 法や規制の基盤となるものである。この原則はカナダの諸機関において日々の政策や取り組みの 中で順守され、最も強く明確なプライバシーの「公正情報取扱い(fair information practices)」の表れ であると幅広く認識されている。 143 本ガイドラインおよびその適用性については、以下の包括的な三原則によって形成される: 1) RFID の技術ではなく情報システムに焦点を当てる : プライバシーの問題は RFID 技術そ のものにあるのではなく、その活用の方法によってプライバシーに関する懸念が生じるもの である。このような理由から、RFID 情報システムについて幅広く議論することを期待する。本 ガイドラインは、特定の技術のコンポーネントや機能に限定するのではなく、それらの状況 を幅広く理解し、RFID 情報システム全体に対して適用されるべきものである。 2) プライバシーとセキュリティは初期―デザイン段階から組み込む必要がある : プライバシー に関する懸念が幅広く包括的に認識される必要があるように、それらの技術的な解決策も 包括的であることが求められている。徹底したプライバシーへの影響評価が重要である。 RFID 技術および情報システムのユーザーは、データの最小化に重点を置きながら、デザイ ン段階の初期からプライバシーおよびセキュリティ問題に取り組まなければならない。これ はつまり、個人情報およびそれに付随するその他の情報の識別可能性、可観測性および これら情報と RFID タグとのリンク可能性(linkability)を最小限に抑えるよう可能な限り努力 することを意味する。 3) 最大限の個人の関与と同意 : RFID 情報システムの利用は公開かつ透明であるべきで、ま たそれに関わる個人が十分に情報を得た上で自ら関与し判断を下せるようにするための最 大限の機会を提供しなければならない。 本稿は、多岐にわたる RFID 技術および情報システムの使用と応用を認める自主的かつ合意に 基づく指針を提示する。これが適用される条件は画一的なものではないため、この指針の解釈およ び応用にはある程度の柔軟性が必要である。 組織には、自らの特殊な状況やニーズに沿って、独自のポリシー、手順および応用の中で本ガ イドラインを採用し、それに適応することを勧めるものである。 144 RFID プライバシーガイドライン 1 説明責任(Accountability) 組織は自らの管理下にある個人情報についての責を負い、後述の原則を順守し、全従業員に 必要な訓練を施す責任者を選任しなければならない。当該情報を第三者に開示するに当たって は、第三者が自らと同等の情報保護を行うよう、契約もしくはそれに準じる他の手段を講じるべきで ある。 対象となる個人と直接接触する、もしくは個人への一次対応を行う組織は、RFID タグが付いた 製品がライフサイクル中のどの時点で生まれ、廃棄されるかに関わらず、プライバシーおよびセキ ュリティを確保するために、最も強い責任を負わなければならない。 2 目的の明確化(Identifying Purposes) 組織は迅速かつ効果的な手段を持って、個人情報の収集、関連付けおよび関連付けを許可す る目的を明確にし、個人に通知しなければならない。これらの目的は特定および限定され、個人情 報を収集する組織および人物はその目的を個人に説明できなければならない。 3 同意(Consent) 組織は RFID タグに関連づけられる個人情報の収集、利用および開示について事前に各個人よ り同意を得なければならない。この同意が有効であるためには、組織による RFID 技術および情報 の存在、その種別、位置、目的および動作について十分な説明を受けて理解した上での同意でな ければならない。個人によるプライバシーに関する選択は、迅速に、容易かつ効果的な方法で行 使されるべきであり、いかなる強制もあってはならない。消費者はアイテムにつけられた RFID タグを、 罰則を受けることなく除去、無効化もしくは停止することが可能であるものとする。 販売時において、RFID タグを再起動させる機能を持たせた状態で自動的に無効化することが 最終的な目的である。消費者はタグを後日再起動するか、再度目的を持たせるか、または何らか の手段でタグが RFID リーダーに反応し作動するように制御を行うかを消費者が選択できるようにす べきである。 4 収集の制限(Limiting Collection) 組織は PII の収集や RFID タグとの関連付けを無差別や極秘に、もしくはその目的を偽装する、 もしくは誤解を招くような形で行ってはならない。収集する情報は掲げている目的を満たす上での 最低限度のものとし、タグに関連付けられた個人データの識別可能性や、権限のないリーダーお よび人物による可観測性、そして PII と収集されたデータとのリンク可能性を最小限にとどめることに 重点を置く。 145 5 情報の利用、開示および保有の制限(Limiting Use, Disclosure and Retention) 組織は新たな目的のために個人情報を利用、開示もしくはリンクする際には再度個人からの合 意を得なければならない。個人情報は提示している目的を達成するためだけに保持され、その後 安全に破棄されるべきである。小売業者は、上記のデータ最小化の原則を自らの RFID 情報シス テム全体に組み込まなければならない。 6 正確性(Accuracy) 組織は RFID にリンクさせた情報を、提示している目的に必要であり、特にその情報が個人に影 響を与える決定を下す上で利用されるものであるならば、可能な限り正確、完全および最新に保つ 必要がある。 7 予防措置(Safeguards) 組織は RFID タグにリンクさせた個人情報を、情報の機微性に応じて、損失や窃盗、許可のない 者による傍受、アクセス、開示、複写、利用、編集およびリンクから保護しなければならない。組織 は従業員に適切な教育を施すことで、個人情報守秘義務を保持する重要性を認識させなければ ならない。また、物理的、組織的および技術的な手法のすべてが必要となる場合があるが、技術的 な予防措置を特に重視するべきである。 8 公開(Openness) 組織は自機関の RFID 技術と情報システムの運用、および個人情報の管理に関する指針および 事例についての具体的な情報を個人が容易に入手できるようにしなければならない。この情報は 個人が理解できる形で提供される必要がある。 9 個人のアクセス(Individual Access) 組織は個人からの要請に応じて、当該者にその個人情報の存在、利用、関連付けおよび開示 について通知を行い、その情報への適切なアクセス手段を提供し、その情報の正確性および完全 性に異議の申し立てが行えるようにし、適切な修正を施すべきものとする。 10 順守に関する異議申し立て(Challenging Compliance) 組織は、組織の順守についての責任者に対して、個人が上記の原則の順守状況に関する苦情 を申し立てられるように制度を整備しなければならない。 146 RFID and Privacy: Guidance for Health-Care Providers RFID とプライバシー:医療機関向けのガイダンス 147 RFID とプライバシー:医療機関向けのガイダンス 2008 年 1 月 前書き 世界の医療機関は無線自動識別(以下「RFID」と記す)技術を業務に取り入れることで、よりよい 医療サービス提供が可能になるということを認識し始めている。新しい RFID 機能がついた情報技 術の革新的な利用が可能になり、これを実際に取り入れることで、医療提供者による効率的な医療 機器の追跡や供給、正しい医薬品の照合や管理、RFID 機能がついた新生児および患者用の本 人証明ブレスレットの利用などによる患者の安全性とセキュリティを向上させた。しかし、RFID の利 用による利点が明らかになるにつれ、RFID タグに個人識別子が関連付けられている場合は特に、 この技術の利用に関連した潜在的なプライバシーに与える影響についての懸念が提起されてい る。 2006 年秋、RFID 技術を利用する上での潜在的なプライバシー問題をどのように明らかにし、い かにしてその問題への予防措置を同技術の利用に際して取り入れるかについての専門家を探して いた、加ヒューレット・パッカード社(以下「HP」と記す)のチーフテクノロジーオフィサーのビクター・ ガルシア(Victor Garcia)氏から接触があった。コミッショナーとしての自分の職務にプライバシー問 題への外部組織への協力が含まれることもあり、本件について喜んで自らの識見と専門性をもって 貢献したいと考えた。また、新技術に取り組む公的および民間組織に協力し、問題が生じる前に効 果的なガイドラインや行動規範を策定するために、可能な限り事前に手段を講じておくことは有用 だとも考えていた。さらに、HP がこれまで消費者のプライバシー権を保護するためのプライバシー 原則の採用を促進するために、行政機関や標準化団体、ビジネスパートナー、顧客、NGO などと 共に、プライバシー保護に真摯に取り組んできた経歴がある組織であることから、HP と共同作業を 行うことにとても興味があった。特に HP の RFID 関連の取り組みについては、個人は RFID タグの 存在について常に知らされているべきであり、可能であればそれを取り外すか無効化するとの選択 肢が与えられているべきであるとの企業理念に強く惹かれるものがあった。RFID タグの付いた HP 製品の箱には、タグがあることを消費者に示す EPC グローバルのロゴが添付されている。最後に、 HP 側の共同作業者は、RFID の使用を隠そうとすることは RFID 技術への誤解や恐れを引き起こす ことになる一方で、RFID の使用について明らかにすることが、この技術への自信を深めることに繋 がるという点で、私と同じ意見を持っていたことに感銘を受けたことも理由に挙げられる。 私が最初に RFID に関わったのは、2003 年に発表した『タグはあなた自身。RFID 技術のプライ バシーへの影響(Tag, You’re It: Privacy Implications of Radio Frequency Identification (RFID) Technology)』において、初めて RFID 技術がプライバシーに与えうる悪影響の可能性について明 148 らかにした。それ以来、『RFID 情報システムに関するプライバシーガイドライン(Privacy Guidelines for RFID Information Systems)』(RFID ガイドライン)を執筆する際に助言を求めた EPC グローバル カナダなど、数々の組織と共に働いてきた。また私のオフィスでは、オンタリオ州の公立図書館によ る RFID タグから見た、RFID システムにおけるプライバシー保護について等の方針やアイデアを形 作ることを支援してきた。本稿の発表は、私の RFID に関する継続的な取り組みの一環である。何 カ月にも渡り、IPC や HP のスタッフが RFID におけるプライバシー保護に関する問題を懸命に検討 し続けてきた。共著という形で発表される本稿はその集大成である。 本稿の主な目的は、現在および将来的な RFID 技術の適用に際し、この技術の持つ潜在的な 可能性や、プライバシーに与える影響、そしてプライバシーを脅かす可能性を軽減するために取る べき手段を理解する上で医療部門を支援することである。私、および共同著者である HP のビクタ ー・ガルシア氏は、本稿が医療分野での RFID 技術の応用および同技術に関するプライバシー問 題に対しての判断基準となると信じている。 個人健康情報保護法(Personal Health Information Protection Act、以下「PHIPA」と記す)の実 現に向けて取り組んでいる間、私は繰り返し「コミッショナーとしての立場からのみではなく、自分自 身が患者であるという観点からも、PHIPA は必要不可欠なものであると確信している。」と言及して きた。同様のことが本稿に対しても言えると信じている。私は一患者として RFID 技術のもつ可能性 が医療サービスを向上させることを歓迎する一方で、コミッショナーとして、私たちはこの技術を適 用することで私たちのプライバシーが侵害されることがないよう保証しなければならないと考えてい る。 Ann Cavoukian, Ph.D. オンタリオ州、情報・プライバシーコミッショナー 著者について オンタリオ州情報・プライバシーコミッショナー(Information and Privacy Commissioner of Ontario (IPC)) オンタリオ州情報・プライバシーコミッショナーは、その任務と役割の上で、PHIPA の順守を監督 する権限を有している。この法律では IPC に対し、PHIPA に違反する者、もしくは違反しようとする 者に対しての申し立てへの審理を行い、個人の健康情報へのアクセスおよび訂正を求める権利に 関わる申し立てへの審査を行う権限を与えている。さらに、PHIPA に影響を与えうる事項について のリサーチを実施もしくは委託すること、および PHIPA に関する情報および同法の役割についての 情報を提供し、一般への啓蒙活動を実施する権限を IPO に付与している。 149 ヒューレット・パッカード社(HP) 世界有数の IT 企業である HP は、先進的な RFID 技術の開発とその利用に関わっているだけで はなく、医療従事者が患者情報により効率よくアクセスできるようシステム、データ、プロセスおよび 人の一体化を行う上でのソリューションの提供、従事スタッフおよび患者向けに情報、データおよ びアプリケーションへのセキュアなアクセスを提供、そしてビジネスプロセスと IT を公益に貢献する 形へと変化させることへと注力することで、医療サービスの向上に貢献している。 150 序文 情報通信技術(Information and communications technologies、以下「ICT」と記す)は、無線帯域 幅、データストレージ、情報処理、モビリティ、無線およびネットワークのそれぞれの技術の画期的 な発展を通じて世界を変革させている。 医療分野では、医療サービス提供における新技術の価値を認識している。その一例として、世 界規模で毎年何十億ドルもの資金が高度な診断診療機器に費やされていることが挙げられる。つ い最近まで、ICT の利用は管理や経理関連のアプリケーションに限られており、患者への直接的な ケアに関する面での利用はごく僅かなものであった。しかし、ICT が医療サービスの提供において 進化的、さらに言えば革命的ともいえる変化を起こし始めている。 世界中の医療従事者はデジタル化への変革を進め、人命を救い、業務の効率を向上させるた めに最先端の IT 技術を活用している。値段も高く共有も困難で、しかも紛失しやすいこれまでの X 線フィルムに代わり、簡単かつ安全に共有、保管、送信、そしてアクセス可能なデジタル画像の採 用を進めているのはその一例といえる。これまではカルテや医者の指示書は主に手書きだったが、 スタッフは ICT を使用して患者情報の入力や記録を行い、医者からの指示の処理を文書化するよ うになった。ICT のおかげで、包括的かつ即座に利用可能な電子カルテが現実になろうとしてい る。 しかしデジタル化への変革というのはソフトウェア面だけを指すのではない。RFID のような先進 技術の利点を取り入れ、多くのニーズを幅広く満たすことも含まれる。60 年以上前に発明された RFID は、基本的にはほとんど制限がなくさまざまな形で利用することができる自動識別技術である。 この技術は、自動認識、安全性、そしてビジネスプロセスの向上に関連した多様な利活用が見出さ れ、この技術の本領を発揮し始めている。 今日、患者の安全は医療分野における最も重大な課題の一つである。誤った薬の投与や投薬 量のミス、患者の取り違えなど、医療ミスへの懸念が高まっている。1999 年に米国の病院 1,116 件 を対象に米国医学院(United States Institute of Medicine)が行った調査では、年間に4万4千件 以上の死亡事故が投薬ミスによって引き起こされている可能性を示唆している 1。カナダにおいて は、年間約 700 件の死亡事故が投薬ミスによるものだとの推計がある2。2002 年にオンタリオ州内 14 ヶ所の救急病院で行った投薬ミス調査では、4,000 件以上のミスのうち、わずか 800 件が薬物の副 1 Institute of Medicine, To Err Is Human: Building a Safer Health System, Washington, D.C.: National Academy Press, 1999. 2 David U, BSc Phm, MSc Phm., (President and CEO, Institute for Safe Medication Practices Canada), Medication Error and Patient Safety, Longwoods Publishing, Vol. 2, No. 1, at: www.longwoods.com/product.php?productid=16442 151 作用(薬物有害反応)によるものだった 3 。また、2003 年に発行された東オンタリオ小児病院 (Children’s Hospital of Eastern Ontario)で行われた同様の調査では、約 6 年間の間に 800 件以 上の投薬ミスが起こっていた4。RFID 技術はこのような患者の安全問題に対する解決策と成り得る ものである。 また、必要な医療機器の在処を迅速に発見することや追跡することが出来ないことなどによって 生じる運用の非効率性が医療分野での懸案事項となっている。機器の盗難被害や調達に関連し た費用は毎年ベッド一床当たり 4,000 ドルに上るとみられており、米国全土には 975,000 以上の病 床があることから、トータルの損失は 39 億ドル以上にのぼる可能性があると推定されている5。これ までは高額な医療機器の在処の探索や正確かつ最新の在庫管理を行うために、多くの時間と努 力が費やされてきた。そして先述のとおり、RFID 技術は、この問題について、損出を削除する解決 策を提供することを可能にする。 一連の業務プロセスを把握し、大幅な運用の効率性を実現し、患者の安全性確保のために新 技術の利用の可能性を探ることに大きな関心が寄せられている。 医療分野では既に、医療機器や装置の在処を迅速に確認し、手術用具や標本、検査結果を追 跡し、医薬品の信頼性を確かめ(これには在庫の回転や回収目的のものも含まれる)、そして正し い医薬品が確実に正しい投薬量で、正しい患者に正しい時間に与えらる等を目的として RFID 技 術が利用されている。その他、患者の取り違えを防ぎ、介護の現場においては薬の処方および薬 物間の相互作用を確認したり、迅速に患者の血液型を確認したり、新生児と両親の照合を行い、 新生児を保護エリアから不正に移動させた場合には封鎖をする等の目的でも利用されている。最 後に、RFID 技術は患者登録手続きや院内管理プロセスの効率性を向上させるために利用されて 3 Joan A. Marshman, David K U, Robert W.K. Lam, and Sylvia Hyland, Medication Error Events in Ontario Acute Care Hospitals, Can J Hosp Pharm 2006;59:243-50, at: www.ismp-canada.org/download/Medication_Error_Events_in_Ontario_Acute_Care_Hospitals.pdf 4 W. James King, MSc, MD*, Naomi Paice, MD*, Jagadish Rangrej, MMath, Gregory J. Forestell, MHA | | and Ron Swartz, BScPharm, The Effect of Computerized Physician Order Entry on Medication Errors and Adverse Drug Events in Pediatric Inpatients, in PEDIATRICS Vol. 112 No. 3 Sept 2003, pp. 506-509, at: http://pediatrics.aappublications.org/cgi/content/abstract/112/3/506 以下も参照されたい: Health Canada, Look-alike Sound-alike Health Product Names : www.hc-sc.gc.ca/dhp-mps/alt_formats/hpfb-dgpsa/pdf/brgtherap/lasa-pspcs_factsheetfaitsaillan t_e.pdf, および Institute for Safe Medication Practices Canada (ISMP Canada), Canada Safety Bulletin, Vol. 6, Issue 4 (July 2006), Eliminate Use of Dangerous Abbreviations, Symbols,and Dose Designations :www.ismp-canada.org/download/ISMPCSB2006-04Abbr.pdf 5 RFID: Coming to a Hospital near You, Sun Microsystems press, April 2004. 152 おり、その結果、障害となる要因を分析することで患者の待ち時間の減少や流れの円滑化に繋が っている。 カナダでは RFID 技術に関する複数の試験計画が実施されている。2006 年1月、Hamilton Health Sciences 社はマックマスター大学(McMaster University)の RFID アプリケーション研究室と 共同で、医療向けに優れたビジネス・インテリジェンス・ツールの開発を支援する目的で、複数年に わたる複数の段階からなる RFID イニシアティブを立ち上げた。最初の段階では、RFID を利用して 貴重な移動式の資産をリアルタイムで追跡する上での経済的および技術的な実現可能性につい て取り組んだ。予期されていた効率面での利点には、労働力の節約、設備への資本支出の削減、 設備や備品の紛失防止、そしてプロセスの向上が挙げられる。同プロジェクトの将来のフェーズで は、資産管理等の日常業務プロセスの最適化および向上や、進化する技術を媒介にした患者の ケアに目を向けることを目的としている。計画されているプライバシー調査の結果次第では、これら の目的に RFID を使用する患者識別やパンデミックプランニングが含まれる可能性がある。 2008 年 1 月、(オンタリオ州)ロンドン健康科学センターは、HP が設計した輸液ポンプや他の重 要な医療機器をリアルタイムで追跡し、その位置と機器の活用状況のデータに基づいてビジネスイ ンテリジェンスや運用データを提供する試験的な RFID を用いて、同センターの RFID 戦略の最初 の実装段階を開始した。設備内での RFID 技術利用に関する同センターの構想では、より効率的 な医療機器利用のための自動認識・追跡システムのてこ入れ、機器や備品の紛失防止、プロセス 向上に加え、最終的にはプライバシーの保護、機密性の保持およびデータセキュリティの適切な バランスによる運用によって患者の安全性の向上を目指している。 おそらく RFID 技術を最も集約的に利用しているのは、伝染病研究機関における、すべての人 やもの、およびそれらの接触情報等を密接に追跡・監視するためのシステムであろう (いくつかの パンデミック緊急対策の際にも、きめ細かい位置確認や追跡機能が必要になることが考えられる)。 また、これまでに開発された RFDI 技術の中で最も革新的と呼べるのは、体調に関する重要な健康 情報を監視・送信するために専用の RFID チップを体内に埋め込むバイオセンサーであるといえ る。 カナダおよび世界における RFID 技術の公表された適用事例は、医療分野においてこの技術が 幅広く利用される可能性を明らかにした。本稿の発行へと導いた要因を以下に示す: 医療分野での RFID 技術をベースにしたソリューションの有用性が高まったこと 医療機関での RFID 技術利用に関する興味が高まっていること 医療分野での RFID 技術利用に伴う潜在的なプライバシー侵害への懸念が持ち上がっている こと 本稿では、世界の医療分野における幅広い RFID 技術の利用を検討することで、RFID 技術につ 153 いて公正な分析を行い、大きく三つに分類して整理する。: ものを追跡する RFID 技術 人と結びついたものを追跡する RFID 技術 人を追跡する RFID 技術 本稿は、RFID 技術に関わる潜在的なプライバシーの問題や利益を特定し、プライバシー侵害の 脅威を最小限に止めるために取り得る手段を紹介する。 154 プライバシーとは? 「プライバシー」の定義 「プライバシー」とは、個人が自らの個人健康情報を含む個人情報の取得、利用、開示および保 有に対してコントロールを行使する権利である。個人情報(または“PII”)とは、記録されているかど うかに関わらずた、識別可能な個人に関するあらゆる情報を指す。ほぼすべての情報は、それが 経歴、生物学的、系譜的、歴史的、取引関連、位置情報、関係的、コンピューター関連、職務上、 もしくは評判等のどのようなものであれ、識別可能な個人と結びつけられた時点で、事実上個人情 報となる。個人情報の定義は幅広い。そのため、プライバシーおよびデータ保護への課題も幅広 いものとなる。 オンタリオ州の医療分野におけるプライバシー規制 2004 年 11 月 1 日、個人健康情報保護法(Personal Health Information Protection Act、以下 「PHIPA6」と記す)がオンタリオ州で施行した。PHIPA では特定の場合を除いて、『健康情報管理者』 と定義される医療部門の人物もしくは組織に対して、個人が自らの健康情報の収集、利用および 公開を行う場合は、個人からの合意を得て行う旨を定めている。また特定の例外を除き、個人が自 らの個人健康記録にアクセスし、訂正を求めることができるとしている。 PHIPA では個人を識別する情報として「個人健康情報」を定義している。特に、個人の肉体的も しくは精神的健康に関する情報、個人への医療提供に関する情報、個人への医療提供者を識別 する情報、個人の意思決定代理人を識別する情報、もしくは個人の保険番号に関する情報を定義 している。 同法では、個人健康情報への管理および統制を行う者として、PHIPA に記載されている組織も しくは人物を「健康情報管理者」と定義している。健康情報管理者には医師、病院、精神病理学施 設、長期介護施設、薬局、研究室および救急車サービスが含まれる。 PHIPA は、現在世界で利用されている各種のプライバシーに関するコードや実践7の調和をとる ために、カナダ規格協会(Canadian Standards Association)による個人情報保護に関するモデルコ ード(Model Code for the Protection of Personal Information)8や、IPC が主導する国際的なプライ 6 個人健康情報保護法の原文については以下で参照可能: www.e-laws.gov.on.ca/html/statutes/english/elaws_statutes_04p03_e.htm また個人健康情報保護法に関する手引きは以下より参照可能: www.ipc.on.ca/images/Resources/hguide-e.pdf 7 www.ipc.on.ca/images/Resources/up-gps.pdf 8 www.csa.ca/standards/privacy/code/ 155 バシーやデータ保護に関するコミッショナーの取り組みである世界プライバシー標準に規定される 公正な情報取扱い(FIPs)の原則のような、国際的なプライバシーに関する基準を反映している。 医療分野における個人健康情報関連の義務 ごく一部の例外を除き、健康情報管理者は PHIPA に従って、その健康情報に関連する個人の 合意に基づいてのみ、個人健康情報を収集および開示することができる。またその管理者は、そ の個人が合意を保留もしくは取り下げる場合、また特定の医療目的には情報の利用および開示を 行わないようにとの特別な意思表示を行う場合には、その意向に従わなければならない。 また、PHIPA は健康情報管理者に対して、既に収集済の情報で利用目的が満たされている場 合は、それ以上の個人健康情報の収集、利用および開示を禁じており、合理的で必要な情報の みを収集、利用および開示するように命じている。管理者は個人の健康情報が窃盗、紛失、不正 利用や漏えいから保護するための確実な手段を講じ、個人記録を不正な複写、改ざんや除去から 保護されていることを確認し、安全な方法で健康情報を保持、送信および破棄するよう定められて いる。 それに加えて PHIPA では、特定の例外を除き、健康情報管理者は個人に対して自らの記録に アクセスし、訂正する手段を与えるよう定められている。 個人健康情報に関連する電子サービス提供者の義務 健康情報管理者に個人健康情報の収集、利用、編集、開示、保持または廃棄を可能とさせる電 子サービスの提供者(健康情報管理者の代理業者ではない)は PHIPA に定める特定の責任を負 っている。これらの責任には、サービス提供に必要な場合を除いた個人健康情報の利用禁止、健 康情報開示の禁止、これらの制約に縛られることに同意しない自社従業員もしくは提供者の代理と して業務を行う者への個人健康情報へのアクセスの禁止が含まれる。 さらに、提供者が、二者以上の健康情報管理者に、個人健康情報を電子的に相互に開示可能 なサービスを供給する『健康情報ネットワーク提供者』である場合には、当該業者が代理業者であ るかどうかに関わらず、この『健康情報ネットワーク提供者』は規制で定められた更なる義務の対象 となる。 無線自動識別 (RFID)とは? RFID の基礎技術 RFID は無線周波数信号を利用して、RFID タグまたはトランスポンダから RFID リーダーまで、離 れた場所から無線でデータをやり取りする非接触技術である。RFID 技術は主に自動認識、および 情報の収集や手動プロセスを自動化させるトリガー機能として使用されている。 医療サービスの提供における RFID システム活用の主な利点を以下に記す: 156 RFID タグに接触することなく(場合によっては見ることさえなく)正確に認証が可能 温度を記録もしくは位置を識別するためのセンサーを RFID タグに組み込むことが可能 RFID タグに保管されているデータは要求に応じて暗号化、編集および上書き可能 タグはリサイクル可能で、偽造を困難にすることも可能 RFID タグ読み込みに特定の機器が必要となるため、プライバシーの向上に繋がる場合が ある (人間による解読が可能な情報と比較した場合など) 以下は最も一般的な利用例を識別目的に応じてグループ化したものである: 識別の目的 利用例 アイテムの存在を調べる、アイテムを識別す 資産管理、安全管理、安全装置、安全性、な る ど アイテムの位置を特定する トラッキング、緊急時の対応 アイテムの出所を究明する 信頼性の検証 繋がりのあるアイテムが別々にならないよ うにする 意思決定のために、アイテムと情報を関連付 ける タグのついたアイテムの所有者を認証する マッチング プロセス管理、患者の安全性 アクセス制限、ID 認証 多くの RFID アプリケーションは、さまざまな識別の目的を持っている。 RFID システムの典型的な構成を以下に記す: 1. RFID タグ:独特の識別データ列が記録されていることが多く、加えて追加情報が記録される 場合もある。パッシブ、アクティブもしくはセミアクティブ型がある。 2. RFID リーダーおよびライター:ワイヤレス、携帯機もしくは固定式のリーダー/アンテナ機器 がある。 3. 基盤:RFID リーダーやライターと RFID タグとの間の情報処理、通信制御、アクセス制御や セキュリティ、バックオフィス・アプリケーションとの連携、および処理された情報に基づいた 動作などを制御するミドルウェアなど。 157 図1 典型的なパッシブ型RFIDシステム RFID タグやリーダーは、RFID システムの最前面の可視的な部分であり、有線または無線ネット ワークを通じてバックオフィス・アプリケーションを単数もしくは複数のデータベースや病院情報シス テムへと接続するものである。 RFID タグや RFID 情報技術とシステムには、重要なものやさまざまな種類がある。これらについ ての大まかな概要を以下に記す。 1. パッシブタグ 対 アクティブタグ RFID タグには電源を内蔵しないパッシブタグ、電源内蔵型のアクティブタグ、そしてデュアル型 の補助電源型バッテリーアシスト型パッシブタグがある。最も幅広く使われているパッシブタグは、こ の中でも製造および利用が最も単純かつ安価である。タグは回路基板にチップとアンテナを含み、 ラベルやブレスレットに添付して利用される。通常、低周波、高周波、超高周波に分類され、ISO や EPC(Electronic Product Code)の基準を満たしている。ペイロードを送信するために、RFID インテロ ゲータやリーダーの電波エネルギーを利用する。一般的なパッシブタグは小さなペイロードを有し、 リードオンリーもしくはリード/ライト形式である。また、効率的なデータ通信を行うにはリーダーと物 理的に近い距離になければならない(リーダー・アンテナまでの距離は高周波タグの場合には 3~ 30 インチ=7.5~75 センチ、超高周波では 15~20 フィート=4.5~6 メートル)。次世代のバッテリー アシスト型パッシブタグでは、より大容量のデータの記録と、より長距離でのデータ送信が可能であ る。 158 トランスポンダとも呼ばれるアクティブタグは、バッテリーを内蔵しており、設定された間隔で情報 を送信したり、起動信号や特定の事象に反応したりするよう設定することが可能である。タグに内蔵 され電源の寿命は、データ送信に使われる周波数次第で変動するが、1 年から 5 年程度に及ぶ。 アクティブタグはパッシブタグより高額ではあるが、パッシブタグ以上の機能を備えている。タグはよ り長距離(100~500 フィート=30~150 メートル程度)からの読み取りができ、多くのデータを記録し、 集積センサー(温度計、モーションセンサー、侵入感知センサー等)を搭載することが可能である。 アクティブタグの中には、タグに組み込まれたカスタマイズ可能なボタンや LED ランプ、ブザーを利 用して、ポケベルのような双方向コミュニケーションが可能なものもある。この技術は主として、在処 の検出やゾーンカバー、リアルタイム位置情報サービス(RTLS)等の、高価値資産管理ソリューショ ンや医療機器のリアルタイムトラッキングソリューションに利用されている。RTLS システムは GPS 位 置情報システムのように、タグのシグナル強度を 3 台以上のリーダーで測定し、地図上に現在また は過去の位置情報を映像で表示する。RTLS システムには、タグとの通信に専用のリーダーやアン テナを使うものと、既存の Wi-Fi 基盤を利用するものとがある。RTLS システムではバッテリー残量や、 立ち入り制限区域内へのタグの侵入、タグの床への落下や、無許可でのタグの除去などのイベント のモニタリングや警告機能を持たせるように設定することが可能である。 ここで挙げたすべてのタイプのタグは、プライバシーやセキュリティと重要な関わりを持っている。 2. 参照型 vs. 非参照型 RFID システム(データ参照型/データキャリー型) 「参照型(referential)」の用語は、アプリケーションもしくはデータベースから必要な情報を読み 出すための固有の「鍵」もしくはセミランダムのデータ列を有するタグを利用することを指す。今日で は参照型 RFID システムが主流となっている。上記の図 1 で示す通り、タグ上のデータはネットワー ク上の中央ストレージもしくは処理システムのポインターもしくは「参照変数」として機能する。タグに 記録された情報により、バックオフィスシステム、ローカルまたはリモートの情報システムまたはプロ セスに埋め込まれた論理回路上のデータベース、ファイルやドキュメントからデータを検索すること ができる。例えば、RFID 方式の近接型 IC カードに特定のシリアルナンバーを記憶させてリーダー に接続されているアンテナのそばでかざすことで、リーダーがそのデータを取り込んでコンピュータ ーやサーバーに送信し、あらかじめ記録された値、情報、データ、バリュー(値)などと比較させる。 そしてデータが一致した場合には、オフィスドアの解錠や患者の医療記録を開くなどのアクション が実行される。しかしネットワークがダウンしている場合には、タグ内部のデータだけでは意図する 動作のトリガーとして機能するには不十分となり、システムが意図した形では機能しない可能性が ある。 対象的に「非参照型(non-referential)」RFID システムは、システムオペレーションに必要なデー タの一部もしくはすべてをタグのメモリ内に記憶可能で、携帯機器やタグ自体に論理回路を搭載 することもできる。この機能性により、ネットワークやバックエンドデータベースに接続することなくタ グ内の情報に基づいて決定が行われるため、ネットワークがダウンしている場合や、オンラインでの 159 データへのアクセスが不可能な場合には有用である。非参照型システムはタグとバックデータオフ ィスや機器との情報の同期を行う機能を有しており、データを不正アクセスから保護するための暗 号化が施されていることが多い。 どちらの RFID システムも、個人情報およびプライバシーと密接な関係がある。 3. 閉ループ 対 開ループアプリケーション 閉ループ RFID アプリケーションとは、最も一般的なタイプのもので、複数の組織にまたがるシス テムではなく単一組織内で展開されるあらゆるタイプの RFID システムを言う。閉ループ RFID 情報 システムには、標準ベースまたは専用のタグ、エンコード方式、伝送プロトコル、および処理用ミド ルウェアが使用される。 それとは対照的に、開ループ RFID アプリケーションは組織間の壁を越えて複数の組織にまたが って機能することを目的としており、共通の標準規格や情報共有プロトコルを採用する必要がある。 さまざまな所在地にある複数組織間において、アイテムを追跡するサプライチェーン管理(供給連 鎖管理)での RFID の利用は、以前からある開ループ RFID 利用の一例である。 RFID 式 近接型 IC カードのデータ認証がバックエンドデータベースに対して行われるのと同様 な方法で、医薬品の偽造を確実に防止するために、医薬品の認証を行うことが可能かもしれない。 請求書作成やある人物の特定の建物や部屋への入出時間の記録のためにデータへのアクセス状 況を記憶させる。RFID タグがとりつけられたアイテムが移動する場合には、定期的にタグを読み取 り、そのユニーク ID をデータベースと連携させることで、時間や場所を超えてそのアイテムの監視 や追跡が行われる。RFID タグ付きの備品や棚卸資産が工場から小売業者へと輸送される際には、 このような形で、サプライチェーン全体の至る所における視認性や説明可能性を提供している。 160 図2 RFID システムの例 RFID 技術 対 バーコード バーコードシステムは医療現場で一般的に利用されているが、リストバンドに記載されたバーコ ードが患者の体で隠れたり、バンドに沿ってバーコードが湾曲したりした場合等には読み取りが不 可能であるなどの技術的な制限が知られている。このような場合には患者 ID を手動で入力するか、 バーコードの読み取りを容易にするために患者を起こすもしくは患者に触れる必要があり、後者の 場合には院内感染のリスクを増大させる可能性がある。またバーコードの記録領域は限られており、 さらに長期的に利用する場合には摩耗することもある。バーコードを再度印字しない限り情報の編 集や更新は困難である。このような制約が、他のタスクに利用するはずだった資源の浪費や、ヒュ ーマンエラー・リスクの増加、経費の増加を引き起こす。 一般的には RFID は従来のバーコードとは違っ改善点を有している。二つの技術の違いの一部 を以下に記す。 バーコード RFID ・ LOS(line-of-sight)スキャンが必要 ・ LOS スキャンは不要 ・ 一回で一つのアイテムを読み込む ・ 一回で複数アイテムを読み込む 161 ・ 安価 ・ より高額 ・ 幅広く使われている ・ 医療分野で新しく利用されはじめている ・ 標準規格に基づいている ・ 標準規格を整備中 ・ リードオンリー ・ デジタル、読み書き可能 ・ 外部記録装置に依存 ・ データの記録が可能、外部データへのアク セスをトリガーする ・ ナンバープレート情報のみを提供 ・ 関連情報の保存が可能 (シリアル番号、 場所、ステータス等) RFID とプライバシー RFID 実施における懸案事項 RFID 技術を展開するにあたっての課題が 5 点ある: 1. コスト-技術に関する費用(タグ、リーダー、ミドルウェア、コンサルティング、業務プロセスの設 計、トラブルシューティングやトレーニング等)が企業の ROI(投資収益率)や価値に影響する 2. 病院情報システムや他のバックオフィスシステムとの統合-レガシーシステムを RFID のシステ ムやテクノロジー、インフォメーションに適応させるためには、レガシーシステムへの再設計ま たは修正が必要になる場合がある 3. 信頼性-運用環境、利用目的や技術の見通し、予定する展開方法次第では、RFID 技術はミ ッションクリティカルなアプリケーションや利用に適切とされる十分な正確性やパフォーマンス を発揮できない可能性がある 4. セキュリティ-RFID タグは、どのような無線機器にも付随するデータのセキュリティ問題と同様 の問題を抱えている9。特にパッシブタグは、タグの検索要求を発するあらゆる機器に対して自 動的にデータを「無差別」に送信するため、スキミングや傍受、干渉、ハッキング、複製や偽装 など、深刻なプライバシー問題を引き起こしかねない。パスワードによる認証の他、情報の遮 9 様々な形式の無線技術や、これらの利用に際したプライバシーやセキュリティ面の課題へのデ ィスカッションは IPC Fact Sheet #14 - Wireless Communication Technologies: Safeguarding Privacy & Security (August 2007)を参照: www.ipc.on.ca/images/Resources/up-1fact_14_e.pdf 162 蔽やタグの暗号化、リーダー認証やロールベースアクセス制御など、さまざまなセキュリティ保 護手段が存在しているが、これらの採用は複雑性の増大やコスト増を生じる可能性がある。 5. プライバシー-適切なセキュリティや完全性機構がない状態で RFID タグ内に個人健康情報 や個人の特定に繋がるデータが含まれる可能性もあるため、よってプライバシー問題が関わ ってくることになる。個人健康情報は最もセンシティブな情報の一つである。よって、その収集、 利用、開示を正当化する確固たる理由、情報窃盗、損失、不正な利用および開示への強固 な保護策、情報の保有、送信、廃棄に際しての強力なセキュリティ、そして強固で責任ある管 理構造が求められている。 RFID システムのプライバシーに関する特性 すべての RFID 情報システムには、特定の技術や利用例、展開手段の種類に関係なく、プライ バシーに強く結びついている基本的な特性がある。 1. 医療機関は、RFID システムは情報システム全体の一部として重要なものであると認識しなけ ればならない。よって、タグとリーダー間の相互作用に重点を置くより、プライバシーへの包括 的システムアプローチを用いる方が適切である。 2. RFID タグは固有の識別子を有し、防犯タグのようにものの存在や、製品のバーコードのように その種類を示すだけでなく、個別のシリアルナンバーも指し示している。タグのついたアイテム が推論に基づいて自動的に人と関連付けられた場合、個々のアイテムを一意的に識別する 機能はプライバシーに影響を与えることとなる。 3. RFID タグのデータは LOS 無しで、かつさまざまな偽装物を通じて、そのタグを所持している個 人が気付かないうちに、または個人の合意無く、遠隔的に読み込み(場合によっては書き込 み)されることがあり得る。これはインフォームドコンセントへの強い脅威を孕んでいる。 4. RFID 情報システムは時間や位置情報を取得することもでき、それに基づいてアイテムの履歴 の概略を組み立てることが可能なため、データ使用の説明責任が重要となる。このようなシス テムが人に対して利用される場合、監視を行っているとみなされる可能性がある(データを用 いて何をするかによってはもっと深刻だとみなされる)。 プライバシーとセキュリティリスクをまず理解し、次にそれらのリスクを軽減するにあたり、どのよう なデータがいかにして何の目的で収集されるのか、どこに保管されてどのように利用されるのか、ど のような状況下で誰がそのデータを共有するのか、誰に開示される可能性があるのかなど、情報シ ステム全体を行き来する(パーソナル)データを常に追跡する必要がある。これを情報のライフサイ クルと呼び、このライフサイクルにおける個人健康情報の処理および管理が、医療環境における多 くのプライバシー問題の根幹に横たわっている。 163 基本的に RFID システムとは、自動的に個人情報を取得、送信、処理するために組織が採用し ている情報システムである。プライバシーは情報の収集、利用、保有や、個人情報の他者への開 示を管理する個人の権利を伴う。情報の処理の際、特に個人的な情報の非公表または不正な暴 露や、それによって生じる悪影響において、時として個人と組織の間には緊張関係が存在する。 さまざまな RFID 技術の利用に関して近年欧州で行われた調査で明らかにされたように、RFID 情報技術は個人と情報収集組織との間の非対称なパワーバランスを深刻化させる可能性がある 10 。 プライバシーを早期に組み込むための一般的アプローチとフレームワーク RFID 方式であるかどうかに関わらず、情報システムやテクノロジーへのプライバシーの観点を見 込み、組織による意思決定プロセスの第一段階、およびプロジェクトデザインと施行の初期段階よ り始まっており、包括的で総合的なアプローチを必要とする。ここでは、その際の手順を示すことで、 プライバシーを情報システムやテクノロジーへとプライバシーを組み込む際の高水準のアプローチ や一般的なフレームワークを提示する。 フレームワークは一般的な方向性と計画立案に有用であり、特定の目的や運用の性質、RFID の利用案やプロジェクトの特徴次第では、システム等をより深く分析する際の出発点と成り得る。 1. プライバシー侵害の可能性を最小限に抑えるため、個人情報収集および利用目的を明確 に定義、記録および制限する。ここで挙げた目的は、必要性、有効性、均整のとれた諸要 件を満たし、それよりも侵襲性の低い代替手段がないとの条件を満たす必要がある。 2. 十分な権限と資源を有し、知識の豊富なプライバシー関連の担当者を中心にした、現実的 かつ包括的なプロジェクト管理プランを策定する。 3. データのライフサイクル中におけるすべてのセキュリティおよびプライバシー関連のリスクを 明らかにする。これらのリスクには組織内のリスクだけでなく外部ソースからのリスクも含まれ る。 4. システムの開発におけるコンセプト、ロジックおよび物理的な各段階において、認識されて いるリスクへの取り組みに関する明確なプランとタイムテーブルを元に、システム全体を対象 にした包括的なプライバシー影響評価(PIA)を行う。 10 -RFID and Identity Management in Everyday Life: Striking the balance between convenience, choice and control, study by the (July 2007) European Parliament Scientific Technology Options Assessment (STOA), IPOL/A/STOA/2006-22. 164 5. プライバシーおよびセキュリティを最初の段階から組み込む。これは公正な情報慣行の原 則を RFID 情報システムの設計および運用、およびその運用を管理する方針に組み込むこ とを意味する11。 6. 必要に応じ、(可能であれば独立機関による)測定および評価が可能な、適切な業務およ びシステムコントロールを実装する。 7. RFID システムや関連ネットワーク、データストレージ、無線機能、データバックアップシステ ムの稼働状況と有効性を定期的に確認する。 RFID システムは、自動化しようとするビジネスプロセスをサポートするために大幅にカスタマイズ する必要性が生じる場合があり、また連動させるバックオフィスシステム、医療情報システム、スケジ ュールや同様のサポートシステム等の種類に左右される。全医療現場で応用可能な『万能』なアプ ローチはまず存在しない。高いプロジェクト管理能力を適切なプライバシー・セキュリティ対策と組 み合わせることで、医療機関が RFID によるプライバシーのリスクを許容レベルで管理する助けとな る。 次のセクションでは、医療分野における RFID の利用に際してのプライバシー問題についてより 詳細に取り扱う。 医療分野における RFID の利用 ここ何年かの間、世界の医療機関はさまざまな状況で RFID 技術の利用もしくは実験を行ってき た。例えば英国では、RFID 技術を利用して医薬品にタグをつけ、薬の偽造リスクを低減することに 成功した。 また RFID が患者の識別、安全性の向上および重要な手術における患者誤認事故の低減には とても有用であることは実証済みである。高齢者やアルツハイマー病患者、記憶障害者等、特別な 介護を必要とする患者を示すのに利用され、成功を収めている。 RFID によって医療施設内の医療設備・備品の位置の特定および追跡はこれまでより迅速に行 えるようになり、その結果、院内資源をより効率的に利用できるようになった。廃棄物管理は RFID の採用でより効率的になっている。 プライバシーの観点から最も重要とされるのは、収集された RFID 関連のデータや RFID タグから 11 RFID 情報システムプライバシーガイドライン (June 2006) :www.ipc.on.ca/images/Resources/up-rfidgdlines.pdf また以下の関連情報も参照のこと : www.ipc.on.ca/index.asp?navid=67&fid1=16 165 生成されたデータは個人(健康)情報とされるのか、それらのデータをどこまで個人情報とみなすの かという点である。それを個人情報とみなす(もしくは個人情報に成り得るとみなす)のであれば、法 律および規制にあるプライバシー要件遵守の必要性が生じる。 このような理由から、プライバシーへの関連性や懸念を増大させる RFID 技術を以下の通り大きく 3 つのカテゴリに分類した: 1. 『もの』へのタグ付け 2. 『人に関連するもの』へのタグ付け 3. 『人』へのタグ付け 『もの』へのタグ付け RFID 技術は、バーコードやその他ラベルなどよりも圧倒的な読取精度と視認性を向上させること から、ものの識別や位置特定には理想的であることが判明している。RFID 技術の利用により、在庫 管理の自動化、誤った場所に紛れ込んだアイテムの発見などでの効率性の大幅な向上や、ライフ サイクルにおける製品の移動履歴をより効率的に追跡することなどが可能となった。 自動認識システムは依然として全 RFID 情報システムの土台であるが、状況次第ではそのシステ ムが資産管理、追跡、正当性の検証、マッチング、プロセス・アクセス制御等、さまざまな形で呼び 表わされることがある。しかし、システムの実施および展開において複数の利用法を組み合わせる ことが可能なため、それは矛盾ではない。例えば、RFID を利用してタグのついたアイテムを認識し、 位置を特定する情報システムは、資産管理と追跡(リアルタイムか否かは問わない)を一体化するこ とが可能である。 これらすべての手段は現在、さまざまな医療機関、特に大規模で複雑な資産管理とロジスティッ クを必要とする機関において利用されている。 『もの』へのタグ付けが関わる RFID 医療サービスにおける利用例として考えられるものには以下 が挙げられる: バルク医薬品 棚卸資産および資産 (台車、車椅子、医療用品、等) 医療機器および備品 (輸液ポンプ, 車椅子、等) 電子 IT 機器 (コンピューター、プリンター、PDA、等) 手術用品 (人工装具、 外科用スポンジ、等) 本、文書、書類、ファイル 166 廃棄物および生態有害物質の管理 RFID 技術による自動識別技術やシステムを導入する主な目的の一つに業務効率の向上がある。 ビジネスインテリジェンスや分析システムを RFID 技術と統合することで、ビジネスプロセスの向上強 化という利点が証明された。 アイテムへのタグ付けや RFID 技術による追跡も、貴重なスタッフの時間の低減や、手動による データ収集および入力(とくにそれらが習慣的かつ反復的な作業の場合)、誤送もしくは紛失した アイテムの物理的な捜索にまつわる費用の削減となったことが確認されている。更に、RFID タグの ついた資産やアイテムは、人的ミスや失敗を減らし、監査性や責任能力を向上させる助けとなり、 結果としてより高品質な医療サービスへと繋がった。 また、より正確で新しい棚卸資産会計や、貴重な資産の縮小化などの効率向上も実現した。 RFID による医薬品追跡に関する多くのイニシアティブが米国、欧州およびアジア諸国で進行中 である。医薬品の『drug e-Pedigree』(電子的な医薬品ぺディグリー)が医療業界および RFID 業界 だけでなく、政府医療監督機関や北米全土のライセンス協会等でも多くの注目を集め始めている。 医薬品ぺディグリーとは医薬品の販売や購入、取引履歴を確認する証明書で、取引に関するデ ータや関わった全当事者の名称や所在地情報を含んでいる。 米国食品医薬品局(U.S. Food and Drug Administration(FDA))の e-Pedigree 要件は、1987 年 に定められた処方医薬品販売管理法(Prescription Drug Marketing Act(PDMA))に従って、サプ ライチェーンにおける医薬品偽造問題に取り組むために 1988 年に成立した米国食品医薬品局規 制によって定められている。医薬品は工場から薬局または病院までの流通経路において多くの場 所を経由することで、多くの医薬品偽造問題を生み出している。これらの問題に取り組み、適切な 「加工・流通過程の管理(chain of custdy、CoC)」を確立し、サプライチェーンのセキュリティを強化 するために、米国食品薬品局は RFID 技術の利用を検討している。米国食品医薬品局では e-Pedigree 制度が 2007 年までには利用可能になると見込んでいる。 ここでの目的は、高価値医薬品向けに、生産工場から調剤薬局までのルートや医薬品の返却 および廃棄までのプロセスに関する文書化された CoC を提供することにある。識別や文書化の自 動化や医薬品のサプライチェーン管理プロセスに加え、医薬品ぺディグリーは医薬品の偽造や流 用の可能性を最小化し、リコールを容易にする支援となることが予想されている。 医薬品ぺディグリーはこれまで通り紙ベースでも要件を満たすことが可能だが、RFID 技術とネッ トワーク型データベースを連携させることで、より安全かつセキュアで信頼のおける形での自動トラ ッキングが可能になる。 167 プライバシーへの懸案事項 一般的にいえば、棚卸資産や「もの」の識別やトラッキングには個人情報の収集、利用および保 有に関与しない。RFID タグに記録された固有の識別データを RFID インテロゲータが読み取り、ネ ットワークへと送信し、ミドルウェアで処理し、ログに記録され、第三者が共有し、ビジネスプロセス に関した形で作動することで、製品のシリアルナンバーと類似した方式で、タグが付いた「もの」の みを参照する。よって、ここでは個人の特定が可能な健康情報が存在しないため、プライバシーの 関与はない。 2004 年 2 月, 米国食品医薬品局は RFID 情報技術が医薬品偽造対策として有用な可能性を有 しており、米国で義務付けられている医薬品ぺディグリーの要件をより効率的に満たすことが出来 るとの認識を露わにした12。 2004 年 11 月には米国食品医薬品局は医薬品メーカーに対し、現在 最も日常的に偽造されている医薬品のボトルを追跡する目的でタグを添付し、段階的にタグ付け する薬の種類を増やしていくよう提言する報告書を発行した13。特に医薬品業界における RFID の 使用について政策方針を発行した: RFID タグは商用医薬品の直接の容器、二次包装、搬送容器および/またはパレットにのみ 取り付ける この方針を適用する医薬品は処方薬もしくは店頭販売される最終製品に限定される RFID は在庫管理、製品の追跡、搬送の確認およびこれら製品の受領確認、または最終製 品の認証にのみ利用が可能となる タグは医療従事者もしくは消費者に関する情報を含まず、それらの情報の送信を行わない タグは、広告、製品の特徴や認可外に関する情報を含まず、それらの情報の送信を行わな い 米国食品医薬品局によるこの指針では、個人情報が医薬品のサプライチェーン管理に関与しな いことを明確にしており、そのためプライバシー問題は起こり得ない。 RFID 使用例 12 COMBATING COUNTERFEIT DRUGS: A Report of the Food and Drug Administration (February 18, 2004) available at: www.fda.gov/oc/initiatives/counterfeit/report02_04.pdf 13 Radiofrequency Identification Feasibility Studies and Pilot Programs for Drugs, Guidance for FDA Staff and Industry, Compliance Policy Guides, Sec.400.210, Radiofrequency Identification Feasibility Studies and Pilot Programs for Drugs, November 2004: www.fda.gov/oc/initiatives/counterfeit/rfid_cpg.html 168 以下の例は、ものへのタグ付けによる、多岐に渡る RFID 技術の展開例の一端をうかがわせるも のである: 高額な移動式医療機器: ボストン地域の某大規模病院外来診療センターでは、車椅子、ストレ ッチャー、携帯式酸素ボンベ、静脈ポンプや除細動器など、1,500 台以上の高額な移動式医療機 器を追跡、管理するために RFID を利用している。これら資産の価格は一台あたり数百ドルから数 千ドルに渡り、静脈ポンプや車椅子など多くの機器は定期的な維持が必要である。 循環装置: デトロイトメディカルセンターでは増え続ける医療機器の追跡を行う目的で RFID を 採用している。RFID ソリューションは同センターの循環器グループで利用される予定である。埋め 込み可能なステント装置を保管するために、RFID 機能のついたキャビネット 14 台を設置し、これら 装置の管理を合理化および自動化することが最終目的である。現在の手動によるプロセスによっ て生じるタイムロスをなくし、装置の使用状況や期限切れに関する文書化がより正確になる見通し である。 輸液ポンプ: ジョージア州での大規模医療システムでは、大量の輸液ポンプや高額設備にタグ をつけ、これらの管理と活用能力を向上させるために RFID 資産管理システムを採用している。 位置トラッキング: ある RFID ベンダーによれば、複数の病院に医療サービスを提供する某大手 医療機関が、赤外線と無線のハイブリッドタグを利用して資産の正確な位置情報を特定する、リア ルタイム位置情報システムを導入したとのことである。同機関では、各病室に位置特定情報を送信 する用途の赤外線トランスミッターである「Room Locator」を設置した赤外線無線システムのベータ テストを行った模様。 手術用スポンジ: ある独立機関では、RFID 機能のついたスポンジ、RFID インテロゲータと関連 ソフトウェアを用いた、手術用具の体内「置き忘れ防止(No Thing Left Behind)」プロジェクトの臨床 試験が、米国の医療センター5ヶ所での外科手術において行われている。同プロジェクトの全体的 な目的は、病院、執刀医、周術期ケア看護師と患者が協力し、手術用具の患者体内への置き忘れ 撲滅を支援することである。近年の研究では、患者体内への手術用具置き忘れは手術 100 から 5,000 件あたり 1 件の割合で生じていると推定されている。また、他の調査からは置き忘れの約三分 の二は手術用スポンジであることが明らかになった。 医療廃棄物: 病院は日常的に有害廃棄物を扱っているため、安全かつ効率的な廃棄物管理と 処理のためには包括的システムを必要としている。多くの場合で廃棄物管理は外部業者に委託さ れているが、多くの病院にとって廃棄物管理は懸案事項となっている。病院はベンダーの作業プロ セスをコントロールすることが不可能なため、廃棄物が現地規程や労働契約を遵守する形で処理 されているかが把握できない。ある廃棄物管理用 RFID ソリューションは完全性確保のために、廃 棄物の搬送および受取証明や、位置追跡や活動記録を提供している。密封された廃棄物コンテ ナは RFID バンドでロックされ、コンテナの移動情報を追跡し、有害物質である可能性がある廃棄 169 物が病院からの道中で紛失すること無く、確実に廃棄物管理プラントまで届くよう管理している。説 明責任を順守するため、最終目的地であるプラントでは RFID バンドは自動的に到着時間および 廃棄物の数や重量などのデータを病院に送信する。 院内ロボティックヘルパー: ピッツバーグのある企業が、薬や試験標本、テスト標本、試験サン プル、生体試料などの受け取りや配達など、一般的だが重要なタスクを行う院内ロボットを開発した。 現在、既にロボットを採用した病院 34 ヶ所のうち 6 ヶ所で、RFID 機能を有し、院内を巡回して RFID タグのついた資産の位置を特定する RFID インテロゲータを搭載したロボットによる実験を行ってい る。ロボットはメモリに保存された設備マップを利用して院内を移動する。 指導要綱 一般論では、RFID 情報システムで個人情報の収集や利用を行わない場合には RFID で生成さ れたデータが個人情報となるリスクはほとんどないため、結果的にプライバシー問題はないことにな り、オンタリオでは個人健康情報保護法(PHIPA)の規程は適用されないことになる。 先述の医薬品のタグ付けや e-Pedigree プログラムが(バルク)サプライチェーン管理に限定され、 最後は薬局で終わるのと同様に、ここでもプライバシーへの関わりは最小限である一方、RFID の 利点は著しい。米国食品医薬品局14などの規制当局による明確な指導要綱や規制に定めるプライ バシーへの更なる保証や信頼性に関する要件はここでは関係がない。 人に関連するもの へのタグ付け RFID 技術の次なる部類には、衣類への 1 週間程度のタグ付けから、数年規模での患者情報へ の利用など、長期的に個人情報や個人識別子と関連づける(もしくは関連づけられる可能性のある) アイテムへの RFID タグ付けが関わってくる。 『人に関連するもの』へのタグ付けが関わってくる RFID 使用例には以下が挙げられる: 患者、ビジターまたはスタッフが利用する医療設備 スタッフに支給されたリーダー、タブレット、携帯機器およびその他 IT 機器 スタッフまたはビジター用のアクセスカード スマートキャビネット 患者に割り当てられた機器、衣類もしくは場所(部屋) 14 FDA の詳細情報およびガイダンスについては www.fda.gov/oc/initiatives/counterfeit/ を参 照 170 血液サンプルなどの患者標本 患者のカルテおよび資料 個々に処方された薬瓶 上記のいかなるケースでも、これまでの分類と同様にタグ付けの主目的は「もの」の識別およびト ラッキングではあるが、タグの耐久性が比較的高いことや、収集されるデータの性質と量、データが 個人識別子と強く関連していることから、プライバシー侵害やプライバシーへの懸念を引き起こす 可能性がある。 プライバシーに関する懸案事項 RFID タグは個人と関連づけるもしくは関連づけられる可能性のある物品に取り付けられるように なってきた。 プライバシーに関する懸案事項として、次第にこの関連づけの強度および容易性や、 関連づけられたデータの機微の程度が挙げられるようになってきた。情報のトラッキングやコントロ ールが個人に及んだ場合、特にインフォームドコンセントが欠落している場合には、RFID 情報技 術やシステムを棚卸資産管理やサプライマネジメントで非常に有用とした基本的性質が、今度は 個人のプライバシーに影響を与えることになりうる。 個人情報と関連づけらるものに資産の認証、トラッキングや管理計画がある。タグ付けしたアイテ ム(およびタグによって生成されたデータ)へのスタッフの接触や交流の全記録を監査および説明 責任遵守の目的で記録することはその一例で、これは従業員のプライバシーに関わる問題を含ん でいる。またタグ付けした資産(ベッド、病室、設備等)を一時的に個人に割り当てた場合、もしこれ らの資産が携帯可能な場合には、これらが機器を通じて個人をトラッキングするための機器の代替 として機能する可能性がある。たとえ RFID タグ上のデータが暗号化されている、もしくは理解不能 なものであったとしても、タグにはトラッキングに利用されたり、その履歴を他のシステムからの個人 情報と関連づけられて利用されたりする可能性が残る。RFID 式の来客用アクセスカードがアクセス ポイントやチェックポイント等でカード所持者のビデオ記録と関連づけられることで、このようなことが 起こり得る。 RFID タグには上書きや再利用が可能なものがある。患者情報や薬の処方などのデータがタグ そのものに記録された場合、適切に保管もしくは破棄されなかった場合には、情報が不適切に読 み取られ、不正利用される可能性がある。 RFID タグのつけられたアイテムが個人とともに移動した場合、広範囲でのアイテムトラッキングや モニタリングはその個人のトラッキングおよび監視を行っているのに等しい。アクセスカードの場合、 その脅威やリスクは組み込まれた RFID タグのハッキングや複製にまで及び、権限のない個人によ るセキュリティエリアへのアクセスや、身元詐称へと繋がる可能性がある。 個人の不正な識別、追跡、監視、およびプロファイリングは、プライバシーに関するとても深刻な 171 問題である。更に個人情報のスキミング、盗聴、傍受、妨害、改ざん、複写および悪用は、個人の プライバシーに加えて医療機関の業務にも悪影響を与える可能性がある。 先述の『参照型 対 非参照型システム』で述べたように、RFID タグは個人の氏名などの個人情 報を常に記憶しているものではない。タグは大抵の場合においてセミランダムなアルファベットや数 字を組み合わせた独自のストリングを有し、これはネットワーク上のデータベースに記録されている 医療または取引記録など、所有者の個人情報と繋がりのあるデータのポインターまたは索引キーと して機能する(おそらく第三者による遠隔地への情報の転送や管理も起こり得る)。RFID リーダー は時として移動式であることもあり、これがタグのデータを読み取り、そのデータをタグの内容を表 示や記録するなどのアクションへのトリガーとして利用し、タグ ID の関連データの参照、や取得(お よび利用)を行う。 リーダー機器自身、もしくは RFID 機能のついたポータブルな計算機器や通信機器は、タグに記 録されるデータを収集、送信するツールとして医療従事者に利用される可能性がある。これは一般 的には、スタッフが作業をより迅速にかつ効果的に行う支援目的で行われるが、収集したデータを スタッフの ID もしくは業務と関連づけ、監査証跡や説明責任を強化するためにも利用が可能であ る。 印字されていない RFID アクセスカードは ID カードとしての機能は果たさないが、スタッフへの割 り当てや利用許可は中央システムで管理されている。特定個人(保持者等)との関連があり、すべ てのカード利用や利用を試みたことの記録は定期的に収集され、ログに記録される。これによって 詳細な履歴を構築することができる。 適切な取り扱いおよび処分を目的とした患者標本や廃棄物へのタグ付けは、代替手段であるバ ーコードや人間が解読可能な個人情報によるラベルづけよりもプライバシーは保護されている。例 によって、多くの事象は患者への関連付けの強さや、関係者による通信(データベースへのアクセ ス等)の容易さに左右される。一般的に、タグ付けされたファイルやアイテムはどれも、複数の関係 者間をプライバシー保護された様式(入館証、テスト結果、調査結果/フィードバック、ファイル等) で通過するため、RFID 技術導入による恩恵が得られる可能性がある。 ここでの懸念は RFID 技術に関連するプライバシーとセキュリティであるが、プライバシー問題が 生じた場合においても、RFID 技術の利用を正当化でき、また十分に納得させられる医療的な理由 もあるだろう。このような場合、利点が実証可能で、プライバシー面でのリスクが明示かつ適切に緩 和され、開発されたシステム全体が透明性を有し、責任ある形で利用されていることが重要となる。 RFID 使用例 以下の例は、人に関連するものへのタグ付けによる、多岐に渡る RFID 技術の展開例の一端をう かがわせるものである 172 手洗いの遵守: 伝染病の蔓延を低減するため、RFID を用いて医療従事者が適切な手洗いを 行っているかを監視する、手の自動殺菌システムが利用されている。介護者が機器の円筒開口部 に手を差し出すことで自動的に洗浄が開始される。疾病管理予防センター(Centers for Disease Control and Prevention(CDC))と米国感染症学会(Infectious Disease Society of America(IDSA))、 米国医療疫学学会(Society of Healthcare Epidemiology of America(SHEA))が共同発行した指針 によれば、院内感染は米国内で年間 200 万人に影響を及ぼし、年間約 8 万人の死者を出している とのことである。ほとんどの場合、医療関連病原体の伝染は介護者の汚染された手を介して発生す る。手洗いの際に、RFID バッジをつけた介護者を機器に内蔵された RFID インテロゲータが識別す る。機器は手洗いサイクルの開始時と終了時の日時を記録してデータベースへと送信する。介護 者が 10 秒の手洗いサイクルが完了するより早く手を取り除いた場合、インテロゲータはその情報を バックエンドデータベースに送信する。病院内の管理者は、手洗いサイクルを完了した介護者を特 定することで、院内統計やコンプライアンスレポートを作成することできる。 スマートキャビネット: テキサス大学メディカルセンターの研究者は生物学研究に用いる薬品や 他の備品等の調達管理のために RFID を利用している。センターは RFID インテロゲータを有する キャビネット 2 台を導入した。キャビネットに保管されるアイテムには RFID タグがつけられている。 大学から認証を受けた各研究者は、解錠するための 6 桁の固有番号が記録されたクレジットカード サイズの RFID キーカードを所有している。RFID インテロゲータは、キャビネット解錠の前後でキー カードの ID 番号と中にあるアイテムタグを読み取り、それによってソフトウェアが取りだされたアイテ ムを計算し、オンラインインベントリデータを最新のものにアップデートする。この情報に大学内の 管理者や研究者、納入業者が Web 経由でアクセスでき、学内の支払担当部署とアイテムを取りだ した人物にメールを生成して送信する。各取引を記録するだけでなく、システムはアイテムの使用 記録、支払や入れ替えを必要とする情報を業者が即座に把握できるよう支援する。 標本: ある著名な総合診療施設は米国中の多くの診断所と共同で、医師が患者の組織標本を よりよく管理できるようにするための RFID システムを試験利用した。このシステムは内視鏡施設で 利用されており、組織標本は収集された時点でタグ付けされ、病理検査室へと分析のために送ら れるまで、「重要な」一連のステップを経て追跡される。この実証試験は 5 ヶ月に渡って行われ、そ れによって証明された利点には、正確なデータ通信や照合、標本管理の効率性向上などが挙げら れる。現在この計画は実証試験の段階的な導入拡大の段階にある。 血液バッグ:マレーシアでは政府および医療機関 3 ヶ所が血液バッグを追跡するために RFID シ ステムの導入実験を行っており、最終的には公私を問わず 300 以上の病院やクリニックで RFID シ ステムを採用する予定である。血液バッグをスマートキャビネットにタグ付けして連結することで、本 システムは自動で効率的な追跡状況の可視化を可能とした。本システムでは将来的に、年間 5 万 件を超える輸血を含むマレーシア内の血液銀行全体の管理を行う予定である。これによる利点とし て、血液バッグ識別性や在庫確認、物流の向上が想定されている。レシピエントの血液型を輸血 可能な血液と照合する交差適合試験の合理化がなされ、内部血液管理プロセスも一層効率的とな 173 り、血液ストックもより良く管理されることとなる。輸血の際の血液型不整合等のエラーや、待ち時間 の減少、在庫管理や輸血記録、ドナーや患者のプロファイルのレポートが容易に作成されるなど、 データ管理やアクセス全体の質は向上し、献血プロセス中の登録やスクリーニングは簡易化する。 最後に、システムは血液銀行管理プロセス全体の分析を可能とする。 薬の調剤: 東南アジアの RFID システムプロバイダーは、医療機関による医薬品追跡や薬剤管 理をモニターし、適切な量の医薬品が処方されたことを確実にするための RFID 機能付き製品を導 入した。同社の高機能医薬品調剤システムは RFID タグをリーダーやワークフローソフト、電子カル テ(EMRs)や、統合ソリューション内の中央データベースと一体化させている。これにより看護師や 医師が患者記録を確認し、リアルタイムでアップデートし、処方する際に投薬量を再確認することを 可能とした。またこのシステムは処方箋を自動的に薬剤師へと送信する。 患者のカルテ情報: ニュージャージーの救急・研修病院では、患者記録管理の RFID ソリューシ ョンが採用されている。効率性の向上と HIPAA 法(Health Insurance Portability and Accountability Act)(この法律では患者情報管理の重要性を高めている)遵守の両立のために、同院では患者の 睡眠関連問題への包括的評価と治療を提供する睡眠センターを対象に導入した。同センターで は約 5,000 件のカルテを管理しており、各カルテは RFID タグがつけられ、新規患者のカルテが作 成された瞬間から保管庫へと移されるまでのトラッキングを可能としている。RFID リーダーはセンタ ー内の主要な場所に設置され、タグが移動するたびに自動追跡とコード化を行うことが可能である。 タグの読み込みおよびタグへの書き込み状況は中央データベースにも同時に反映され、リアルタイ ムの正確な位置情報がわかるようになっている。また、定期的な在庫管理や置き違えられたファイ ルの位置特定には携帯型リーダーを用いている。 医薬品確認用携帯機器: ピッツバーグにある St. Clair 病院では、患者への投薬ミスの低減や 医療コスト削減のために RFID 技術を用いたシステムを開発し利用している。バーコードと RFID 技 術を用い、無線ネットワークに繋がった HP の iPAQ Pocket PC を組み合わせた、VeriScan 薬剤投 薬検証システムは看護師が正しい患者情報、および正確な薬剤、投薬時間、投薬量および投与 経路の情報を有していることを投薬の度毎に確認する。システムは 2 年間に渡って利用されており、 同病院のチーフオペレーティングオフィサーによれば、これまでに年間約 5,000 件の投薬ミスを防 止してきたとのことである。同氏は「St. Clair 病院の薬局では毎年 130 万服分 の薬剤が処方される ため、投薬ミスが起こり得る機会は山ほどある」と述べた。同病院の RFID システムは看護師による 投薬ミスを回避し、それによって生じる年間約 5 万ドル以上と推計される投薬ミス関連コストの削減 を支援する。投薬時には、看護師は HP の iPAQ Pocket PC を用いて医薬品パッケージ上のバーコ ードと患者のリストバンドにある RFID タグを読む。VeriScan ソフトが患者と医薬品のデータを比較し、 データが矛盾する場合には看護師に警告する。新しい処方や、処方の変更や中止情報はリアルタ イムで取得、看護師は処方の変更を遅延無く知ることができる。携帯機器のポップアップ画面には、 患者情報だけでなく入院時に撮影した患者写真も表示される。機器はタグとバーコードの読み取り 時のデータと時間を記録し、無線ですべてのデータ(バーコード情報、RFID タグ番号やタイムスタ 174 ンプ)をデータベースに送信し、医者からの最新の指示と比較する。データが確認された場合には 「患者情報が確認されました」、データが矛盾している場合には「アクセスが拒否されました」と携帯 機器が音声で知らせる。さらに、新しい処方の指示や、処方の変更・中止が指示された場合には、 新しい指示を自動的にダウンロードするので看護師に即座に知らされる。 医薬品へのタグ付け: 先述のとおり、業界の取り組みの多くがサプライチェーンでのバルク医薬 品のタグ付けと追跡によってもたらされる利益の実現に向けられる一方、より小さな集団によるイニ シアティブが、主に医療機関内限定での、アイテム単位もしくは個々の処方単位での医薬品のタグ 付けによる利点を調査している。 これまでのケーススタディで何度か取り上げたように、医療機関は自らのケア環境内における特 定医薬品のタグ付けおよび追跡の利点を、主に患者への投薬ミスを減らし、正確な在庫情報管理 が可能になるところに見出している。RFID 技術を用いることで、その情報を利用し、説明責任や監 査可能な記録を提供するうちに、特定の医薬品情報が患者やスタッフ情報と関連付けられていくこ とになる。 より野心的な RFID 実証プロジェクトでは、モニタリング、患者日誌及びリマインド機能が一体化し た医療品パッケージを開発しようとしている。これらの場合、RFID 技術は、臨床実験や記録をする 際に、患者が正しい医薬品を正しい時間に正確な量を確実に摂取できる自動メカニズムとして機 能する。このようなケースでは事前にインフォームドコンセントを得ることが重要となる。 薬局から直接個人に処方された薬瓶にタグ付けされた場合の利用目的はそれほど明らかにはさ れていない(例えば、補充の医薬品情報の追跡や、補充の迅速化が考えられる)。このような場合 には、センシティブな個人の処方情報を有するタグが不正な関係者によってスキャンや読み取られ る可能性が生じるなど、深刻なプライバシー問題が存在している。 患者には、処方された薬につけられたタグの情報を権限のない他者にどれだけ容易にスキャン され、その内容を読み取られてしまうものかを知ること、および RFID を含まない他の手段を選択す る法的権利がある。個人が服用する薬から推定される可能性のある個人健康情報は高い機敏性を 持っており、不正な開示や情報の収集を防ぐためには厳重な管理を必要とする。効率性と利便性 がプライバシーに勝ることがあってはならない。 指導要綱 個人情報の関わる程度と、潜在的なリスクに対し、注意と不断の努力、そして包括的な情報管理 システムと共に、前向きな努力を継続するよう我々は強く求めるものである。そこに含まれる個人情 報の程度やリスクの度合いを評価する際には、システムの設計や情報フローに応じて以下の重要 な質問について問いかける必要がある: 個人情報がタグに記録されているか 175 タグのついたアイテムが個人と関連づけられているとみなされるか タグが不適切な互換リーダーによって読み取られる範囲内にある可能性 記録が分析的システムまたはアーカイブシステムに保持される期間の長さおよび RFID セキ ュリティ管理の有効性、特に: メモリへのアクセス制御および認証メカニズムの有効性 使用後にタグを無効にする機能 不正な読み取りを予防するためにユーザーが効率的にタグを保護できる機能 処方薬とのタグ付け: RFID タグが個々の処方薬の容器に添付される場合、薬局および医療機 関はプライバシーに関する問題や懸念に対処する必要がある: 薬瓶へのタグ付けの目的– その目的は明確に定義されているか?医薬品の偽造、不正医 薬品、医薬品の不正転用対策という理由は個人処方レベルでの利用に対する十分な理由 とは言えない。 新しい情報のぜい弱性や脅威、それらを緩和するための適切な対応策についての説明。 他者がタグ付けされた薬瓶の情報をどの程度容易に読み取り、理解することが出来るか? そのぜい弱性は暗号化や遮へい、一層の患者教育などの情報セキュリティ手段において 対処が可能か? プライバシー関連の指針や手順は RFID タグのついた薬瓶の扱いにまで及んでいるか? タグと内部データが利用もしくは悪用される可能性をカバーしているか? 人 へのタグ付け 3 番目かつ最後の RFID 利用の分類は、個人が携帯する、もしくは個人に関連づけられた資産 やトークンより、むしろ個人への意図的なタグ付けと個人識別が関わってくる。厳密に言えば、タグ は常に RFID システム内で識別されているものであることから、その特徴の差異は微妙なものである。 しかし、人へのタグ付けを語るにあたり、我々はここで問われている RFID 技術採用の主目的や、個 人や個人情報とタグとの関連性の相対的な強度や期間の長さに焦点をあてている。 例えばこのカテゴリでは、一時的に従業員や請負業者、ビジターのために借り出された無印字ま たは再プログラム可能なアクセスカードの例は除外する。このカードの主目的はカード保持者の識 別ではなく、特定の設備や場所へのアクセスを承認することにある為である。その性質上、このカ ードの利用は一時的なものであり、カードには個人情報は埋め込まれておらず、表面に記載され てもいない。カード ID と個人への関連付けは業務利用のためではなく、登録目的にのみ確立され る。また、後ほど他者によってそのカードが利用されることもあり得る。 176 医療面で個人をトラッキングするための RFID 技術使用例(もしくは使用予定例)には以下が含ま れる: 医療従事者認識カード 患者識別カード 認識用アンクレット/ブレスレット(患者や乳児、徘徊患者や老齢患者向け) 埋め込み可能な RFID チップ 一時的に RFID を利用可能にしたブレスレットやアンクレットを患者の入院や治療期間の間だけ 患者に使用させることは、特に大施設において、患者の取り違えや徘徊、医療ミスの可能性を低減 させる助けと成り得る。 患者を確実に識別する目的で、これまでのバーコードに代わって RFID 機能のついたブレスレッ トが多くの病院や医療施設で採用されている。この場合、バーコードや一般的な(人の目で読み取 り可能な)タグによって識別を可能にする際と同様に同意、もしくは暗黙の同意が得られている。 新生児の不用意な取り違えや誘拐を防ぐために RFID 機能を有するブレスレットを新生児に取り 付けることは、合理的で比較的効率的な手段だとみなされている。このような母親識別プログラムで は、母親と子供を一致させ、一層の安心を提供するためにも RFID タグと母親のマッチングを行っ ている。 驚くべきことではあるが多くの場合において、機密かつ機微な情報である医療情報は、視認可 能な形式で患者のリストバンドに記入するより、RFID タグそのものに安全に保管可能であるため、 もしくは中央システムを利用して自動的にアクセスするために、RFID 機能の付いたリストバンドを利 用する方が患者のプライバシーが守られる結果となっている。 その他の一例として、すべての行動や接触を記録することが必須となる生態有害物質および伝 染性物質に関わる研究者のトラッキングが挙げられる。 RFID 埋込型(「非接触型」)ID カードは医療分野での RFID 利用上では特別なカテゴリに分類さ れる。ここでは、従業員 ID(およびアクセス)カード(スマートカード方式であるかどうかは問わない) と患者識別カードを区別しなければならない。従業員 ID カードは物理的な場所やその他のリソー ス(例えば、パソコン)へのカード保持者によるアクセスを容易にし、プロセス管理や監査のために 保持者を識別、認証するために RFID 技術を実装している。複数の目的を備えた従業員 ID カード は、その内容に応じてさまざまな場所でさまざまな機能を発揮する。このような多重目的カードとそ の内部データが適切に管理されない場合には、いくつかの機能に対する過剰識別や、機能の拡 大流用、不要な従業員のプロファイリングなどの誘因となりかねない。 医療施設では、患者の受け入れや治療、記録管理のためにカルテが利用されている。個人の 177 健康情報は非常に機微な情報であることから、プライバシーの安全性と侵害には重大な注意を払 う必要がある。RFID データが複製されてしまった場合、カード情報の複写(または、複製されたカ ードを入手する)能力を有する誰もがそのデータを利用して無料で医療サービスを受けられること になるため、RFID データに含まれている価値は非常に高いものとなることがある。これは身分詐称 や個人情報盗難へと繋がる可能性がある。 人を追跡する目的で RFID を利用するにあたって小さな RFID チップの人体、主に上腕部皮下へ の埋め込む利用法は最大の議論の的となると思われる。2004 年に米国食品医薬品局の認可を受 け、軍隊や従業員管理、財政的もしくは娯楽目的、非医療分野における RFID インプラントの試験 が数種行われた。医療分野では、セキュアデータベース上に記録されている情報に相互に関連づ けられた 16 桁の数字に基づいて自らの個人医療記録を自動で識別・検索できるようにすることを 望む個人に対して行われた任意の RFID インプラントプログラムがある。この新しい RFID ベースの インプラントはバイオセンサーまたは個人の健康状態を監視するマイクロ電子システム(MEMS)とし て動作することも可能である。 一般論でいえば、もし RFID 患者識別プログラムがこれまでに明らかになったプライバシー問題 や課題に最低限かつ効率的に対応し、プライバシーやセキュリティ上のリスクを最小限にとどめ、 他の代替手段と同程度の効率性を有する形で利用されるのであれば、原則的として本プログラム にはプライバシーの侵害を引き起こす可能性はほとんどないはずである。 プライバシーに関する懸案事項 プライバシー団体や医師、倫理、消費者、人権擁護団体、技術者や、公共政策作成者および立 法者等の中からは、同意なしに自動的かつ遠隔的に人間を識別し追跡するあらゆる種類の技術 利用に関する提言以上の確固たる提言は出てこない。 遠隔による個人の自動識別およびトラッキングの可能性は、RFID 技術による深刻なプライバシ ー侵害の恐れや懸念の核心に踏み込むものである。 これらの懸念には以下が含まれる: 事前の通告や同意無く行われる、既知もしくは未知の組織による不正な個人識別 事前の通告や同意無く行われる、既知もしくは未知の組織による個人情報の組織的なトラ ッキングと監視 事前の通告や同意無く行われる、個人や個人間の接触に関する履歴や詳細情報の構築 取得したデータと、文脈情報や他所から得られたその他の情報との相関 データから導かれる、好ましからざる、もしくは不正確な推測 178 個人的かつプライベートな事実の不正な暴露および他者への開示 力の不平等や、RFID より生成されたデータに基づく、望ましくないソーシャルエンジニアリン グやコントロール、差別に関する潜在性 管理者が有する RFID 型個人情報への不正アクセス、データの窃盗および紛失 情報保護策が不十分であるために生じる、不明な一団による保護情報の不正な傍受およ びアクセス RFID 識別データの複写、物質的・論理的資源への不正なアクセスおよびアイデンティティ 窃盗の可能性 上記すべてによる個人へのマイナスの影響 自身のデータが不正に収集され悪用されていることに気付く能力、およびエラーや不正利 用の修正を行う能力の欠如 組織による情報管理に対しての、患者の自信および信頼の欠如 過去2年の間に米国の 20 州以上が、人物の特定と追跡における RFID 技術の利用を厳密に制 限もしくはその他の形で規定する法案を採択した。 これまでに少なくとも 3 つの州が個人の RFID 情報を強制的に「読み取る」ことを禁じる法律を施 行した。大規模な RFID 機能のついたパスポート、旅行記録、高機能運転免許証(enhanced driver's license=他の ID 機能や個人情報を付加し、単なる免許証以上の機能を持たせた免許証) や、他の携帯式ドキュメントについてはまったくの賛否両論で、プライバシー問題は重要な議題の 一つとした活発な議論が続けられている。 市民社会に関する複雑さや議論の多さには目を見張るものがある。しかしながら、医療計画に関 する提言はほとんどない。その例外として重要なものに、適切なケアや介護を受けるにあたって自 分自身の認知が出来ない可能性があり、徘徊傾向のある長期看護の対象となるアルツハイマーや 認知症患者などへの皮下への「チップ埋め込み」がある。 皮下へのチップ埋め込みは米国食品医薬品局から安全性の認可を受けており、少なくとも 1 社 の企業が、特に意識不明や意思疎通が不可能となった場合を意図して介護者にいち早く識別さ れるためなどの目的で個人にチップを埋め込む任意プログラムを米国全土で提供している。このチ ップにはアルファベットと数字による短いストリングが含まれており、セキュアデータベースに検索要 求を送信した場合には保管されている個人健康情報への迅速なアクセスが可能である。 米国医師会向けの指針を策定した米国医療倫理・司法問題評議会(U.S. Council on Ethical and Judicial Affairs(CEJA))は、2007 年に報告書を発行し、埋め込み可能な RFID 機器は、いまだ 179 タグに含まれる情報の適切な保護が立証されていないとして、個人のプライバシーとセキュリティを 侵害する可能性があると発表した。 人体への RFID(および他の ICT)インプラントによって、複雑かつ倫理的な疑問が呼び起こされ た。これらの疑問の多くは欧州委員会の科学と新技術における欧州倫理グループへと上奏された。 2005 年の報告書では、欧州倫理グループ(European Group on Ethics(EGE))は人体への RFID (および他のインプラント)埋め込みは、人間の尊厳への影響を含んでおり、これら技術の医療にお ける利用にはインフォームドコンセントおよび最大限の透明性、患者の合意が得られない場合にお ける厳しい制限が必要であることを強調した。個人の意思を支配する権限を取得する目的でのイン プラントは禁止とし、患者の自主性が基準となる。 高齢入院患者へのチップの皮下埋め込み以外に、正当な理由、事情がある場合には、一時的 な対応として、リスクが低い方法でスタッフや患者特定のために RFID 技術を利用することもあるだ ろう。少なくとも高齢者介護施設 1 ヶ所が、高齢者のストラップにアクティブタグを取り付け、スタッフ が患者の居場所を自動的に監視および追跡し、事件の際には素早い対応をとるためのシステムを 採用している。 RFID 使用例 患者 ID システム: 2007 年 1 月、HP と Precision Dynamics Corporation(PDC) 社は台湾の高雄 長庚紀念醫院(CGMH)における包括的 RFID 患者管理システムの展開を発表した。このシステム は医療機関に多くの利点をもたらし、既に患者認証の場面で肯定的な結果を出している。患者に は RFID チップのついたリストバンドが配布され、患者識別時の正確性向上と、手術室での「患者誤 認」と「手術部位誤認」のリスクを低減する。この新システムの元、高雄長庚紀念醫院は手術室での 患者識別において 100%の正確性を記録した。またこのシステムはデータ収集を自動で行い、これ までの口頭連絡や手動データ入力などによる人的ミスを削減する。この自動化により業務手順基 準の一層の遵守も可能となった。所定の手順が守られなかった場合にはリアルタイムで警告が発 せられる。また正確性の向上に加え、HP-PDC システムは効率性の改善ももたらした。医療スタッフ が医療事故の際に患者情報の確認と検証に必要とする時間は 1 件あたり 4.3 分短縮された。これ は一日当たり数百または数千に上る患者数を扱う同病院では(高雄長庚紀念醫院((CGMH)は 8,800 床を有する医療システムの一部である)大幅な時間短縮となり、結果的に医療品質の向上に 貢献することにも繋がる。加えて、機密情報であり、時に機微でもある医療情報を目に付く形でリス トバンドに印字するよりも RFID 式リストバンドを用いて情報をチップに記憶させることで、より良いプ ライバシー環境の提供に貢献している。 Wi-Fi 高齢者ケア: オーストラリアの高齢者介護サービス業者が、必要な際には高齢者が迅速 かつ容易に助けを求めることを Wi-Fi を活用した RFID システムを利用している。医療アラートシス テムは、ホームの入居者が危険なエリアへと迷い込んだ場合や、長時間に渡って動かない場合、 救助が必要な可能性があるとみて介護者に通知する。首周りに装着するコードにつけられたタグ 180 は 2x1.5 インチ程度のサイズで、0.5 インチ程度の厚さを有する。このタグは防水で、入居者が困難 な状況にあるか支援を必要としている場合に容易に押せる大きめのボタンが付いている。スタッフ も同様のタグを身につけ、必要な時にはすぐに緊急警報を発することが出来る。タグのボタンが押 されると、タグは固有の ID 番号を近場の Wi-Fi アクセスポイントへと送信し、そこから各スタッフの携 帯機器や、設備内にあるフラットスクリーンモニタへと情報が送られる。システムはタグのある部屋の 特定が可能で、またあらかじめ設定した条件以外の事象が生じた場合には警告を発するように設 定されている。 患者のモニタリング: ベルギー大学病院は、患者の居場所を追跡するだけではなく、患者の状 態をモニターするために RFID 技術を採用した最初の機関であると考えられている。この病院では Wi-Fi 方式の RTLS タグを医療監視機器と一体化し、患者の健康情報や緊急時の警告情報を遠 隔地へと送信する。無線電話を持っている看護士は監視機器から送信される血圧や酸素レベル、 心電図画像などの患者情報へと即座にアクセスすることができる。また緊急の場合には RTSL タグ が自動的に警告を発する。このシステムは現在 1,100 床規模の病院で採用されている。この統合シ ステムには旧来の無線 Wi-Fi ネットワーク、Wi-Fi 式 RTLS タグ、無線電話、無線位置情報サービ ス、あらゆる通信技術や、主要な医療システム機器メーカーによるモニタリング機器が含まれている。 タグを心臓病患者のモニタリング機器に設置することで、患者は散歩や、待合室の訪問等、院内を 自由に歩き回ることが出来る。このアプリケーションは患者の位置情報に加え、高度な医療テレマ ティックス情報を提供する。 新生児保護: 米国では毎年 100 から 150 件の新生児誘拐事件が発生し、うち 50%以上が医療 施設からの誘拐である。また年間 20,000 件以上の取り違えが起こっているが、そのほとんどは両親 が気付く前に発覚している。ダラスのある病院は、取り違えを防ぐためにアクティブタグを新生児と 母親に取り付ける「Hugs and Kisses」と呼ばれる RFID システムを最初に取り入れた病院である。新 生児の足首に「Hugs」と呼ばれるタグを取り付け、母親は「Kisses」のタグが付いたリストバンドを身 につける。もし母親が誤って自分の子供ではない新生児を取り上げた場合にはアラームが鳴り、正 しい子供の場合には無線認識機能によって認証される。誘拐と思しき場合には、RFID リーダーが 所定の場所からの新生児の移動を確認した時点で監視カメラとセキュリティ機能に繋がっているシ ステムを作動させる。システムと連動している火災報知機が稼働してタイムロックがかかった後にタ グは停止する。現在米国では 400 件以上の病院が RFID ベースの新生児・母親モニタリングシステ ムを利用している。 メディカル・インプラント: University of Texas Southwestern Medical Center の医師は、University of Texas, Arlington のエンジニアと共同で、胃の内容物が食道へと押し上げられる胃食道逆流性 疾患を検知する画期的な RFID 医療技術を開発した。この症状は食道逆流や GERD とも呼ばれ、 患者数は1,900 万人以上に上ると見込まれている。この新ソリューションでは患者の体内のデータ を計測、送信するセンサー技術と RFID とを一体化されている。10 セント硬貨程度のサイズの RFID チップが患者の食道に挿入され、これは医師が取り除くまでその位置にとどまる。電子インパルス 181 センサーを搭載したチップは、食道内の酸性または非酸性の存在を示す特定のインパルスを計測 する。回収されたこれらデータは RFID チップから患者の首にかかっている無線レセプターへと送 信される。 インプラント: 2007 年 9 月、医療や患者関連のニーズ向けに RFID システムを提供する VeriChip Corporation は、アルツハイマー病患者地域ケアプロジェクトに関する自社サービスの公式開始に 伴い、90 名以上のアルツハイマー患者と介護者に埋め込み可能な RFID マイクロチップ「VeriMed」 を配布したことを明らかにした。VeriChip 社はアルツハイマー病患者地域ケアプロジェクトへの無 償の協力活動として、200 名の患者規模によるアルツハイマー病患者と介護者の記録を管理する 「VeriMed 患者識別システム」の有効性を 2 年間試験する。 指導要綱 RFID 技術は個人の自動認識を可能とするため、人にタグ付けする場合には特に警戒が必要と される。個人情報の収集、処理、および保有と関係するプライバシーやセキュリティ面でのリスクは この中で最も大きく、そのため最も徹底的、厳格かつ透明性が高いプロジェクト管理能力とリスク緩 和措置が必要となる。 皮下埋込型 RFID チップは最も極端な例であり、独特のリスクを孕んでいる。しかしこの分類での RFID 技術の利用は、多くの場合において RFID カードやブレスレットを個人に割り当てるなどの単 純な形での利用が主である。この種類における識別目的を遂行しようとする場合、設計の際に以下 の重要な特徴を考慮しなければならない: RFID タグが直接個人情報をエンコードする、もしくはどこかに記録されている個人情報のポ インターとして機能するか タグやそこに含まれるデータが『オープンループ』システムの一部として機能するか(複数の 組織や関連者が関与しているか、等) データが外部の第三者機関によって記録もしくは管理されているか タグが改ざんもしくは複写に対しぜい弱か、またどの程度ぜい弱か タグとその中身は個人による管理可能か、またどの程度可能か タグはアクティブタグかパッシブタグか、リードオンリーか書き換え可能か タグは一時的またはそれ以外の形で個人からの取り外しが可能か(ブレスレット、アンクレッ ト、コード、インプラント、ID、名札、もしくはその他のトークン形式、等) タグ内のユニークデータ、もしくはタグそのものが、利用終了時には完全に破壊することが 可能か 182 専門的および倫理的な考察 医療機関が患者の個人(健康)情報というセンシティブな情報を収集、利用、保持および開示す るシステムを検討、設計および施行する際には、適切な専門規範やその他倫理規範などを参考に するよう強く進める。疑わしい場合には他の情報源にもあたるべきである。 カナダでは健康情報の倫理的利用のための政策、ガイドラインや規範が数多く策定され、幅広 く適用されている。それらについては以下に紹介するサイトを参照されたい: Canadian Institute for Health Research (CIHR): Policies and Guidelines in Ethics: www.cihr-irsc.gc.ca/e/29335.html Developing a quality criteria framework for patient decision aids: online international Delphi consensus process: www.bmj.com/cgi/content/full/333/7565/417 Ethics in Mental Health Research: www.emhr.net/ethics.htm 結論 本紙では RFID 技術の現在の活用例を示し、医療分野での利用についての適正さについて検 討を行ってきた。RFID 技術は安全性や医療サービス提供の効率性向上等の分野における幅広い 潜在的な可能性を秘めている。しかし、利用に際してしかるべき注意が払われなければ、プライバ シーに深刻かつ否定的な影響を与えかねないものでもある。 これまで、異なる 3 種の RFID 技術の採用についてまとめ、一般的なレベルで起こり得るプライバ シーやセキュリティ問題を明らかにしてきた。また、さまざまなプライバシー強化メソッドやツール、 プライバシーに対するセーフガードを情報システム構築の第一段階からシステムに組み込む手段 や、既知のぜい弱性や危険性、リスクの緩和方法等を提示してきた。これを踏まえた RFID システム は、全ユーザーおよび関係者からの自信と信頼を得られ、法的要件を満たすものとなるはずであ る。 第一の部類は「もの」単体のタグ付けに関する RFID 技術の利用についてであり、これには個人 を特定する要素が含まれないため、プライバシーに関する問題は生じない。 次が個人識別子との関連付けの可能性を有する部類で、個人の識別およびトラッキングの可能 性がを生じる。このため予期せぬアクセスによるプライバシー侵害への懸念が発生しないよう、強固 なプライバシー保護策の導入が求められる。 三番目が、まさに個人を特定する目的で RFID 技術を利用する場合で、この場合には RFID 技術 が個人識別子として機能する。強固なプライバシー保護対策がここでは必要とされているが、本ケ ースでは、個人の識別子に関連付けられるデータは利用に際しての主要な目的の補助として利用 されるので、当該情報への予期せぬアクセスに対する懸念は先述のケースよりも圧倒的に少ない。 183 しかしその脅威の程度に関係なくプライバシーが堅守されるよう常に注意が必要である。 我々は、プライバシーおよびデータ保護の中心である『公正な情報慣行』が明確に理解され施 行されることを確実なものとしなければならない。それによってプライバシー保護への道が切り開か れるものである。 本紙の作成にあたり協力いただいた IPO の Senior Policy & Technology Advisor である Fred Carter 氏、およびヒューレット・パッカード社カナダの新進技術チームに深謝の意を表する。 184 RFID に関するリソース RFID 技術情報ソース RFID Applications, Security, and Privacy, Garfinkel & Rosenberg, eds. 2006 年 HP Global issue Brief – Radio Frequency Identification (RFID): www.hp.com/hpinfo/abouthp/government/ww/gib_rfid.html?jumpid=reg_R1002_USENTBC GS1 EPCglobal: GS1: www.gs1.org EPCglobal: www.epcglobalinc.org Discover RFID: www.discoverrfid.org RFID Journal: www.rfidjournal.com RFID Update: www.rfidupdate.com RFID とヘルスケア/ライフサイエンス RFID Journal, Radio Frequency Identification in Health Care (2007 年 12 月): www.rfidjournal.com/article/articleview/3777 Informationsforum RFID, RFID for the Healthcare Sector (2007 年 8 月): www.info-rfid.de/downloads/RFID_-_for_the_Healthcare_Sector.pdf The European Group on Ethics in Science and New Technologies to the European Commission, Opinion 20: Ethical aspects of ICT implants in the human body (2006 年) プレスリリース:http://ec.europa.eu/european_group_ethics/docs/cp20_en.pdf リポート:http://ec.europa.eu/european_group_ethics/docs/avis20compl_en.pdf - The ethical aspects of ICT implants in the human body: Proceedings of the Roundtable Debate ( 2004 年 12 月 21 日 、 ア ム ス テ ル ダ ム ) : http://ec.europa.eu/european_group_ethics/publications/docs/tb21dec_ict_en.pdf. AMA Council on Ethical and Judicial Affairs, CEJA Report 5-A-07: Ethics Code for RFID Chip Implants (2007 年 7 月): www.ama-assn.org/ama1/pub/upload/mm/467/ceja5a07.doc IDTech Ex, RFID for Healthcare and Pharmaceuticals 2007-2017, at: www.idtechex.com/products/en/view.asp?productcategoryid=101 185 RFID とプライバシー Office of the Information and Privacy Commissioner (IPC) of Ontario (Ann Cavoukian, Ph.D.), www.ipc.on.ca - Tag, You’re It: Privacy Implications of RFID Technology (2004 年) - Overview of RFID Privacy-Related Issues (2006), Presentation by the Commissioner to EPCglobal Inc ( 2006 年 7 月 ) : www.ipc.on.ca/images/Resources/up-2006_07_20_IPC_EPCglobal.pdf - Can You Read Me Now? The Privacy Implications of RFID (March 2007), speech to the International Association of Privacy Professionals/-KnowledgeNet Toronto on the privacy implications of RFID technology, at: www.ipc.on.ca/images/Resources/up-12007_03_13_IAPP_KnowledgeNet.pdf RFID and Privacy: A Public Information Center: http://rfidprivacy.mit.edu/access/happening_legislation.html RFID 利用ガイダンス IPC, Commissioner Cavoukian issues RFID Guidelines aimed at protecting privacy, News Release (2006 年 6 月)www.ipc.on.ca/images/Resources/up-2006_06_19rfid.pdf - Privacy Guidelines for RFID Information Systems (RFID Privacy Guidelines) www.ipc.on.ca/images/Resources/up-1rfidgdlines.pdf - Practical Tips for Implementing RFID Guidelines www.ipc.on.ca/images/Resources/up-rfidtips.pdf Article 29 Data Protection Working Party, Results of the Public Consultation on Article 29 Working Document 105 on Data Protection Issues Related to RFID Technology (2005 年 6 月): http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp111_en.pdf Article 29 Data Protection Working Party, Working document on data protection issues related to RFID technology 10107/05/EN WP105 (2005 年 1 月 19 日): http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2005/wp105_en.pdf European Commission, Radio Frequency Identification (RFID) in Europe: steps towards a policy framework {SEC(2007) 312} (2007 年 3 月): http://eur-lex.europa.eu/LexUriServ/site/en/com/2007/com2007_0096en01.pdf 186 European Data Protection Supervisor, Opinion on “RFID in Europe … steps towards a policy framework” ( 2007 年 12 月 ) : www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opi nions/2007/07-12-20_RFID_EN.pdf European Parliament Scientific Technology Options Assessment (STOA), RFID and Identity Management in Everyday Life: Striking the balance between convenience, choice and control, IPOL/A/STOA/2006-22 (2007 年 7 月): www.europarl.europa.eu/stoa/publications/studies/stoa182_en.pdf Electronic Privacy Information Center (EPIC), Privacy Implications of RFID Technology in Health Care Settings presentation to the U.S. Department of Health & Human Services (2005 年): www.epic.org/privacy/rfid/rfid_ncvhs1_05.ppt Conference of International Privacy and Data Protection Commissioners, Resolution on Radio-Frequency Identification (2003 年): www.privacyconference2003.org/resolutions/res5.DOC U.S. Federal Trade Commission, Radio Frequency Identification: Applications and Implications for Consumers (Workshop Report, Mar 2005) : www.ftc.gov/os/2005/03/050308rfidrpt.pdf CDT Working Group on RFID: Privacy Best Practices for Deployment of RFID Technology, at: www.cdt.org/privacy/20060501rfid-best-practices.php RFID Position Statement of Consumer Privacy and Civil Liberties Organizations, at: www.privacyrights.org/ar/RFIDposition.htm Halamka, Juels, Stubblefield, and Westhues, The Security Implications of VeriChip Cloning, at: www.jamia.org/cgi/content/abstract/M2143v1 RFID とセキュリティ National Institute of Standards and Technology (NIST), Guidelines for Securing Radio Frequency Identification (RFID) Systems Recommendations of the National Institute of Standards and Technology (April 2007), Special Publication 800-98 at: http://csrc.nist.gov/publications/nistpubs/800-98/SP800-98_RFID-2007.pdf RSA Laboratories, RFID Privacy & Security, at: www.rsa.com/rsalabs/node.asp?id=2115 187 Demo: Cloning the Verichip, at: http://cq.cx/verichip.plRSA. Laboratories,RFID Privacy & Security, at: www.rsa.com/rsalabs/node.asp?id=2115 “Security Analysis of a Cryptographically-Enabled RFID Device” at: www.usenix.org/events/sec05/tech/bono/bono.pdf Privacy-Enhancing Technology (PET) Award Press Release at: www.microsoft.com/emea/presscentre/pressreleases/20062007PETawardsTS.m 188 Adding an On/Off Device to Activate RFID Tags in Enhanced Driver’s Licences: Pioneering a Made-in-Ontario Transformative Technology That Delivers Both Privacy and Security 高機能運転免許証の RFID タグを作動させるオン/オフのデバイスの付加:プライバシーとセ キュリティの両者を実現するオンタリオ州製のプライバシー保護転換技術の開発 189 高機能運転免許証の RFID タグを作動させるオン/オフのデバイス の付加:プライバシーとセキュリティの両者を実現するオンタリオ 州製のプライバシー保護転換技術の開発 2009 年 3 月 無線自動認識(RFID)技術にはよく知られているプライバシーとセキュリティ上のぜい弱性がある。 そのため、オンタリオ州の高機能運転免許証(Enhanced Driver’s Lincence、以下 EDL と記す。)へ の RFID の搭載が決まったと知った時、まず「RFID の機能性を損なわずにプライバシーの保護が 可能な技術へと転換するにはどうすれば良いか?」との考えが浮かんだ。米国政府が自国の EDL に採用した RFID 技術は、カナダと米国の国境にある権限のあるリーダーだけでなく、秘かに設置 された商用の RFID リーダーにも反応する可能性がある。そのため、EDL の保有者が、RFID が不 正な第三者に読み取られることを防止できるようにし、越境時以外には RFID 機能を解除できるよう にすることが不可欠となる。 90 年代から私は「プライバシー・バイ・デザイン」というコンセプトを提言してきた。この言葉は、プ ライバシー保護をデフォルトにするために、技術の設計仕様にプライバシーを組み込む考えを表 現するために発展させてきたものである1。私は、プライバシーとセキュリティの関係を、一方(セキュ リティ)を立てればもう一方(プライバシー)は疎かになるという、ゼロサムゲームとみなしたことはな い。プライバシーを侵す可能性のあるシステムにプライバシー対策を組み入れることは、必ずしもセ キュリティや機能性を犠牲にするものではなく、むしろ実際には全体の保護レベルを強化すること になるというポジティブサム・パラダイムが好ましいと個人的には考える。そしてそれを突き詰めてい けば、RFID 技術を EDL に採用するに際して「プライバシー・バイ・デザイン」のコンセプトを取り入 れることは可能であると確信している。 2008 年 10 月、第 85 号一般政府法案(Bill 85)に関するオンタリオ州議会の常任委員会への提 案および証言で、私は「カードに装着された RFID タグにプライバシー強化のための On/Off デバイ スを追加するよう、関係省は担当ベンダーと連携してあたらなければならない」(提案 4)ということを 提言した。これは、オンタリオ州の EDL に利用される RFID 技術を安全なものにするために私が推 1 『プライバシー・バイ・デザイン』の起源については、筆者の論文『プライバシー・バイ・デザイン』 を以下より参照されたい: http://www.ipc.on.ca/images/Resources/privacybydesign.pdf 190 奨するプライバシー強化策である。 政府の定める 2009 年 6 月の期日までに On/Off スイッチを EDL に搭載することは不可能だとい うことが判明した。よって EDL の取得を予定している人は、当面の間、EDL にはプライバシーのリス クが伴うことを認識するよう注意すべきである。EDL と共に配布される保護スリーブはプライバシーリ スクを完全に解消するものではないが、On/Off スイッチが EDL に搭載されるまでの間は皆保護ス リーブを利用するべきである。 オンタリオ州政府は「保護スリーブから EDL を取り出さない限りには RFID 情報は誰からも読み取 られることはない」2として、保護スリーブを EDL と共に提供する予定だ。しかしワシントン州の EDL で行われた検証では、カードがスリーブの中にあっても EDL 内の RFID タグに記憶されている情報 が読み取られることがあり得るとの結果が出た。特に、人が手に持っているスリーブ入りの EDL は、 27cm の距離から読み取ることが可能だという結果が出されている。また、研究者は、折れ曲がった スリーブに入っている場合には、後ろポケットの財布に入れられた EDL は、57cm の距離から読み 取れることも明らかにしている。 更に、スリーブがリーダーのアクセスを完全に防ぐことが出来たとしても、問題が二つ残る。第一 に、個人がそのスリーブを実際に利用するという保証がないという点である。カナダ、ブリティッシュ コロンビア州での EDL 実用化試験では、スリーブに納められた EDL はほぼすべての財布のカード 入れ部分に適合しないことや、またスリーブが不便であることから、スリーブをほとんど利用しない利 用者が散見された3。 第二に、オンタリオ州民は殆どの場合、EDL を米国との国境を越えるということとは関係なしに、 オンタリオ州内で運転免許として、もしくは政府発行の写真付き身分証明書として利用するであろ うという点である。所有者が国境を越える以外の目的に利用するために免許をスリーブから出した 時に、EDL は秘密裏にかつ不正に読み取られる危険性に晒されることになる。 昨年の私の発言以来、EDL への On/Off スイッチ搭載についての支持は勢いを増し、住民の関 心を集め続けている。ワシントン大学の調査4は、カードへの On/Off スイッチの搭載を含めて、EDL 2 オンタリオ州交通省サイト『Enhanced Driver's Licence (Background and FAQ)』: http://www.mto.gov.on.ca/english/dandv/driver/enhancedcards.shtml 3 ブリティッシュコロンビア州 EDL プログラム、フェーズ 1 施行前調査。Insurance Corporation of British Columbia 社サイトより参照可能: http://www.icbc.com/licensing/pdf/pir-post.pdf 4 V. Brajkovic, A. Juels, T. Kohno & K. Koscher, 『EPC RFID Tags in Security Applications: Passport Cards, Enhanced Drivers Licenses, and Beyond』 (2008 年) 【未発行】。以下アドレスより 参照可能: http://www.rsa.com/rsalabs/staff/bios/ajuels/publications/EPC_RFID/Gen2authentication--22O ct08a.pdf 191 に関するさまざまな技術的および手続的な面での改善策を提示している。また、2009 年の MIT の 出版物は、EDL に On/Off スイッチを加えることに賛同するジョンズ・ホプキンス大学 Avi Rubin 博士 の研究5を取り上げている。 今後も私は、EDL に On/Off スイッチを追加することを、プライバシー強化のソリューションとして 主張し続ける。当事務局の調査では、米国国土安全保障省の定める西半球海外渡航イニシアティ ブ(Western Hemisphere Travel Initiative(WHTI))を満たす On/Off デバイスを排除するような法的 障害は存在しないとの結論が出ている。 これらの取り組みは、オンタリオ州民が EDL の利用を選択した際に自らのプライバシーを保護す るための技術を提供するために行われている。近い将来にこの On/Off スイッチがオンタリオ州の EDL で利用可能になることを心から望んで止まない。このような革新的なプライバシー強化の付加 は、EDL をオンタリオで生まれたセキュリティとプライバシーを両立させるためのプライバシー保護 転換技術に変化させることによって、先駆者としての利益をオンタリオ州にもたらすことだろう。 5 E. Naone, “RFID’s Security Problem Are U.S. passport cards and new state driver’s licenses with RFID truly secure?” MIT’s Technology Review (January/February 2009)。 以下アドレスより参照可能: http://www.technologyreview.com/computing/21842/?a=f 192 The Commissioner’s Remarks to the Standing Committee of the Legislature of Ontario Regarding Bill 85, to Create an Enhanced Driver’s Licence 高機能運転免許証を作成するための、第 85 号法案(Bill 85)に関するオンタリオ州議会常任委 員会へのコミッショナーの進言 193 高機能運転免許証を作成するための、第 85 号法案(Bill 85)に関す るオンタリオ州議会常任委員会へのコミッショナーの進言 2008 年 10 月 序文 初めに、この度は政府常任委員会参加者各位に対し、2008 年写真付きカード法(Photo Card Act)として知られている、第 85 号法案審議の場において、プレゼンテーションを行う機会を与えて 頂いたことに、感謝の意を表したい。 オンタリオ州情報・プライバシーコミッショナーとしての私の職務には多くの責任が含まれている。 中でも、議題に挙がっている法案や政府による広範囲にわたる技術的変更がプライバシーに与え ると予想される影響について助言を与えることが、私に課せられた最も重要な責務の一つであると 考えている。また、プライバシー保護において実践的であること、および正しい情報が市民に届くと いうことを確保することが、極めて重要だと信じている。プライバシー上の課題や、それにまつわる 懸念事項についての一般への周知が徹底されていない場合、これらの課題はすべてが手遅れに なってから表面化することになるかもしれない。議題に挙げられているこれらのカードの申請を判断 する際に、十分な情報を与えられた上で選択できるように、この新しい計画と法律によって生じる影 響を、市民は理解する必要がある。 議題に上っている本法案の主な目的は、米国入国の目的に限ってのみパスポートの代替と成り 得る高機能運転免許証(以下、「EDL」と称する)を政府が発行可能とすることにある。それに加え て本法案は、視力障害等のために運転免許証を保有しないか、保有することが不可能な者に対し、 新しいタイプの写真付きカードを発行する権限を政府に与えることを意図している。このような写真 付きカードは、既にほぼすべての州で採用されている。第 85 号法案はこのようなカードをオンタリ オ州においても利用できるようにし、米国に旅行する際のパスポートの代替として EDL と同様に利 用できるよう、政府の手によって写真付きカードの機能を強化することを可能とするものである。 また、西半球海外渡航イニシアティブ(Western Hemisphere Travel Initiative)(以下、一般的な 呼称に従って「WHTI」と記す)は、9.11 事件後の安全上の理由から生まれたものだとも認識してい る。 人々がテロリズムへの恐怖を抱いていることは、自分も一国民として十分に理解している。しか し、私はコミッショナーとしての立場から、さまざまな自由、中でも、我々のすべての自由の根幹を 成すプライバシーに関する自由を失う可能性についても危機感を抱いている。 9・11 事件から月日が経つに連れ、多くの人々、特に米国国民は、愛国心が欠けているとみなさ 194 れることを恐れ、プライバシーへの懸念を訴えることを躊躇している。今でもはっきりと覚えているが、 9・11 事件の後、カナダ放送協会(CBC)からこの事件について私の「立場」からの意見を聞きたい との電話を受けて、「公共の安全性は重要だがプライバシーとのバランスが必要である」という題の ポジションペーパーを事務局の Web サイトで公表した。この時私の取った立場は、公共の安全は 守らなければならないが、しかし―この「しかし」はとても重要な意味を持つ―その為の安全対策は 建前ではなく現実的なものでなければならず、また必要かつ効果的なものでなければならないとい うものだった。私たちは、安全性という単なる名目のためだけに、プライバシーや自由を手放すべき ではない。私は、安全と治安はプライバシーの犠牲のもとには実現されない、それは、根本的に間 違っているということを主張した。プライバシーは我々の自由の核になるものなので、セキュリティの 追求ためにプライバシーを手放すのは高すぎる代償である。 以上を踏まえ、今日私がこの場にいるのは第 85 号法案に反対の意を示すためではなく、同法案 に対して私が抱いている懸念事項を各位と共有するためであることを明確にしておきたい。また念 のために申し上げておくが、カナダのパスポートに代わる渡航文書を導入しようという政府の取り組 みに反対するものでもない。この問題の背景には何があり、どのようなアプローチがより良い結果を 生むかについて、後ほど改めて指摘したいと思う。私はただプライバシーがこのプログラムに組み 込まれることを確実なものとしたいだけである。 まず初めに、当事務局は、過去 1 年にわたって、WHTI 関連事項や米国政府基準に沿う代替的 な越境用デバイスの実装についてのオンタリオ州の計画について、逐次情報を提供していただい た運輸省(Ministry of Transportation (MTO))、オンタリオ州政府間関係省や内閣と良好な共同関 係を築き上げてきた。 そして当事務局では本プロジェクトへの市民の理解を深めるための活動を積極的に行ってきた。 今年(2008 年)の夏には、トロント大学の Andrew Clement 教授と共催で、EDL に関するプライバシ ーとセキュリティ問題についてのパブリックフォーラムを開催する機会に恵まれた。その際、素晴ら しいプログラムであるトロント大学のアイデンティティ・プライバシー・セキュリティ・イニシアティブ、お よび州政府や連邦政府、カナダ消費者協議会(Consumer Council of Canada)、二国間観光同盟 (Binational Tourism Alliance)、カナダ国立視覚障害者協会(Canadian National Institute for the Blind)などの消費者団体や市民権団体の代表者各位を含めて、賛否双方の立場の方々から幅広 い意見を伺った。さまざまな利害関係者からの御意見は、EDL プログラムの持つさまざまな要素を 明らかにする上で大変有用なものだった。 続いて、第 85 号法案におけるプライバシー問題についての概要を説明したい。 慎重に調査した結果、第 85 号法案では、世界的に認められている FIPs に共通に含まれるプラ イバシー原則のうち、いくつかのものが欠けていることが判明した。これらの原則各個については提 出書類に詳細を記してあるが、ここではその中の一つだけ、「説明責任」の問題についてのみ討議 したいと思う。 195 説明責任-公開性および透明性、パブリック・コンサルテーション 公開性と透明性は、特に政府が市民に関する大量の個人情報を扱う管理者として機能する場 合に、政府の説明責任の鍵となるものである。私がここで懸念しているのは、第 85 号法案は、オン タリオ州民のプライバシーやセキュリティに影響を与える重要な問題について、公示やパブリックコ メントを行うことなく、官僚の裁量に委ねるか、もしくは将来改めて規則を定める形で対処するように している点である。 これらの諸問題については第 85 号法案では明確にされておらず、政府によって収集、利用また は提供される特定の個人情報や、以下に関する詳細についても言及されていない。; 写真付きカードに含まれる情報について 写真付きカードを旅行目的で利用可能にするためのセキュリティやその他の特徴について オンタリオ州政府が、地方自治体および他の州、準州や連邦政府の省庁・機関から収集す る非常に多様な情報について オンタリオ州政府が地方自治体、他の州および連邦政府の省庁や機関へ提供する情報が 明確ではないこと 情報共有に関する合意の内容について 写真付きカードの発行要件 このような状況下で透明性と説明責任を実現するためには、第 85 号法案で規則制定権限を与 えられている者は、規則を制定する前にパブリック・コンサルテーションがなされるようにする必要が ある。このようなコンサルテーションが法律に定められるのはオンタリオ州において初めてのことで はない。他の例として、個人健康情報保護法(Personal Health Information Protection Act)、環境 権法(Environmental Bill of Rights)および労働安全衛生法(Occupational Health and Safety Act) がある。 政府の役人および公務員の一人としての立場から、州民の生活に影響を与える可能性のある判 断を下す際には、オンタリオの人々に自らの意見や見解を表明する機会を与えることが必要だと考 える。それを成し遂げるために、オンタリオ州個人健康情報保護法に使われている表現に基づい た特定の文言をこれまでの提言で提案してきた。 政府の説明責任については、第 85 号法案にある写真照合技術に関する条項がもっと「透明」で あるべきだと申し上げたい。ここで提案されている技術とは、顔認証ソフトを利用して、省庁内にあ る運転手写真のデータベースと照合するために、運転免許証に何年にも渡って表示されている運 転手の顔写真を、バイオメトリックテンプレートへと変換するものだと私は理解している。政府は、収 集したバイオメトリクスが、たとえ既に慣習的となっている情報や、これまでに繰り返し収集されてき 196 た情報であるとしても、このバイオメトリクスを内部でのみ、およびカード所有者の身元を照合する 目的でのみ利用することを保証する必要があり、情報の利用について厳重に管理することが重要 である。 この後は、二つの重要な課題について意見を述べたい。その二つとは、市民権情報の確認と RFID に関する課題である。まず市民権情報の確認について簡単に説明したい。 市民権の確認/データベースの重複 2008 年当初、EDL プログラム案におけるセキュリティリスクに関する最大の懸案事項に市民の耳 目を集めるためにプレスリリースを発表した。各州は EDL(非運転者の場合には高機能写真付きカ ード)の申請を受けた場合、申請者の市民権を確認するよう求められている。申請者は、カナダの 市民権を有する旨の証明書を運輸省に提出し、申請用紙のアンケートに回答し(質問例:「申請者 の出生時において、申請者の親の一方が、カナダ政府が国家として承認している国の外交官、領 事館官吏、または政府議員もしくは職員の身分にあったか?」、「申請者の親の一方は 1977 年 2 月 15 日以前にカナダの市民権を放棄したか、もしくは喪失したことがあるか?」)、個人面談を受け なければならない。 それに際し、私は連邦政府すなわちカナダ政府に対し、EDL を申請するカナダ国民の市民権を 確認する重複した手続を再実行することを避けるために、帰化人(カナダ生まれではない者)に関 する市民権情報を安全な形でオンタリオ州に提供してくれるよう申し入れた。 これは目新しい話ではない。連邦政府-州政府間での安全な情報共有については既に先例が 複数存在している。例えば、 オンタリオ州の GAINs プログラムでは、州は個人の納税状況についての情報を有している 連邦政府のカナダ歳入庁(Canada Revenue Agency)からその情報を受け取っている。 そして、各州から市民権情報の請求を受けた場合には、カナダ国内の市民権情報を保有してい るカナダ市民権・移民省(Department of Citizenship and Immigration Canada(CIC))が各州に対し て情報を提供するよう申し入れるため、私は少し前に、EDL プログラムの国内調整担当である Stockwell Day 公安大臣との対話に着手した。 さらに、オンタリオ州運輸省次官および政府間関係省次官とのやり取りの中で、責任ある情報管 理のためには、データの最小化が常に必要である、つまり必要がないのであれば、新しい個人デ ータを収集するべきではないという事実に気がついた。各州で市民権情報データベースをゼロか ら作り上げるよう求めるのは、既に連邦政府がそのデータベースを持っていることからも事実上無 駄な労力であり、煩雑な工程を経て既存のものと同様のものを作りだすことに不要なコストが生じる のは言うまでもなく、プライバシーとセキュリティへの不安を不必要に引き起こすものでもある端的に 言えば、連邦政府は貴重な時間と納税者のお金という資源を、既に政府が持っている情報資源を 197 重複して作成するためなどに浪費すべきではないのである。 連邦政府が既に保有している市民権情報のミラーデータベースを作るのは、ID 窃盗の危険性を 高めるだけでなく、既存の情報を再度作成する中でミスや間違いが生じるなど、予想外の結果を引 き起こす可能性を増加させることに繋がる。また、これが市民権に関する単純な「はい/いいえ」の 回答であるという誤解が生じるといけないので、そうではないということを強調しておきたい。データ ベースは、明らかに、各申請者との長時間に渡る個人面談での回答や注記を記録しなければなら ない。それだけではない。もし面談の質問によって複雑な状況が判明した場合、その件はとにかく 連邦政府へと転送されることになり、そうなれば更に情報が複製され、費用やプライバシーへのリス クが増加することになる。これは簡単な問題ではない。だからこそこれ以上複雑にならないようにす べきである。 ここで明らかにしておきたいのだが、私は、これが連邦政府としての課題であり、州首相や運輸 大臣レベルの問題ではないということは承知している。しかし、連邦政府が生み出した問題である か否かに関わらず、これは今解決しなければならない問題なのである。連邦政府は既にこの市民 権情報を持っている。容易に帰化人の市民権情報を照合し、オンタリオ州など州レベルでのリクエ ストがあれば、それを安全に提供出来るだけの仕組みも持っている。そのためこの構想が可能にな れば、一層のプライバシー保護と高い費用対効果を併せ持った、つまりより強固なプライバシーと セキュリティをより低いコストで達成する「WIN-WIN」のモデルとなることは明白である。 次は、第 85 号議案において非常に重要な要素であると考えられるもう一つの領域、すなわち無 線自動認識技術、または RFID と呼ばれる技術の利用について申し上げたい。 RFID 技術 RFID 技術の詳細をご存知ではない方のために、トピックの紹介をとても簡単に行おうと思う。 RFID とは、自動認識目的のために無線の電波を利用するさまざまな技術の総称で、タグとリー ダーの二つを不可欠の構成要素とするものである。「バーコード技術の強化版」のようなものだと考 えていただきたい。 RFID タグは、大きくアクティブとパッシブの 2 種類に分けられるが、この違いは電源が内部にある か否かである。パッシブタグには電源は無く、タグ上の情報を自主的に送信する機能もない。 最後に、RFID タグは、ホストコンピューターに接続されているリーダーによって起動されることを 知っておくべきである。パッシブシステムでは、RFID リーダーは電波を通じて、チップに電源投入し て RFID タグを「起動」することで、シグナルを送信し、それによりデータの交信を可能とする。 私はこれまで、RFID 技術に含まれるプライバシーを保護しようと、この分野で何年にもわたり活 動を続け、当事務局ではこの問題についての論文を三本と、一連の実践的なガイドラインを発表し てきた。RFID タグを越境目的で利用することには多くの利点があり、私はこれに反対するものでは 198 ない。しかし、他のすべての情報技術と同様に、RFID においても、システム設計の初期段階からプ ライバシー問題への取り組みがなされる必要がある。私は、これを「プライバシー・バイ・デザイン」と 呼んでいる。この言葉は、私が 90 年代初頭に提唱したもので、プライバシーをシステムに適切に組 み込むことで、プライバシーがシステムのおまけのような存在になり下がらないことを確保しようとす るものである。 サプライチェーン・マネジメントのプロセスや資産の棚卸の分野などでタグを利用した管理を行う ことは、プライバシーへのリスクを生じさせることはない。しかし、タグが比較的長い期間稼働するこ と、収集されるデータの性質と量、タグのデータと特定可能な個人との結びつきの強度、加えて関 係するデータの機微性によって、タグを利用した管理は不安をもたらす可能性もある。ひとたびデ ータが関連づけられて個人が特定可能な状態となれば、そこにプライバシーに関する懸念が生じ る。 第 85 号法案および EDL プログラムとどのように関係するかについて 現在、米国の税関・国境取締局(Customs and Border Protection(CBP))は、NEXUS などの信頼 できる、もしくは登録されている旅行者プログラム において、「事前に承認を受けた国外の低リスク の商用旅行者および通勤・通学者の越境の手続きを迅速にする目的のために」、指定された国境 地点で RFID 技術を利用している。米国国土安全保障省は、承認を受けた渡航文書に RFID タグ の装着を義務付けている。 カナダ―米国間の国境地域の観光を支える NPO である、二国間観光連合の事務局長 Arlene White 氏は、当事務局によって今夏開かれた EDL フォーラムにて、これらの国境地域コミュニティ について、およびこのプログラムへの強いサポートについて語った。そして、国境での交通の円滑 化を確実にすることへの願望を強調した。同氏の見解では、これらの目的は RFID 技術無しには成 し遂げられないものだとしている。 そこで、これらのことがプライバシーとセキュリティに関して意味することついて、少し説明したい。 すべての RFID 技術は、無線という基本特性を持っている。これは、チップに含まれるすべての データ、ここでは搭載されている RFID チップに記憶されている一意のインデックス番号が、RFID リ ーダーによって情報データベースへと送信されることを意味する。この番号は、データベースに含 まれる個々の個人情報のポインターとして機能し、この一連のプロセスを完了するために必要なも のである。 現在、RFID 技術にまつわるプライバシーとセキュリティに関する既知のぜい弱性で、RFID 式 ID カードおよび RFID 情報システムにも当てはまるものがある。中でも上位 3 位に挙げられるのが以下 である: - スキミング 不正な RFID リーダーを持つ者が、カード所有者に知らせることなく RFID チップ 199 の情報を取得すること。RFID はリーダーが正当なものか不正なものかに関わらず、エリア内 のどのリーダーでも受信できる無線信号を送っていることを忘れてはならない - 傍受 承認を受けた RFID リーダーを用いて、不正な第三者がデータを傍受することで発生 する - 複製 オリジナルの RFID チップに含まれる固有の情報が読み取られ、もしくは傍受され、そ のデータが複製されることで生じる これらのぜい弱性は、不正な識別や ID 窃盗、そしてより深刻な、秘密裏に行われる個人のトラッ キングと監視等の望ましくない結果へと繋がる可能性があり、その結果プライバシーは失われてし まうことになる。 上記の懸念に対し、EDL で利用される RFID Gen2 規格では個人識別情報が一切含まれず、デ ータベースにあるカード保有者のレコードに繋がっている一意の番号だけが記憶されるため、プラ イバシーへの心配はないとの説明を受けるだろう。しかしその説明は正しいのだろうか?答えは 「No」だ。社会保険番号やパスポート番号、または運転免許証番号など、これらの識別番号は「た だの数字の羅列」で「何の役にも立たない」ように見受けられるかもしれないが、個人識別情報と結 びついた場合には、不正な第三者による悪用や、予想外の目的に利用されて実際に大きな被害 を与えかねない可能性が生じる。ID 窃盗はその典型的な例でしかない。 したがって番号が、一意に個人と結びついた場合には、それは意味のない番号の羅列ではなく、 重要な意味を持ち始める。それは、実際の個人識別情報と結びつき、その結果、悪用される可能 性が生じることになる。 チップに記憶されるデータの内容が何であれ、そのデータが静的データや、不正なリーダー(も しくは複数の不正リーダーによるネットワーク)からアクセス可能なデータであれば、カード保有者の 身元が明らかにされ、みずからの知らないままにその行動を追跡されることになり得る。そして、たと えカード上のデータが現在登録済みの個人情報と結びつかなかったとしても、後日改めて情報を 集めるために利用される可能性が残っている。これは一見あまりにも遠い未来の話のように感じら れるが、実はそれほど遠い話ではないと断言できる。 最近は、ID 窃盗の増加が著しく、カナダおよび米国の取締機関では、北米において最も増加傾 向にある消費者詐欺であると見られており、多くの人間が関わる組織的犯罪であることが多い。 現時点では、カード保有者へのプライバシーとセキュリティ対策として、カードがスリーブに入っ ている時には RFID タグのデータの送受信を防ぐファラデーケージと呼ばれる「電波を通さない」ス リーブを提供している。一部ではドリトスチップス袋(Dorito Chips bag)とも呼ばれている。アルミホイ ルを利用して同様の効果を得ることも可能である。 しかしこれは十分な解決策とは言えない。カード保有者にとっては不便なことではあるが、このよ 200 うなケース等にカードを挿入することを忘れてはならない。だがそう上手くはいかない。忘れていた、 面倒だ、やりたくない等の理由でケースを利用しない可能性がある。また、現在良く見られるように、 楽だからという理由で財布にそのまま免許を放り込んでしまう人もあるだろう。 この提案されている保護スリーブが、唯一のプライバシー対策である場合、それはつまり、カード 保有者がカードをスリーブに入れるまでの間、不正な RFID リーダーによって記録されているデータ の収集を許容しているのと変わりがない。この解決策は、個人がカードをスリーブに入れている間 だけ保護するのであり、それ以外の場合にはカードからの読み取りはまったく自由に制限無く行え ることになる。 民主主義と技術のためのセンター(Centre for Democracy and Technology)の事務弁護士兼フェ ローの Sophia Cope 氏のような指導的な研究者も、この対策が十分とは言い難いことに賛同してい る。REAL ID 法および西半球海外渡航イニシアティブの実施について上院委員会で発言した際に、 Cope 氏は、ファラデースリーブのようなプライバシーリスク低減策は「不適切にも市民に対しプライ バシー保護の面での負担をかけるものである。また、日々の商業利用の場面で運転免許証や ID カードを保護スリーブから取り出して利用する多くの機会があり、そのような場合にはこれまで我々 が列記してきたすべてのリスクにみずからのデータを晒すことになるという事実に照らすと、スリー ブは何ら保護をもたらすものではない」と述べている。オンタリオ州では、人々は投票や銀行口座 の開設、クレジットカードの申請等、政府発行の写真付き身分証明書を提示するよう求められるとき に、運転免許証を身分証明書として利用する傾向がある。 本プロジェクトのために採用された RFID 規格は、すべてのリーダーからのクエリに反応すること から、必要がない場合や越境時以外のさまざまな目的に利用される場合には、データの読み取り を防ぐ何らかの機能をカードに付加することが必須であり、スリーブよりも良い解決策が必要とされ ていると私は考えている。 そこで、私は解決策を探し回った。得られた回答の中で最も良いと思われたのは、カード保有者 に物理的にカードの通信設定を選択できるオプションを与えるということ、つまり直接カードに組み 込むことが可能な「On/Off スイッチ」と同様のものを RFID に搭載するというものだった。 私は、未開発の技術に基づいてこのよう提案をしているのではない。さまざまなグループが既に この技術の開発を進めている。MIT メディアラボでは既に、カードに直接搭載可能で、カード保有 者がいつどこでタグ内の情報を送信するかを設定できる RFID タグ用「On/Off スイッチ」の特許を取 り、試作品を製作している。 また、英国に本拠を置く Peratech 社は、この技術を更に発展させ、量子トンネリング複合体 (Quantum Tunneling Composites、以下「QTC」と記す) 技術を使った On/Off スイッチを開発した。 同社の創立者であり CTO でもある David Lussey 氏は、「Paratech 社の技術は、RFID 式運転免許 証での『On/Off スイッチ』として機能する用途のために利用する許可を得ており容易に利用できる。 201 ほぼすべての主要 RFID カードメーカーで利用されている一般的な熱ラミネーション式製造工程で も確実に機能することが完全に検証されている。そして数ドルでは無く数セントでの生産が可能だ」 と教えてくれた。これはとても前途有望な技術だろう。 米国にも同様の企業がある。Root Lab 社で研究を進めているスイッチは、サンフランシスコ湾の 高速料金所の利用者が使っている送受信機に組み込まれて機能する予定である。 私はこの非常に有望な技術をオンタリオ州の EDL のために真剣に検討する必要があると考え、 この技術をさらに発展させるために、州内から EDL 生産のために選ばれたベンダーと我が国の政 府を引き会わせた。私は、この有望な技術の実現可能性と発展のためには、この両者を会わせる ことが不可欠だと感じたからである。実際に、政府が選出したベンダー のある上級管理職社員は、 「Peratech 社の QTC 技術のように、カード上の『On/Off スイッチ』で RFID データの送信を個人で 管理する手段を提供する新しく現われた技術の発展に我々は気付いている。さらに、Giesecke & Devrient (G&D)社は、RFID の機能性、セキュリティとプライバシーを強化するために自社技術の開 発と他社の技術の評価を進めている」 と教えてくれた。 オプションは多ければ多い程ベターである。この件については引き続き注視されたい。 プライバシー・バイ・デザイン 話を変えて、プライバシーと技術の背景について、展望を少し説明したい。1990 年代初頭より、 技術とは堅固なセキュリティを提供するだけでなく、私たちのプライバシーを保護するものであると の考えを提案し続けてきた。1995 年には、技術は、セキュリティのためにはプライバシーを犠牲に すべきだという「ゼロサム」の思考の罠から我々を解放してくれるとの見解を打ち出している。しかし、 それを成し遂げるには我々自身が「ポジティブサム」パラダイムへと進化していかなければならない。 私たちはプライバシーとセキュリティを対極にある存在だとみなすべきではない。この新しいポジテ ィブサムの「WIN-WIN」シナリオの中では、PETs の利用を通じてプライバシーを保護し、個人情報 を保護するため、プライバシーとセキュリティの共存が可能である。監視技術に適用する場合には、 PETs はこの監視技術をプライバシー保護の技術へと生まれ変わらせる。技術は我々のプライバシ ーを保護する一方で、設計された目的通りに機能性を発揮することが可能となるところまで進化し たと 考える こと から、 私はこれを新たな用語で「 プライバシー保護 転換技術( Transformative Technologies)」と名付けた。しかしこれは、プライバシーを開発段階から技術の設計仕様に直接組 み込んだ場合にのみ可能なことである。先にも述べたが、私はこれを「プライバシー・バイ・デザイン」 と呼んでおり、これは私の信念でもある。プライバシー保護技術を利用すれば、その技術のもつ機 能性を損なうことなく、個人データの削除もしくは収集の最小化、または個人データの不必要ない し不本意な利用の防止によって、プライバシーを実現することが可能になる。そしてこれは、プライ バシーを常に念頭に置き、新しい技術の設計と構造に組み込むことで達成できる。その場合、プラ イバシーと機能性の二者択一ではなく、WIN-WIN で両立させることが重要である! 202 上記の意図を踏まえ、EDL における RFID 技術の利用について以下を提言したい。 第一に、無線自動認識技術のあらゆる形での利用については、当事務局が定める RFID ガイド ラインを遵守することを提言したい(ご参考までにガイドラインのコピーを持参した)。 第二に、そして最も重要なこととして、省庁は採用したベンダーと共同で、カードに搭載される RFID タグに On/Off スイッチを追加する PETs の実証試験を行うことを提言する。これにより、カード が越境目的で利用される以外の場合にも、カードを強固に保護することが可能になる。 結論 当事務局で以前に策定し、そして忠実に遵守しているモットーを共有することをもって結論に変 えたい。助言(Consultation)、協働(Collaboration)、協力(Co-operation)からなるこのモットーを私 は『3C’s』と呼んでいる。この指針は、当事務局の精神を象徴するものであり、また EDL プログラム に対する私の取り組みの心構えにもなっているものである。 これまでに述べたように、私は EDL プログラムそのものに反対しているわけではない。しかし、オ ンタリオ州議会より与えられた任務に基づいて、取り上げねばならないと思われる、プライバシーに 関する懸念を持っている。そして 3C’s の精神でこの任務に取り組む機会が与えられることを心から 願っている。 最後に、このたびは委員会の場において発言する機会を与えていただき、また写真付きカード 法への事務局の考えを検討下さったことに、改めて謝意を表したい。我々が共同でこの問題に取り 組み続けることで、プライバシーに関するいかなる問題にも適切に対処し、オンタリオ州の人々に 最良のサービスをもたらすことができるだろうと強く信じている。事実、我々は、当初はオンタリオ州 のためのものではあるが、世界のどこでも利用可能な最も高度なプライバシー保護機能を備えた EDL を開発することが可能である。そして、他の多くものがさらに実現されることが望ましいであろ う。 ご静聴感謝する。 203 Increase Airport Security Without ompromising Privacy: Commissioner Cavoukian Makes the Case for the Use of “Privacy Filters” プライバシーを損なうことなく空港セキュリティを向上させるには: カブキアン・コミッショナー は「プライバシーフィルター」の利用の事例を作成する 204 プライバシーを損なうことなく空港セキュリティを向上させるに は:カブキアン・コミッショナー は「プライバシーフィルター」の 利用の事例を作成する 2009 年 3 月 全身イメージング(Whole Body Imaging、以下、「WBI」と記す)技術は、メディアから「裸体スキャ ナ(Naked Scanner)」と評され、プライバシーへの多大な懸念を生じており、この技術への取り組み が必須であるとオンタリオ州情報・プライバシーコミッショナーの Ann Cavoukian 博士は述べた。博 士は、「世界中の多くの空港で導入が進んでいるこの技術は自主的な搭乗者スキャンによるセキュ リティ対策であるが、搭乗者の衣服の下にあるもの、つまり裸体を高画質で映し出してしまうため、 プライバシーを深刻に脅かすものである」とも発言している。しかし、このプライバシーへのリスクは、 強度の「プライバシーフィルター」を利用することで軽減することが可能である。 同コミッショナーは『空港スキャナでの全身イメージング:セキュリティとプライバシー保護のため のプライバシーフィルター(Whole Body Imaging in Airport Scanners: Activate Privacy Filters to Achieve Security and Privacy)』という題で白書を発表し、プライバシーフィルター(または情報を簡 素化するフィルター、以下注記がない場合は本項それを指す)の活用が、WBI 技術によって読み 取られる不要な個人情報の量をいかに削減可能か解説した。 「選択肢は明らかである。」コミッショナーは「人体画像を大まかなボディラインのイメージへと変 換するプライバシーフィルターを備えた全身イメージング技術は、プライバシー保護機能を備えた セキュリティ技術となる大きな可能性を秘めている。それを実現することで WBI 技術はプライバシー を侵害しかねない技術から大きく姿を変え、セキュリティとプライバシーの両方を備えたプライバシ ー保護転換技術となりうるのである」と説明した。 本項は、PETs を新技術の設計段階から直接組み込むという、コミッショナーが提起するプライバ シー・バイ・デザインのコンセプトに基づいてなされた一連の取り組みのうちでも最新のものである。 全身イメージング技術とは、さまざまな画像技術を組み合わせて人体をスキャンし、2D または 3D の全身画像を作成する処理工程によって構成される。作成される画像には皮膚の表面や体に身 につけているものの情報が含まれるが、人体内部は含まない。 現在スキャンには以下のどちらかの技術が利用されている: - ミリ波 ミリ波スペクトラム内の非電離無線周波数エネルギーを利用し、人体から反射された 205 エネルギーを検出して人体の 3D 画像を作成する(最も広く使われている WBI 技術)。 - 後方散乱 低強度の X 線ビームの反射を利用して 2D 画像を作成する どちらの技術も非常に詳細な人体イメージを作成することが可能である。幸いプライバシーフィ ルターとして機能するアルゴリズムが幾つか生み出されたことにより、検査官の画面上に表示され る個人の詳細の度合いを大幅に低減する一方で、搭乗者が服の下等に隠し持っている物体を鮮 明に浮かび上がらせることが可能になった。 政府や公務員はメーカーに対し、このようなプライバシーフィルターを WBI 技術の機能に実装し、 本技術を用いる際にはフィルターが機能して身体的特徴を不明瞭にすることを確実なものとさせる 必要がある。 コミッショナーは、プライバシーアルゴリズムが WBI 画像に確実に適用されることに加え、その他 の設計や運用に係る要件も重要であると述べ「特に、どのようなフォーマットであれ通常の(脅威の ない)画像が保有または送信されないよう、これらを完全に禁止することが必要である。」と強調し た。 「最終的にこの問題は、最低限必要な情報だけをシステム運用者が取得し、これを旅行者に影 響を与える判断に利用するということへの国民の信頼問題へと帰着する」ため、「システムの設計と 運用に影響を与える明確で透明なルール、そしてこれらを支える高い信頼性を備えたメソッドは大 変有用である」と Cavoukian コミッショナーは述べる。言い換えればつまり、スキャンによって武器や その他の危険物を隠し持っていないことが判明した場合には一切の情報が保有されないこと、そ れが最適な形でのデータの最小化だといえる。 206 Whole Body Imaging in Airport Scanners:Activate Privacy Filters to Achieve Security and Privacy 空港スキャナでの全身イメージング:セキュリティとプライバシー保護のためのプライバシーフ ィルターを作動させる 207 空港スキャナでの全身イメージング:セキュリティとプライバシー 保護のためのプライバシーフィルターを作動させる 2009 年 3 月 全身イメージング(Whole Body Imaging 、以下「WBI」と記す)は、金属探知機や爆発物探知機 などの技術を補完し、時としてそれらにとって変わる搭乗者スキャン手段として多くの空港で採用さ れるようになってきた1 2。 メディアから「裸体スキャナ(Naked Scanner)」と評されるこれらの技術は、搭乗者の衣服の下に ある裸体の画像を高品質で作成する機能を有している 3。しかし、空港セキュリティを向上させるた めに必ずしもプライバシーを犠牲にする必要はなく、(ゼロサムではなく)ポジティブサムの形で双 方を両立させることはおそらく可能である。本項では WBI 技術が抱えるプライバシーに否定的な要 素を大きく変革させ、我々がプライバシー保護転換技術と呼ぶものへと転換させる肯定的な要素 について書き記す。WBI 利用に際し、身体に関するプライバシーやそれらの適切な保護プロセス に注意を払いながら、設計段階や利活用の場において真っ向からこの技術のもつ侵害の可能性 に取り組む必要があると考えている。 プライバシー保護転換技術 1995 年、オンタリオ州情報・プライバシーコミッショナー(IPC)データ保護局とオランダのデータ 保護庁は、Privacy-Enhancing Technologies(プライバシー強化技術)の頭文字をとって PETs という 頭字語を策定した。情報通信技術の一貫したシステムを指し、個人情報の不要または不法な収集、 利用および漏えいを防ぐ、または自己の個人データに対する管理権限を高めることで、情報システ ム中のプライバシーの保護レベルを強化するものである。PETs は FIPs に含まれる世界的なプライ バシー原則を体現するものである。 2008 年、当事務局では PETs の構想を PETs プラス 4 へと拡大し、プライバシー保護転換技術 1 Paul Giblin and Eric Lipton, “New Airport X-Rays Scan Bodies, Not Just Bags,” The New York Times, Feb 24, 2007: www.nytimes.com/2007/02/24/us/24scan.html 2 http://en.wikipedia.org/wiki/Puffer_Machine 3 Carly Weeks, “Critics blast new airport superscan,” Globe and Mail, June 25, 2008. p. L1. 4 Cavoukian, Ann, Ph.D., Moving Forward from PETs to PETs Plus: The Time for Change is 208 の新しいコンセプトを策定した5。セキュリティとプライバシーはどちらかを犠牲にしない限り達成が 不可能だという、セキュリティ対プライバシーの「ゼロサム」パラダイムに我々は満足できず、それに 代わる概念として、誰もが技術革新の恩恵を受ける関係を構築可能だとする「ポジティブサム」パラ ダイムを取り入れた。この理念では、プライバシー保護は構想段階からセキュリティ技術に組み込ま れ、コミッショナーの言う「プライバシー・バイ・デザイン」 6となる。ポジティブサム・パラダイムを目指 して PET を監視技術に適用することは、プライバシーを侵害しかねない技術をプライバシー保護技 術へと生まれ変わらせることを可能とし、その結果「プライバシー保護転換技術」が生み出される。 ポジティブサム・パラダイム + プライバシー強化技術 = プライバシー保護転換技術 事実上プライバシーを侵害する可能性を有するすべての監視およびセキュリティ技術は「プライ バシー保護転換技術」へ置き換えることが可能であり、全身イメージングもまた例外ではない。 全身イメージング 全身イメージング技術とは、さまざまな画像技術を組み合わせて人体をスキャンし、(2D または 3D の)全身画像を作成する技術である。作成される画像には皮膚の表面や体に身につけている 物体の情報が含まれるが、人体内部は含まない。現在スキャンには以下のいずれかの技術が利用 されている: 後方散乱 低強度の X 線ビームを利用して 2D 画像を作成する ミリ波 ミリ波スペクトラム内の非電離無線周波数エネルギーを利用し、人体から反射された エネルギーを検出して人体の 3D 画像を作成する 搭乗者スキャンシステムに WBI 技術を採用する目的は二つある。一つは、危険性をはらんだ金 属および非金属物質を感知する上でこの技術が高い優位性を有しているとされていること、そして Now : www.ipc.on.ca/english/Resources/Discussion-Papers/Discussion-Papers-Summary/?id=834 5 Cavoukian, Ann, Ph.D., Transformative Technologies Deliver Both Security and Privacy: Think Positive-Sum not Zero-Sum: www.ipc.on.ca/english/Resources/Discussion-Papers/Discussion-Papers-Summary/?id=758 6 『プライバシー・バイ・デザイン(Privacy by Design)』とは 90 年代にオンタリオ州情報・プライバ シーコミッショナーである Ann Cavoukian 博士により、プライバシーを侵害するよりむしろ保護するこ とで技術への支援を得る目的で策定された用語である。詳しくは博士の著した Privacy by Design を www.ipc.on.ca/english/Resources/Discussion-Papers/Discussion-Papers-Summary/?id=835 または www.privacybydesign.ca より参照されたい 209 もう一つは、この方式は実際に個人の身体に触れるボディチェック方式や裸にして行う身体検査よ りも好ましい検査方式であると空港関係者によって考えられていることである。 空港での二次的な搭乗者スキャンシステムとしての WBI 技術の持つ有効性を評価するため、既 に幾つかの試験が行われている7。米国ではフェニックス、ボストン、シカゴ、ラスベガス、カンザスシ ティ、ロサンゼルス、マイアミ、タンパ、およびニューヨークの JFK 空港などで試験利用を行った。米 国運輸保安局(Transportation Security Administration(TSA))では 2009 年末までに国内 23 ヶ所 で 120 台を展開する計画を立てている8。同様の試験利用がインド(ニューデリー)、オーストラリア (シドニー、メルボルン、アデレード)、日本(大阪)、ロシア(モスクワ)、オランダ(アムステルダム・ス キポール)やロンドンヒースロー空港で 2004 年に実施された9 10 。 2006 年の WBI 技術テスト後に、インド国内の空港のセキュリティ担当機関である中央産業治安 部隊(Central Industrial Security Force (CISF))は WBI 機器の利用を却下した。この機器による画 像は余りにも搭乗者の姿をはっきりと映し出してしまうため、搭乗者の感情を害しただけでなく、セ キュリティ担当官をも困惑させてしまったことを理由として挙げている11。 監視の目は日々厳しくなっている。2008 年 9 月、欧州連合(EU)の行政機関である欧州委員会 は EU 域内の空港におけるセキュリティ対策の一環にこの機器の利用を追加するよう提案し、その 理由に、スキャナが搭乗者に対して日常的に利用されることはないため、裸にしての身体検査より は非侵害的であることが挙げられた。この提案はスキャナが「欧州連合市民の基本的権利に深刻 な影響を与える」とされ、プライバシーと安全性への影響に対して追加調査を行うことが投票で圧 倒 的 多 数 に よ り支 持 され た た め 、後 に 撤 回 され た 。 委 員 会 は 、欧 州 デ ー タ保 護 監 視 官 局 (European Data protection Supervisor(EDPS))、第 29 条作業部会(Article 29 Working Party)およ び欧州基本権機関(Fundamental Rights Agency)との協議の元でスキャナの利用方法の調査を継 7 どちらのスキャン技術も機内で危険物となる恐れを持った物体を検知するには効果的であるが、 空港で利用されているのは後方散乱技術より圧倒的にミリ波である。こちらが主要となっている主 な理由には次の二つの要因が挙げられる。(a)X 線よりラジオ波の利用が好まれていること、および (b)ミリ波機器の方が早い処理速度を有していることである。しかしどちらのシステムも強力なプライ バシーフィルターを利用しない場合には、極めて詳細かつ個人の特定が可能な裸体画像を映し出 すことが可能である。 8 www.tsa.gov/approach/tech/body_imaging.shtm 9 www.timesonline.co.uk/tol/news/uk/article504009.ece 10 www.glgroup.com/News/Using-backscatter-X-ray-on-passengers-at-airports-8202.html 11 www.cnn.com/2007/TRAVEL/03/06/bt.backscatterxray/index.html 210 続し、「現在はスキャナの展開方法についての規則策定段階にある」と述べた12。 一方、その頃米国の TSA は、MBI を一次検査に利用する WBI 技術展開戦略の第 2 段階へと 進んでおり、2009 年 1 月 19 日付の USA Today 紙 では「飛行機搭乗者の一部は金属探知機では なく、代わりに衣服の下をスキャンして隠れた武器を検知する身体スキャン機器による所持品検査 を初めて受けることになる」と報じた13。これはまずタルサ国際空港で、次いでサンフランシスコ、ラス ベガス、マイアミ、アルバカーキとソルトレークシティの各空港で行われる予定である。「これらの空 港での搭乗者は、この新しいスキャナでの検査を受けるよう指示されるが、この検査を望まない搭 乗者はこれを拒否し、代わりに金属探知機と個人の身体に触れるボディチェック方式を受けること を選択できる」とも記されていた。 2008 年 7 月、カナダ航空輸送安全公団(Canadian Air Transport Security Authority-以下、 「CATSA」と記す)はミリ波スキャン技術による 7 ヶ月の自主的一次スクリーニングの試験運用をケロ ーナ国際空港で開始した14。 技術: 不明瞭化 後方散乱、ミリ波の両技術は、図 1(左図)や図 2、3(下部)で示すような非常に詳細な写真画像 を作成した。 12 2008 年 10 月 23 日付、航空治安対策と人体スキャン技術が、人権、プライバシー、個人の尊 厳とデータ保護に与える影響に関する欧州議会第 23 号決議: http://tinyurl.com/bar8ag 「EU gives up airport “strip search” scans」 Reuters, Nov 19, 2008: http://uk.reuters.com/article/topNews/idUKTRE4AI6KN20081119 「Germany rejects full-body scans at airports」CBC News, October 24, 2008: www.cbc.ca/world/story/2008/10/24/germany-xray.html 13 Frank, Thomas, “Body scanners replace metal detectors in tryout at Tulsa airport,” USA Today, February 18, 2009: www.usatoday.com/travel/flights/2009-02-17-detectors_N.htm 14 www.catsa-acsta.gc.ca/english/media/rel_comm/2008-06-19.shtml 211 図1 図2 図3 これが、良く知られている WBI 技術の「バーチャル・ストリップ・サーチ」概念へと繋がっている。こ の技術の開発者および利用者は、この詳細さへの対処が必要であることを認識した。スキャン画面 に映し出される画像に含まれる個人情報の削減や排除を目指すのと同時に、隠されている物体を 強調するためのアルゴリズムやプライバシー(「簡素化」)フィルターが開発されてきた。これによっ て、詳細で個人特定が可能な画像から、おおまかで個人の特定が不可能な画像まで、幅広い種 類の画像を検査官に表示することが可能になった。 上記の図 1 は幅広く出回っている TSA のセキュリティ研究所ディレクターの画像で、彼女が 2003 年に米国運輸保安局の「後方散乱」スキャナによる身体スキャンを受けることに合意した際に撮影 されたものである15。このイメージはプライバシーフィルターを使わず、加工を施さない生の後方散 乱式による画像である。 右の図 2 と図 3 はミリ波技術で作成された画像で、ホログラフのような白黒のシルエット画像が作 成される。最初の画像では、足を開いて手を頭上にのせた一般的な所持品検査のポーズで女性 が立っている。二つ目の画像では、半分程度の液体が入ったボトルを男性が手にしている16。不明 瞭な画像を表示するシステムオプション(例えば顔面(図 2)や局部(図 3)にぼかしを入れる)を利 用することでプライバシーを保護できる。 15 データ元: AP Photo/Brian Branch-Price, Nice Bombs Ya Got There, Wired, June 26, 2003: www.wired.com/science/discoveries/news/2003/06/59401# 16 写真は L-3 Communications から Corrections.com へと提供されたもので、以下より参照可能: http://picasaweb.google.com/correctionsconnection/MillimeterWaveTechnology#5178699965699 051458 212 (Figure 1, Figure 2, Figure 3 →図 1、図 2、図 3) どちらのスキャン技術も機内で危険物となる恐れを持った物体を検知するには効果的であるが、 空港で利用されているのは後方散乱システムよりも圧倒的にミリ波である。こちらが主流となってい る主な理由には次の二つの要因が挙げられる。(a)X 線よりラジオ波の利用が好まれていること、お よび(b)ミリ波機器の方が早い処理速度を有していることである。しかしどちらのシステムも強力なプ ライバシーフィルターを利用しない場合には、極めて詳細かつ個人の特定が可能な裸体画像を映 し出すことが可能である。 ミリ波プライバシーアルゴリズム 2002 年、IPC は米国に拠点を置くパシフィック・ノースウェスト国立研究所(Pacific Northwest National Laboratory(PNNL))がプライバシーと 3D 人体スキャン技術についての研究を行っている ことを知った17。ミリ波スキャナ(「パーソナル・セキュリティ・スキャナ」)研究と合わせ、この技術採用 にあたっては身体の詳細を余りにも鮮明に表示してしまうことで当然の反発を招く可能性があること を PNNL のリサーチチームは認識した。それを受けて同チームは「画像から、極度に侵害的だと考 えられる可能性のあるすべての人体的な特徴を排除する」ことを目的としたプライバシーアルゴリズ ムを開発した18。 プライバシーアルゴリズムは最初に「スペックル検出」と呼ばれる技術を元に開発された 19。研究 者はプラスチック、セラミックやその他の絶縁体、すなわち非誘電性物質はミリ波を部分的に透過 することを発見した。この応用によってスキャン画像では、危険なものが潜んでいる可能性のある場 所を目で見える粒上の斑点模様として表示する。一方で人の肌はミリ波スキャン画上ではピクセル 単位のなだらかなテクスチャーで表示される。この違いを利用して研究者は、この粒上の模様を画 像のさまざまな箇所で精査し、ニューラルネットワークに基づいて斑点部分のノイズや誤検出を低 減する一連の後処理を行うアルゴリズムを開発した。訓練を積んだ検査官とこのアルゴリズムに同 じ画像を見せた場合、アルゴリズム技術でも危険物を検査官と同等レベルで認識することが可能だ った。危険物が判明すると、PNNL のアルゴリズムは、3D レンダリングによる全体的な人体の輪郭を 17 Cavoukian, Ann, Ph.D., セキュリティ技術は、プライバシーを有効にする(Security Technologies Enabling Privacy (STEPs)): Time for a Paradigm Shift (2002): www.ipc.on.ca/english/Resources/Discussion-Papers/Discussion-Papers-Summary/?id=245 18 Keller, P. et al. “空港旅客スクリーニングポータルのプライバシーアルゴリズム(Privacy Algorithm for Airport Passenger Screening Portal.)” Applications and Science of Computational Intelligence III. (1999) Vol. 4055, pp. 476-483.: www.cc.gatech.edu/grads/s/Jay.Summet/papers/keller_SPIE_v4055_i3_2000_p476_.pdf 19 同, pp. 476-483 213 含むさまざまな形で示すことができた。この輪郭画像はここでの議論の上で非常に重要な要素であ る。 図4 図 4(左)は PNNL が開発した形態的輪郭勾配検知ソフト用アルゴリズムを用いた WBI ホログラフ ィックミリ波画像である20。この技術はただ顔や性器を隠すのではなく、全身に付随する個人の詳細 を不明瞭にするものである。PNNL の研究者は他にも、搭乗者画像の詳細を隠すさまざまなアプロ ーチを開発した21。 2008 年に IPC は PNNL の研究者に連絡を取ってその後の進展状況を訊ねた。その結果、この 分野における PNNL のプライバシー研究は 2002 年に「人々とその資産を守る先進技術」の開発を 進める Safeview 社に、その後 2006 年に ProVision Checkpoint 搭乗者ミリ波スキャン技術のマーケ テ ィ ン グ を行 う L-3 Communications 社 に 買 収 され た と の 連 絡 を受 けた 。し か し 、も し L-3 Communications 社が PNNL のプライバシーアルゴリズムを採用しているのであれば、どのように利 用されているかは不明なままである。L-3 ProVision 全身投影器の FAQ では「表情や局部等をより 不鮮明にすることが可能なオプションを利用することで(中略)プライバシーの保護が可能である」と だけ記している22。L-3 社は、同社が取得したこの革新的なプライバシーアルゴリズムを自社のスキ ャナに搭載する予定はないと表明した。 20 Paul E. Keller, Douglas L. McMakin, David M. Sheen, A. David McKinnon, Jay W. Summet, 円筒状ホログラフィック兵器監視システムのためのプライバシーアルゴリズム(Privacy Algorithm for Cylindrical Holographic Weapons Surveillance System), (2000) Pacific Northwest National Laboratory: www.pnl.gov/nsd/commercial/scanner/papers/carnahan.pdf 21 同上, (脚注 18 および米国特許番号 7365672 番 Detection of a concealed object : www.patentstorm.us/patents/7365672/description.html も参照のこと) 22 www.dsxray.com/pdf/ProVisionFAQSEPT08.pdf 214 同様のプライバシー強化オプションが Rapiscan Systems 社 WaveScan 200 ミリ波スキャナでも利 用可能で、同社によればこの製品ではセンサーが「身体構造上の詳細は投影しないため、プライ バシーを保護する」とのことである。23 他の研究所もプライバシーアルゴリズムの開発に取り組んでいる。カーネギー・メロン大学の CYLAB24では、人体上の情報をすべて取り除くのではなく、センシティブな箇所にぼかしを加える か透過方式で処理する手法を開発している。この手法は人体の本質的な均整への深い理解を生 み出すことで達成されたもので、この技術の利用はアルゴリズム検索対象範囲となる頭部、胸部お よび性器周辺のみに限られ、ひとたびその範囲が認識されると、さまざまなぼかし/透明性フィルタ ーが適用される。 後方散乱プライバシーアルゴリズム ミリ波スキャンによる 3D 画像とは対照的に、2D の後方散乱画像用のプライバシーアルゴリズムで は人体の概観を「チョーク画」レベルにまで引き下げる試みがなされている 25。米国運輸保安局で 利用されている後方散乱型人体スキャンシステム「SmartCheck Z」のメーカーAmerican Science and Engineering 社(以下、AS&E 社)によれば、このシステムは「搭乗者と搭乗者が持つ危険物を、 チョークで描いた輪郭線のようなイメージで表現するが、顔の造作を明らかにすることはない」(下 の図 5 参照)とのことである。さらに同社の情報では、「ニューヨーク・ケネディ、ロサンゼルスおよび フェニックススカイハーバーの各空港に配備された SmartCheck システムでは、その画像データの 保管、エクスポート(書き出し)、印刷および送信が不可能となっている」ことが言及されている26。 下記の図 5 は AS&E 社製の機器によるもので、プライバシーフィルターを通した後方散乱画像の サンプルである27。これらのような人体の輪郭画像では、プライバシーがこれまでの図 1、図 2 や図 3 よりはるかに保護されているため、より好ましい。 23 www.rapiscansystems.com/rapiscan-wavescan-200.html および www.rapiscansystems.com/datasheets/Rapiscan-WaveScan-200-Brochure.pdf 24 Laws, J. et al. “特徴は3D 人体スキャンに隠れている(Feature hiding in 3-D human body scans.)” Information Visualization. (2006) Vol. 5, pp. 271-278 25 www.as-e.com/products_solutions/tsa_z_backscatter_pilot.asp 26 www.msnbc.msn.com/id/26408850/ 27 出典は AS&E 社の以下ページ: www.as-e.com/products_solutions/tsa_z_backscatter_pilot.asp 215 プライバシーフィルターの作動 図1 図5 政府や公務員、WBI メーカーは、身体的特徴を不明瞭にするプライバシーフィルターを備え、作 動させることを確実にしなければならず、これらのスキャナを運用する職員は、システム利用に際し て訓練を受ける必要がある。図 1 か図 5 のどちらかの画像を利用するかの選択に直面した場合、 身体的特徴を不明瞭にした図 5 を選択する人が多いだろうと私自身は信じている。人体の輪郭の みを映し出しながらも隠れた物体を見落とすことなく発見する図 5 を政府が選ばない理由があるだ ろうか?その答えは明確であるが、しかし全身画像スキャナで利用可能な「プライバシーフィルター」 についてはほとんど議論されていない。これらはポジティブサムの概念を体現するプライバシー強 化技術(PETs)であり、十分にプライバシー保護転換技術となりうる性質を有している。しかしまず、 我々は図 4 や 5 で示すような強固なプライバシーフィルターが搭載され機能すること、これらの技術 が利用されることを求めていく必要がある。 WBI と「プライバシー・バイ・デザイン」 強固なプライバシーアルゴリズムが WBI 技術に適用されることを確実にすることに加え、物理設 計やプログラムの利用法など、その他の設計や運用に係る要件も、プライバシー・バイ・デザインの アプローチにとって極めて重要なものである28。 特に、これらの画像をいかなるフォーマットでも保有および送信することは完全に禁止されなけ ればならない29。この方針と施策の確実な遵守のためにも、監査や他の形でのこれらを確実なもの とし、それによって国民の信頼や信用を得ることとなる。セキュリティ技術の専門家で、著名な物書 きでもある Bruce Schneier 氏は、ここで言う機械はプライバシーとセキュリティの間に「すばらしい」 28 U.S. Department of Homeland Security, Privacy Impact Assessment for TSA Whole Body Imaging, October 17, 2008 at: www.dhs.gov/xlibrary/assets/privacy/privacy_pia_tsa_wbi.pdf 29 www.msnbc.msn.com/id/26408850/ 216 バランスを生み出すが、「その機械が画像を保存してしまうことを我々は懸念している」と発言した。 30 その他ここでの重要な要素は、誰が、そしていつその WBI 画像を目にするのかである。カナダと 米国の空港当局は、スキャン画像確認用の部屋(離れた別室)を別に設けてスキャン前後の搭乗 者の姿をセキュリティスタッフが直接視認できない仕組みを作っており、またスタッフには搭乗者情 報へのアクセス権が与えられていない。また、これらのスタッフは撮影機器(携帯電話を含む)をそ の部屋に持ち込むことを禁じられており、記録装置や通信機器をスキャン用のマシンに接続するこ とも許可されない。我々はこのようなアプローチに支持を表明する。 図6 離れた「別室」にいる検査官が異常に気づくか、危険性を含んだ物質を WBI 画像により検知した 場合、検査官はこの情報を検査の「現場」にいる検査官(まさに搭乗者の目の前にいる)に、 CATSA が開発しケローナで利用されているシステムを用い、左の図 6 のような違う形式のグラフィッ ク・インタフェースを利用してリアルタイムで連絡する。TSA でも現場の検査官用に同様のインタフ ェースを開発した。このシステムでは、現場の検査官による検査が必要な箇所が大まかな体の輪郭 図の中で強調されていて、実際の身体個所が目に見えるわけではない。必要であれば検査官同 士の間で無線を利用して追加情報を慎重にやりとりする。これは画像の不明瞭化によるプライバシ ー強化を支える素晴らしい手法であり、実際に空港内の検査官と接触する搭乗者のプライバシー への懸念を緩和する上で大きな役割を果たすだろう。 また、このシステムへの参加は自主的なもので、現在のところは主に二次スクリーニングに利用さ 30 www.usatoday.com/news/washington/2007-10-07-backscatter_N.htm 217 れていることにも留意したい。しかし先述の通り、WBI 技術は一次検査の目的でも利用され始めて いる。これに不安や不信を抱く旅行者には、罰則無しに、または理由を示す必要なくこの検査を拒 否し、これまでの金属探知機による検査を選ぶための完全な自由が与えられるべきである。 最終的にこの問題は、旅行者に関する判断を行う上で最低限必要な情報だけをシステム運用 者側が入手し、利用するという国民の信頼問題へと帰着する。それには、システムの設計と運用に 影響を与える明確で透明なルール、そしてこれらを支える信頼のおける手段が大変有用である。 結論 現場の検査官用に人体画像を大まかなボディラインのイメージへと変換する強力なプライバシー フィルター機能を具備した全身イメージング技術(図 5 および 6)は、プライバシー保護を兼ね備えた セキュリティを提供することが可能である。そしてスキャン画像の適切な表示方法、利用方法、保有 方針と組み合わせたとき、隠された危険物を明らかにしながらも個人の詳細情報を不明瞭なものと するプライバシーアルゴリズムが、搭乗者のプライバシーを侵害することなく、むしろプライバシーを 強化した形でセキュリティ要件を満たすために WBI 技術を採用する方向へと人々を向かわせること だろう。セキュリティ及びプライバシーは互いを犠牲にすることなく両立可能だとするこのポジティブ サム・パラダイムは、空港セキュリティのための搭乗者検査技術の目指す形と成り得るものであり、 そしてこの技術の最終目的となるべきであると確信している。 218 7 Laws of Identity: The Case for Privacy-Embedded Laws of Identity アイデンティティ 7 原則:プライバシーを組み込んだアイデンティティ原則の事例 219 アイデンティティ 7 原則:プライバシーを組み込んだアイデンティ ティ原則の事例 2006 年 10 月 背景 インターネットにおける既存のアイデンティティのための基盤はもはや存続することはできないだ ろう。オンライン環境における不正行為は年々指数関数的に増え、現在では電子商取引が無力化 されかねない程大きな脅威になっている。オンライン活動に対する消費者の信頼を失う前に、何か 手を打たなければならない。アイデンティティ 7 原則を実践してみよう。これが答えなのだろうか。詳 細は以下を読んでいただきたい。 Ann Cavoukian, Ph.D. オンタリオ州情報・プライバシーコミッショナー 序論 本稿は、世界中のエキスパートが集まるコミュニティ主催の公開ブログにおいて公式化されてい た「アイデンティティ 7 原則(7 Laws of Identity)」からヒントを得てまとめたものである。上記のブログ は、Kim Cameron 氏(チーフアイデンティティアーキテクト、マイクロソフト)が取りまとめているもので ある。 この「7 原則」(「アイデンティティ管理に必要な技術原理」としても知られている)は、普遍的なア イデンティティ・メタシステムの構造と進歩を根本的に形作るものだと、オンタリオ州情報・プライバ シーコミッショナー事務局は確信している。その結果として発生する「アイデンティティ・ビッグバン」 は、インターネットを次世代の信頼性と機能性を持つものに発展させることができるだろう。 普遍的なアイデンティティ・メタシステムは、プライバシーに対して、かつて人々のデジタルなアイ デンティティとその関連機器が個人情報を構成するようになったとき以来の大きな衝撃を与えるだ ろう。この普遍的かつ相互運用的なメタシステムが歪み、普遍的な監視のための基盤にならないよ う、私たちは気をつけなければならない。 私たちは、情報システムと技術の設計と運用に対してプライバシーを組み込むようずっと主張し 220 てきた。私たちは FIPs に体系的に示されているプライバシー原則を適用することによってこれを実 現することができる(付属資料 A を参照)。 この FIPs と、アイデンティティ 7 原則との間に多くの類似点があるということに私たちは驚いた。こ れら二つの基本原理は相互に補完的である。 本稿は、そのプライバシー保護の特徴を明確に抽出するために、アイデンティティ 7 原則に FIPs を「マッピング」した結果である。私たちはこれを「プライバシーを組み込んだ」アイデンティティ原則 と呼んでいるが、これはすべての者が考慮すべきプライバシーに関する示唆を「引き出す」ようなア イデンティティ原則の解釈である。 プライバシーを組み込んだアイデンティティ原則とは、アイデンティティに関する議論(より具体的 に言えば、相互運用的なアイデンティティ・システムを特徴づける新技術)にプライバシーへの考慮 を追加したものである。 私たちは、プライバシーはその 7 原則を通して形成され、それらの原則が適用されれば、新しく 興味深いプライバシーのさまざまなオプションが実現されると考えている。しかしながら、プライバシ ーが強化された識別や認証のオプションについては、必然的なものなどない。アイデンティティ・メ タシステム(上記の 7 原則で記述している)は必要だが、それはプライバシーを強化するオプション を開発するための十分条件ではない。 ここで足りないものは、正しい知識と欲求である。アイデンティティ・システムのためのプライバシ ー設計のオプションが認識され、推進されれば、手遅れになる前に、プライバシーおよびデータ保 護の尊重を組み込んだ普遍的なアイデンティティ・メタシステムが出現する可能性がある。 アイデンティティとプライバシー アイデンティティとプライバシーは、密接に関係するものである一般的に言えば、あなたのアイデ ンティティが他人に知られていないとき、あなたはより高いプライバシーを持っていると言えることが 多い。あなたがコーヒーを現金で購入するとき、あなたの「アイデンティティ」は、匿名の消費者のそ れである。あなたが匿名のプリペイドコーヒーカードでコーヒーを購入するとき、あなたの「アイデン ティティ」は得意客のそれである。しかし、あなたの名前と住所がそのプリペイドコーヒーカードに結 び付けられると、あなたがコーヒーを購入した履歴のすべてが、特定可能な個人としてのあなたに 結び付けられる可能性がある。特定可能な個人に結び付けることができる情報は、個人情報とみな される。 プライバシーとは、個人が自分自身の個人情報の収集、利用、および提供を管理するための手 段を行使する権利のことである。あなたの個人情報に対する悪用は、あなたのプライバシーにおけ る利害に絡む。 個人のプライバシーの保護および推進は、その大部分が本質的に個人と結びつくようなデータ 221 の作成、ネットワーキング、そして複製が頻繁に行われる現在においては、まさに難問である。個人 情報はこれまでにないくらいに多く存在し、その大部分は他人によって管理されている。私たちは ますます自分自身の情報をコントロールできなくなっている。 個人を識別することへの要求はいたる所にあり、その数も増えている。私たちは皆、管理しなけ ればならない複数のアイデンティティを持っている。しかし、オンラインのデジタル環境では、個人 識別に対する要求がより頻繁に発生するので、アイデンティティの問題がより大きくなっている。私 たちに関するより詳しい情報が他人によって収集され、新しい方法で、新しい目的のために利用さ れている。しかし、それらのすべてが個人のためになるというわけではない。 現在の世界は、かつてのような世界からますます離れて行っている。これまでは、単に身分証明 書を見せれば、自分の身分を証明することができた。しかし、相手の顔の見えないオンラインの世 界では、私たちを識別する「資格情報」は、しばしばデータベースに保存され、他のデータと比較、 照合され、また別の用途に使うために無期限に保存される。 また同時に、オンライン環境において、他者のアイデンティティは、ますます検証しにくくなった。 私たちがオンラインでやり取りをしているのは本当のところ誰なのか、あるいは、その人達は私たち の個人情報の取り扱いについてどのくらい責任を持ってくれるのか、ということがしばしば私たちに はまったく分からない。 デジタル・アイデンティティとプライバシー:難題 ユーザーにとっても事業者にとっても、インターネットはますます貴重な存在になってきている。 買い物、銀行取引、請求書の支払から、メディアやエンターテインメントの視聴まで、ますます多く の人々が日常的なことに Web を利用している。電子商取引の機会も増え、事業者によって、インタ ーネットを通じてより多くのサービスやコンテンツが提供され、オンラインで通信や共同作業が実施 され、また、互いに接続するための新しい方法が発明されている。 しかし、人々がオンラインで行う内容の価値が高まってくると、インターネット自体がより複雑で、 ぜい弱で、危険なものになってきた。「フィッシング詐欺」、「スピアフィッシング詐欺」、「なりすまし詐 欺」のような洗練された手法の増大によって、オンライン環境におけるアイデンティティ窃盗、詐欺、 そしてプライバシーの問題は増えてきている。ユーザーにとって、複数のアカウント、パスワード、お よび認証方法を把握しておくことは難しく、面倒である。「パスワード疲れ」は、複数のサイトで同じ アカウント名とパスワードを利用するような危険な結果を生むことがある。 アイデンティティ管理の必要性 最近アイデンティティ管理はよく話題に上るようになったが、それはいったい何なのだろうか。こ の言葉には明確な定義はないが、技術ベースのアイデンティティ管理とは、最も広い意味では、ア イデンティティの属性、資格情報、そして権限に関する管理と設計のことを指す。 222 アイデンティティ管理は、他者が中心となって実施されることがある。例えば、ある組織が、ユー ザーによる重要な資源へのアクセスを管理・促進するために、個人に「ログオン」証明を割り当てる 場合がある。あなたがその組織を辞めると、あなたのネットワーク上のアイデンティティと関連する権 限が、システム管理者によって取り消される。これは一般には、企業内アイデンティティ管理、ある いは単にプロビジョニングと呼ばれる。集中的なアイデンティティ管理は、政府がさまざまなシナリ オにおいて利用できる国民 ID カードを発行する場合や、Microsoft .Net Passport サービスのような オンライン環境におけるシングルサインオンの場合には、企業の枠を超えて実施されることもある。 また別の形式として、「ユーザー中心の」アイデンティティ管理がある。これは、アイデンティティ 情報の管理とコントロールを直接個人の手に委ねるものである。例として、個人情報の提供を最小 化するネットワーク匿名化ツールおよびフォームフィラー、あるいは、異なる証明情報を安全に記録 するパスワードマネージャーなどがある。現実の世界で言えば、異なる身分証明書でいっぱいにな った財布が、個人が正しい目的のために適切なアイデンティティ資格情報を選ぶことができるユー ザー中心のアイデンティティ管理の形態である。例えば、コーヒーのためにはコーヒーカードを、学 割のためには学生証を選択するというようにである。個人は、どのようにそれらのカードの情報が第 三者に読まれ、利用されるのかということを管理できる。 三つめのタイプは一般的に「連携」アイデンティティ管理と呼ばれ、上記の二つのタイプを組み 合わせたものである。そのようなシステムでは、ある人物のアイデンティティ資格情報は、多くの企 業によって分割、配布されるが、ユーザーはそれらがどのように共有、利用されるのかということをコ ントロールすることができる。シングルサインオンには、このように機能しているものもある。ある政府 機関に対し、個人の住所変更の情報を他部署と共有することを承認する能力も、また別の例である。 信頼できるアイデンティティ・プロバイダーを慎重に選択し、ユーザーのための利便性、効率性を 高めることにより、プライバシーに対するリスクを相殺することができる。 これら三つのタイプのアイデンティティ管理システムは、それぞれの文脈によってすべて必要で ある。アイデンティティは、文脈に強く依存する。オフラインの世界で所持しているアイデンティティ 資格情報は、重要性の高いもの(例:出生証明書、パスポート、運転免許証)から低いもの(例:名 刺、得意客向けカード)まで、多岐にわたるということを考えてみてほしい。人は異なる文脈におい て、異なる形式の識別情報を利用している。 文脈に依存するアイデンティティ 異なった文脈において提供される個人情報には、多様なものがある。アイデンティティ情報は、 文脈に沿って、あるいはそれを外れた形で利用される。一般的に言えば、その文脈から外れたアイ デンティティの利用は、望み通りの結果をもたらさない。例えば、国境を越えるためにコーヒーカー ドを利用するというようなことは、明らかに文脈を外れている。他方で、ATM における銀行カードの 利用、国境における政府発行 ID の利用、喫茶店におけるコーヒーカードの利用、そして、MSN ホッ トメールにおける MS.Net Passport アカウントの利用などはいずれも、明らかに文脈に沿ったもので 223 ある。 アイデンティティ情報の区別がそれほど明確ではない場合もある。ATM において、銀行が発行 したカードの代わりに政府発行の ID を利用することも出来るかもしれないが、これにより個人の銀 行取引が毎回国の知れるところになるのであれば、多くの人々は快く思わないだろう。学生用 ID と して社会保険番号あるいは社会保障番号を利用することもできるだろうが、これには、アイデンティ ティ窃盗を助長してしまうような重大なプライバシー上の問題がある。マイクロソフト以外のサイト で.Net Passport アカウントを利用することも可能なのだが、実際のところは、それを認めているサイ トはほとんどない。たとえそれができたとしても、マイクロソフト以外のサイトにおけるインタラクション にマイクロソフトが関与するということが文脈を外れていると感じるユーザーが多いので、 .Net Passport アカウントを利用するユーザーはほとんどいないであろう。 数多くのデジタル・アイデンティティ・システムが導入されてきたが、それぞれに長所と短所がある。 しかし、単一のシステムが、デジタル・アイデンティティに関するすべてのシナリオに対するニーズを 満たすことはできない。たとえそのような単一のシステムを作ることができたとしても、現実としては 多数のアイデンティティ・システムが今日利用されているし、また現在開発中のものもある。結果とし て、インターネット上のデジタル・アイデンティティの現状は、その場かぎりの解決策としての継ぎは ぎであり、矛盾を抱えている。このことが、Web サイトごとにユーザーの対応が異なることによって 人々に負担をかけ、システム全体をもろくし、そして、電子商取引における取りきめをきちんと達成 するための障害となっている。 インターネットに関する問題は、しばしばアイデンティティに関する問題である。 今日のインターネットにおける多くの問題は、広く利用され、簡単に理解することができ、そして 安全性を持ったアイデンティティ・ソリューションが不足しているということに由来する。 実世界とオンラインの世界との比較を用いて説明しよう。実世界では、ある銀行のどの支店をい つ訪れているのかということを伝えることができる。そして、偽の銀行の支店を作り、そこで取引をす るように人をだますことは非常に難しい。しかし、今日のオンラインの世界では、偽の銀行サイト(ま たは電子商取引サイト)を作り、かなり多くの人々をだましてそれが本物だと思わせることは簡単で ある。これは重大なアイデンティティ上の問題である。現在の Web サイトには、その同一性を人々に 示すための信頼できる方法がないので、結果として詐欺師が幅を利かせている。私たちに必要な ものは、物理的な世界で偽サービスを行うことと同じくらい、オンラインの世界で偽サービスを行うこ とを難しくするためのサイトとユーザー間の信頼のおける認証である。 逆に言えば、サイトによるユーザーの識別に関する問題もたくさんある。ユーザー名とパスワード を用いた認証は、すでにかなり普及しているパラダイムだが、そこに弱点があるということは今日の インターネットにおいては明らかだ。パスワードの再利用、危険なパスワードの利用、そして不十分 なパスワード管理をすると、攻撃の対象となってしまう。それらと、偽の Web サイトによるパスワード 224 窃盗や、間に人が絡んだ攻撃や、今日のインターネットが複合すると、それは攻撃者の天国にな る。 これらの問題の結末は厳しく、ますます悪化している。「フィッシング詐欺」やそのサイトの数は急 増している。オンラインバンキングの規模は縮小しているとの報告もある。オンラインバンキングの 認証に関する最近の規制当局のガイダンスは、「アカウント詐欺や、アイデンティティ窃盗は、多く の場合、単一要素(例:ID、パスワード)の認証が攻撃されたことによる。[FFIEC 05]」と報告してい る。インターネットに対する消費者の信頼はすでに低いが、さらに低くなっている([NCL 06])。明ら かに、従来の状況は存続しうる状態ではなくなっている。 何が必要なのだろうか:アイデンティティ・メタシステム 単一のデジタル・アイデンティティ・システムや技術を普遍的に採用することは難しいので、イン ターネットにおいて成功し、広く普及するアイデンティティのためのソリューションは、異なるアプロ ーチを取る必要がある。すなわち、既存および将来のアイデンティティ・システムを、アイデンティテ ィ・メタシステムに接続することができる能力をもったものである。メタシステム、あるいはシステムの ためのシステムとは、その構成要素であるアイデンティティ・システムを強化し、それらの間における 相互運用性を実現し、それらすべてに対して一貫したユーザーインタフェースの創造を可能にす るものである。その結果としてサイバースペースにもたらされる改良は、最終的には電子商取引を 活性化し、フィッシング詐欺を撲滅し、また、その他のデジタル・アイデンティティにおける難題を解 決して、インターネットをより安全な場所にすることによって、すべての人々に利益をもたらすであろ う。 アイデンティティ・メタシステムは、ユーザーがインターネット上の資源にアクセスする際、ユーザ ーが安全でコントロール可能な状態を維持しやすいようにする。それにより、ユーザーは、ポートフ ォリオの中から自分自身のデジタル・アイデンティティを選択し、承認されている場合は、選択した インターネットサービスのためにそれらを利用することができる。メタシステムでは、一方のアイデン ティティ・システム技術によって提供されるアイデンティティを、また別の技術に基づくシステムの中 でも利用することができる。ただし、両方の技術を理解できる仲介手段が存在し、それが必要な転 換を行う能力と信頼性を有しているということが前提である。 注意してほしいのだが、アイデンティティ・メタシステムの役割は、それが接続するアイデンティテ ィ・システムと競合したり、それらにとって代わったりすることではない。むしろ、メタシステムは、その 役割を果たすにあたって、個別のシステムに依存すべきである。 提案されたソリューションの構造 当然のことながら、デジタル・アイデンティティ・ソリューションを成功させるためには、個人がそれ を自分自身の識別に使うとき、あらゆる文脈においてそれが理解されなければならない。アイデン ティティ・システムはすべて、個人の属していない環境において、その人自身(またはその人の所有 225 物)のを識別するために存在する。これを可能にするためには、その個人のシステムとその個人の ものではないシステム(ここではその個人をデジタルに識別する必要がある)において、たとえ異な るプラットフォームで異なるソフトウェアが実行されていても、同じデジタル・アイデンティティ・プロト コルを利用することができなければならない。 そのようなソリューションは、アイデンティティ・メタシステムという形で既に提案されていて、いくつ かの成功例も存在しているアイデンティティ・メタシステムは、「アイデンティティ原則( Laws of Identity)」と呼ばれる基本原則に基づいている。この原則は、普遍的に適用される持続可能なアイ デンティティの構造が守るべき基本原則を成文化したものである。この原則は、インターネット上で の長期間の開かれた対話を通し、アイデンティティ分野の専門家によって提案され、議論され、そ して改善されてきた。アイデンティティ・メタシステムの包括的な構造を定義するために、この原則は 重要である。 この原則は、専門家や利害関係者の間における開かれたコンセンサスを得るためのプロセスを 経て開発されたので、さまざまな利害関係がきちんと統合されていて、性質上誰にも帰属しないも のである。結果として、この原則は、さまざまな業界組織、協会、そして技術開発者によって承認さ れ、採用された。 メタシステムは、単一のユーザー・エクスペリエンスそして統一的なプログラミングパラダイムを用 いて、異なるアイデンティティ・システムを共に動作させることにより、特定の基本システムの開発や 市場の独占に関するユーザーや開発者の心配を解消した。それによって、あらゆる人々のリスクが 減少し、技術進歩のスピードが速まるからである。 アイデンティティ 7 原則や、そこで説明されているアイデンティティ・メタシステムは、オンラインの 世界におけるセキュリティやプライバシーの向上に大変貢献していると私たちは考えている。したが って、プライバシーのコミュニティにおいて、それらをもっと研究し、サポートし、より広く採用するべ きだと考えている。 私たちは、特に、それらの FIPs との共通点の多さに大変驚かされた。FIPs は、個人情報の他者 による収集、利用、および提供について、個人に広範囲の権利を与えるための普遍的原則を定め ているのと同時に、個人情報の収集、利用、および提供に関する組織の広範囲の責任についても 定めている。FIPs は世界中のプライバシーおよびデータ保護法の基礎となっているが、情報技術と システムの設計、開発、および運用をプライバシー保護の方向に導くためにも利用することができ るほど幅広い用途に使えるものである。 私たちは、いかにしてアイデンティティ原則が、ユーザーが自分自身のアイデンティティ情報、個 人情報、そしてオンラインエクスペリエンスを管理できるようにしているかということに感銘を受けた。 メタシステムでは、ユーザーは、どの程度の情報を提供するのか、誰に提供するのか、あるいは、ど のような状況において提供するのか、ということを決定することができ、したがって、きちんと自分自 226 身のプライバシーを保護することができる。アイデンティティ・プロバイダーと RP(Relying Party)との 間における強力な双方向認証により、フィッシング詐欺やその他の詐欺を防ぐことができる。アイデ ンティティとそれに付随する個人情報は、さまざまな方法により安全に保存・管理することができる (例:ユーザーの選択に基づくオンラインのアイデンティティ提供サービス、ユーザーのパソコンへ の保存、安全な USB キーホルダー・ストレージ・デバイス、スマートカード、PDA、携帯電話。) さらに、アイデンティティ・メタシステムによって、複数のアイデンティティ・システムを通じて、予測 可能で統一的なユーザー・エクスペリエンスが実現可能になる。それは人間としてのユーザーにも 手を差し伸べて、機械と人間との結び付きを確保するものである。 アイデンティティ・メタシステムの参加者は、さまざまな方法でアイデンティティを利用し、関与し、 または依存しているすべての人や物である。例えば、既存のアイデンティティ・システム、企業の識 別情報、政府の識別情報、リバティーフェデレーション、オペレーティングシステム、モバイル機器、 オンライン・サービス、そしてスマートカードなどである。繰り返すが、可能性が制限されるかどうか は、開発者の考え方しだいなのである。 アイデンティティ原則に準拠していない普及しているアイデンティティ・システムの例が参考にな るであろう。 .Net Passport 現在までのところ、最もよく知られているマイクロソフトによるアイデンティティへの取り組みは、ほ ぼ間違いなく Passport Network である。これは、集中的にユーザーの個人情報を保存する「シング ルサインオン」のアイデンティティ・システムとして、何百万人ものインターネットユーザーに知られて いる。 アイデンティティ・メタシステムは、Passport の元々のバージョンとは、基本的な点において少し 異なっている。メタシステムは、個人情報を一切保存せず、その情報を保存する方法や場所の決 定については、各アイデンティティ・プロバイダーに一任している。アイデンティティ・メタシステムは、 インターネット向けのオンライン・アイデンティティ・プロバイダーではない。それは、あらゆるアイデ ンティティ・プロバイダーが共存し、互いに競争することができるような手段を提供している。すべて のプロバイダーがメタシステムにおいては平等な地位に置かれているのである。そして、マイクロソ フトは Passport のオリジナルバージョンの利用について企業に課金していたが、アイデンティティ・ メタシステムへの参加については誰も課金されることはない。 公正な立場で言えば、Passport システムは、これらの経験を経て改善されてきた。そこでは、ユ ーザー名とパスワードという資格情報以外の個人情報を保存しなくなった。現在のところ、Passport は、マイクロソフトおよびそのパートナー企業のサイト向けの認証システムである。その役割は、明ら かに文脈に沿っており、ユーザーとパートナーが満足することができるようなものになっている。 Passport と MSN は、MSN およびそのパートナー企業向けのオンライン・アイデンティティ・プロバイ 227 ダーとして、アイデンティティ・メタシステムのためのサポートの実施を計画している。Passport のセ キュリティは改良されより使いやすくなり、MSN Online のパートナーは、アイデンティティ・メタシステ ムを通して Passport と相互運用することができる。 また、アイデンティティ・メタシステムの 7 原則を具現化するデスクトップアプリケーションの例(現 在開発中)も参考になるであろう。 Cardspace とインフォメーションカード 特に Microsoft は、アイデンティティ・メタシステムの 7 原則に準拠したユーザー向けソフトウェア を開発した。「Cardspace」というアイデンティティ・セレクタは、アイデンティティ・メタシステムによっ て必要とされる一貫したユーザー・エクスペリエンスを提供する Windows のコンポーネントである。 それは、エンドユーザーのデジタル・アイデンティティを保護し、エンドユーザーによる管理を実現 するために、特に改ざんやなりすましへの対策が施されている。Cardspace(バーチャルなカード入 れに相当する)で管理されたそれぞれのデジタル・アイデンティティは、ユーザーインタフェース内 にある視覚的な「インフォメーションカード」によって表される。ユーザーは参加するサービスで認証 を受けるために、インフォメーションカードに表されたアイデンティティを選択する。 図 1:アイデンティティの選択画面(インフォメーションカード) 多くのアイデンティティに対する攻撃が成功するのは、通信技術がセキュアでないからではなく、 228 ユーザーがスクリーン上の何らかの表示にだまされるからである。例えば、フィッシング攻撃は、数 千マイルも離れているかもしれない Web サーバーとブラウザーとの間のセキュアな通信経路で発 生するのではなく、ブラウザーとそれを使う人間との間のわずか数フィートの距離の間で発生する のである。したがって、アイデンティティ・メタシステムは、選択する際に、一貫性があり、判りやすく、 明白なユーザーインタフェースを利用できるようにして、ユーザーが、アイデンティティについて、多 くの情報に基づく合理的な意思決定を行うことができるようにしている。 図 1 が示しているように、ユーザーは、サービスごとに利用するアイデンティティを選択し、それら を利用したときサービスに提供される情報の内容を知らされ、また、それらのサービスがユーザー の提供した情報をどのように利用するのかということを伝えられるので、自分自身のアイデンティテ ィに関するインタラクションの管理をすることができる(原則 1 および 2 を参照)。この管理のために は、まずは提示されている選択肢を理解することができなければならない(原則 6 および 7 を参照)。 ユーザーが、伝えられたとおりのアイデンティティ・ソリューションを与えられなかったり、そのソリュ ーションの構成要素を機能させることができなかったり、または、自分自身の利益のために一貫し て適切な選択をすることができなかったりすれば、問題は解決されないだろう。 インフォメーションカードは、ユーザー名・パスワードを用いた資格情報と比較して以下のような 大きなな利点を有する 資格情報の弱さ、再利用、紛失、忘却、盗難がない。 一切パスワードをタイプせず、送信 もしないので、パスワードを盗まれたり、忘れたりすることはあり得ない。 サイト認証の改良、フィッシング詐欺の減少 すべてのインフォメーションカードとサイトのペ アに対して生成されるユニークなキーに基づいて認証が行われるので、あるサイトに知られ たキーは、別のサイトの認証のためには役に立たない(同じインフォメーションカードでも不 可)。このことは、フィッシング詐欺や偽の Web サイトの問題を直接的に解決する。 データの最小化 インフォメーションカードは、アイデンティティ情報やクレーム値(例:氏名、 住所、E メールアドレス)を、取引をしているサイトに再提供することができるので、それらの サイトはセッション中にこのデータを保存する必要がない。保持しているデータが少ないと いうこと、すなわちデータが最小化されるということは、このサイトのぜい弱性も小さいという ことを意味する(原則 2 を参照)。 一貫性のあるインタフェース=より良い選択 Cardspace のようなプログラムは、デジタル・ア イデンティティを用いるための標準的なユーザーインタフェースを実装している。おそらく、 このインタフェースの最も重要な部分(サイトに提示するアイデンティティの選択画面)が、 前のページの図 1 に示されているものである。 229 現在、多くのインフォメーションカードシステムが存在している。注目してほしいことは、さまざまな カードや資格情報の入った財布のような「実世界の」視覚的比喩とヒントを拡張することによって、 マイクロソフトの提供しているようなインフォメーションカードソフトウェアは、ユーザーが自分自身の デジタル・アイデンティティをより適切に管理することを可能にする、ということである。興味のある読 者は、www.identityblog.com より入手できるホワイトペーパーを読んでほしい。そこには、アイデンテ ィティ原則やインフォメーションカードの詳細について書かれている。 それでは、アイデンティティ・メタシステムに組み込まれたプライバシー機能の話に戻ろう。 アイデンティティ 7 原則に対するプライバシーの分析と解釈 これまでの議論や、アイデンティティの課題および将来の可能性を考慮して、私たちはアイデン ティティ 7 原則に対し、プライバシーに関する分析と解釈を実施した(さらには、その原則が集中的 に記述しているアイデンティティ・メタシステムに対する分析と解釈も実施した)。 以下の表は、そのプライバシー保護の特徴を明示的に抽出するために、FIPs をアイデンティティ 原則に「マッピング」した私たちの作業の結果をまとめたものである。この表は、すべての者が考慮 すべきプライバシーに対する示唆を「引き出す」7 原則の解釈である。 まとめると、プライバシーが組み込まれたアイデンティティ原則を実装すれば、個人に以下のもの が提供されることになる。 オンライン環境における自分自身の個人情報に対するより簡単で直接的なユーザー管理 オンラインで提供される識別データを最小化する強力なユーザー能力 異なるアイデンティティと操作との間の結び付きを最小化する強力なユーザー能力 詐欺的メッセージや Web サイトを検出し、それによってフィッシング詐欺やなりすまし詐欺の 発生を最小化する強力なユーザー能力 アイデンティティ原則 アイデンティティ 7 原則 プライバシーを組み込んだアイデンティティ 7 原則 原則 1:ユーザーによる管理と同 原則 1:個人による管理と同意 意 技術的なアイデンティティ・シス 技術的なアイデンティティ・システムは、ユーザーの同意を テムは、ユーザーの同意を得られ 得られた場合に限り、そのユーザーの識別情報を提供するこ た場合に限り、そのユーザーの識 とができる。個人によるコントロールは、選択の自由と同じよう 別情報を提供することができる。 に、プライバシーにおける基本である。同意を得ることはその 230 両方にとって重要である。 その同意は、個人情報の収集、利用、および提供の際に 得られなければならない。同意は、事前に情報を与えられた 上でなされる必要があり、強制されてはならないまた後日そ れを撤回することもできなければならない。 原則 2:利用を制限するための 最小限の提供 原則 2: 限定的な利用のための最低限の提供:データの最小化 アイデンティティ・メタシステムで アイデンティティ・メタシステムで提供する識別情報は、可 提供する識別情報は、可能な限り 能な限り少なくしなければならない。なぜなら、それが最も安 少なくしなければならない。なぜな 定した長期間有効なソリューションだからである。またそれ ら、それが最も安定した長期間有 は、最もプライバシー保護に資するソリューションでもある。 効なソリューションだからである。 個人情報の収集、利用、および提供に対して制限を課す という考え方は、プライバシー保護の中心である。これらの目 的を達成するためには、まず収集の目的を特定し、次に、そ の情報の利用をその目的に制限しなければならない。また、 特定された一次的な目的による提供に対しても、二次的な利 用のための提供をしないよう制限を加える。データ最小化の 概念は、これらの問題に直接的に関係する。すなわち、まず は個人情報の収集を最小化することにより、無許可の二次的 利用のような悪用の可能性を回避するのである。 原則 3:正当な関係者 原則 3: 正当な関係者:「知る必要性」によるアクセス 識別情報の提供が、当該アイデ 識別情報の提供が、当該アイデンティティ関係について必 ンティティ関係について必要性を 要性を有し、正当な立場にある関係者に制限されるように、 有し、正当な立場にある関係者に アイデンティティ・システムは設計されなければならない。この 制限されるように、アイデンティテ ことは、個人情報の提供に制限を課し、「知る必要性」という ィ・システムは設計されなければな 根拠がある場合にのみアクセスを承認するということと同じで らない。 ある。 データにアクセスする権限を与えられた当事者だけが、正 当な理由によりそうすることが必要とされるので、アクセスを承 認される。 231 原則 4:方向づけられたアイデン ティティ 原則 4: 方向づけられたアイデンティティ:保護と説明責任 普遍的なアイデンティティ・メタ 普遍的なアイデンティティ・メタシステムは、識別性やプラ システムは、公共機関が利用する イバシーの度合いに合わせて、さまざまな識別子をサポート 「全方向」の識別子と、民間企業が することができなければならない。一方向の識別子は、ユー 利用する「一方向」の識別子の両 ザーが相手当事者のためだけに利用し、異なるサイトの間に 方をサポートしなければならない。 おけるデータの結合を最小化するための個人の権利をサポ このようにして、不要な関連付けを ートする。これは、個人情報の利用と提供に制限を課すプラ 防止しつつ発見を促進することが イバシーの原則と一致している。同時に、オンラインで接続し できる。 ている相手を確認し、結果としてそれらの個人情報が適切に 提供されるようにするために、ユーザーは公共機関が提供す る全方向の識別子も利用できるようにしなければならない。ビ ジネス慣行におけるさらなる公開性や説明責任を推進するた めに、監査証跡の作成を通じた適切な監視を許容するような 他のタイプの識別子が必要になることもあるかもしれない。 原則 5:プロバイダーと技術の複 数共存 原則 5: プロバイダーと技術の複数共存:監視の最小化 普遍的なアイデンティティ・ソリュ 異なるアイデンティティ技術とそのプロバイダーとの間にお ーションは、複数のアイデンティテ ける相互運用性が、普遍的なアイデンティティ・メタシステム ィ・プロバイダーによって実行され によって実現されなければならない。 る複数のアイデンティティ技術の 間における相互運用性を実現しな ければならない。 アイデンティティ技術の相互運用および分離の両方によっ て、ユーザーは、さまざまな文脈における識別手段に対して より多くの選択と管理をすることができるようになる。これによ り、さまざまなサイトに対する訪問を監視することによって取 得された個人情報がトラッキングとプロファイリングに使われ るようなことを最小化することができる。 原則 6:人との一体化 原則 6: 人の顔:理解を得ることが重要 アイデンティティ・メタシステムで ユーザーは、アイデンティティ攻撃から身を守る明確なマ は、人間であるユーザーを分散シ ンマシン間の通信を通して統合されるあらゆるシステムにお ステムの構成要素として定義しな いて、重要な位置を占めていなければならない。 232 ければならない。その分散システ このことは、ユーザーのきちんとした理解を得られている場 ムは、アイデンティティへの攻撃を 合にかぎり、ユーザーによる管理を推進させる。したがって、 防ぐために、明確なマンマシン・イ あらゆる通信において個人と関わるときに使う言葉を簡単に ンタフェースを通して一体化され することが、理解を得るために重要である。信頼はそのような る。 理解を基礎とする。 原則 7:さまざまな文脈において 一貫したユーザー・エクスペリエン ス 原則 7: さまざまな文脈において一貫したユーザー・エクスペリエン ス: ユーザーへの権限付与と管理能力の強化 統一的なアイデンティティ・メタ 統一的なアイデンティティ・メタシステムは、複数のプロバイ システムは、複数のプロバイダーと ダーと技術による文脈の分離が可能である一方で、単純で 技術による文脈の分離が可能であ 一貫したユーザー・エクスペリエンスを保証しなければならな る一方で、単純で一貫したユーザ い。ここでは、個人への権限の付与とインフォームドコンセン ー・エクスペリエンスを保証しなけ トの概念に立ち戻る必要がある。信頼できる一貫した方法に ればならない。 基づいて、個人がさまざまな文脈における管理をすることが できるようにするための明確なインタフェース、管理、そして オプションは、インフォームドコンセントの原則を強化する役 割をするだろう。 結論 インターネットは、誰あるいは何と通信をしているのかということを知る手段が無いまま開発された。 このことが人々の活動を制限し、コンピューターユーザーを潜在的な不正にさらしている。何もしな いでいると、窃盗や詐欺が急速に増え、それが積み重なって国民の信頼を失うだろう。オンライン 環境における消費者を個人情報の悪用の危険にさらし、電子商取引の将来の可能性を最小化さ せる、スパム、フィッシング詐欺、なりすまし詐欺、そしてアイデンティティ窃盗などにより、すでに国 民の信頼は失われつつある。プライバシーを組み込んだアイデンティティ 7 原則は、より安全で、証 明可能で、そして個人的な方法で、自分自身のデジタル・アイデンティティと個人情報を管理する 権限を消費者に与える国際的な構想をサポートしている。 プライバシーを組み込んだアイデンティティ 7 原則に準拠したアイデンティティ・システムでは、オ ンライン取引を続行するかどうかを決定する前に、消費者が正当な組織のアイデンティティについ て確認することができる。今日、消費者が、スパム、フィッシング詐欺、なりすまし詐欺、ハッキング などにあい、またはその他の方法によって個人情報を盗まれるケースが急増しているが、その大き 233 な理由は、消費者が「悪人」と「善人」を区別するための信頼のおける方法がほとんどないからであ る。 電子商取引の提供者は、このような傾向に注目している。なぜなら、消費者の信頼を失ってしま うと、ビジネスに悪影響を与えるからである。次世代の知的でインタラクティブな Web サービス(Web 2.0)が成功するためには、より多くの(より少なく、ではない)検証可能なアイデンティティ資格情報 が必要であり、より強固な信頼関係も必要である。 ちょうどインターネットが異なる者に帰属するネットワークを接続して構築されたように、普遍的な プライバシー原則に基づいて、異なるアイデンティティ・システムを接続し、きちんとユーザーのプラ イバシーを保証するための、開放的、非独占的、そして普遍的な手段が発明されてしまえば、「ア イデンティティ・ビッグバン」が起こると予想される。既に、アイデンティティ 7 原則に賛成し、それら に準拠したアイデンティティ・システムの開発に取り組んでいる企業や個人は多数存在する。その 参加者には、電子商取引サイト、金融機関、政府機関、ISP、携帯電話業者、認証局、そして、さま ざまなプラットフォーム向けのソフトウェア・ベンダーなどがある。 プライバシーを組み込んだアイデンティティ 7 原則に対する私たちの取り組みは、アイデンティテ ィにかかわるディスカッション(特に、相互運用可能なアイデンティティ・システムを決定づけるであ ろう新技術)にプライバシーに関する考慮を組み入れることを意図していた。私たちの解釈につい て、インターネットのブログ圏や「identerati」において、幅広い議論が行われることを願っている。 また、ソフトウェア開発者、プライバシー団体、そして公共政策の立案者が、プライバシーを組み 込んだアイデンティティ 7 原則を綿密に検討し、それらについて公の場で議論し、そして心にとどめ ていただけるよう願っている。インターネットと電子商取引の発展における大切な時期に、プライバ シーが強化されたアイデンティティ・ソリューションを推進することが、プライバシーとアイデンティテ ィの両方をより強力に保護することを可能にするであろう。 付属資料 A:公正情報取り扱い(FIPs) カナダ規格協会(CSA)プライバシーコード <諸原則の一覧> 以下に挙げた相互に関係する 10 原則が、CSA「個人情報保護に関するモデルコード(Model Code for the Protection of Personal Information)」の基盤を形成している。付随する説明と一緒に 各原則を読むこと。 1. 説明責任 組織は、管理している個人情報に責任を持ち、以下の諸原則に対するその組織 234 の遵守について責任を負う者を任命しなければならない。 2. 目的の特定 個人情報を収集するときあるいはそれ以前に、個人情報を収集する目的が組織 によって特定されなければならない。 3. 同意 個人情報の収集、利用、または提供については、その個人への通知と同意が必要であ る。ただし、それが不適切である場合を除く。 4. 収集の制限 個人情報の収集は、その組織が特定した目的に必要な範囲に限定される。個 人情報は、公正で適法な手段によって収集されなければならない。 5. 利用、提供、保有の制限 個人情報は、その個人の同意がある場合か、法律で要求されてい る場合を除き、その取得時の目的以外の目的のために利用または提供されてはならない。個 人情報は、その目的を満たすために必要な期間に限り、保有することができる。 6. 正確性 個人情報は、その利用の目的に必要な範囲で、正確、完全、そして最新でなければ ならない。 7. 安全保護 個人情報は、その情報の機微性の程度に応じた安全保護措置によって保護され なければならない。 8. 公開性 組織は、その組織の個人情報管理に関する方針や慣例について、個人が簡単に知 ることができるようにしなければならない。 9. 個人の参加 個人が要求した場合、自己の個人情報の存在、利用、および提供に関する情 報が与えられなければならず、また個人はその情報にアクセスすることができなければならな い。個人は、個人情報の正確性や完全性に異議を申し立て、それを適切に修正させることが できなければならない。 235 10. 遵守に関する異議申し立て 個人は、その組織のコンプライアンスの責任者に対し、上記の 原則に関する遵守について異議を申し立てることができる。 原文:www.csa.ca/standards/privacy 236 付属資料 B:出典とその他の有益な参考文献 The Case for Privacy-Embedded Laws of Identity in the Digital Age Identity Theft Revisited: Security Is Not Enough www.ipc.on.ca Kim Cameron のアイデンティティ・Web ログ www.identityblog.com The LAWS OF IDENTITY An introduction to Digital Identity – the missing layer of the Internet www.identityblog.com/?page_id=354 The IDENTITY METASYSTEM A proposal for building an identity layer for the Internet www.identityblog.com/?page_id=355 アイデンティティ管理の研究開発プロジェクト InfoCard / CardSpace:www.identityblog.com/wp-content/resources/design_rationale.pdf Open Source identity Selector (OSIS) project: http://osis.netmesh.org Shibboleth: http://shibboleth.internet2.edu/about.html Eclipse Higgins: www.eclipse.org/higgins/および http://spwiki.editme.com/HigginsInTheNews Bandit: http://forgeftp.novell.com//bandit/Bandit_f.pdf および www.bandit-project.org Yadis: http://yadis.org および www.openidenabled.com OpenID: www.openid.net および www.openidenabled.com Private Credentials: www.credentica.com Liberty Alliance Project: www.projectliberty.org アイデンティティ管理の研究 EU Future of Identity in the Information Society (FIDIS): www.fidis.net 237 EU Privacy and Identity Management for Europe (PRIME): www.prime-project.eu アナリストやメディア情報リソースの選択 Federal Financial Institutions Examination Council, Authentication in an Internet Banking Environment, 2005 年 10 月:ガイダンス文書は以下を参照 www.ffiec.gov/pdf/authentication_guidance.pdf National Consumers League, A Call for Action: Report from the NCL Anti-Phishing Retreat, 2006 年 3 月:プレスリリースは以下を参照 www.nclnet.org/news/2006/Phishing_Report_03162006.htm Gartner Survey Shows Frequent Data Security Lapses and Increased Cyber Attacks Damage Consumer Trust in Online Commerce, 2005 年 6 月 www.gartner.com/press_releases/asset_129754_11.html 238 Privacy in the Clouds: A White Paper on Privacy and Digital Identity クラウド環境におけるプライバシー:プライバシーとデジタル・アイデンティティに関するホワ イトペーパー 239 クラウド環境におけるプライバシー: プライバシーとデジタル・アイデンティティに関するホワイトペー パー 2008 年 5 月 序文 情報の自己決定とは、第三者による個人の情報の収集、利用、および公開について個人的な 管理を実施することができる能力のことを指す。それは現代の世界において、プライバシー法や慣 例の基礎となっている。 個人データを収集、利用するすべての組織は、個人の正当な利益を尊重しなければならない。 組織がこれらを実現させるためには、彼らの情報管理の方法について公開し、説明責任を果たす こと、インフォームドコンセントを要求すること、および問合せや是正の仕組みを設けることなどを実 施することになる。プライバシーに関する問題だけではなく、今日の情報社会における何百万人も の個人、消費者、および市民の自信や信頼に関する問題でもある。 オンタリオ州情報・プライバシーコミッショナー事務局(IPC)は、個人が自分自身の情報を管理 する上で、オンタリオ州法におけるプライバシー権を行使するだけではなく、もっと良い情報を得て、 コ PETs を利用することが大きな役割を果たすことを長い間主張してきた。PETs は、個人識別情報 (PII)の提供およびその利用(誤用)を最小化し、そのデータが第三者から無断で利用されないよう にする。 情報の自己決定は、個人から組織へまたは組織間において、情報が無制限に移動する世界(し ばしば「Web2.0」と呼ぶ)において、促進と保護に関する挑戦的な概念である。ICT における広範 囲に及ぶ進歩の結果、私たちは、指数関数的に増加する情報をまとめて作成、保存、そして送信 している。このデータの大部分は個人の身元を識別することができ、その多くが第三者の管理下に ある。身元が分からないということが実用的であった―これまでのプライバシー標準の基礎は、その 姿を消しつつある。 私たちのデジタルの足跡や影は、ビット、メガバイト、あるいはテラバイト単位で取得され、同時に 膨大な数の場所においてプロフィールやアバターのような私たちの視覚表現として保存される。こ れらの技術は、私たちの両親の時代には夢にも思わなかったであろう並はずれた新しいサービス、 新しい利便性、新しい能率性、そして利益を提供する。同時に、このデジタル天国からは、新しいリ 240 スクや脅威が出現した。身分詐称、盗難、多量のデータによる新しい差別、そしてソーシャルエン ジニアリングなどは、情報化時代の恥部と言えるだろう。 伝記、生物学、家系、歴史、取引、位置、関係、計算、評判のようなどんな分野の情報であって も、個人情報は私たちの現代のアイデンティティを形作るものである。責任をもってそれを管理しな ければならない。さもなければ、説明責任は弱くなり、私たちの情報社会への信用も落ちる。 接続性、ネットワーク、ユーザーの参加、共有、そして共同作業が急速に進化している世界にお いて、アイデンティティやプライバシーに関する私たちの基本的な考え方、私たちが追求してきた 戦略、そして、私たちが採用した技術は変化・適応してゆかなければならないだろう。 データが溢れたトランザクションの中で個人が直接顔を出すことがますます減っている世の中に おいて、プライバシーは何を意味するのだろうか。プライバシーはどのように生き残るのだろうか。ま た、うまくいけば人間の権利、運営上の価値、そして信頼の対象として繁栄してゆくのだろうか。 個人データがクラウド上1 (つまり、彼らのパーソナルコンピューティング機器以外のあらゆる場 所)で保存・処理される場合には、個人はどのようにそのデータを管理すればよいのだろうか。 深遠で劇的な変化が起こっている。プライバシーはどうあるべきなのだろうか。 21 世紀におけるプライバシーの挑戦 インターネットは新しいフェーズに入った。より信頼でき、手頃で、ユビキタスなブロードバンドア クセスのおかげで、インターネットは単なる通信ネットワークではなくなった。それは、コンピューティ ングのためのプラットフォーム―広大で、相互接続された、仮想的なスーパーコンピューターになり つつある。この傾向を説明する用語はたくさんある―Web2.0、SaaS、Web サービス、「クラウドコンピ ューティング」、あるいはグリッドなどである。これらの用語は、データの管理や処理の方法における 抜本的な変化の一部について説明している。現在のインターネットユーザーは、デスクトップコンピ ューターやサーバーでソフトウェアを実行させる代わりに、「クラウド」(サーバー、ストレージシステム、 そしてデバイスのネットワーク化された集合)を利用し、ネットワーク上の複数の場所に散在するソフ トウェア、データ、およびコンピューティング能力を結合させることができる。 このような変化は大変重要である。Nicholas G. Carr 氏の言葉を引用すると、それは「戦略や運 営上の想定をひっくり返し、産業経済を変え、市場をひっくり返し、そしてすべてのユーザーやベン 1 テレコミュニケーションの世界では、「クラウド」とは、データが二つのエンドポイントの間を流れ るあらゆるネットワークにおいて、推察ができない部分のことを指す。本稿における「クラウド」は、一 般に、個人情報の伝達、処理、そして保存を通した(または、その個人による直接的な知識の取得、 関与、または管理がほとんどできない)あらゆるコンピューター、ネットワークまたはシステムのことを 指している。 241 ダーに対して難題を突き付ける。情報技術のビジネスへの応用の歴史は、さまざまな驚くべき飛躍 によって形作られてきたが、これほどのものはかつてなかった。パソコンの普及やインターネットの 開始でさえも、差し迫っている変化に合うものではない。」2 また、新しいデジタル・エコシステムも、複雑なセキュリティやプライバシー上の問題を抱えている。 そこでは、基本的に、ユーザーを認証するフレキシブルでユーザーフレンドリーな方法が提供され なければならない。デジタル・アイデンティティをきちんと管理することができなければ、私たちはア イデンティティ窃盗、スパム、マルウェア、サイバー詐欺のような既存の問題に対処できないという だけではなく、ユーザーが自分自身のコンピューターから Web に重要なデータやアプリケーション を安全に移行できると保証することもできない。技術の進歩がせっかく与えてくれた機会を逃してし まうのだ。 消費者コンピューティングの進歩 ユーザーの観点から見ると、消費者コンピューティングにおける発展は、以下のような三つのフェ ーズに分けることができる。 1. スタンドアロンのパソコン ここでは、ユーザーのオペレーティングシステム、文書処理シス テム、データベース・ソフト、およびデータは、保護の容易な同一の機器に保存される。例: スタンドアロン・サーバー上の文書処理やスプレッドシート。 2. Web ユーザーが必要とするソフトウェアの大部分はまだユーザーのパソコン上にあるが、 彼らが必要とするデータについては、インターネットから取得することが多くなる。例:Web ブ ラウザーを利用した Web ページの閲覧 3. 「クラウド」3 ユーザーは、インターネット上にあるデータとソフトウェアに大きく依存する。例: アマゾンの Simple Storage Service(S3)と Elastic Computing Cloud(EC2)で、無制限の写真 の保存のために Smugmug(オンライン・フォト・サービス)を利用する。/Google Apps で文書 処理を利用する。/Second Life のような仮想世界で、Web ページと Web アプリケーションを 結合する三次元環境をユーザーが構築する(例えば、仮想の劇場においてインターネット 放送を流す)。/グリッドコンピューティング 2 Nicholas G. Carr, The End of Corporate Computing, MIT Sloan Management Review, 2005 年 春、67-73 ページ 3 以下を参照 “The Information Factories” by George Gilder, Wired magazine, 2006 年 10 月 http://www.wired.com/wired/archive/14.10/cloudware_pr.html 242 クラウドコンピューティングの威力と可能性 私たちの作業の多くはまだ上記のフェーズ 1 か 2 を利用しているが、特に若い世代を中心に、よ り多くの人々がクラウドの威力を活用し始めている。クラウドには以下のような利点がある。 1. 限りない柔軟性 何百万ものソフトウェアやデータベースへのアクセス、またそれらをカスタ ムのサービスに結合することにより、ユーザーは必要な回答を得ることができ、他社と考えを 共有して、あるいはオンラインゲーム、動画、そして仮想世界を楽しむことができる。 2. より高い信頼性とセキュリティ ハードドライブの故障やモバイルパソコンの盗難について、 ユーザーは心配する必要がない。 3. 高められた協調動作 オンライン環境における情報やアプリケーションの共有により、他者 と共に仕事をし、遊ぶための新しい方法がクラウドによって提供される。 4. ポータビリティ インターネットに接続できる環境さえあれば、ユーザーは彼らのデータとツ ールにアクセスすることができる。 5. より単純なデバイス クラウドにデータやソフトウェアが保存されているので、ユーザーは高 性能のコンピューターを必要としない。ユーザーは、携帯電話、PDA、パーソナルビデオレ コーダ、オンラインゲーム機、乗用車、あるいは洋服に付けられたセンサーなどを利用して 接続することができる。 私たちは、(インターネット上に散在するソフトウェアやデータベースへの機密の個人情報の保存 において)実際に存在するプライバシーやセキュリティ上の懸念を解決することができた場合のみ、 クラウドコンピューティングの能力を最大限に活用することができる。 デジタル・アイデンティティは、大きな難題である。消費者コンピューティングのフェーズ 1 では、 物理的なアクセスをスタンドアロンのコンピューティング機器と記憶媒体に制限することにより、ユー ザーのプライバシーとセキュリティは大方保証されていた。アイデンティティ保護のニーズはほとん どなく、ローカルシステムやファイルアクセスのためのユーザー名とパスワードをきちんと管理しなけ ればならない程度だった。 消費者コンピューティングのフェーズ 2 では、ユーザーは、新しいインターネットベースのアプリケ ーションを利用するたびに、普通はオンラインの書類を書き、機密の個人情報(例:名前、住所、ク レジットカード番号、電話番号など)を提供して自分自身のアイデンティティを示さなければならな い。これは個人情報への手がかりを Web 上に残すので、適切に保護されなければ、利用または乱 用される可能性がある。 243 クラウドにおけるアイデンティティ・サービスの必要性 クラウドコンピューティングや、それが可能にした素晴らしいツール(仮想世界、グリッドコンピュ ーティング、共有アーカイブなど)では、以下のような条件を満たすアイデンティティ・サービスが必 要である。 1. デバイスからの独立 2. 何千ものオンライン・サービスへのシングルサインオン 3. 匿名および複数の離散的な(しかし有効な)アイデンティティを認めることによる、ユーザーの プライバシーの保護 4. 相互運用的で、オープンスタンダードに基づき、そして、オープンソースのソフトウェアで利用 することができること(ユーザーの選択肢を増やすため)。 5. 連合アイデンティティ管理 6. 透明性および監査可能性 本稿では、適切なデジタル・アイデンティティ・サービスが普及して、クラウドコンピューティングの 能力が発揮されると何が可能になるのか、ということをまとめている。いくつかのシナリオを以下に示 す。 1. 個人が簡単に自分自身のオンライン・アイデンティティを管理し、サインオンを繰り返さなくても オンラインの共同作業に楽に参加することができるようなアイデンティティ・サービス 2. 出会い系サイトのユーザーが、現在のそれよりも高いプライバシーを得ることができるようなア イデンティティ・ツール 3. プライバシー機能が埋め込まれた携帯電話や RFID チップを利用する支払いシステム 4. 電子的な健康記録のための基盤 5. セカンド・ライフのような仮想世界のためのアイデンティティ・サービス デジタル・アイデンティの現状 ほとんどすべてのオンライン活動(例:E メール送信、税金の申告、銀行口座の管理、商品の購 244 入、ゲーム、企業イントラネットへの接続、仮想世界での人との対談)において、ある人からもう一人 に対してアイデンティティ情報を示す必要がある。ユーザーは、新しいアプリケーションを利用する たびに、普通はオンラインの書類を書き、機密の個人情報(例:名前、住所、クレジットカード番号、 電話番号など)を提供して自分自身のアイデンティティを示さなければならない。カナダにおける典 型的なインターネットユーザーは、何らかの個人情報を何十もの Web サイトに提供している。クッキ ーや IP アドレスも個人情報とみなすのであれば、インターネットユーザーは訪問したあらゆる場所 に個人情報を残していることになる。インターネットユーザーは、「デジタルのパンくず」をサイバー スペース中に撒き散らしている。そして、そのデータがどのように利用されるのか、あるいはどの程 度きちんと保護されているのか、ということについてよく知らないことが多い。 明日のデジタル・アイデンティティに対するニーズ 今必要とされているものは、フレキシブルでユーザー中心のアイデンティティ管理である。なぜフ レキシブルでなければならないかというと、さまざまな既存(または新しい)アイデンティティメカニズ ムやプロトコル、それにさまざまなプラットフォーム、アプリケーション、またサービス指向の構造・パ ターンをサポートすることができなければならないからである。なぜユーザー中心でなければならな いかというと、エンドユーザーがアイデンティティ管理の中心だからである。ユーザーは、自分自身 の個人情報をきちんと管理することができる権限を与えられなければならない。 近い将来、ユーザーは、新しい Web サイトを訪れるたびに個人データを再入力しなくてもよくな るだろう。その代わり、彼らはアイデンティティ・サービス(一つ、あるいはそれ以上)を利用し、個人 データの所有者やその利用方法について管理をすることができるようになり、アイデンティティ盗難 や不正のリスクが最小化されるだろう。彼らのアイデンティティや評判も移転可能になるだろう。例え ばあるオークションサイトで良い評判を得ると、それを他のサイトでも利用することができるようになる。 このことにより、ユーザーは単一のサービスやベンダーに固定されなくなるので、さまざまなオンライ ン・サービスを選択することができるようになるだろう。 245 本当の意味でフレキシブルなアイデンティティ管理システムは、ラップトップやデスクトップコンピ ューターに制限されないだろう。ユーザーがインターネットに接続さえしていれば、携帯電話、携帯 情報端末、スマートカード、センサー、ビデオレコーダやオンラインゲーム機のような家電製品にお いて、それは機能するからである。デジタル・アイデンティティへのこのような手法は、最大限にクラ ウドの可能性を活かし、ユーザーがさまざまなオンライン・サービスをシームレスに統合することがで きるようになる。 ケーススタディ 1 「ライブ Web」 インターネットはますます相互に接続されたインタラクティブな場所となり、何百万人もの人々が 時間を過ごす場所になった。どのような測定可能な指標を用いて考えてみても(ブログの成長、共 同 wikis、オンライン・ソーシャル・ネットワークなど)、「参加型 Web」現象は私たちの生活を大きく変 え、私たちが互いに関与し、経験をカスタマイズし、そして意見を公にするための無限のチャンスが そこにはある。 このようなオンライン活動の増加において、きちんとしたアイデンティティ管理が必要である。イン ターネットを仕事に使ったり、新しいタイプのオンライン・インタラクション(ソーシャルネットワーキン グ、ユーザーが投稿したコンテンツなど)をしたりすることが増えてくると、革新的なデジタル識別技 術によって、「開かれた Web」を維持することが必要である。オンラインユーザーは、監視やプロファ イリングを恐れることなく、複数のドメインをまたいで複数のアカウントやパスワードをセキュアに管理 することができる必要がある。 このことを促進するものとして、オープンコミュニティによって開発された OpenID があるが、これ は無料の「ユーザー中心の」デジタル・アイデンティティ技術である。これによって、何十もの(ある いは何百もの)ユーザー名とパスワードを管理する手間を省き、ユーザーがサインインをするときに Web サイトと共有する個人情報をきちんと管理することができる。 OpenID では、個人は既存のデジタル識別の一つ(例:個人ブログの URL)を OpenID アカウント 246 に変換し、さらに OpenID をサポートしているすべての Web サイトにおいて、そのアカウントをログイ ンに使うことができる。 今日では、1 万以上の Web サイトが OpenID ログインをサポートしていて、約 3 億 5000 万の OpenID が利用できる URL がある。 オンラインビジネスにおいて、上記のような取り組みはパスワードおよびアカウント管理のコストを 削減し、(保存・保護しなければならない消費者の個人情報の量を制限して)セキュリティ違反のリ スクを削減し、そして、(Web サイトへの訪問・再訪問における障壁を下げて)新規またはリピートユ ーザーのトラフィックを増加させることができる。 2 オンライン・デートサービス オンライン・デートサービスでは、高度なマッチングアルゴリズムを利用して、個人的な興味や趣 向に基づき、人々をマッチングしている。マッチングアルゴリズムが機能するためには多くの個人デ ータを必要とする。したがって、それらのデートサービスのユーザーは、自分自身の情報がきちんと 処理されて、意図および同意されている目的に限って利用されていると安心できる必要がある。 例えば、たとえそのユーザーが、第三者から広告メールを受け取ることに同意していたとしても、 ユーザーは自分自身の個人情報がそのサードパーティには渡されていないということを確認したい だろう。例えば、ある太った人が、衣服メーカーから「フルサイズ」の衣服に関するマーケティングメ ールを受け取ったとしたらどう思うだろうか。 プライバシーを保護するために、デートサービスでは、クライアントは本名ではなく匿名を利用す ることができていた。デートサービスでは、料金を受け取る必要性を除けば、顧客の本当の身元を 知る必要はない。その料金の受け取りは、料金前払いサービスや現金の代替サービスによって行 うことができる。 今日、デートサービスの顧客はほとんどあらゆる属性を使うことができる。「悪魔」が「天使」の真 似をすることを防ぐ手段はない。より良いデジタル・アイデンティティ管理のためには、第三者に公 認された属性がそれらのデートサービスによって利用できるようにして、その証明書によって顧客の 本名がサービスに提供されるリスクをなくす必要がある。 例えば、マッチングアルゴリズムにおいて、ある人物の生年月日が公認されている場合には、公 認されていない人物よりも高いランキングを与えるようにすることができる。また、デートサービスに おいて、新規入会の条件としてブラックリストに載っていない証明を求めることもできる。そのような 手法により、プライバシーへの影響を与えずに、情報がうそであるリスクを減少させ、より高い信頼 を得ることができるだろう。 最終的に顧客が相手に紹介されたとき、顧客はアイデンティティ管理メカニズムを用いて、互い の自宅の安全とプライバシーを保ちながらお互いの属性をチェックするマルチラウンドの「ゲーム」 247 をしながらお互いへの信頼を増すことができる。例えば、「あなたは私よりも若いですか。」というよう な質問をすることにより、本当の誕生日は明らかにせず、出生年を明かす程度で済ませることがで きる。 3 携帯電話による支払いと位置利用サービス 携帯電話産業における非常に有望な進展の一つは、「デジタル財布」としての携帯電話の利用 である。「デジタル財布」は、送金、預金、パーキングメーターや自動販売機での支払いが可能で あり、ついにはクレジットカードとしても利用することができる。しかしながら、この技術の採用におけ る大きな障害はプライバシーの問題である。 クレジットカード会社によって人々の支出における振る舞いが詳細にわたり記録されている現状 に対し、多くの人は不愉快に感じている。デジタル財布では、すぐ考え付くこととして、個人の支出 がいつ、どこで、どのように行われたのかということを携帯電話業者が知ることができるだけではなく、 他人のデジタル財布をトラッキングすることにより、その個人の身元や支出の日時(例:レストラン、 ホテル)を知ることも可能である。 ユーザー中心のアイデンティティ管理では、「電子財布」のユーザーは、ベンダーやネットワーク 提供者に本当のアイデンティティを提供せず、自分自身の認証のためにデジタル・アイデンティテ ィ・サービスを用いることができる。 4 健康管理記録 私たちの最も機密性の高い個人情報の一つに、医療サービスに関連する情報がある。しかしな がら、現在のところは、その個人情報は医師のオフィス、薬局、保険会社、勤め先のようなさまざま な場所に散在している。 電子健康記録を広く採用する際に大きな障害となることとして、そのようなデータが誤用されたり、 盗まれたりすることがあるのではないか、という患者の懸念がある。すでに私たちは、不適当あるい は無許可の目的において利用されている医療情報や薬物情報の例を数多く見てきた。 ユーザー中心のアイデンティティ管理では、患者の本名(および個人を特定することができる個 人データ)を保護し、その他の医療記録、保険金の請求、そして薬剤処方に関する情報を別個に 保存する。また、患者は、連合アイデンティティ・システムにおけるオンライン・ポータルサイトを用い て、その情報の保存場所が医師のオフィス、薬局、または保険会社のどこであったとしても、それら すべての医療情報に高速かつ安全にアクセスすることができる。恐らく最も重要なこととして、それ らの記録を監査し、個人データが保存されている場所、それらの保護手段、そしてその情報を入手 する機関について知ることができなければならない。 248 5 仮想世界におけるアイデンティティと信頼 昨年、Second Life、There.com、そして World of Warcraft オンラインゲームのような仮想世界に ついて、さまざまな報道機関が報道していた。何百万人もの人々がこれら三次元のオンライン環境 において、新しい形による共同作業、ゲーム、また情報共有のために、週に何時間も時間を使って いる。これらの仮想世界の住民による仮想の商品やサービスの売買によって仮想の経済も発展し、 本物のドルが年に何百万ドルも動いている。 残念ながら、ほとんどの仮想世界には、現在アイデンティティとセキュリティを管理するための効 果的な手段がない。結果として、突然現れ、またすぐに行方をくらますような匿名のユーザーによる 破壊や不適切な投稿を防ぐことは難しい。このようなセキュリティと信頼の欠如が、仮想世界におけ る真面目なビジネスの発展を遅らせている。 ユーザー中心のアイデンティティ管理は、仮想世界においても信用できるコミュニティを作るため の効果的な方法を提供することができるかもしれない。例えば、自分の子供が仮想世界で他の子 供と遊ぶ場合に、そこにいる他の子供はすべて適切に認証されていて、本当に「子供」であるという ことが確認されているならば、その子供の親も安心するだろう。 Second Life のような仮想世界が急激に普及した理由の一つには、ユーザーが新しいサービスを 作り、Web から調達した「プラグイン」アプリケーションを利用することができるということがある。ユー ザー中心のアイデンティティ管理では、一度アイデンティティを確立すれば、その後は仮想世界に おけるサービスを最大限利用することができる。そして、Second Life で確立したアイデンティティは、 別の仮想世界に移転して利用することもできるだろう。しかし、ユーザーが承認しない限り、他の 「世界」では一切ユーザーの個人情報が共有されることはないだろう。 ユーザー中心のアイデンティティ管理基盤の構築 フレキシブルで、ユーザー中心のアイデンティティ管理基盤の目的は、どの情報がどの団体にど んな目的により提供されるのか、どの程度その団体を信頼できてどのようにその情報が扱われるの か、そして、それらの情報を提供した結果はどうなるのか、ということをユーザーが素早く決定できる ようにすることである。言い換えれば、これらのツールにより、ユーザーはインフォームドコンセントを 与えることができるようになる。原則として、情報の提供は最小限にし、決められた目的のためだけ に行われる。あらゆる二次的または追加的な利用はオプションとされるべきである。 企業は、アイデンティティ管理は経営プロセスというだけではなく、ユーザー活動でもあるというこ とを理解する必要がある。ユーザーは、それらのデバイスのすべてにおいて個人情報を管理する 適切なツールを与えられるべきである。このことは、アイデンティティ基盤は、デスクトップパソコンか ら携帯電話にまで、多くのデバイスに適用されなければならないということを意味する。この基盤は、 あらゆるデバイスにおける統一的なユーザー経験を実現しなければならない。 249 それはまた、システムが、同意された規則に基づく明確なフレームワークによって動作していな ければならないということを意味する。どの情報がなぜ要求されているのか、ということをユーザーに 説明する方針もその一部である(現在のプライバシーポリシーを機械可読形式に改良したバージョ ンと同様)。ある情報のライフタイムにおいてずっと付随し、その方針から外れた利用を認めない 「付随した」方針もそれに含まれる。最終段階としては、検証および監査できる方法により、これらの 付随した方針を行使するためのメカニズムがもちろん必要である。 既にさまざまなプラットフォームにおいて、多くのアイデンティティ管理システムが存在する。これ らは、(少なくとも短期間は)アイデンティティ管理基盤がサポートする必要がある。この基盤は、相 互運用と同時に、システムを交差したインタラクションをサポートしていなければならない。このこと は、その基盤と個別のシステムがオープンスタンダードに基づいていて、すべてのプラットフォーム で利用することができる場合に限り可能である。ユーザー中心のアイデンティティ管理基盤を成功 させるためには、それを広くて開放的なコミュニティで異なる地理的条件や文化に合わせた開発を 行い、その基盤コンポーネントのすべてのオープンソース実装が利用できるということが重要であ る。 アイデンティティ情報はほとんどの場合個人情報であり、世界のさまざまな場所における特別な プライバシー規則によって管理されている。さらに、アイデンティティ情報の不適当な利用は、アイ デンティティ盗難やその他のセキュリティ不正につながるかもしれない。したがって、アイデンティテ ィ情報は特別な保護を必要とする。そのためには、付随的な方針を適用し、データを暗号化し、さ まざまなアプリケーションで利用されるアイデンティティ情報の量を最小化することが何よりも重要で ある。実際のアイデンティティ管理システムでは、さまざまなプライバシー特性やセキュリティ特性を サポートしている。例えば、低セキュリティのものとして、パスワードベースの単一ファクタによる認証 がある。高セキュリティのものとして、最先端のプライバシー強化証明を利用する属性ベースのシス テム(IBM の Identity Mixer 技術、マイクロソフトの U-Prove 技術など)が挙げられる。基盤は、これ らすべてのシステムをサポートする必要がある一方で、ユーザーは一つのシステムを他のシステム でも使うということの意味を理解しなくてはならない。 結局は、アプリケーションは基盤を利用できなければならない。そのためには、アプリケーション には統一的なビューが与えられ、異なったプラットフォームとデバイスをまたいでこの基盤に連結さ れる必要がある。これらのインタフェースは、アイデンティティ情報を裏で運んでいる実際のプロトコ ルやメカニズムからは独立しているべきである。したがって、私たちは断片同士をつなぎ合わせ、そ れらを統一する単一構造を提案している。 強固にアイデンティティ・システムをサポートすることによって、この構造では、レガシーシステム からユーザー中心のシステムにアプリケーションを移動させることができる。その移動および新規の アプリケーションの構築を可能にするために、適切なツールやサンプルのアプリケーションが提供 される必要がある。 250 オープンスタンダードとコミュニティによる相互運用性 インターネットは、オープンスタンダードと共同作業に基づき構築された。オープンスタンダード は、消費者、アプリケーション、および企業のためのしっかりとした基盤を提供する。それらは、将来 の Web の成長のための重要な基礎を形成し、産業全体のために開かれたアイデンティティ管理エ コシステムの開発を推進する。 さまざまな既存および新出のアイデンティティ管理システムにおける相互運用性を可能にするた めには、その基盤となる標準規格は、完全で、自由にアクセスができ、そして(最も重要なこととして) コミュニティによって推進されていなければならない。 ユーザー中心のアイデンティティ管理を広く普及させるためには、標準規格やツールにおいて、 著作権の侵害がないようにする必要がある。これにより、エコシステムが進歩し、(多国籍企業だけ ではなく、オープンソース・イニシアティブなどによって)管理されることが可能になる。したがって、 標準規格は広くタイムリーに提供され、またそれは安定、永続的でなければならない。 オープンスタンダードでは、アイデンティティ管理が重要な役割を果たし、これらの環境の相互 運用を可能にする環境やアプリケーションのシナリオがサポートされていなければならない。特に、 通信フォーマットや方針は、クライアントとサーバーサイドの相互接続のための媒体として機能する。 この媒体は、それがきちんとオープンスタンダードの原則に基づいている場合にだけ、活気があっ て価値を生み出すエコシステムの基礎を形成することができる。 標準規格は―単一ベンダーやコンソーシアムによる特定の実装とは異なり―一定の相互運用性 テストの基礎を形作る。さらにそれらは、コミュニティ全体の利益のために一般に利用可能なオープ ンスタンダードを決定する、信頼できる標準規格組織によって管理される必要がある。 プライバシーの保護 インターネットは論理および物理アドレス空間を使って、デバイスの接続と認証を行うように設計 されたものだ。ユーザー中心のアイデンティティ・サービスでも、同様にユビキタスな接続性を個人 に提供できる。アイデンティティはもはや個人に割り当てられる 1 つの番号ではなくなり、住所、誕 生日、学位、個人の好みなどの一連の属性で構成されるようになった。不正や個人情報盗難を防 止するだけでなく、プライバシー関連法規に従うためにも、このような個人情報には特別な保護が 必要である。 既存の法規はほとんど、 経済協力開発機構(OECD: Organisation for Economic Co-operation and Development)のプライバシーガイドラインに起源がある。これらの法規では、例えば、明示され た目的の達成に必要な範囲内で取得しなければならないこと、収集は明確に通知されなければな 251 らないこと、個人情報の取得と利用は、ユーザーの同意を得た上で行わなければならない、個人 情報を適切に保護しなければならないことが定められている4。 アイデンティティ管理システムは、プライバシーポリシー、遵守の仕組み、およびアプリケーション が厳密に必要な量の個人情報のみを利用できるようにするためのテクノロジーの利用を通じて、プ ライバシー関連法規を遵守できる。どのような情報が求められ、なぜそれが必要なのかをポリシー によって示すことによって、ユーザーは説明を受けたうえで同意することができる。これらのポリシー はアクセス制御でも利用され、ライフサイクル全体を通してデータに付随する。 認証トークンによって暗号化されたユーザー・アイデンティティのみをサービス・プロバイダーに 送信できるプライバシー強化テクノロジーはすでに存在する。ユーザーはサービス・プロバイダー に対して匿名性を維持しつつ、指定機関によって調査が行われる場合には真の身元を明かすこと が可能である。機関がユーザーの匿名性を無効にする権限を行使する際には、厳しい制限と条件 が課される。 エコシステム活性化のための多様性 現在、アイデンティティ管理システムにはさまざまな種類がある。アイデンティティ連合体とユー ザー中心のシステムをサポートするオープンスタンダードも多く存在する。 SAML、OpenID、 WS-Federation 仕様などが、よく知られている例だろう。それぞれに良い点と悪い点があり、新たな エコシステムへの影響もさまざまだ。 これらはいずれ収束していくと思われる一方で、現在の多様性は、アイデンティティ管理におけ る新たな開発を促す刺激となっている可能性がある。新しいモデルや規約が開発され、導入され ている。方法はさらに進化し、分野や適用状況によっては、特定のソリューションが主流の標準や 規約に勝るだろう。 Liberty Alliance や WS-Federation のようなシステム・ベースのアイデンティティ管理製品の導入 に向けた投資はすでに行われている。新たなエコシステムは既存の多様性に対応しつつも、消え ていくソリューションがある中で新しいソリューションや概念を適用できるようにする必要がある。 4 2006 年、IPC は国際的なプライバシーおよびデータ保護コミッショナーの先頭に立って、個人 情報の公正な運用についての原則を開発した。これは、現在、世界で利用されているプライバシ ーに関する規範やプラクティスを調和させるものである。その成果であるグローバル・ポリシー標準 については、以下を参照 www.ipc.on.ca/images/Resources/up-gps.pdf 252 ユーザー・デバイスのための多様性 ユーザー中心性はパソコンを想定して説明されることが多いが、ユーザーはその他にも多くのデ バイス(携帯電話や電子身分証明書など)を利用して情報社会に参加する。また、自分では所有し ていないデバイスを利用することもある。 このようなクライアントの多様性に対応するため、アイデンティティ管理システムは柔軟性を備え、 ユーザーに最大限の選択肢と最高のセキュリティおよびプライバシー保護を提供する必要がある。 ユーザーの協力 企業の境界が曖昧になる中、仮想企業という形態が生まれている。さらに、多くの新しいアプリケ ーションでは、ユーザーの貢献と協力が中心な役割を果たすようになってきている。これらに共通 するのは、やりとりをする相手が、物理的には特定されておらず、第三者によって評価などの属性 が判定されているユーザーである点だ。 新しいアイデンティティ情報基盤は、このような協力型の環境に対応し、限定的なアイデンティテ ィ情報(例:「現在のユーザーは医療従事者である」)に基づく分散型の連合信頼モデルを実現す る必要がある。 テクノロジー構成要素 さまざまな状況に対応するために、次のように多くのテクノロジー構成要素が必要になる。 オープンスタンダードに基づく、オープンソースの独自のアイデンティティ・ソフトウェア 広 範なオンライン・サービスおよびデバイスに簡単に組み込むことができるソフトウェアである (現在のインターネットや Web の中核を成しているオープン・ソース・ソフトウェアと同様)。 連合アイデンティティ ユーザーが 1 つのサービスまたは機関で認証を受けた後、そのアイ デンティティ証明書は他の連合体メンバーでも認識される。セキュリティと認証が仲介される ことで、アプリケーションやオンライン・サービスごとに異なる単独のログオン・プロセスを経る 必要がなくなる。 複数のアイデンティティと部分的アイデンティティ ユーザーは名前や本当の身元を隠した まま、オンライン・サービスにアクセスして仮想世界を探索し、他のユーザーとやりとりができ る。偽名ごとに、サポートされる身分証明と認証の強度範囲は異なる。 データを中心とするポリシー ユーザーが個人情報や機密情報を提供すると生成され、ライ フサイクル全体を通じて情報に付随する。これによって、その情報がポリシーに従ってのみ (例:意図され、ユーザーが同意した目的でのみ)利用されることが確実になる。 253 監査ツール これによって、ユーザーは自分のデータがどのように保管、保護、利用されて いるかを簡単に把握し、ポリシーが適切に実施されているかどうかを確認できる。 必要な取り組み 次世代のインターネットやクラウドコンピューティングの可能性を最大限に引き出すには、電子ア イデンティティを確立し、プライバシーを保護することが不可欠だ。 幸い、必要な技術的ツールの開発と導入は進行中である。しかし、障壁はまだ存在する。「IT エ コシステム」の各領域において、障壁を乗り越えるために次の取り組みが可能だ。 企業および個人ユーザーは、進化し続けているアイデンティティ・システムを探索し、真の 意味でのシステム間の相互運用性を実現するために、プライバシー保護の組み込みとオー プンスタンダードの実装を要求する。 標準化団体は引き続き、アイデンティティ・システム、データを中心とするポリシー、PETs に 必要な基本的標準の開発と促進に取り組む。 ソフトウェア・ベンダーおよび Web サイト開発者は、プライバシー強化テクノロジー、オープ ンスタンダード、オープンなアイデンティティ管理システム、真の意味での相互運用性を取り 入れる。 政府は調達に関する意思決定を通じて、プライバシー、相互運用性、柔軟性のニーズを満 たすためのオープンなアイデンティティ管理システムの開発を支援する。 プライバシーおよびセキュリティのリスクを認識し、効果的に最小化すれば、新たなクラウドコンピ ューティングの世界で多くの利益を享受できる可能性がある。 ユーザーが自分の個人情報を直接保有することや、保有元の組織と直接的なやりとりをすること がなくなっても、ユーザーを中心とする専用アイデンティティ管理をクラウドで実現することが可能 だ。 本書では、プライバシーを保護する Web 2.0 の世界で不可欠な要素となるであろう技術的な構 成要素と課題をいくつか挙げる。このビジョンを後押しするには、法律、標準、教育、認識、市場の 力も必要だ。 ユーザーからの信頼の拡大と維持は、このビジョンを実現できるかどうかにかかっている。しかし、 自分のアイデンティティ・データが他者に保有され、クラウドでのデータ・トランザクションに自分が 直接関与しない場合、個人の特定が可能な情報のプライバシーにおいて全体的に確信と信頼を 得るにはどうすればよいのだろうか。 254 基本となる技術的アプローチは 4 つある。 1 データを信頼する プライバシー強化のための新しい情報技術により、プライバシーに関する個々の権限、条件、設 定をアイデンティティ・データに直接添付できる。これは、知的所有権のデジタル著作権管理技術 と同様だ。 2 インタフェースまたは代理となる個人のデバイスを信頼する ストレージ、コンピューター、通信が高度化する中で、ますます多くのテクノロジーが利用されて いる。携帯電話、PDA、スマートカード、その他の物理的に管理できるトークンは、事実上の電子ウ ォレットとなりつつある。これらは電子世界で「グリッド」とやりとりをし、識別情報に基づく取引を仲介 および代行する。このようなデバイスは、信頼でき、ユーザーによる設定が完全に可能で、透明性と 使いやすさを兼ね備えている必要がある。 3 インテリジェントなソフトウェア・エージェントを信頼する Web 2.0 の世界では、「常時オン」のインターネット・デバイスやクラウドのどこかで実行されている インテリジェントなソフトウェア・エージェントが、スキャン、ネゴシエーション、入札、アイデンティティ 情報の提供、処理の代行を自動的かつ継続的に行う。例として、委任アイデンティティ・ツール、 「到達可能性」ソフトウェア、「プライバシー・ボット」などが挙げられる。 4 仲介役となるアイデンティティ・プロバイダーを信頼する 当然ながら、アイデンティティ証明書や個人情報の供給と受領を行う組織を、私たちは十分に信 頼する必要がある。 連合アイデンティティの世界では、これらの信頼された組織がユーザーの代理として、事前に定 めた目的のため、特定の条件下でアイデンティティ・データを提供することが増える。そのような組 織は、各自がオープンで説明責任を果たせる方法で行動していることを示し、ユーザーのプライバ シーが実際に保護されていることを保証するために、信頼できる技術的仕組みを確保する必要が ある。例えば、プライバシーおよびセキュリティの最新の状況報告を、ユーザー、規制機関、その他 の信頼できる第三者に提供することも可能な自動監査および遵守ツールだ。 オンタリオ州情報・プライバシーコミッショナー事務局は引き続き、現在および将来の電子アイデ ンティティのニーズに向けて、PETs ソリューションを模索中である。 この目的を達成するために、アイデンティティの世界のすべての利害関係者の間で、プライバシ ーに関する重要な問題と利用できるソリューションについての理解、参加、対話が進むことが望ま 255 れる。 特に、すべての利害関係者とテクノロジー開発者には、将来の Web 2.0 の世界でアイデンティテ ィ・データのプライバシーおよびセキュリティに対する信頼を拡大し維持できるよう、信頼できる仕組 みを開発していただきたい。 今後の対話に期待する。 256 Privacy and the Open Networked Enterprise プライバシーとオープン・ネットワーク・エンタープライズ 257 プライバシーとオープン・ネットワーク・エンタープライズ 2006 年 12 月 序文 本白書では、オンタリオ州情報・プライバシーコミッショナー事務局(IPC)及び加 New Paradigm Learning 社(NPLC)の共同の取り組みを説明している。2004 年、NPLC 社は、21 世紀のビジネス戦 略 に 対 す る 情 報 技 術 の 影 響 を 調 査 す る た め の Information Technology and Competitive Advantage ( 情 報 技 術 及 び 競 争 上 の 優 位 性 ) プ ロ グ ラ ム を 立 ち 上 げ た 。 こ れ に よ り 、 「 Open Networked Enterprise(以下「ONE」と記す)」の概念化が進められた。本白書では、企業と消費者 の双方に関連する情報のプライバシーとセキュリティの問題を分析している。 多くのプライバシー侵害事例の発生により、消費者情報の所有者は誰か、またそれがどのように 利用されているかを把握することを、消費者は重視しつつある。また消費者は賢くなってきているの で、もはや「より良いサービス」やより良い製品を得るためには企業に自身についての全てを知って おいてもらわなければならない、と盲目的に受け入れることはない。企業活動は、どの情報を提供 するか、また誰にその情報を利用する許可が与えられるかについて、物申す権利を得たいとする 消費者に直面している。プライバシーはもはやコンプライアンスの問題にとどまらずに、ビジネスに かかわる問題となってきた。将来において成功する企業は、「プライバシーは、ビジネスにプラスに なる」という今日の現実を受け入れる企業であり、最終的にそのような企業は競争上の優位性を得 るだろう。 Ann Cavoukian, Ph.D. Commissioner June 2005 概要 ONE を活用している企業は、ネットワーク化を普及させる能力と、それを通じて以前よりさらに大 量かつ多様の情報を共有する能力を有している。しかしながらこうしたネットワークは、情報が透過 的に扱われることを許容する一方、プライバシーに関する課題も抱えている。ネットワーク化された 企業群の内部では、企業同士の境界線がそもそもあいまいになりやすい。また効果的なコラボレー ションによる全体的なビジネスインテリジェンスを創造するために、異なるソース(例、多数の投資家) から高度に細分化されたデータを集めている。またグローバル化の進展により、こうした情報はより 規制の緩いプライバシーに関する法律を運用する国々からもたらされる可能性もある。困ったこと にそのような情報は、個人情報と見なされてしまう可能性がある。 世界規模でもたらされる情報の透過的な取り扱いを目指したこのような動きにさらされているのは、 258 情報自体の価値、特に個人識別情報(PII)の価値である。21 世紀の経済の活力源である情報は、 責任ある取り扱いが求められる資産であり、かつ一方で負債であることをより理解する必要がある。 ONE モデルを採用する企業は、次のような情報の取り扱い方に関連した基本的な問題に直面して いる。 1. その PII を誰と共有するか。 2. そのデータをどのように内部で管理するか。 3. 顧客の PII の管理を顧客自身に関与させるべきか。 4. どのような個人データを他から受け取るのか、誰から受け取るべきなのか。 5. 新技術による PII 収集の制限をどこに設定するべきか。 新たな情報技術は、必然的に個人のプライバシーのレベルに影響を与える。歴史が私たちに教 えることは、個人情報に対する越権行為と乱用は、消費者と立法/規制機関からの反撃と反発とい う形で反動を引き起こす傾向にあるということである。本書で記述される多くのプライバシーの問題 は、現在国民意識が高まっているテーマであり、規制と法律の問題にまで進展している。 こうした背景から、ONE という情報化のモデルには、責任ある情報管理の最高水準の基準が求 められると考えられる。個人情報を責任もって取り扱うことにより、企業は個人情報とプライバシーに ついて強硬な意見をもつ、ニューカスタマー、すなわちプライバシーに関するタカ派( privacy hawks)を制御することができる。賢明な企業は、そのシステムに適切で効果的なプライバシーの方 針と実践を構築することになるであろう。これを行うことにより、これらの企業は起こりうる将来的な災 難を回避し、信用のおける、忠実で、長期的な関係と経済的利益を生み出すことができる。プライ バシーは、もはやコンプライアンスの問題にとどまらずにビジネスにかかわる問題となっている。こ れがビジネス上の義務であることは疑いようがない。 背景:プライバシーと技術 近年の通信技術の台頭により、プライバシーの問題が国民意識の中で重要な課題となってきた。 1800 年代後半の情報通信技術の発展により、それまでは考えることができなかった大規模な情報 の効果的な取得、保存、発信が可能となり、結果として今日のプライバシーに関する概念が生まれ た。、写真、電信、大量印刷術の発達により、世界が縮まり始めた。20 世紀の初頭の「低俗な雑誌 (yellow press)」の出現が、プライバシーの最も初期の定義、すなわち望まない侵入を受けない個人 の自由、または「そっとしておいてもらえる権利(the right to be let alone)」、を定めるきっかけとなっ た。言論の自由への規制の捜査と掌握に対する憲法による保護から、名誉棄損と不法行為法の実 施まで、20 世紀のコモンローは原則的に個人の名誉と評判ばかりではなく、個々人の個人的空間 259 とプライベートな会話に対する介入に関するプライバシーに対する脅威を認識し、対処する傾向に あった。 1960 年代と 1970 年代のメインフレームコンピューター、中央集権型の電子データベース とコンピューターデータの出現により、個人情報保護の次の波が沸き起こった。政府による機密書 類の大規模な収集、中央集権的に管理された市民に関する調査書類、及びそれらの情報の頻繁 な誤用が、これらの記録を編集、利用する政府の能力を規制するための法律の発展を導いた。し かし同時に、多様なステークホルダーと新しい種類の情報を共用するためにさらに多くの開示性と 透明性を増進し、またこれらのデータベースにある個人情報への個人のアクセス権を強化するた めに、情報の自由に関する法が制定された。 同様に金融、信用取引と医療セクターの個人企業による大規模なコンピューターデータベース の乱用に対応して、個々人そのものと彼らの信用取引または健康履歴等の高度な個人情報を保 護するために、さらに「サンシャイン条項(sunshine laws)」が整備された。基本的な「プライバシー」 という原則は、1974 年制定の「米国の家庭教育の権利とプライバシー法(U.S. Family Educational Rights and Privacy Act1)」が規定する原則のように、広範囲に普及し始めている。 収集の制限:その存在自体が秘密であるいかなる個人情報を記録する保管システムも存在 してはならない。 情報の開示:個人が自己に関してどのような情報が記録の中にあるか、またそれがいかに 利用されているかを確認する方法がなければならない。 二次利用:ある一つの目的のために収集された個人に関する情報が、本人の同意なしにそ の他の目的のために利用される、または公表されることを防止する方法がなければならな い。 記録の修正:個人が、自己に関する識別可能な情報の記録を訂正し、修正する方法がな ければならない。 セキュリティ:識別可能な個人データの記録を作成し、保有し、利用し、または発信する組 織は、意図した用途のためにデータの信頼性を確保しなければならず、またそのデータの 乱用を防止するために予防措置を講じなければならない。 1970 年代後半までに、ICT は増大する個人データの世界的な売買また個人データの処理を促 進してきた。さまざまな国々において、個人データの非合法な保存、不正確な個人データの保存ま たはそのようなデータの不正利用もしくは不正な提供を制限する法律が可決されたため、世界的 1 Family Educational Rights and Privacy Act (FERPA), (20 U.S.C. § 1232g; 34 CFR Part 99), 1974. 260 な売買が、増大する寄せ集めの国内法令により抑制されるのではないかという懸念が生じた。先見 性を有する指導力により、経済協力開発機構( Organisation for Economic Co-operation and Development、以下「OECD」と記す)の加入国は協力して、その国自体の法案作成及び法律の施 行時に利用する国々の枠組みとして機能を果たすことができる可能性のある一連の原則を成文化 することに同意した。 その結果が、1980 年に、以下の 8 つの「FIPs(Fair Information Practices)」を表明して記載した文 書 で あ る 、 OECD の プ ラ イ バ シ ー 保 護 と 個 人 デ ー タ の 国 際 流 通 に つ い て の ガ イ ド ラ イ ン (Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)となった。 収集制限の原則:個人データの収集には制限を設けるべきであり、いかなる個人データも、 適法かつ公正な手段によって、かつ適当な場合には、データ主体に知らしめ又は同意を得 た上で、収集されるべきである。 データ内容の原則:個人データは、その利用目的に沿ったものであるべきであり、かつ利用 目的に必要な範囲内で正確、完全であり最新なものに保たれなければならない。 目的明確化の原則:個人データの収集目的は、収集時よりも遅くない時点において明確化 されなければならず、その後のデータの利用は、当該収集目的の達成又は当該収集目的 に矛盾しないでかつ、目的の変更毎に明確化された他の目的の達成に限定されるべきで ある。 利用制限の原則:個人データは、前述の目的明確化の原則により明確化された目的以外 の目的のために開示利用その他の使用に供されるべきではないが、次の場合はこの限りで はない。 (a) データ主体の同意がある場合、又は、 (b) 法律の規定による場合 安全保護の原則:個人データは、その紛失もしくは不当なアクセス、破壊、使用、修正、開示 等の危険に対し、合理的な安全保護措置により保護されなければならない。 開示の原則: 個人データに係わる開発、運用及びポリシーの開示に関する一般的なポリシ ーがなければならない。個人データの存在、性質及びその主要な利用目的とともにデータ 管理者の身元、通常の住所をはっきりさせるための手段が容易に利用できなければならな い。 個人参加の原則:個人は次の権利を有する。 (a) データ管理者が自己に関するデータを有しているか否かについて、データ管理者 又はそれに準ずる者から確認を得ること 261 (b) 自己に関するデータを、 i. 合理的な期間内に、 ii. もし必要なら、過度にならない費用で、 iii. 合理的な方法で、かつ、 iv. 自己に分かりやすい形で、 自己に知らしめられること。 (c) 上記(a)及び(b) の要求が拒否された場合には、その理由が与えられること及びそ のような拒否に対して異議を申立てることができること。 (d) 自己に関するデータに対して異議を申し立てること、及びその異議が認められた場 合には、そのデータを消去、修正、完全化、補正させること。 責任の原則:データ管理者は、上記の諸原則を実施するための措置に従う責任を有する。 1980 年から FIPs に係る自主規制が、政令、標準化、行動基準、情報技術及び規範と一般慣行 に、世界で広く採用されてきた。例えばカナダにおいて、ビジネス界と消費者、及び政府は、その 後全体的にカナダの民間部門のプライバシー法に統合された、個人情報保護に関するモデルコ ード(Model Code for the Protection of Personal Information (CAN/CSA-Q830-96))として知られる、 一連の包括的プライバシーに係る慣行を採用することに同意した。米国では 1970 年代初頭から、 組織の「情報取扱い」すなわち、組織が個人情報を収集・利用する方法・慣行が公平であることを 担保すること、及び適切なプライバシーの保護を提供するために採用した予防措置をモニターす ることに、継続的に取り組んできた。この政府の介入の結果が、現在一般的に受け入れられている 原則、さらに正式には FIPs として知られている一連のガイドラインと模範法典に至っている。米国 中では一般的に、FIPs とは成功かつ持続していることの双方を実証したプライバシー保護の核とな る 5 原則である。 通知/認識 選択/同意 アクセス/参加 完全性/セキュリティ 実施/改善 この 5 つのうち最も重要な原則が、「通知/認識」である。消費者は、個人情報が組織により収集 され保存されてしまう前に、その組織のプライバシーと情報の方針についての知識をもつ必要があ 262 る。この原則は、特に消費者を守るためのものである。適切な通知無しに、個人情報の利用と提供 にかかわる決定を行なうことはできない。さらに他の原則は、消費者が組織の情報とプライバシー ポリシーと、そのポリシーに関する消費者としての権利についての知識がある場合のみにおいて適 切であるとされる。しかしながら協調があるにも関わらず、重大な変化が米国法に存在している。 OECD のガイドラインは、あくまでプライバシーの保護に関する下限を提供しているに過ぎない。 個別の解釈や実施方法によらず、OECD のガイドラインと他の同様な FIPs は、2つの役割を達成 した。 他者による個人情報の収集、利用と提供に関して、個人もしくはデータの主体に対し広範 な権利を制定し、それを与えた。 組織の管理下にある個人情報の収集、利用と提供に関して、広範な責任と義務を規定し た。 前者は、情報プライバシーとして一般的に知られているものであり、すなわち他者による個人情 報の収集、利用と提供に対する管理措置を実行するための個人の権利もしくは能力を定めた。後 者は、データの保護であり、すなわち、外部が設定した一連の規則に従うために個人情報を収集 し、利用し、提供する組織の責任を定めた。 2 つの役割の間の違いを理解することが重要である。前者は、個人データの主体からプライバシ ーをとらえるアプローチであり、後者は、管理会社からのアプローチである。良質なプライバシー法 とデータ保護は、双方の当事者の利益と目的を調和させることを求めているが、新しい技術はしば しば現在あるバランスを崩してしまう。 個人情報とはなにか?多くの組織は、個人情報は、氏名、住所、電話番号、社会経済的な詳細 情報等の個人による直接提供された基本的な「墓碑」に刻まれた情報に限定されていると誤解して いる。法令による定義が世界中で異なるにも関わらず、個人情報は以下の様に上記よりさらに多く のものを内在している。 識別可能な個人と関連し、これに結び付く情報(例、個人の嗜好、信条、意見、習慣、家族 と友人) 身体的と生物学的な特性(写真、遺伝子データ) 個人に関連する口座番号と独自の識別番号 取引データ(販売記録、消費者サービスのリクエスト、返品ログイン、通話) 個人に登録されたデバイスの取引データ(電話番号、コンピューターログイン、位置データ) 第三者より提供された個人にかかわる情報(信用状況報告、雇用関連)、及び 263 個人について保有されているデータから推測された、導き出された、もしくは発生した情報 (プロフィール、スコア) プライバシーと ONE 企業の境界線とそれぞれのプロセス:ビジネスで利用されている Web 上ではどのようにプライ バシーが保護されているか。ONE の事業に対し、モジュール的な、柔軟性のあるアプローチ は、消費者の個人データの不正利用に対する説明責任を軽減するのであろうか。 運用方法:従業員に決定権と革新的なアプローチを行う権限を持たせた場合、権限を 与えたことにより、顧客のプライバシーを尊重することを目的とする組織の方針に対す る全面的な責任及び順守が弱くなったり、または強くなったりするのであろうか。逆に、 高圧的な職場調査の措置と実践が従業員の自主性をくじいてしまうのであろうか。 関係:ONE は、伝統的なトップダウンのアプローチを超えて、クライアントと積極的に関 与し合い協調し合う、我々が顧客によって管理する関係と説明している関係の構築を 促進できるのであろうか。 情報の流動性:ONE は、どのように外部のネットワーク化された個人情報とオートメーシ ョンの意思決定への依存に関連するプライバシーリスクを管理するのだろうか。 技術:ONE は、顧客と従業員から過剰な個人情報を収集するための新しい技術を利 用したいという誘惑を退けられるのだろうか。 1.0 新しい境界、新しいビジネスプロセス 1.1 背景 企業は相互にネットワーク化しており、新しい種類の情報を共有している。ONE がますますグロ ーバル化していくに従って、ネットワークは統計上の境界(statistical boundaries)ばかりでなく、国の 境界(national boundaries)をも越えて広がっていくため、情報共有に関連するリスクが増大する。情 報は、消費者のプライバシーに対する処理と責任を規定する異なる法律をもつ会社間で共有され る可能性がある。 さらに ONE のビジネスプロセスは必然的に、密度の濃い相互関係と、内部と外部のさまざまなパ ートナー、代理人、関連会社と請負業者との一貫した発展的な関係によって特徴づけられている。 ビジネスに対するモジュラーアプローチは、変化するビジネス環境と戦略に対する高度な柔軟性と 適合性を提供する。また、ONE がその核となる長所に重点的に取り組むことを要求している。 264 1.2 プライバシーの問題:アウトソーシングとオフショアリング 個人データは、ますます情報ネットワークへ参加する第三者により処理され、アウトソーシングも しくはオフショアリングを通じて処理されている。一般的に「アウトソーシング」は、企業が他の企業 に業務を外注した時に発生する。「オフショアリング」は、自社の事業体(例、企業の子会社)である か第三者の供給者であるかどうかに関わらず、他の国に業務を移管した時に生じる。 2 そのような第三者とデータの関係はどこにでもあることである。現在、データの提供、処理もしくは 管理を他の会社に頼ることなしに生き残れる会社はほとんどない。ビジネスパートナーとデータを 交換するかどうか、または情報を内部で共用するかどうかに関わらず、ビジネス間の各取引にはデ ータの関係が確立している。これらの関係は、データ保護に関する組織のポリシーと適用する外部 規則の双方を確実に順守するために注意深く管理されなければならない。 b-web(business web)において、情報セキュリティは、最もぜい弱な箇所にしか有効に作用しない。 例えば、ある取引相手がぜい弱なアイデンティティ管理プログラムを使い、またあるものが障害回復 対策をテストせず、またあるものが情報セキュリティポリシーに従って情報技術のアウトソーシング相 手を定期的に評価しなかった場合など、自己のセキュリティレベルはどうあっても、他の事業体のう ち最もぜい弱なセキュリティレベルを越えることはできない。3さらに多くの組織が親密に協調するに つれて、経営層が肥大化する組織で増加し続けるリスクの相互依存を十分に認識し管理すること がますます難しくなっている。協調することによってセキュリティの様相が変化した。すなわち、単一 組織の行動が、他の b-Web 参加組織に対して広範囲に渡る影響を与える可能性がある。経営層 は、実際にはその投資がプロセスの欠陥により損なわれたのに、その組織が適切に保護されてい ると考えるかもしれない。そのような潜在的な違反に関する統計結果が懸念を引き起こしている。 Ernst & Young global survey によると、回答者の 80%が、IT アウトソーシング相手が、ホストである 組織の情報セキュリティとプライバシーの法的な規制基準を順守しているかに関する定期的な評 4 価を行っていない 。 報告された情報セキュリティの違反が、高い頻度で、激しくビジネスに負担を与えている 5。組織 2 オフショア業務: Industry Feedback, Financial Services Authority (FSA), April 2005. 3 Global Information Security Survey 2004, Ernst & Young, p. 3 http://www.ey.com/global/download.nsf/International/2004_Global_Information_Security_Survey/ $file/2004_Global_Informati on_Security_Survey_2004.pdf 4 Ibid, p. 21. 5 例として、以下を参照 CSI/FBI Computer Crime and Security Survey (2002, 2004) http://www.gocsi.com and Ernst & Young Global Information Security Survey (2004) http://www.ey.com/global/download.nsf/International/2004_Global_Information_Security_Survey/ $file/2004_Global_Informati on_Security_Survey_2004.pdf and Deloitte Global Financial Services 265 は当然ながら、競争的な見地、公的イメージ、そして株価に対する否定的な影響を恐れ、データセ キュリティインシデントについて報告することを躊躇する。現在はその躊躇に対して、新しい説明責 任法と必須報告要件を含む規則が突きつけられている。しばしば、データセキュリティ違反がビジ ネスパートナーと関連会社の中で発生した場合においても、企業はそれが発生したことにさえ気付 かないことがある。新しいデータのガバナンスと、それと同等のコンプライアンス規則では、他の者 の行動に対するさらに大きな責任と統制を負うことについてのいかなる躊躇も会社から排除するつ もりである。 これによりアウトソーシングのリスクが重大なものであることが認識できる。たった一つの事象であ っても、何年もの間に構築したブランドにダメージを与え、技術的・法的責任がだれにあるかに関 わらず、企業イメージから顧客の信頼性、ロイヤリティとビジネスを失ってしまう。不十分なプライバ シーのモニタリングのリスクに関する一つの訓話として、顧客のケアとコールセンターのオペレーシ ョンをウクライナのベンダーにアウトソースした大規模な国立銀行にまつわるケースがある。6その会 社は、銀行自体のプライバシーポリシーに加え、米国の全ての法的要件を遵守する全面的な責任 を負うことを保証する契約を、そのベンダーと締結した。これには、同意条項なしに第三者と二次利 用のために情報を共有しないということが厳格に盛り込まれていた。ウクライナのベンダーはまた、 米国連邦取引委員会の保護規則(U.S. Federal Trade Commission’s Safeguards Rule)の通りの厳 格なデータ保護と情報セキュリティ要件に従う契約を行った。業務開始の 9 カ月後、何千もの米国 の顧客に、購入していない雑誌の定期購読とオンライン・サービスの料金が課せられたクレジットカ ードの請求書が届き始めた。明らかな情報漏えいの結果として、何百人もの人々がなりすまし犯罪 の犠牲になったと苦情を申し立てた。数人の顧客はその全銀行預金残高が追跡できない場所に 移されてしまっている報告した。これに対応して銀行は、犯罪科学の専門家を雇用して考えられる データ漏えいがどこで発生したか特定しようとした。最終的には、その漏えいがオフショアのアウトソ ースをした場所で発生したことが判明した。会社のデータ・ウェアハウスにリモートアクセスしたウク ライナのベンダーの新しい従業員までたどり着いた。また捜査官は、そのベンダーの IT 担当取締 役はインシデント事故が発生する前に、漏えいが発生した月について知っていたにも関わらず、そ れを報告しなかったことに気付いた。 そのようなリスクはオフショア業務に限定されたものではない。企業はまた、国内のパートナーも 適切なセキュリティ基準を順守しているか否かを確認しなければならない。例として、2005 年 3 月、 連邦取引委員会(Federal Trade Commission(FTC))は、最近電子商取引業者にショッピングカー トアプリケーションを販売した業者が電子商取引業者のプライバシーの方針に反して、他の事業体 Industry Outlook (2004, 2005) http://www.deloitte.com/gfsi 6 Dr. Larry Ponemon, “Are You Practicing Safe Outsourcing?,” Darwinmag.com, April 2004 http://www.darwinmag.com/read/040104/ponemon.html 266 7 に顧客情報を提供したケースを解決した 。アプリケーション業者は契約に署名する前に、パートナ ーの規則に順守しているか確認することを怠ったのである。 セキュリティの基準に適合しているか、またこれを維持しているか。この確認を申し入れることは 重大なことである。フォーチュン 500 に掲載された平均的な企業は通常、パートナー、関連会社、 下請け業者と他の第三者との間に 10,000 以上もの契約や合意を有している。それらの業者のほと んどが個人情報の取り扱いに影響を与える 。 従って、データ資産及びその利用と流れを理解することは困難な仕事であり、さらにこれらを明 確かつ包括的な方針及び実施可能な手順で管理するということは、なおさら困難な仕事である。 会社の説明責任の問題がプライバシーに対する議論の中心になっている。影響を受けた個人 にとって最も表面に表れている(あるいは最も近い)組織が、プライバシーの違反に対し最もマイナ スの評判と批判を受ける。プライバシーの違反が発生した場合、違反が実際にはその組織の管轄 下にはないパートナーの e-コマースの支払処理ウェブサイトのプラットフォームで発生したかどうか は、一般人から見ればそれほど重要な意味をもつものではない。顧客が直接取引する組織が最も 説明責任とリスクを負う。最も表面に表れている対象である組織は、ブランドイメージの失墜と信頼 と売上の損失もしくは高い訴訟費用を負い、被害者に補償し、情報システムのリエンジニアリングを 行い、または広範囲な監査と証明プロセスに応じる等で苦しむことになる。非難を受けてしまうと、 企業の実態をくつがえすほどに一般人の企業に対するイメージが変わってしまうため、直接的に責 任のある組織は個人情報を確実に、責任をもって管理するという意欲を最も強くもたなければなら ない。 1.3 提言 オフショアリング、アウトソーシングと第三者とのデータの関係は、個人情報の管理に対する重大 な難題をもたらす。これらの難題に対処するために、データを共有する関係にある全ての事業体に 渡りデータの方針に対する順守とリスク管理の多様な要素を調和させた、持続的な管理が必要とな る。これらの要素には、リスク評価、共有している関係者と将来の第三者のモニター及び企業のデ ータフローの実質的なモニタリング、トラッキング、クラス分けと規則などが含まれる。しかし、万能な ソリューションは存在しない。全ての企業のデータ収集、保存、利用、共有、監視と実施等のニーズ にはそれぞれ独自のものがある。しかしながら、我々は包括的なアプローチが成功する可能性が 高いことを知っている。人々、手順、システムとポリシーがその要因となる。 いかなるソリューションも法的な再検討から始めなければならない。現在の多くの法律が、オフシ 7 “Internet Service Provider Settles FTC Privacy Charges,” Federal Trade Commission, March 10, 2005 http://www.ftc.gov/opa/2005/03/cartmanager.htm 267 ョアリングとアウトソーシング活動に対する制限もしくは条件を課している。Privacy and American Business の創立者である Alan Westin 氏によると、個人を識別可能な情報を守るための規定は、連 邦と州レベルでの反オフショアリング法案に重要な役割を果たすものになる。たった 1 つの海外で の重大なデータ違反またはなりすまし犯罪事件が法的対応を後押しする。将来的な法律を含む、 法律に対する無知は、非常に危険な事態を招く恐れがある。 個人データに対する取り扱いもしくは共有に関する法的要件が、リスクを判断する方法及び評価 の手段とアプローチの選択を決定する。例として、欧州では特定の「適切な」要件を満たさない限り、 国境を越えたデータの流出は禁止されている。米国では、アウトソースする企業は既にサーベン ス・オクスリー法(Sarbanes-Oxley Act)や医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act、HIPAA)、グラム・リーチ・ブライリー法(Gramm Leach Bliley Act)及び公正信用報告法(Fair Credit Reporting Act)などの順守要件を課す多くの法律と 規則により管理されている。 特に個人データにかかわるアウトソーシングは、近年法的機関と一般社会からの注目を集めて いる。いくつかの州法は企業に対して、従業員のデータを処理するために外国人作業員よりも自 国の作業員を選択することを求めている。一方、他の州では政府の契約業務が米国以外で行われ る場合、公開することが求められている。メリーランド州とマサチューセッツ州は、2004 年に同様な 法案に拒否権を発動した。しかしながら、これらの法案が再提出されることが期待されている。現在、 115 の反オフショアリング法案が 40 州で審理中である。大多数が、州が外注する業務を制限するこ とを目指している。また多くが、海外のアウトソーシングに対する州の援助の禁止、コールセンター の場所の提供、健康もしくは財務等の個人の機密データのアウトソーシングの規制、及び場合によ っては顧客らの同意の要求を求めている。 カリフォルニア議会では、2004 年に反オフショアリング法案が通過した。保護措置には、米国以 外で行われる業務に対する州の契約が許可されないこと、また社会保障番号( Social Security Number、SSN)、運転免許証と個人の健康データのアウトソーシングが許可されないことが含まれて いる。ある法律では、海外のコールセンターに対し、カリフォルニアの住人にその場所を提供するよ うに、またその地域の従業員に対し、業務を海外に移管する場合その州に報告するように要求す るものもあった。Schwarzenegger 知事は、最終的に、5 つの法案の全てに対し拒否権を発動したが、 著しい反動を巻き起こした。それらの法案が再浮上する可能性がある。 規制は国家レベルでも存在する。米国の上院では、2004 年に Dodd Bill が通過した。これは、海 外の従業員がいる会社に対し連邦政府の契約を発注することを禁止したものである。上院の提案 決議はまた、機密の個人データを連邦取引委員会(Federal Trade Commission)が定義する適正 なプライバシー保護を欠いている国々に移管する前に同意を励行するように求めている。Hillary Clinton 提案の「Safe ID 法」は、事業体に対し、オプトアウトポリシーの選択を一般に提供することな しに、外国で機密の個人情報を処理することを禁じるものである。さらにこの法案が通過した場合、 268 事業体がプライバシー侵害に対する責任を負うことになる。 8 その様な環境の中では、データの流出と利用に対する規則は、COBIT と ISO 177999のような 確立された国際基準に対する全ての司法権に従うべきである。順守は、デューデリジェンス(投資 家が自らの投資対象の適格性を把握するために行う調査)、現場訪問、契約上の救済及び第三者 による監査と証明によりモニターされる必要がある。 ONE を効果的に管理するために、企業はデータ利用と流出に対するプライバシーとセキュリティ に関する一連の包括的な目的とポリシーを作成しなければならない。これらのポリシーは、ONE を 通じ全ての第三者に明確に表明され、効果的に伝えらなければならない。 考慮の対象となるいくつかの要素: パートナー間のデータの収集、利用、セキュリティの最小化。 強固な契約上の合意と第三者に対する抑止力の形成。 継続的なモニター、監査と実施メカニズムの展開。 侵害が発生した場合のプライバシーの危機管理プロトコルの実施。 発生時に頼りになる適正な消費者の信頼感の育成(顧客はもっと寛大かもしれないが…)。 ICT も、消費者のセキュリティを管理する手助けとなる。ファイヤーウォールと他のフィルタリングソ フトウェア、安全な送信、データの処理と保存、強固な認証、アクセス管理、広範囲なログと監査証 跡及び他のセーフガードが、ある程度 ICT を通じて保証され、また消費者のセキュリティを著しく向 上させることができる。しかしながらその様なシステムを十分に展開するためには、これらのプロセ スに関与する全ての従業員に対する包括的な教育、訓練と危機管理プログラムが必要であること を忘れてはいけない。 透明性に関して、現在の米国の法律は企業に対し、顧客に対するそのアウトソーシング方針と 実践内容を公開するように求めている。顧客にアウトソーシング処理について通知することは、企 業にとってそれらの処理が安全であるかどうかを確認するための動機づけとなる。米国の金融会社 である E-Loan 社は、アウトソーシングについて顧客に説明するばかりでなく、実際に財務処理を社 内で行いたいか否かの選択を顧客に委ねている。 8 Information Systems Audit and Control Association, http://www.isaca.org 9 ISO 17799 Directory, 2005 http://www.iso-17799.com 269 2.0 運用方法 2.1 背景 ONE の運用方法は、より平坦な階層構造、より強い協調、権限を委譲された決定、より冒険的 (risk taking)であり、高度な柔軟性、敏捷性、適合性と革新が特徴となっている。 2.2 プライバシーの問題:内部の問題対内部監査 協調できる環境においても、データの利用を規定する組織内のプライバシーとセキュリティの方 針の実施と実行には難しいものがある。その方針は、しばしば上からの押しつけであるため、その 階層構造と ONE のより開かれた、協調的な文化と相容れない可能性がある。しばしば、その方針 は新しい革新的な考え、製品と慣行に対するバリアーとしか見られないのである。 同時に、よりフラットな分権型の組織はうまくつながりを保っているが、ぜい弱性も持ち合わせて いる。上級管理者が、さらに状況認識力(現実を反映する現在の環境を認知する精度)を失えば失 うほど、組織の高まり続ける相互依存をさらに把握できない可能性が出てくる。たった一つの事象 によりネットワークを超えて深刻な影響がもたらされる。さらに、個々の従業員に権限を与えた場合、 彼らがプライバシーの方針と原則を尊重するかをどのように確認するか。データが保護されている かをどのように確認するか。全ての者がプライバシーとセキュリティに対して責任を負う場合、多分 誰も責任を負わない。 個人情報の大規模な損失と盗難が罪のない個人に対し深刻な悪影響を与えているため、最近 のデータのプライバシーとセキュリティ違反によって、一般社会と立法者は企業の貧弱な情報管理 方法と手順に危機意識を募らせている。 2.3 内部の問題 四半期の目標と困難な基準(及び自由裁量を与えられた場合)を追求する際に、マーケティング とコミュニケーション部門にとって、プライバシーの方針を迂回するように主導することは珍しくない。 セキュリティを保証するために、IT 部門はしばしば全てをフィルタリングやロギングし、またはその他 のお節介な従業員監視業務を利用してでも、情報財産を管理し、保管したいと思っている。ソフト ウェア開発チームは、製品にスパイウェアとして機能するプライバシーとセキュリティの侵入機能を 付け加えるかもしれない。完璧な従業員を探している熱心な人事部は、必要以上に深い身元確認 を行い、心理プロファイリングを行うかもしれない。これらの活動のいずれも、企業を苦しい立場に 追い込むことになる。 時に、個人データの漏えいもしくは誤利用により事故が発生する。製薬会社の最大手の Eli Lilly 270 社は、誤って電子メールマーケティングの勧誘の「宛先」に 669 名のプロザック(Prozac)利用者の e メールアドレスをさらけ出してしまった。ブランドイメージと評判が傷付いたばかりでなく、FTC の調 査を受ける結果となった10。単純なポリシーと手続きに従うことへの怠慢や失敗の結果として、同様 のデータ損失もしくは無許可の暴露、例えば暗号化されていない個人データが入っているラップト ップを失くしたり、購入時設定のパスワードを変えなかったりといったような事故が、非常に頻繁に 発生してしまった。 内部での窃盗も大きな問題となっている。データベースにアクセスしたインサイダーが多くの場 合、ネットワークのアクセス権と、データアクセスコード、及び不当に利用したいと考えている情報に 関する正確な使い道をも知っていることはよく知られている。驚くべきことに、ほとんどのデータベー スアプリケーション、さらに高度で高性能なものでも、まったく保護されていない「平文」として情報を 保存している。 さらに、企業がクライアントや株主、ビジネスパートナーに許可した、または当局に報告したデー タベースへのアクセスよりも多くの無許可のアクセスがあったことがわかっている。Gartner 社は、内 部の従業員が情報への侵入の 70%を行い、侵入の 95%以上が重大な財務上の損失をもたらした と見積もった。2002 年のフォーチュン 1000 社のうちの 163 社への調査では、報告されたセキュリテ ィ違反の 70%はインサイダー絡みであったことが分かった11。 Computer Security Institute による別の調査で、全ての法人のデータベースの半分以上に毎年 何らかの違反があり、また平均的な違反でも 400 万ドル近い損失を被っていることが明らかになっ た。12しかもこれらは企業が報告を行った、一部のセキュリティ問題に過ぎない。 技術的でない、単なる侵入行為もまた一般的に起きている。ほとんどの違反が高度な方法を必 要としないため、インサイダーの脅威がさらに深刻なものとなっている。ほとんどの場合、従業員、フ リーランスの請負業者、法人の請負業者の従業員、クライアントにより、通常の業務時間に現場で 発生している。不満を抱いた従業員が、単に組織とその評判を棄損したいと考えている場合もあ る。 最後に、外部のハッカー、窃盗犯と詐欺師に関連するセキュリティの問題がある。安全でないデ 10 「機密の医療情報が過失で流出したことでさえ、消費者の信頼に対する重大な違反である。」 と FTC’s Bureau of Consumer Protection(FTC の消費者保護局)の責任者が述べている。「極秘 情報を守るという約束の代りに機密情報を得る会社は、その情報の安全性を確保するために適切 な措置を取らなければならない。」http://www.ftc.gov/opa/2002/01/elililly.htm 11 Richard Mogul, “Danger Within – Protecting your Company from Internal Security Attacks,” CSO Online, August 21, 2002 http://www.csoonline.com/analyst/report400.html 12 Computer Security Institute/FBI Computer Crime and Security Survey, 2002. 271 ータベースから何百万も盗ることができるに関わらず、ゴミ箱からアイデンティティを盗る必要がある のだろうか。 いくつかの最近の違反について考察してみる。 Time Warner 社は 2005 年 3 月に、現在と以前の従業員の 600,000 件もの個人情報が入っ たコンピューターテープを格納するクーラーサイズの保管器を、データ保管施設へ移動中 に紛失したと報告した。コンピューターテープには、1986 年から現在までの従業員にかか わる氏名、社会保障番号及びその他のデータが入っていた。 データブローカーの ChoicePoint 社は、一年以上にわたって 150,000 件以上の詐欺師によ る詳細な人物調査書への無許可のアクセスがあったことを報告した。明らかになっているな りすまし犯罪の少なくとも 700 例は、このセキュリティ違反から発生した。ぜい弱なアクセス管 理と認証手順が原因となっている。 2005 年 4 月に、オンラインブローカーの Ameritrade 社は、200,000 件の顧客記録が入って いるバックアップコンピューターテープを失ったと公表した。 ワシントンエリアの Blockbuster Video 店の元従業員は顧客のアイデンティティを盗みこれを 利用して、旅行や電子機器とメルセデスベンツを含む他の商品に$117,000 以上費やした 罪で起訴された。 LexisNexis 社 は、Seisint 社のデータベース部門でのプライバシー違反を報告した。ハッカ ーは、元々報告した数の 10 倍以上である 300,000 件以上の社会保障番号と運転免許証番 号を含むプロフィール情報にアクセスした。LexisNexis 社は、その貧弱なアクセス管理業務 を非難した。 カリフォルニアの医療グループは現在、約 185,000 名の現在と以前の患者に、個人データ が入っているコンピューターが盗難されたことによって財務と医療記録が漏えいしてしまっ た可能性があると通知している。 ヘルスケア業界の巨大法人である Kaiser Permanente 社は、140 名の患者に、不満を抱い た以前の従業員が患者にかかわる機密情報をブログに掲載したことを通知した。 東京ディズニーアミューズメントパークは、2002 年に年間パスポートを購入した 122,000 名 の顧客にかかわる個人情報が流出したと報告した。数百人が、詐欺の電話もしくはダイレク トメールを受け取った。 Bank of America は、何人かの議会のメンバーを含む、1200 万人の連邦職員にかかわる個 人情報を含むバックアップテープを紛失したことを認めた。 272 人目を引くセキュリティ違反の連鎖が一般社会の怒りを誘発し、業務上の情報管理とセキュリテ ィ業務に対する議員による精査が始まるきっかけとなった。連邦と州レベルでの立て続けの法案提 出は、業界に対して個人データの保管者としてのさらなる責任と義務を確実に負わせることを目的 としている。 それに呼応して、業界は情報セキュリティに多大な投資を行った。定期的に Web サーフィンや e メールの利用等の従業員の振る舞いや行動を監視する企業の割合が顕著になり、かつ増加して いる。全ての従業員の活動をネットワークで追跡し監視する ID 管理、認証及びロールベースのアク セスシステムに対する興味と需要が急激に増大している。 これらのセキュリティに対する努力の背景にある概念は明らかである。情報は財産であるから、そ のアクセスは、強固な識別と権限管理、及び監視機能によって管理する必要がある。 強固なセキュリティによりプライバシーが高まるが、この傾向は ONE の文化とは相反するものの 様である。過剰な監視に反発して、会社に対する従業員訴訟の機運が高まっている。従業員のプ ライバシーは顧客のプライバシーと対抗するものであるが、従業員の方がないがしろにされがちで ある。 繰り返しになるが、基本的な課題は、顧客やデータの主体、及び従業員のプライバシーを尊重 しながら、個人データに対する責任と管理を保証することにある。権限を与えられたスタッフによる 規則から逸脱した行為は、たとえそれが善意であったとしても、全組織に対し悪影響を与える。同 時に厳重な監視と規制強化された職場は、権限委譲が少なく反感が増し、最終的には ONE の損 失となり得る。 2.4 有望な解決策 あらゆる情報のプライバシーとセキュリティプログラムと同様に、万能のソリューションは存在しな い。全ての組織には独自の社風があり、その多くは、業務の性質や危機にさらされている個人情報、 関与しているぜい弱性とリスクの度合いに依存している。 従業員に対する継続的なプライバシーに対する自覚とトレーニングプログラムが、成功のために 必須となる。事実最も成功した ONE は、顧客のプライバシーと従業員に対する尊敬を備えた企業 風土が十分に開発された会社である。明確で包括的なプライバシーポリシー、効果的な意思の疎 通と実践によって、プライバシーとセキュリティが組織の中に注入され、全員の責任の下でより促進 されていくことが保証される。企業内のプライバシーポリシーの順守が人事考課とボーナスに影響 することも珍しくない。同時に、従業員の監視に対する明確で一貫した方針や密な意思交換、将来 的な不正利用を適切に抑制する公正かつ公平な態度での実行は、従業員の恐怖や憤り、非生産 的な行動の削減に大いに効果を発揮する。 また、プライバシーとセキュリティのリーダーシップが必要である。企業には、組織の全ての状況 273 を理解し、全ての部門を率い連携できる、強いプライバシー関連の最高責任者(CPO)が必要であ る。そのような人物に対して適切な監視及び/または拒否権の権限が与えられた場合、組織内でプ ライバシーに関して最高責任者となり、上流と下流双方の経営管理側及び異なる部門の隔たりを 乗り越えるための橋渡し役となり、また疑問もしくは初期の問題が生じた場合にいつでも「頼りにな る」人になり得る。強固なデータプライバシーとセキュリティの最高責任者である CPO は、過剰な監 視に対する従業員の懸念を引き起こすことなく、作業場の監視技術の利用を管理するための、信 頼できて効果的なポリシーを導入することができる。良い CPO は、一方で強固なデータセキュリテ ィと従業員のプライバシーの間の顕著な矛盾を調整する反面、他方では ONE の業務上の必要性 を調整することができる。これにより信頼と協調の風土が育まれる。 おそらく最も重要でありであり、以前と比べ今日ではさらに重要になっていることは、CPO が新し いテクノロジーツールと自動メカニズムを利用していることである。例として、新しいデータベースと データフローの「発見ツール」は、組織の情報の流れを図表化し、ヒューリスティックな侵入検知シ ステムを使って初期段階でのデータの誤利用の可能性を自動的に検知、対応することによりセキュ リティのリスクを最小化することができる。またウェブサイトのプライバシーとセキュリティ基準に対す る順守を評価するための同様のツールが存在する。また、企業の ID 管理、アクセスコントロールと 自動コンテンツ・フィルタリング・システムへの興味が増しつつある。 受信する電子メッセージに対しては、ウイルスや不適切なコンテンツをスキャンすることができる。 同様に発信するメッセージに対しては、保護された知的財産と機密の個人情報の「漏えい」をスキ ャンすることができる。特にこれらのツールは自動化できるため、「監視」は疑わしいことが起こった 場合のフォローアップ以外、独断で行う必要もなく、また人間が実行する必要はない。 データセキュリティ技術及びシステムの出現と成長は注目に値する。それらの技術は非常に多 すぎてここで述べることはできないが、知識豊富な CPO または情報関連の最高責任者(CIO)なら、 最新のデータセキュリティシステムについて十分に理解しているはずである。 テクノロジーツールはまた、監査証跡を確立する際に効果的である。1 つの有望な解決策は、ク ライアントのプライバシーの設定のような「利用条件」を直接データに付与することである。その様に すれば、プライバシーとセキュリティの方針はクライアントが提供するデータと効果的に「結合」する。 データ利用に関連するこの規則は、データ自体に包み込まれている。このようにすれば、多くのデ ータのプライバシーとセキュリティのポリシーは、直接の CPO の介入もしくは監視ほとんどない、ま たは全くない場合であっても、明らかに独立実行力を発揮することができる。IBM 社の Tivoli Privacy Manager は、その成功ツールの一つである13。 13 http://www-306.ibm.com/software/tivoli/products/privacy-mgr-e-bus 274 2.5 要約 情報のニーズが引き続き増加するにつれて、予想されるプライバシーとセキュリティ規制要件と 一般の期待の拡大に応えるという課題も引き続き増加している。プライバシーとセキュリティを重視 する社風及び従業員を尊敬し信頼する社風が成功する ONE の基盤である。機敏性と柔軟性を維 持するために、権限をもったプライバシー関連の最高責任者は、ONE のライフサイクルを通して個 人データを管理するため、及び従業員を不公正に監視しているのではないと安心させるという 2 つ の役目を負うためのポリシー、手順、訓練及び技術を適切にミックスして導入するために必要とされ ている。 3.0 関係 3.1 背景 会社の ONE の成功とは、顧客に有意義な体験を与え、強固な関係を構築する役目を果たすこ とである。口約束は、組織が有するものの中で最も貴重なマーケティングツールの 1 つである。また、 最高の企業は、役立ち、有効な、個人仕様のサービスと製品を提供することにより、長年の信頼、 ロイヤリティとリピート率の高いビジネスを育んでいく。さらに、リピートしてくれる顧客は貴重である から、製品は、長期的な関係を確立するためにより一層の割引価格で売られている。 3.2 プライバシーの問題:顧客の信頼 今日のように競争が激しさを増している中では、ブランドと評判は、信頼できる情報を伝え、顧客 との有意義な体験を育み強化するための簡単な手段である。信頼は構築するには長い時間を要 するが、損なわれたり失われたりするのは早い。約束したことを長い間守り続け、顧客への公約とポ リシーが透明かつ信頼できるものであることによって、信頼は形成される。 顧客との関係をさらに強化するために、業界は会員割引カードのような個人に合わせたサービス を顧客に提供する、新たな手法を採用している。総合的な顧客関係管理(Customer Relationship Management、 以下「CRM」と記す)技術が、顧客の全体的なイメージとそのデータ、取引履歴を提 供する。一方、効率的なサービスを提供するため、顧客には便利な一元化された(single-window)、 かつ「不正アクセスがない(no wrong door)」ポータルを提供している。 顧客との関係によるマーケティングやパーミッションマーケティング(permission-based marketing) 14 のトレンド は、持続的で、個人に合わせてカスタマイズされた、one to one の手法で顧客をひきつ けることである。そのようなマーケティング技術は、クライアント特有のニーズと希望を差別化し、理 14 Seth Godin, Permission Marketing (New York: Simon & Schuster, 1999). 275 解し、対応するために、クライアントについてのできるだけ可能な情報を収集し解析することが必要 である(理想的にはクライアント自身が認知するよりも前にそれを行えることが望ましい)。 パーミッションマーケティングでは、任意のオンライン登録から収集できるデータより少ないデー タしか得られないが、収集された情報は嘘が少なく、はるかに役に立つものである。さらに、パーミ ッションマーケティングは、信頼からさらにロイヤリティを構築する。 適例: 2003 年に米国で行われた 1,000 名以上に対する調査では、回答者の 70%が、彼らが許 可を与えた場合であれば、合法的な e メールでのマーケティングメッセージを受信する意思がある ことが判明した。 2005 年の春、Ipsos-Reid 社は調査15を行い、許可した場合であれば商業的な e メールを受信す る意思がある答えた人の数が増加していると報告した。9 件の商業ウェブサイトを平均すると、80% 近いインターネットユーザーが広告メールを受け取るために登録手続きを行ったことが調査から判 16 明した 。最新の e メールフィルターと結合することで、現在のインターネットユーザーは、どの会社 のメールを受信ボックスに入れ、どの会社のメールをを直接ごみ箱送りにするかの選択をカスタマ イズすることができる。 トロントを本拠地とする e メールサービスプロバイダーの Thin Data 社は、カナダ、トロントの舞台 演出会社の Mirvish Productions 社のためにパーミッションマーケティングのキャンペーンを開始し た。Thin Data 社は、15,000 名以上の定期購読者に e メールでニュースレターを毎月送り、一ヶ月 当たり受信者の 65%が読んでいることが判明した。すなわち、無差別のダイレクトメールを送信した 場合と比較して、30%以上少ない受信者しか e メールを閲覧しなかったことが判明した。 Seth Godin 氏は、パーミッションマーケティングはデートの様なものだと示唆する17。会社もしくは マーケティング担当者は、デートを申し込むために消費者に近づく。消費者はハイと答えた場合出 かけ、もし両者が興味をもった場合には個人の詳細情報の提供が行われる。信頼が時を経て構築 され、その関係は数年、場合によっては一生続くかもしれない。 15 “Digital Impact Sponsored Survey Shows Majority of Internet Users Request Legitimate Email Marketing Messages Despite Increasing Concerns Over Spam,(Digital Impact がスポンサーの調査 で、インターネットユーザーの大多数がスパムに対する関心が増加しているにも関わらず合法的な e メールマーケティングメッセージを要求していることが判明した。)” Digital Impact, December 8, 2003 http://www.digitalimpact.com/ newspress120803.php 16 “E-mail ad firms winning war against spam,(e メールの広告会社は、スパムに対する戦争は勝 ちつつある。)” The Globe and Mail, March 15, 2004, B11 17 Seth Godin, Permission Marketing (New York: Simon & Schuster, 1999). 276 パーミッションマーケティングの考えを実現するために、顧客が企業との関係を管理し、顧客自 身のデータを管理する「顧客による関係管理(Customer Managed Relationship)」(CMR、CRM の 代り、以下「CMR」と記す)の概念が出現した。最も一般的な産業界の見解は、顧客が自身の個人 プロフィールを所有すべきであり、全ての部門を通じて顧客自身にかかわる全ての情報にアクセス できるべきであるということである。さらに、CMR システムは消費者のニーズと希望に合わせて構築 される必要がある。 一例として、Vivendi Universal 社の Universal Music Mobile は、最初期の CMR 志向のサービス の 1 つとして 2001 年に立ち上げられた。Mobile は、音楽関連のマルチメディアサービスの一覧を 提供し、請求サービスと組み合わせてセルフサービスでサービスを提供することが特徴である。こ のサービスは顧客に、オンラインの複数のサービスと機能をアクティベートすること、利用状況を閲 覧すること、オンラインでの支払もしくはプリペイドで支払うこと、サービスオプションをオンラインで 変更すること、契約を修正すること、または自身で支払明細を変更することを可能にする。Vivendi Universal 社は、顧客が会社とどのように関係したいのかを顧客に決めさせる(その反対はない)こと で、初期の比較的優位な地位を保っている。このような関係において、消費者はその個人情報に 対する権利と管理の感覚(信頼とセキュリティを感じるのと同じ)を受ける。IBM の CPO の Harriet Pearson 氏は、この種の関係を「信頼関係を保つバランス(trusted balance)」と称している。これは自 発的にコミュニケーションをはかり簡潔な一連のプライバシールールの設定を行うような姿勢である 18 。また重大な事実は、この様な方法は、あたかもナイキがスポーツのライフスタイルを販売するのと 同様に、感情もしくは経験を販売しているということである。CMR が成功する鍵は、顧客が CMR に 参加する選択を行うことで、顧客としての選択権を持っていると感じさせるだけでなく、彼ら自身の 個人情報を管理することができると感じさせることである。それは彼らが会社を信頼しているという確 かな証拠となる。 しかしながら、プライバシーのプロトコルが増大しているにも関わらず、人々はますます自身にか かわる情報の不要な提供について警戒している。もし、顧客が情報のリクエストが不要であるとか、 押しつけがましいとか、不必要であると感じる場合、彼らはそのプロセスを偽ったり、捨てたりしてし まう。プライバシーに関する契約があいまいで不明瞭な専門用語(及びいつでも変更される可能性 がある文言)で書かれている場合のように、本当の意味での対話や相互関係、交渉によって構築し ていない「関係」は役に立たない。例えばウェブサイトの登録のデフォルト設定が「許諾」であったと きのように、デフォルト設定が顧客の要望に対して侵略的であったり無礼であると感じさせるもので あったりしたときには、さらに悪いことになる。 18 Aiden Barr, “Privacy is Good for Business,(プライバシーは、ビジネスにプラスになる。)” 306.ibm.com, 1999 http://www-306.ibm.com/e business/ondemand/us/customerloyalty/harriet_pearson_interview.shtml 277 若者に関しては、彼らがプライバシーに関して無関心であるとはねつけるのは間違いである。 2004 年の Harris Interactive 社によるの若者に関する調査では、彼らの多くが実際に気にしている ことが分かった。「オンラインでプライバシーが侵害された」ことに対する関心の度合いは年齢によ って異なる。8 歳から 9 歳が一番低く 25%、18 歳から 21 歳が一番高く 50%である19。 Ben Charny が名付けたところの「プライバシーのタカ派(privacy hawks)」は、個人情報を保護す るためのゲリラ戦略を用いて「プライバシーの自己防衛」を行っている20。Pew Charitable Trust は、 これらのサイバー反乱分子は、オンラインを利用してから3~4年で、インターネット人口の 25%を 成す 18 歳から 29 歳までの 3 分の 1 で、十中八九男性であると説明している。21決して同一のグル ープではないが、彼らには共通の信条がある。それは、彼らの個人情報は徹底的に利用され、「プ ライバシーポリシー」は必ずしも信用できるわけではない、ということである。そのため、彼らは個人 情報を偽ることは、自己防衛のために必要であると感じている。 個人情報を管理するための具体的な戦略に関して、最も共通していることは単に嘘をついてい るだけということである。ウェブサイトの限界に気づいている彼らは、アクセス権を得るために登録フ ォームに完全に嘘の情報を入力しても罰を受けないことを理解している。ある者にとってはある種 のゲームでありさえもする。ある人はビバリーヒルズに住み、毎年0ドルから 15000 ドルの間を稼ぐ CEO だと宣言する。 実際、Web サイト登録フォームに入力された最も一般的な郵便番号は、1990 年代のポピュラー なテレビ番組からヒントを得た「90210」である。または、Bill Gates というアカウント名は、百回以上 MSN で登録されたことが判明した。これらはそれほど驚くほどのことではない。 これまでに、オンライン登録の際に嘘をつく個人に対して行われた徹底調査はほんの一握りしか ない。2000 年には、登録された 20-30%(人口統計上はティーンエイジャーが最も多い)が嘘をつい たことが判明したが、これは控えめの数字だとみている22。嘘をついた主な理由は、個人情報の利 19 Harris Interactive, Youth Pulse, June/July 2004, p. 64. 20 Ben Charny, “Protect your Internet privacy… by lying,(嘘をつくことで…あなたのインター ネットプライバシーを守る)” ZDNET News, August 21, 2000 http://news.zdnet.com/ 2100-9595_22-523232.html 21 The Pew Internet and American Life Project, “Trust and Privacy Online: Why Americans Want to Rewrite the Rules,(オンラインでの信頼とプライバシー、なぜ米国人は、規則を書き直した がるのか。)” August 2000 http://www.pewinternet.org/PPF/r/19/ report_display.asp 23 Harris Interactive, Youth Pulse, June/July 2004, p. 53. 22 The Pew Internet and American Life Project, “Trust and Privacy Online: Why Americans 278 用目的に対する不信感、ジャンクメールの回避、匿名でいたいという希望であった。プライバシー の継続を望む気持ちは、広告やマーケティング予算のための ROI を考える際に、考慮に値するも のである。 他に増えている消費者の自己防衛のための方法は、サブの、もしくは「使い捨ての」e メールアド レスをもつことである。誰でも5分で hotmail にアクセスすることができ、まったくの偽りの情報をもとに e メールアカウントを作成することができる。2004 年の Harris Interactive 社の調査では、10 歳から 21 歳までの若者は平均で 2-3 の e メールアドレスを所有していることが判明した 23。Dodgeit、 Mailinator、Spamgourmet、Spambob の様ないくつかのウェブサイトは、現在でも無料の使い捨ての e メールアカウントを提供している。 2005 年の春、Spamgourmet.com は、90,000 名の定期購読者のほとんどが 150 万近くの使い捨 ての e メールアドレスをもっていると報告した。Pew Internet と American Life Project は、インターネ ットの利用者の 20%は使い捨ての e メールアドレスをもっていること、一方同じことをしている十代の 若者は 56%と高いことを発見した。使い捨ての e メールアドレスがジャンクメールを避けるためだけに 利用されているのではないことに留意しなければならない。それらは、コンテストに参加するためや、 無料のギフトや割引を受けるために登録するための安全な手段である。(コンテストが終わったら、 またはギフトもしくは割引を受領したら、そのメールアドレスは廃棄される。) プライバシーのタカ派やオンラインで匿名を希望する人は、インターネットテクノロジーの進歩か ら支援を受けている。Mozilla Firefox は、匿名のサーフィンを許容するインターネットブラウザーで ある。多くのブラウザーは現在、ポップアップ広告とクッキーをブロックする機能をもつツールバーを もっている。また、ほとんど全ての e メールサービスは現在、自動的に e メールを拒否する、「差出人 拒否」と「迷惑メール」オプションを備えている。また、ハッカーやマーケティング担当者からの不要 な侵入や押しつけと、秘密裏にデータを収集するその他の手段に対してリアルタイムの防御を提 供する、Ad-Aware と BetaSpyware のような商用やフリーのソフトウェアプログラムが利用できるホスト がある。実際、これらの機能は非常にありふれたものになっているので、使い捨ての e メールアドレ スはすぐに利用されなくなるかもしれない。なぜなら、たとえ不要なコンタクトが行われたとしても、 単にボタンクリックするだけで無期限にマーケティング担当者もしくは広告主を禁止することができ るからである24。2005 年4月現在、Ipsos-Reid 社は、既にカナダ人の 77%が、オンラインである間は Want to Rewrite the Rules,(オンラインでの信頼とプライバシー、なぜ米国人は、規則を書き直した がるのか。)” August 2000 http://www.pewinternet.org/PPF/r/19/ report_display.asp 23 Harris Interactive, Youth Pulse, June/July 2004, p. 53. 24 Ipsos-Reid, “Canadians Winning the War Against Spam,(カナダ人は、スパムに対する戦争に 279 その様なフィルターを利用していると報告した。2003 年、Pew Internet と American Life Project は、 米国人の 37%がオンライン中にフィルターを利用していると発見した25。2005 年、家庭でオンライン フィルターを利用している米国のティーンエイジャーのいる家庭数は、2000 年の 41%から 54%まで 上昇したことが判明した26。 個人情報の自己防衛はその動きを増しており、もはや少数のプライバシーのタカ派の行動に限 定されていない。人々はさらに組織化されつつあり、彼らの共通のゴールにつながれつつある。プ ライバシーの防衛における戦略と技術、及び戦術は現在、チャットルームとブログで広く話題にな っているトピックスになりつつある。 Microsoft のスモールビジネスウェブサイトは、成功している e メールのパーミッションマーケティン グのトップ 10 リストを提供している。その中の No.10 は常にネットワーク効果(network effect)の影響 を受ける。「インターネットでは、悪いニュースは良いニュースより早く広まる。怒ったオンライン顧客 は、『(あなたの会社)が嫌いです』というウェブサイトを作成したり、友人に自分の体験を説明する e メールを送ったり、掲示板に投稿したり、またその他の方法によって、彼の怒りを何百万人に送信 することができる。この世界では、顧客にコントロール権があることを覚えておくべきである。」27 Forbes.com は、アンチ企業のウェブサイトにさらにアクセスしてもらうために、企業が「嫌いな」ウ ェブサイトを特集するオンライン記事を発行した。 3.3 有望な解決法 長年尊重し続けてきた強固で明白なプライバシーへの取り組みは、顧客に対する敬意を示し信 頼とロイヤリティを育てる。 顧客の認知と同意が、全てマーケティング活動の必要条件であるべきである。顧客は、マーケテ ィングプロセスの参加者となるための、またフィードバックと方向付けを行うための全ての機会を与 えられる必要がある。新しい技術は、その他のセルフサービスオプションに加え、組織が顧客に対 して顧客に関連して保有する全てのデータへのダイレクトアクセスを提供することを可能にする。 勝ちつつある)” Ipsos, March 10, 2005 http://www.ipsos-na.com/news/pressrelease. cfm?id=2594 25 Pew Internet and American Life Project, Spam Survey, June 10-24, 2003, p. 20. 26 Pew Internet and American Life Project, Protecting Teens Online, March 17, 2005, p. 8. 27 Derek Scruggs, “10 rules for successful permission-based e-mail marketing,(成功するパーミ ッションベースの e メールマーケティングのための 10 の法則)” Microsoft.com/small business, April, 2005. 280 プライバシーに関する公約が尊重されているように認識されない場合、またはクライアントが「関 係」に参加する有意義な機会を失った場合、信頼とブランドは、簡単に失われる。CRM を CMR に 脱皮させよう28。 個人情報を共有しないのは思いやりのある行為である。あなたの顧客はあなたに感謝する。成 功する企業は、その顧客データの価値に対する長期的な戦略をもつ必要があり、顧客の同意なし に顧客データを第三者と共有するもしくは第三者に販売したい気持ちを抑える必要がある。 反対に、人々は、彼ら自身と会社の間に信頼関係があると感じた場合、嘘をつくことはない。特 定の会社との関係が彼らにとって利益があると感じた場合、たとえただ興味のある製品とサービス の最新トレンドが知りたいだけであっても、彼らはたいていその個人情報の詳細を提供する。またそ れが、あなたがまさしく彼らに売り込みたいものではないのか。あなたの顧客が欲しいものを見つけ、 それを彼らに提供すれば、彼らはひっきりなしに来てくれるようになるだろう。しかし、欲していない ものを提供した場合、彼らを追い払ってしまうことになる。あなたは次のように決定する。 あなたのプライバシーにかかわる座右の銘は、「思い込みでなく、常に聞き続ける」である。 4.0 情報の流動性 4.1 背景 ONE は、異質の第三者のソースからのデータを集めビジネスインテリジェンスを生み出すが、そ れは個人情報と重複するかもしれない。多くの公共のデータベースは、企業が簡単にアクセスする ことができる個人情報を含んでいる。どのようにしてプライバシーが守られるのだろうか。 4.2 プライバシーの問題:不良データ、良くない決定 「ソートせず、検索する」は、Google のモットーであり、顧客へのアドバイスである。技術が、新規 利用と競合目的のために事実上無制限な情報量から即時に見つけ、統合し、抽出する能力を個 人と企業に提供する時に、このアドバイスは特に重要となる。 この新しい豊富なデータを利用して、新しくそして急速な成長を遂げている、個人情報とプロフィ ールの収集、解析、販売を行う産業が創出された。このような業務を行う企業には、さまざまなタイ プがある。例として、LexisNexis 社に対する信用調査機関である TransUnion 社と Experian 社、また データマイナーとデータ集積者として最も有名な ChoicePoint 社等がある。ChoicePoint 社は、その データベースに公的記録を何十億ももっている、市場で最大の圧倒的なデータ集積者である 29。 28 Charles Wolrich, “Top Corporate Hate Web Sites,(上位企業は、ウェブサイトを憎んでいる)” Forbes.com, March 8, 2005. 29 Bob Sullivan, “Database giant gives access to fake firms,(データベースジャイアントは、偽の 281 自動車登録、ライセンスと捺印証書の移譲、軍の記録、氏名、住所と社会保障番号を含むデータ を も つ ChoicePoint 社 は、 日 常 的 に 、 警 察 、 弁 護 士 、 レ ポ ー タ ー 、 私 立 探 偵 に 対 し 、 U.S. Department of Homeland Security(米国国土安全保障省)に対してでさえ、人物調査書を販売して いる。 オンライン環境によってダイレクトマーケティング産業は変革され、新しい高みを目指して駆り立 てられてきた。オンライン環境では、どこでも利用できるデータと結合し人物像を形成するために利 用される、高度に細分化された個人情報を収集し、行動を予測するために全ての技術の作法が定 められている。これらの技術の例には、オンライン活動を追跡する「クッキー」や「Web ビーコン」、ま たその他の電子ツールとエージェントの利用が含まれる。 しかしながら、情報を統合する試みが常に成功するとはいえない。例えば、オンライン広告の巨 人である DoubleClick 社は、2002 年に Abacus Direct 社を1億ドルで買収し、DoubleClick 社が提 供する 1 週間当たり 50 億の広告から得られるネットサーフィンの行動データと Abacus 社により記録 された 20 億の個人識別可能な消費者用カタログ取引情報を統合することを試みた。しかしながら その試みは、プライバシーの観点からプライバシーの提唱者と消費者から盛んに反対され、FTC による 3 年間の調査にまで発展した。この取引は結局失敗に終わった。 消費者の個人情報は、企業にとって途方もなく貴重なものである。Air Canada 社が破産手続き に陥った時に、Air Canada 社は当社の飛行機の総数の時価総額の 3 倍に当たる大体1億カナダド ルでその情報財産を売却した。これは、Air Canada 社の有名なロイヤリティプログラムからの Aeroplan メンバーの何百人分のプロフィールからなっていた。 情報プロファイリング産業は非常に有望なビジネスである。そのため、オンラインマーケティング 事業者は、自身のビジネスモデルに直接インパクトを与えるかもしれない新しい法律と規則の展開 を支援するために、Network Advertising Initiative (NAI) や Online Privacy Alliance (OPA)のよう な数多くのロビイング団体を形成した。 個人情報の市場は、主要顧客としてのビジネスだけでも、米国一国でも年間数百億ドルに達す ると見積もられている。過去 6 ヶ月間、情報統合とプロファイリング産業の詳細を記録したいくつか の新しい本が市場でヒットした。もっとも売れた本の中には、『The Digital Person』がある。Daniel Solove 著の『デジタル時代の技術とプライバシー(Technology and Privacy in the Digital Age)』30 と 企業にアクセスできる)” MSNBC, February 14, 2005 http://msnbc.msn.com/id/6969799 30 Daniel J. Solove, The Digital Person (デジタルパーソン)(New York: New York University Press, 2004). 282 Robert O’Harrow, Jr31著の『隠れる場所はない(No Place to Hide)』がある。 個人情報はさまざまな急速に増大している目的のために収集され、企業に販売されている。個 人の詳細な人物調書は、広大で成長し続けている「グレーマーケット」で当たり前のように売買され ている。それは、個人の身元調査や、人々や証明書また権利を認証するため、個人のリスクを評価 するため、個人のプロファイルを形成して行動を予測するため、基準を確立するため、支払のため、 またマーケティングや国防のための広範な「研究」目的のために使われる。また、そのような情報は 雇用や昇進、貸付や保険の付与、及び一般的な個人対会社間の関係構築など、個人に影響を与 えるような決定を行う際に日常的に用いられる。 個人の詳細な調査書類の利用及び生成されたプロフィールや評価は、個人と社会にとって有益 であると思われている。なぜなら、それは不正行為の検知と抑止に役立ち(例、雇用のための身元 調査)、取引価格の低減に役立ち(例、「即時入金の奇跡」)、顧客のニーズに合わせた良いサー ビスを提供できる(顧客のプロフィールの提供)からである。巨大なデータベースグリッドの利用の 背景にある一般的な目的は、より知的で賢い決定を行うことである。 残念なことに、個人情報の流動性と自動処理が行き過ぎると負担となる。20 世紀のプライバシー の歴史上、個人情報の収集の乱用によってしばしば一般大衆の抗議や反発が起こり、また個人に 対し結果として悪影響が及んだ場合は特にデータの管理者として機能する組織に対して新しい規 則と責任が生じてきた。 ほとんど毎日のようにニュースで見かける終わりのない大規模なプライバシーとセキュリティ違反 の結果として、我々は実際に「完全なプライバシーの嵐(perfect privacy storm)」を目撃することにな るかも知れない。なりすまし犯罪がますます増加しているため、一般人や立法者は業界に対し、デ ータの誤った管理の結果として落ち度のない第三者に多くの悪影響や費用がかかることに関して、 責任の正当な部分を肩代わりし始めるように要求し始めている。新しい連邦の法律と規則は、年内 に個人情報の収集や利用、公開にかかわる過剰な商行為を抑止すること、及び個人に対して、個 人情報を収集し利用しているこれらの業界に対するアクセスと是正についてのより良い知識と権利 を備えさせることを期待されている。 先に述べたように、20 世紀初頭の過激な低俗な雑誌がプライバシーの権利という概念を生み出 し、影響を受けた個人のために法的な規制と不正行為の改善措置を導き出した。同様に、中央集 権的な人物調査書と財務信用報告の乱用は、そういった活動を抑止しまた個人に対する様々な権 利を提供する法律、規則、訴訟という波紋を巻き起こした。今日、特に政府が共有し利用している 31 Robert O’Harrow Jr., No Place To Hide(隠れる場所はない), New York, Simon & Schuster, 2005. 283 ブラックリストに載っている個人データの範囲と正確性についての同様な懸念は、議論すべきテー マとなる。 さらに、機密の個人情報にアクセスすることにより成立した有名なストーキングと殺人事件(例とし て、Rebecca Schaeffer、Amy Boyer)は、機密の個人情報の利用と公開に関する新しい規制と責任 を生み出した。子供たちを守りたいという希望により、13 歳以下の個人に関する情報はまた別の管 理体制がなされることになった。スパムやテレマーケティング、及びスパイウェアによる悪影響と費 用は、また新たな管理体制を引き起こしつつある。 ごく最近の ChoicePoint 社が起こしたデータ違反によって、個人情報を収集、販売している大規 模な「情報仲介者(informediaries)」の行為と責任に、規制というスポットライトが当たることになった。 2005 年 2 月、まるでハリウッド映画から抜き出した場面のように、なりすまし犯が ChoicePoint 社でア カウントを開設するために偽の身元情報を作り出し、なりすまし犯罪を行うためにこれらのアカウント を利用していることが、ChoicePoint 社の従業員によって発見された。その従業員は、いくつかの業 界からの申請が近くの Kinko’s から来たものである事に気づき不審に思った。カリフォルニア州法 により求められているように、ChoicePoint 社 は個人情報が漏えいした疑いのある 200,000 名近く の人に通知する対応をとった。しかしながらロスアンジェルスの警察署は、500,000 名もの人が影響 を受けたと考えている32。2005 年 4 月現在、カルフォルニア州の SB1386 をモデルとした(19 州で審 理中の)39 の法案がある。これは、個人情報が侵害された場合、その人に通知することを求めてい る条文があることで知られている。 議員の中では、無責任なやり方で個人情報を利用したこれらの組織に対し説明責任と義務を課 すという意見が高まっている。FTC は、プライバシーの約束に答えていない会社、及びその他個人 情報の利用に関して不公平で不正な商取引に従事した会社の調査に取り組む意欲を表明してい る33。 共通のプライバシーの問題と義務には以下に対するものが含まれる。 他のソースからの個人情報を取得することを顧客に通知していない、またはその許可を求 めていないこと、次に、顧客から直接提供されたデータと照会していないこと。 32 個人情報を第三者と他の情報ネットワークのメンバーと共有する場合、顧客からの明示的 Our Georgia History, ChoicePoint Scandal, April 2005 http://www.ourgeorgiahistory.com/chronpop/1000072 33 Emily Hackett, The Problem of Data Security(データセキュリティの問題点), Internet Alliance, April 25, 2005. 284 なインフォームドコンセントを取得していないこと。 第三者から取得した古いもしくは不正確なデータを取得し、利用すること。不正確なデータ が個人に影響を与える決定の際に利用された場合、ONE はその決定を正当化し、不正確 な場合には責任をとる態勢を整えなければならない。 また、自動処理と自動決定によって、顧客が関与できない形で顧客への差別が起こりうる。 例として、「価値がない」電話番号を持つ顧客はサービス受けるために長く待つことになり、 一方、「価値がある」電話番号を持つ顧客はすぐにカスタマーサービスにつなげてもらえる。 顧客を極秘のネットワークのブラックリストに間違って載せてしまったためその顧客が拒否さ れた場合の責任は誰にあるのか。 ネットワークインテリジェンスと自動決定ツールは、一般の人々に対する非常に良質なサービス であるが、不正確な、または期限を過ぎた個人データがこれらのサービスを通して増殖することが あるため、非常に身に迫る危険が存在する。さらに、このように不正確な評価を施された個人デー タがどこでも即座に手に入る場合、責任と信頼感はしばしば弱くなってしまう。 情報収集と意思決定を他者のソースに依存している企業は、行動に対して責任を取らない場合、 必ず義務と罰則が科せられることを承知しておく必要がある。 4.3 有望な解決法 ONE による入手可能な個人データのグリッドの利用がますます増加しているため、その情報が 以下の通りであるか確認する必要がある。 法的に取得され、利用され、または共有されている。 用途が確認できる程度に十分に正確である。 目的のために、適切であり適合している。 透明性があり、防御可能な形態で利用されている。 個人によるアクセスと修正が可能である。 組織は必ず、第三者が関与する情報活動の性質と範囲について、明確で正直でなければなら ない。例えば、将来の従業員を審査するために、様々なソースから大量の機密の個人情報を数多 くのソースから入手することがあるかもしれない。「ファミリー」企業で多くの関連会社、パートナーと 下請け業者間の日常業務で情報の共有と利用を行う場合、あいまいさを排除する必要がある。 企業はまた、常に自動決定ツールの利用を説明し、正当性を示す必要がある。可能な限り、顧 客のインフォームドコンセントを求める必要があり、特定のデータ項目の説明と共に、個人について 285 の全てのデータ(必ずしも個人から直接提供された情報だけではない)に対するアクセスと修正を 行えるように準備する必要がある。同意が撤回された場合、例えば個人をメーリングリストから除外 するための合意等の要請は、情報サプライチェーンを通じて尊重されるべきである。ますます会社 は、そのような要求に応じて、アクセスばかりでなく顧客情報の全ての利用と公開をを提供するよう に、多くの司法権において要求されている。 ONE が成功するためには、その顧客について最も限定的で正確なデータもしくは評価のみを管 理し、そして他者と共有するように尽力しなければならない。また、例外や修正、及び他の救済過 程に対処するための構造を設置する必要がある。さらに、彼らが受け取り供給している顧客データ から得られたネットワークソースが信頼できるものであることを保証し、また証明するための適切なス テップを踏むことが必要である。 5.0 技術 5.1 背景 現在の情報通信技術の著しい進化が、以前には見られなかった費用効率で、大量な高度に細 分化された個人データを収集し、保存し、処理し、また共有することを可能にした。データは、組織 と政府も同様に、我々のために我々に関する評価と決定を行う、デジタルの影でありまた現実のも のの代理人となる。 5.2 プライバシーの問題 過剰に集めると、かえって公開できない (Over collection and under disclosure) (予期せぬ結果の法則 (the law of unintended consequences)) 技術があなたに何かをさせようとしているからといって、あなたはそれを行うべきなのか。 一般に受け入れられていることは、新しい技術の開発と導入は、その結果を理解しようとする私 たちの能力をはるかに超えている、ということである。ましてそれを管理するなどはなおさら私たちの 能力をはるかに超えている。おそらくこれは、良いことである。なぜなら、試したり、導入したりするま での準備期間を与えてくれるからであり、時々、予期せぬ結果まで得られるからである。 革新的な ICT の初期の開発者もしくは導入者である組織は、しばしば特に新しい分野と産業分 野において、その競合相手よりも優位な立場を得る。しかしながら、産業の先導者であることは、時 には規制のグレーゾーンで働くという犠牲を払い、プライバシーリスクと大衆の反発を推し量るとい う困難な局面に置かれるという犠牲を払うことがある。Microsoft、Intel、Amazon、Google、eBay と ChoicePoint のような過去十年間の主要な ICT 革新者の全ては、規制の監視は言うまでもなく、い ろいろな注目と批判を浴びた。 活動が否定的な予期せぬ結果を生み出すという理由、またはいたずらに一般大衆の恐怖を煽 286 ってしまうという理由のいずれかにより、企業は時々先走り過ぎて否定的な市民の反応を引き起こ す。プライバシーの問題はしばしば、環境と開発が相まって問題が発生するまで表面に現れてい ない。 実際に、技術自体がプライバシーリスクを引き起こすことはめったにない。しかし、むしろ生身の 意思決定者の態度によって引き起こされることがある。例えば、ある人々は RFID 技術の応用を理 想的な効率性、利便性、個人化の手段としてとらえるが、また別の人々は監視と規制の闇の構造と 考えるかもしれない。 2003 年に、顧客の「払い戻し」ロイヤリティカードに関する、RFID 技術の実証実験を行ったドイツ 小売業 Metro 社の場合を考察する。Metro 社は、行っていること、または行う理由を顧客に知らせ なかった。RFID 技術の実証実験の件が人々に嗅ぎつけられた時、市民の反感を買い、結果として 今日まで続く国際的なボイコットにまで発展してしまった34。この企業が否定の方法が良くなかった ため、さらにこの事態に関する一般への対処が良くなかったため、プライバシーの問題を沈静化す ることができなかった。法律に違反していないにも関わらず、大型小売店の経営者への信頼がガタ 落ちになってしまった。Metro 社は、最終的にロイヤリティカードをリコールし RFID 版ではないもの と交換したが、ダメージが残ってしまった。 上記の経験と、1997 年にスピードパス(SpeedPass)として知られるワイヤレス支払いアプリケーシ ョンを開発した ExxonMobil 社の経験を比べてみる。スピードパスが利用可能である 7,500 ヶ所で、 600 万人の顧客が RFID キーホルダーを使って支払オプションを利用した。この技術は大成功を収 め、Exxon 社は、顧客の満足、保有率と市場シェアを増加させることができた。 Metro 社と異なり、Exxon 社は新規加入者に明確にそのインフォームドコンセントを与えていて、 公明正大にタグを利用してもらっていた。第二に、明確で明白な利益、すなわちクレジットカードや デビットカードを導入する必要性をなくし、早く、便利で、安全な支払いを可能にするということを全 ての顧客に提供した。 今、RFID の展開を考えている Metro 社といくつかの他のグローバル製造会社と小売業は、世界 規模で組織された消費者ボイコット運動や、政府や規制機関、プライバシー提唱者、消費者利益 団体の広範囲からの著しい注目にあわただしく対処している。35 34 “Customers say: We aren’t your guinea pigs,(顧客は、私たちはあなた方の実験台でないと 言っている)” Foebud.org http://www.foebud.org/rfid/pressemitteilung/en 35 例として、以下を参照 Article 29 Data Protection Working Party, Working document on data protection issues related to RFID technology (January 1, 2005). International Conference of Data 287 ONE の成長と成功は、情報に対する事実上満足することのない要求によって決まる。新しい技 術によって、実態と競争優位性の分析を行うための顧客とその取引内容についての以前よりもきめ 細かいデータの収集が可能になり、また促進されさえした。 このデータを操作できる技術の責任ある利用と展開に対し、企業はどのような選択ができるの か。 5.3 利用履歴(Digital footprint) 携帯電話を利用し、ウェブサイトを閲覧し、またはデビットカードを通した時、いつでも利用履歴 (Digital footprint)が作成される。企業や企業群は、販売促進とマーケティングの目的とした行動パ ターンと嗜好のプロフィールを作成するために、特定可能な消費者に関する利用履歴を利用す る。 これらの利用履歴は、マーケティング部と広告部にとり大変貴重なものであり、また将来トラッキ ング技術が改善され普及したときにさらに貴重なものになっていく。インターネットの利用は、この 10 年の間で最も念入りに追跡された活動の 1 つとなった。専用の消費者トラッキングソフトウェアと いうまったく新しい業界を生み出した。 1999 年 10 月、無所属のセキュリティ解析者が、米 RealNetworks 社が人気のあった Real Jukebox ソフトウェアに登録した各ユーザーにグローバルで一意な識別番号(global unique identification number、GUID)を割り当てていたことを発見した。当社はその番号を、音楽を聴くパターンを追跡 するために利用していた。 RealNetworks 社はそのデータは集積するためにのみ利用していると主 張したのだが、GUID 技術は潜在的に RealNetworks 社に、音楽を聴く嗜好からクレジットカード番 号までの全てを含む個人のプロフィールを作成可能にする可能性を与える。このタイプのデータ収 集は、RealNetwork 社の規定するプライバシーポリシーと直接的に矛盾している。RealNetworks 社 はその後、収集される可能性のある情報の種類を顧客に報告するプライバシー保護方針を修正し、 また利用者に個人情報の送信をブロックするためのソフトウェアパッチを配布した36。しかしながら、 Protection & Privacy Commissioners, Resolution on Radio-Frequency Identification (November 20, 2003), FTC RFID Report (March 2005), and RFID Position Statement of Consumer Privacy and Civil Liberties Organizations (November 2003) at: http://www.privacyrights.org/ ar/RFIDposition.htm 36 Courtney Macavinta, “RealNetworks changes privacy policy under scrutiny,” C/Net, November 1, 1999 http://news.com.com/RealNetworks+changes+privacy+policy+under+scrutiny/2100-1040_3232 238.html 288 怒った顧客が会社に対し 2 件の訴訟を起こすこととなった。 それ以降、秘密裏に行われるオンライン調査とデータ収集に関する消費者の関心と恐れが増え 続け、信用が低下しつつある。例えば、デジタル権利管理技術(digital rights management、以下 「DRM」と記す)は、きめ細かい正確さでもってオンラインメディアの利用を追跡し管理している。同 様に、ユーザーの活動を追跡するためにコンピューターに秘密裏に自身をインストールする小型ス パイウェアアプリケーションのまん延が問題となった。米国の議員は、適切な法的対応を通してスパ イウェアの問題と戦っている。オンライン顧客に関して増大する詳細な情報を取得するため、またマ ーケティングの主導権を得るための基準を策定する努力に関し、多くの会社は、いつ、どのような 頻度で、誰がメッセージを見たか、どのようなアクションまたはリンクを辿ったのかを知るために、日 常的にマーケティング e メールメッセージに「ウェブバグ」を挿入している37。 極めて少数の人々しかこの日常的に行われているオンラインマーケティング技術に気付いてい ない。そして、プライバシーの扱いに関する反発や強いプライバシー自己防衛技術が出現する機 が熟している。 まとめると、侵略的な情報通信技術の過度で無責任な展開が、プライバシーに関する取り決め に対する信用を台無しにし、いくつかの事例においては消費者や立法府の強い反応を引き起こし た。 5.4 有望な解決策 ONE は、データ収集戦略を可能にするあらゆる技術の採用についての法律的、公的な関係及 び経済的なリスクを注意深く考察する必要がある。 まず、収集された情報の多くが、実際に個人識別を可能にするかもしれないという意味において、 事実上個人的なものであると認識することが重要である。たとえコンピューターの IP アドレス、ソフト ウェアのユニーク ID もしくは店内のショッパーカードのような、情報自体から個人を識別できない場 合であっても、データを個人に結びつけることができる否かが重要な問題となる。このような状況に おいて企業は、彼らがデータを収集できる場合には、他者もまたそれを行うことができるということを 認識し対処しなければならない。例えば、ロイヤリティカードに埋め込まれた RFID タグは、競合会 社でもまた読むことができる。 収集する対象を厳密に必要なものに限定することは重要である。企業は本当に頻繁に、ただそ 37 ourtney Macavinta, “RealNetworks faced with second privacy suit,” C/Net, November 10, 1999 http://news.com. com/2100-1001-232766.html?legacy=cnet&tag=st.cn.1 289 れができるから、または将来的に価値があるかもしれないからという理由だけでデータを収集する。 データ収集時に顧客の注意を喚起する明確なプライバシーポリシーをもつことは重要である。企 業は、彼らが顧客の期待を理解しているとか、「暗黙の了解」があったとかといった思い込みを持た ないように注意を払う必要がある。プライバシーとセキュリティのリスクが依然として存在する場合、 これらに注意して対処する必要がある。 成功する企業は、常に消費者に対し意義がある選択と管理を提供し、彼らの参加とフィードバッ クを求めている。例えば顧客に対して、機能を無効にしたり、不要なソフトウェアの利用を簡単に断 ることができたり、またはアンインストールできるようにする必要がある。また、管理効率の改善や個 人に合わせたサービス、より良い選択や特別なオファーの一般的な約束ではなく、明確で直接的 な利益がある場合、消費者は新しい技術の展開をさらに確実に受け入れる。 会社はプライバシーを守ることを約束し、さらにこれを守る必要がある。このように行うことで、信 頼性と信用を長い時間をかけて確立し、プライバシーの侵害が発生した場合に必要となる顧客の 信用を構築することができる。 最後に、会社は、現実的な危機管理プランを持つ必要がある。成功する ONE は、「最前線」に 存在し、リスクに備えるために一生懸命準備する必要がある。しばしば ICT は、プライバシー違反 の可能性とそれに続いて起こる反発を適切に認識することなく採用され、展開されている。 6.0 結論 ONE に対応するプライバシーにかかわる包括的なテーマは、説明責任である。将来的に成功す る ONE は、当然インターネット自体を反映すると思われる、グローバルで、分散型の、オープンで、 ボーダレスで、モジュラー型で、柔軟な、権限を持たせる等の特徴を持つが、これらの特徴は同時 に、ONE が成功するために必要な顧客情報の広大な倉庫を責任もって管理するという課題があ る。 顧客に焦点を向け続けることを忘れないこと。情報を顧客中心に考えて観察することは、個人を 識別できる情報対非個人情報との違いに焦点を当てることである。会社がその各々の違いをいか に取り扱うかが決定的に重要である。 290 The New Federated Privacy Impact Assessment (F-PIA):Building Privacy and Trust-Enabled Federation 新たな連合プライバシー影響評価(F-PIA):プライバシーと信頼できる連合体の構築 291 新たな連合プライバシー影響評価(F-PIA): プライバシーと信頼できる連合体の構築 2009 年 1 月 前書き プライバシーの専門家、またカナダのオンタリオ州情報・プライバシーコミッショナー(IPC)として のキャリアを通して、私は常にある考えを提示してきた。「プライバシーはビジネスに役立つもので、 プライバシーが確保されているビジネスが優れたビジネスである」と。プライバシーに注意を払わな ければ、ビジネスにはさまざまな悪影響が及ぶ。名声やブランドに傷が付くばかりか、最も重大な影 響として、顧客からの信頼と忠誠心を失ってしまう。企業にとってこのことが重要な問題になってき たのは、消費者にとって個人情報の盗難の脅威が増加の一途をたどっているからだ。個人情報の 盗難は、オンラインの世界での情報の悪用の一例にすぎない。問題の原因は主に、インターネット が不正や悪事を働こうとする人々に対応するように作られていない点にある。堅牢で信頼できるオ ンラインテクノロジーのエコシステム(生態系)を継続するためには、個人情報泥棒と正規のユーザ ーを区別する力、つまり「ID 管理」が是が非でも必要である。 ID 管理に関する私の最初の著作は 2006 年に発行された「アイデンティティ七原則:デジタル時 代のアイデンティティへのプライバシー埋め込みの原則( 7 Laws of Identity: The Case for Privacy-Embedded Laws of Identity in the Digital Age)」である1。この著作では、インターネットの 「アイデンティティ層」(世界中で相互運用可能な ID システムのための広範な概念上のフレームワ ーク)という概念を取り上げ、プライバシー強化機能を世界のアイデンティティ・システム・構造に組 み込むにはどうすればよいのか、またどのように組み込む必要があるのかを説明した。 あのとき以来、インターネットは進化し続けている。現在の Web を示す言葉としてよく使われる 「Web 2.0」には、個々のユーザーに合わせて、時間を節約できる便利なサービスを提供する力が ある。プライバシーに関する懸念は、この「新しいインターネット」において、複数の関係者がユーザ ーの身元(アイデンティティ)を確認するために必要な個人情報の量が増加していることに関連して いる。さらに、このようなアイデンティティ情報の交換には、個人が直接関与しているとは限らない。 プライバシーのためには、個人が自分の個人情報を適切に管理できるようにし、情報を保護する 1 www.ipc.on.ca/images/Resources/up-7laws_whitepaper.pdf を参照 292 ために十分な予防措置を実施する必要がある 2 。そこで、連合 ID 管理(Federated Identity Management 、以下「FIM」と記す)が重要な意味を持つ。FIM により、消費者は複数の企業のネッ トワークに同時かつ安全にサインオンできる。プライバシーを守りながら、さまざまな取引を行うこと ができるのだ。 これまでかなりの期間、私のスタッフは専門家として要請を受け、Public Policy Expert Group (PPEG)というプロジェクトに参加してきた。PPEG の目的は、他のメンバー組織と協力して、プライ バシーに対応したテクノロジーを促進することである。ID 管理のための連合システムの開発に着手 するにあたって、私たちは Oracle Corporation のグローバル公共政策担当副社長および個人情報 保護管理責任者である Joseph H. Alhadeff 氏(Liberty Alliance 代表として重要な専門知識と情報 を提供した)とともに、プライバシーを早期にプロセスに組み込むために組織を支援する人材が必 要であることを認識した。私がこの共同事業への参加を決めたのは、アイデンティティ標準の開発 にプライバシーを含めようとする Liberty Alliance の総合的なアプローチに魅力を感じたからである。 また、(ユーザーの個人情報を集中的に保管する必要がないように)分散型の認証を用い、責任を 持って安全に機能するアイデンティティ・エコシステムを確立できるように各組織を支援するという 性質にもおおいに好感を抱いた。 実用上の見地から、FIM は、消費者が個人情報を委ねるアイデンティティ層の構築において不 可欠な要素であると考えている。プライバシー保護は、標準の万能モデルでは実現できない。企業 はそれぞれが独特で、プライバシーに関するニーズも一様ではない。だから私は、「プライバシー の文化」の育成を企業に勧める。プライバシーの文化を育成することは、「考え方」を作るということ だ。プライバシーを尊重し、より優れた情報管理の方法に取り組むための組織全体での考え方で ある。最新のテクノロジーと最も厳しいプライバシーポリシーを組み合わせても、その考え方が企業 文化として受け入れられていなければ、効果は発揮されないだろう。本書では、このような連合体 において、組織がユーザーから厚い信頼を得るというすばらしい目標に向かって手助けをする。本 質的には、組織や企業のグループが顧客のアイデンティティを管理するために信頼に基づくコミュ ニティを構築しようとするとき、プライバシーがどの程度守られているかの実用的評価である。 Ann Cavoukian 博士 オンタリオ州情報・プライバシーコミッショナー カナダ 2 かつては、個人が情報を細かく管理すればするほど、プライバシーを管理できると考えられて いた時期があった。これは理論上は正しいが、情報を非常に詳細に細かく管理すると、複雑な選 択を頻繁に行うことになり、平均的なユーザーは困ってしまう傾向がある。そのため、真の解決方法 は、状況に応じて「適度な」管理を行うことである 293 1 はじめに 1.1 Web 2.0 の世界 世界は急速につながり始めている。世界中の情報チェーンおよびバリュー・チェーンを動かして いるのは、サービス・プロバイダーや情報プロバイダーの分散ネットワークだ。密な相互ネットワーク、 大規模なデータ共有、組織同士の関係の絶え間ない進化がよく見られるようになったことから、企 業の性質が「多国籍」から「グローバル(世界的)」へ移りつつあり、「企業」という概念が「エコシステ ム」という概念へと変貌を遂げたことがわかる3。現在、単なる Web 2.0 を超える何かが誕生しつつあ る。私たちが実際に求めているのは、World 2.0 とも言うべき新たな世界だ。 オンラインの世界では、新たなインターネットサービスがその能力を生かし、情報が溢れている生 活のあらゆる場面で細部まで個人に合わせたサービスを提供している4。しかし、このようなサービス の利点の裏では、情報の痕跡が残り、不正アクセスの恐れが大きくなるという問題が生じる。そのた め、情報保護について改めて検討する必要がある。新しい世界の枠組みでは、個人の特定が可 能な情報が電子化され、高速で大容量のネットワーク上で送信されて処理される。ネットワークはそ れぞれが独立しているため、情報収集および管理に関して、従来ほどの保証は得られなくなって いる。新しい信頼モデルは、異なる組織をまたぐこのような情報の流れにエコシステム・レベルで対 応するものと見なされている(電子アイデンティティがプライバシーに与える影響に関して最近発行 されたホワイトペーパーを参照)5。組織がデータと処理リソースを共有してビジネスプロセスを連携 するクラウドコンピューティングのような概念が根付きつつある今、業界がエコシステムを横断して業 界が協力する新たな機会が生まれている。 この新しい相互ネットワークによる「連合」モデルで信頼を構築するための第一歩として、個人情 報の収集と保管を安全に行う方法が開発されているところだ。組織間で情報を安全に転送するた めのテクノロジーは多く存在する。しかし、テクノロジーは解決策の一部にすぎない。テクノロジーは スタッフやポリシー、手順を支援するものであり、法的文書によって関係者にテクノロジーを適切に 3 詳細については、IPC が発行した『Privacy and the Open Networked Enterprise』(2006 年 12 月)を参照 4 例については、『A View from 2018: A Glimpse of the Internet Future』を参照 www.biac.org/members/iccp/mtg/2008-06-seoul-min/Final_View_from_2018_ICCP_Chair_Paper.p df 5 IPC が発行した『Privacy in the Clouds』(2008 年 5 月)を参照 www.ipc.on.ca/images/Resources/privacyintheclouds.pdf 294 導入する義務を負わせる必要がある。これらの企業や組織がエコシステム・ベースのルールと手順 の開発を始めれば、テクノロジーの開発、ポリシーおよび手順の実装、契約の履行を評価し、監督 するための新しいツールが必要になるだろう。 個人が技術的に健全なシステムを信頼できることを実証するためには、このようなツールが必要 だ。本書では、FIM の根底にあるさまざまな概念のほか、プラクティスに関する重要な懸念事項、信 頼を実現するエコシステムのために必要な最重要ベースライン・ツールである「連合プライバシー 影響評価(Federated Privacy Impact Assessment 、以下「F-PIA」と記す)」を取り上げる。 1.2 連合 ID 管理(FIM) 個人が自分の知っている企業とやりとりをする企業モデルから、企業やバリュー・チェーンの内 外で情報が共有されるエコシステム・モデルへと移行する中、アイデンティティに関する個人情報 の扱い方を改める必要がある。連合 ID 管理(FIM)システムは、インターネットにおけるこのアイデン ティティ層の欠落を埋めるために生まれた6。 FIM モデルでは、特定のサービスまたは機関がユーザーにアイデンティティ証明書(身分証明 情報)を発行し、これが他のサービスで幅広く認識される。オンラインでの実装は複雑だが、概念と しては、「物理世界」での従来の識別方法と似ており、改良も可能だ。典型的な例は、政府機関が 発行する公的な身分証明書(出生証明書、運転免許証、パスポート、市民権カードなど)である。こ の種の身分証明書は、(氏名、住所、年齢などを証明するものとして)他でも広く認識されている。 サービスの利用者は取引ごとに身分(アイデンティティ)を証明する必要がなく、信頼できる機関に よって事前認証が済んでいることを示すだけでよい。サービス側ですべきことは、提示者の特定で はなく、提示された身分証明書の検証なので、負荷が非常に小さい。オンライン連合モデルでは、 証明書を確立するために必要最小限のデータが要求元に提供されるようなシステムを構築できる という点が改良されている。運転免許証の例に戻って考えると、免許証を年齢確認のために利用 する場合、年齢とは関係のないその他の個人情報が見られたりスキャンされたりする可能性がある。 さらに、年齢確認が必要な場合に問われるのは年齢の範囲であることがほとんどで、正確な誕生 日を確認する必要はない。このようなとき、FIM ベースの検証では、証明書の保有者が 18 歳以上、 21 歳以上、あるいは 65 歳以上などの年齢範囲に該当するという一文のみを返すことができる。免 許証とは違い、個人について他の情報が提供されることはない7。 6 欠落している層の詳細については、IPC が発行した『7 Laws of Identity: The Case for Privacy-Enabled Laws of Identity for the Digital Age』を参照 ipc.on.ca/images/Resources/up-7laws_whitepaper.pdf 7 最近、オンラインの連合 ID 管理システムとしてユーザーを増やしているのは、OpenID である。 295 連合 ID 管理をオンラインで行うことで、個人は同じユーザー名およびパスワードまたはその他の 身分証明情報を使って複数の企業のネットワークに安全にサインオンし、プライバシーを保護しつ つ取引を実行できる(このプロセスを「シングルサインオン」という)。連合体によって、企業間でアプ リケーションや情報を安全に共有でき、パートナーの顧客の完全なユーザー・アカウントを管理する 必要がない(プライバシーに関するベスト・プラクティスとして有用ではある)。FIM ではオープンスタ ンダードのテクノロジーを利用するため、さまざまなテクノロジー・プロバイダーが競合する市場にお いて選択肢と柔軟性を提供できる。また、複数の企業がお互いのテクノロジーに対応せずとも、相 互運用が可能である。ただし、FIM の上記の利点に関する説明では、その表現(「する能力がある」 「可能性がある」)に注意する必要がある。FIM において、そのような文で示されていることが成り立 つには、利用中のテクノロジーに関する適切なポリシーが実装されていることが前提条件となる。 検討が必要な要因は多いが、本書では、適切な通知、選択肢と管理する力、データ最小化、最 小手段アクセス8、コンプライアンス(法令遵守)、監査、監督について詳細に説明する。まだ専門用 語にはなっていないが、本書では、このように責任を負うモデルを「プライバシーと信頼を実現する 連合体」と呼ぶ。 通常、FIM 構造には、ユーザーのほか、(少なくとも)次の役割がある。 サービス・プロバイダー(SP)、または認証利用者(RP):ユーザーにサービスを提供し、ユー ユーザーは新しくアクセスするサイトごとに新しい ID を登録する(この方法では、新しいユーザー名 とパスワードのほか、個人情報がある程度提供される)のではなく、単一の「プロバイダー」(Yahoo、 AOL、Verisign など)に ID を作成する。ユーザーが新しくアクセスするサイト(認証利用者のサイト) にログインしようとすると、プロバイダーにそのユーザーの認証が求められる。この時点で、ユーザ ーはプロバイダーの Web サイトにリダイレクトされ、(プロバイダーにログインしていなければ)パスワ ードを入力し、認証利用者を信頼するかどうかを尋ねられる。信頼すると回答すると、OpenID を使 って認証利用者のサイトにログインする。このように、ユーザーはシングルサインオンを実行する。 OpenID では、アイデンティティ情報を個々の Web サイトに保管しないようにすることで、ユーザ ー情報の高度な自己管理を可能にしている。この構造により、各サイトで個人情報を提供(および 関連する利用ポリシーを理解)してログインし、すべてのやりとりをする必要はなくなる。すべての認 証で、単一の(ユーザーにとって)信頼できるアイデンティティ・プロバイダーを選択できる。 8 最小手段アクセスとは、最小特権アクセスとデータ最小化という、プライバシーに関する 2 つの 重要な概念を結び付ける概念である。最小手段アクセスとは、簡単に言えば、要求を満たすため に提供する情報量を最小限にし、要求者のアクセス権限に基づいてその情報をさらに評価すると いう原則である。この概念は、情報の要求者がその要求に対して適切な権限を持っており、正当な 業務目的を達成するためにその情報を要求する必要が実際にあることを確認するのに役立つ。 296 ザー認証を外部委託する Web アプリケーション9。このサービスはアイデンティティ情報を提 供するために第三者を「利用」することになる。FIM の「エコシステム」においては、複数のサ ービス・プロバイダーが存在する。 アイデンティティ・プロバイダー(IP):ユーザーがアイデンティティを確立した Web サイトまた はサービス10。IP はサービス・プロバイダーにアイデンティティ検証サービスを提供し、ユー ザー情報を一元的に管理して、最小手段アクセスによってその情報を配布する。FIM のエ コシステムにおいて、IP は 1 つまたは複数存在する。 検索サービス:ユーザーとサービス・プロバイダーの両方が利用できるアイデンティティ・プ ロバイダーを検索する手段。SP の Web サイトのドロップダウンメニューのようにシンプルにで きる。 上記の役割はすべて FIM 構造に含まれるが、それぞれが異なる団体であるとは限らない。実際 には、大規模企業が構造全体に対応し、社内の各組織がそれぞれの役割を担っていると考えるべ きだ。図 1 は、これらの役割に基づき、FIM 構造内での一連の一般的なやりとりを示している。 図 1:連合 ID 管理のトランザクションの流れ 9 サービス・プロバイダーまたは認証利用者の例としては、インターネットに提供されている Web サイト(オンライン・ストア、ブログ、コミュニティ・フォーラムなど)や会社の専用システム(ネットワーク 接続されたデータベース、調達システム、人事システムなど)がある。 10 アイデンティティ・プロバイダーの例としては、インターネットに提供されている Web サイト(銀 行、インターネット・サービス・プロバイダー、オンラ・ストアなど)や会社の専用システム(企業または パートナー・ディレクトリなど)がある。 297 この図では、馴染みのある連合 ID 管理システムの例について考えてみよう。銀行の ATM ネット ワークだ。ユーザーは A 銀行(図 1 のステップ 1)に口座を持っているが、利用したことのない B 銀 行の AMT を使いたいとする(ステップ 2)。目的の取引を選択すると、ATM はユーザーのアイデン ティティを確立する必要がある。そのため、ATM ネットワークに組み込まれている検索サービスを実 行する。ATM ネットワークでは、(ユーザーが提示したカードを介して)ユーザーがアイデンティティ 検証のために A 銀行を利用したがっていることが認識される(ステップ 3)。ユーザーは入力した PIN 番号をアイデンティティ検証手段として、実質的に A 銀行に「ログイン」する(ステップ 4)。A 銀行は ユーザーが口座保有者であることを確認する(ステップ 5)。 ユーザーがしようとしている取引は現金の引き出しだとしよう。ログインすると、ATM は希望取引 の詳細を A 銀行に送信する。A 銀行はそれに対し、氏名や住所、現在の残高(取引明細書には記 載されることが多い)などの詳細な口座情報を返す必要はない。口座がクレジットカードやローンな どに関連付けられているかどうかは問われない。取引では、ATM の照会に対するイエス/ノーの応 答のみで完了する(記録保持のため、その他の情報も多少送信される)。このようにして、ユーザー はすべての ATM に個人情報を最小限提供しつつ、(ときには多額の)財務取引を安全に行うこと ができる。FIM モデルでは、これと同じレベルの情報プライバシーを実現できる。 2.1 基本的な概念 情報プライバシーは、個人が自分の個人情報の収集、利用、提供、保有を管理する力に関係し ている。この概念は必然的に、どのような情報を収集し、どのように利用したり共有したりするのかに ついて、明確な通知が行われることを前提としている。個人情報とは、個人を特定する、または特 定可能な個人に関連するあらゆる情報を指す。 具体的には、氏名、住所、電話番号、誕生日、年齢、婚姻状況、財務状況、電子メールアドレス などが挙げられる。例えば、クレジットカード、デビットカード、社会保険/社会保障番号、運転免許 証、健康保険証には、機密性の高い個人情報が多く入っている。さらに、経歴、生体、家系、過去、 取引、場所、関係、コンピューター、職業、評判といった、ほぼすべての情報が、特定可能な個人 に結び付けられることで個人情報になるという点にも注意したい。このような現状から、「プライバシ ー」の定義範囲は非常に広く、同様にプライバシーとデータ保護に関する課題も広範に及んでい る。 2.2 FIM においてプライバシーと信頼が不可欠な理由 前の項では、情報プライバシーがどういうことかを説明した。では、情報プライバシーが FIM にお いて重要なのはなぜだろう。連合体はなぜ、「プライバシーと信頼を実現」した状態を達成する努力 をする必要があるのだろうか。答えは簡単、「必要だから」だ。例えば、エンドユーザーは、連合体 に参加しているある企業のポリシーや情報の利用にすでに慣れているかもしれない。しかし、他の 298 メンバーにも同様に慣れるとは限らない。連合体の他のサービスの利用を促進するためには、ユー ザーがまったく知らない他の組織も同じように簡単に利用できる必要がある。また、連合体の内部 の強みと成長を促進するには、この連合エコシステムがどれほど大規模であっても、確立したポリ シー、手順、技術的ルールが尊重されていると参加企業が感じる必要がある。そのため、FIM を成 功させるには、顧客と連合体メンバーがこのエコシステムにおいて、プライバシーと信頼を実現する 連合体に参加している限り、知っている相手だけでなく、(ほぼ、あるいはまったく)未知の相手も信 頼してよいという確信を得る必要がある11。 複数の企業で構成される連合体においてプライバシーと信頼を確立することは、これを 1 つの企 業で実現するよりも困難だ。通常、1 つの企業には、共通のポリシー・フレームワーク、テクノロジー 実装、ユーザー・ベースがあり、PIA など、データ保護への取り組みを示すための多くのツールが存 在する。企業が複数ある場合、さまざまなポリシー、導入済みのテクノロジー、ユーザー・タイプが 存在することが多く、共有データの保護のためには、そのすべてが相互運用可能で一貫性がなけ ればならない。1 社がプライバシー対策を実施しても、データを交換するパートナーがその対策に 対応していなければ意味がない。連合体の全メンバーのポリシーとテクノロジーが信頼する側の要 件を満たしている必要がある12。 ユーザーからの信頼を維持するには、分散 Web システムにどのような個人情報が投入され、い かにして確立されたルールやフレームワークに従い、また収集時の約束を守って処理されるのかを 個人が知ることができなければならない。エコシステムが有効に機能するためには、各当事者が正 当なニーズを満たすために情報に対する権利を持ち、ユーザーが自分の情報を適切に管理する 力を持つ必要がある。ただし、大多数のユーザーは、エコシステムを細かく管理することができない か、その意思がない。 ユーザーはエコシステムへの入り口、または最終的な接続先とする組織との関係に依存する。 責任を負う組織は、個人との信頼構築のために、またプライバシーに関するさまざまな規制を遵守 していることを示すためにも、このような保証を提供したいと考える。 連合 ID 管理においては、プライバシーに関する新たな課題が 1 つ生じる。個人情報の転送が、 組織と組織の間だけでなく、個人と組織の間でも行われるということだ。しかし、個人の手を離れた ところで個人情報が転送されるのは、このテクノロジーが初めてではない。1999 年、IPC はオランダ のデータ保護庁とともに、インテリジェント・ソフトウェア・エージェントという概念に注目した13。このエ 11 「顧客」という用語は、消費者、市民、組織を表す言葉として広く利用されている 12 最小手段の環境では、この保証は容易である 13 IPC が発行した『Intelligent Software Agents: Turning a Privacy Threat into a Privacy Protecto』 299 ージェントでは、直接的な監督を受けずに、ユーザーに代わってタスクを実行するために、そのユ ーザーの個人プロファイルにアクセスする必要がある。FIM と同様に、かなりの数のユーザー向け ユーティリティがこのような日常的なタスクの自動化から生まれている。しかし、ユーザーにとって、 このような利益を得るためにプライバシーを犠牲にする必要はない。実際、エージェントの機能を適 切に管理できれば(範囲の制限、信頼できるソースの利用、適切なプライバシー強化テクノロジー の導入など)、エージェントはプライバシーを脅かすものではなく、プライバシーを守るものになるこ とができる。同じことが、FIM にも当てはまる。 設計と開発の段階で信頼を実現するためには、概念上のフレームワークを超えて、システム設 計者と実装担当者、ビジネスおよび情報の利用モデルを開発担当者に実務上の支援が必要だ。 本書では、設計担当者がシステムにおいて信頼を実現するための手引きとなるとともに、信頼の実 現レベルを評価し、監督とコンプライアンスを促進する有用なツールとなることを目指している。 2.3 FIM によるプライバシーの強化 連合 ID 管理によって信頼コミュニティを構築することで、エンドユーザーのみならず、参加組織 や監督機関に大きな利益がもたらされる。エンドユーザーは信頼モデルを活用することで、送信す る情報の量を制限しつつ、さまざまな組織にわたって認証を受けることができる。企業はこのモデ ルにより、特定の取引に絶対に必要なものに基づき、「必要最小限の手段」でのみ情報を共有する。 また、エンドユーザーにとっては、セキュリティ要件やポリシー条件が参加企業全体で一貫している という安心感もある。信頼コミュニティに参加している企業や組織は新しいサービス提供の間口を 広げる基盤を手にし、信頼関係を通じて、エンドユーザーに提供する価値を高めることになる。ポリ シー、プラクティス、ツールをこのように組み合わせ、(必要に応じて)契約を結び、企業間からエコ システムへと移行すると、連合体における全体的なプライバシー・フレームワークが出来上がる。そ の後、このフレームワークを、FIPs などの既存のガイドラインと比較することが可能だ。この比較は、 連合体の設計に役立つ。FIPs は多くの法域で体系化されてきたからだ(カナダの個人情報保護お よび電子文書法(Personal Information Protection and Electronic Documents Act(PIPEDA))、 OECD のプライバシー保護と個人データの国際流通についてのガイドライン(OECD Guidelines on the Protection of Privacy and Transborder Data Flows of Personal Information)など)。 IPC は「プライバシー・バイ・デザイン」14という考え方を促進する活動において、技術開発のため (1999 年 4 月)を参照 http://www.ipc.on.ca/images/Resources/up-isat.pdf 14 「プライバシー・バイ・デザイン」は、プライバシーを侵害するのではなく保護するためのテクノ ロジーの協力を求めるために、Ann Cavoukian 博士が’90 年代にオンタリオ州の情報およびプライ バシーコミッショナーで作った用語である。さまざまなテクノロジーの設計にプライバシーを取り入れ、 300 の世界プライバシー標準(GPS:Global Privacy Standard)に対応するフレームワーク概念も確立し た15。GPS はそれ自体が技術標準ではなく、個人情報の公正な運用についての原則とプライバシ ーに関する原則を抽出したものである。これらの原則はプライバシーおよびデータ保護に関する現 在の多くの法的枠組みに共通している。GPS の原則は世界的に受け入れられている標準ではない が、重要な法律上の概念や「プライバシーという文化」を連合体に導入するための予備ガイドとして 役立つ。次に、これらの原則と、プライバシーと信頼を実現する連合体のメンバーに実際にどのよう な影響が及ぶかを説明する。 2.3.1 同意 プライバシーに対応している大多数の法律制度では、法律によって許可されている場合を除き、 個人(または機密)情報の収集、利用、提供には、個人の自由意志による具体的な同意が必要で ある。この同意の「質」は状況によって異なる。データの機密性が高まれば、さらに明確で具体的な 同意が必要になることが多い。また、同意は永続的なものではなく、後で取り消したり無効にしたり することができる。 プライバシーと信頼を実現する連合体によって生まれる「信頼の輪」により、メンバーは「暗黙の 同意」という概念を通じて情報の収集および提供が可能になる。つまり、サービスの提供者が連合 体であり、必ずしも 1 社とは限らないことをユーザーが認識して(つまり、明確で直接的な通知がユ ーザーに対して行われて)いれば、「収集時に明示された目的」のため、それぞれの提供について ユーザーの明示的な同意がなくても、連合体メンバーの間で情報を共有できるということだ。この原 則は、例えばオンタリオ州の個人健康情報保護法(Personal Health Information Protection Act (PHIPA))に適用されている。この法律では、健康情報の管理者は、同意が明示的に取り下げられ ていることがわかっている場合を除き、「個人に医療を施すため、または個人に医療を施す支援を 提供するために、情報を収集、利用、または提供」することに対する暗黙の同意を(医療活動にお いて)得ていると見なすことができる。 2.3.2 明示された目的 2 番目の原則として、組織は個人情報を収集、利用、保有、提供する目的を明らかにし、収集前 または収集時にデータ主体に通知する必要がある16。明示された目的は明確で限定され、状況に 関連するテクノロジー・構造に実際に組み込むことで、プライバシーの保護が補足的なものとしてで はなく実現できる可能性が大幅に高まった。 15 世界プライバシー標準の詳細については、付録 1 を参照 16 システム同士のテクノロジーの接続時に情報が取得されることもある。そのため、目的が通知 される前に、コンピューターの IP アドレスやその他の関連情報などが取得される可能性がある。こ のようにシステムの機能に伴う自動取得に対応するため、「または、その後できるだけ早く」という語 301 応じたものでなければならない。 2.3.3 収集に関する制限 個人情報は、収集そのものを目的としては収集してはならない。収集は公正かつ合法で、必要 な場合に限り、データ主体に明示された目的に沿っている必要がある。したがって、組織は「デー タ最小化」の原則を守り、個人情報の収集を最小限に留めなければならない。また、プログラム、情 報技術、システムの設計では、インタラクションおよびトランザクションから個人を特定できないこと をデフォルト設定とする必要がある。さらに可能な場合は、個人情報の特定可能性、観測可能性、 リンク可能性を最小限にする17。 2.3.4 利用、保有、提供に関する制限 個人情報の利用、保有、提供も、法律によって要求される場合を除き、個人に明示された目的 に限定する必要がある。プライバシーと信頼を実現する連合体のメンバーは、このような制限に加 え、最小手段アクセスでデータを利用および提供しなければならない。つまり、個々の取引で必要 最小限のデータ(例えば正確な誕生日ではなく年齢範囲)にアクセスできるようにするということで ある。これは、メンバー企業間でのデータ転送にも、データを保有している組織内でのデータ転送 にも適用される。また、個人情報の保有期間は、明示された目的を達成するために必要な期間の みとし、その期間を過ぎた後は安全な方法で破棄する必要がある。 2.3.5 正確性とアクセス 企業または連合エコシステムの中で不正確なデータが利用されることは、組織にとっても個人に とっても好ましくない。データが不完全だったり古かったりして不正確だと、業務に悪影響が及ぶほ か、特に連合エコシステムのサービスにアクセスするために必要な資格に関して個人が大きな不利 益を被ることになる。 そこで、原則として、状況によって正確性の程度に差はあるものの、明示された目的を達成する ための必要性に応じて、個人情報が正確かつ最新で完全なものであることを確認する必要がある 18 。 句を原則に追加することも可能だ。 17 もちろん、法律とビジネスの両観点から、個人の特定が必要な取引もある。たとえば、税金関 連の報告や配送などだ。しかし、運転免許証の例を思い出してみよう。個人の特定が可能な情報 を収集する必要がある場合でも、データ最小化という概念は当てはめなければならない。 18 ここでは、データ管理チェーンの下位では、アクセスと正確性の両方の維持が(不可能ではな いにしろ)困難であるという複雑さがある。しかし、そのような管理者もデータのセキュリティを確保し なければならない。 302 データの正確性の問題に対応するには、組織が行うデータ整合性チェックのほか、もう一つのプ ライバシー原則である「アクセス」を採用できる。この原則では、個人は自分に関する収集データや、 そのデータがどのように利用され、提供されるのかについての情報にアクセスできる必要があるとし ている。さらに、データが不正確または不備があることがわかった場合に、個人が異議申し立てを する仕組みを用意することも必要だ。ユーザーがアクセスできるようにすることで、一般的なプライ バシー標準に対応するだけでなく、理論上は最終的な権限を持つ個人がデータの正確性を確保 する役割を担うことにもなる19。 2.3.6 セキュリティとデータの整合性 個人情報のライフサイクル全体を通して、公認の標準開発機関が開発した国際標準に従ってセ キュリティの責任を負う必要がある。個人情報の保護には、情報の機密性に適した合理的な予防 措置(物理的、技術的、管理的手段を含む)を利用しなければならない。 2.3.7 説明責任、オープンさ、コンプライアンス 最後に、個人情報の収集には、保護のための注意義務が伴う。プライバシー関連のすべてのポ リシーおよび手順に関する義務を適切に文書化、伝達し、組織内の特定の個人に割り当てる必要 がある。個人情報を第三者に転送する場合は、契約やその他の手段によって同等のプライバシー 保護を求めなければならない。さらに、連合体メンバーの説明責任を確保するために、オープンさ と透明性の原則を採用する必要がある。つまり、データ主体である個人は、個人情報管理のため のポリシーやプラクティスに関する情報を容易に入手できなければならない。 また、組織はコンプライアンスと是正の仕組みを確立し、次の段階の要請方法も含めて情報を提 供する必要がある。プライバシーポリシーおよび手順の遵守については、継続的な監視、評価、検 証が必要だ。 連合体の範囲全体および情報ライフサイクル全体にわたって情報を適切に保護するという説明 責任の概念は、ここに挙げた要因を組み合わせたものだ。この概念はカナダの個人情報保護法の 基盤であるばかりか、OECD の各ガイドラインにも見られ、APEC のプライバシー・フレームワークの 特徴的な原則となっている。 2.4 FIPs とグローバル・プライバシー・フレームワークの役割 世界プライバシー標準(GPS)や FIPs の目的は、もちろん、法律に取って代わることではない。デ 19 ユーザーがこのような情報の登録と保守をセルフサービスで行うことで、正確性が向上するだ けでなく、システム部門でもサポート部門でも運用および保守コストを削減できるということが、多く の企業で確認されている。 303 ータフローは国境を越える傾向があるため、この点については連合内で検討する必要がある。この 種の文書は、法域にかかわらず、連合体およびそのメンバーにプライバシーに関する重要な概念 を示すための手引きと見なすべきだ。 3 リスク評価 情報エコシステムを効果的に調査するには、保管されているデータのライフサイクルを熟知して いる必要がある。情報の収集、共有/利用、更新、削除には、さまざまな目的がある。情報ライフサ イクルは循環するため、適切なポリシー、プラクティス、手順、ツール、契約によって、その性質に対 応しなければならない。ライフサイクルのカテゴリと原則はほぼ一定だが、運用方法、利用目的、対 応方法は、企業やエコシステムによって異なる。これらは、ニーズ、情報の種類や機密性、選択可 能なポリシー、および多くの不定要素の影響を受ける。ライフサイクルにおけるこのような懸念を評 価するときには、関与する当事者のニーズだけでなく、直面するリスクも理解していることを前提と する。 したがって、グローバル・プライバシー・フレームワークには、適切な脅威リスク分析が不可欠で ある20。リスクを適切に特定し、可能なかぎり最小化し、排除できない場合は適切に管理する必要が ある。ここで、リスクは広範にわたっていることを思い出してほしい。多くのリスクの懸念は、外部から の侵入のような、システム危殆化の従来の概念に基づいている。内部の脅威から発生し、特定と管 理が困難なリスクもある。また、大規模なシステム障害が発生したり、個人を特定できないようにする ために情報を匿名化できなかったりというような、運用上の障害が発生するリスクもある。このようなリ スクは程度の問題、あるいは実装や導入に関する問題だ。 リスクの適切な緩和と管理の大部分は、適切なトレーニング、準備、インシデント対応である。完 全に信頼できるシステムやエコシステムは存在せず、インシデントは必ず発生するのだから、トレー ニング、準備、対応は重要な概念だ。情報ライフサイクルについて深く検討するには、これらの概 念を取り入れる。準備のステップを適切に実施すれば、インシデントを分析し、どのような改善が可 20 カ ナ ダ 政 府 が 発 行 し た 『 Threat and Risk Assessment Working Guide 』 を 参 照 http://www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg04-e.html その他のリスク評価モデルとして、米国国家安全保障局の INFOSEC アセスメント方法論 (http://www.fountainheadcollege.edu/ia/nsa/iam.htm)、米国国家安全保障局の INFOSEC 評価 方法論(http://www.fountainheadcollege.edu/ia/nsa/iem.htm)、米国会計監査院(GAO)の情報 セキュリティ・リスク・アセスメント(http://www.gao.gov/special.pubs/ai99139.pdf)、米国標準技術局 ( NIST ) の リ ス ク ・ マ ネ ジ メ ン ト ・ (http://csrc.nist.gov/groups/SMA/fisma/framework.html)がある。 304 フ レ ー ム ワ ー ク 能かを把握し、学習することが可能だ。さらに高度な学習を行う組織では、インシデント対応に関す るプロセスや手順のテストを行い、実際にインシデントが発生する前に多くの重要な発見をすること ができる。 4 F-PIA プライバシーや収集した個人情報の機密性保護のためにプライバシー・コンプライアンス・プログ ラムを導入している組織は、これまでかなりの期間、PIA というツールを利用してきた。PIA はシステ ムやプロセスの設計においてプライバシーのニーズを満たす選択をするためのツールだ。このよう なツールは数多くあり、プライバシー要件に基づく一連の質問に答えるようになっている。プライバ シーに関する全体的な体制の評価のため、脅威およびリスク評価も併せて実施されることがある。 PIA を実施する目的は、1 つのプロジェクトでシステム要件を定義すること、または社内の規制遵守 を実証することだ。PIA を検討するときには、組織のニーズや情報の利用方法のほか、規制によっ て求められている、または組織で定められている個人情報の公正な運用についての原則を考慮す る必要がある21。 「プライバシーリスク評価は、あらゆる取り組みの設計段階で不可欠になる。プライバシーに対す るリスクを特定した後、そのリスクを最小化するために、あるいは理想的には排除するために、必要 な保護策を組み込むことができる」22 1 人の担当者の視野や専門知識では、多くのポリシー、統制フレームワーク、システムに対応で きないため、すべての PIA はモジュール式である必要がある。組織での PIA の調整役または担当 者として、CPO を置く。CPO は、PIA の質問を確認し、回答するために必要な組織チームを召集す る。企業の場合は、このチームに技術サポートやカスタマーサービス、セキュリティ、マーケティング、 関連する各部門の代表者を含める。PIA の開発に当たっては、システムやその他のフレームワーク のさまざまな責任者や運用者と協議し、PIA プロセスがそれらの担当者に利益をもたらすことが好ま しい。PIA には 2 つの役割がある。第 1 にプライバシー・コンプライアンスを支援すること、第 2 に情 報ガバナンスおよびリスク管理プログラムの基本要素となることだ。プライバシーに関する責任を負 わない参加者にとっては、後者に重要な意味がある。PIA をこのように捉えることで、プライバシー に特に関連しない規律を容易にし、レビューの価値、職務権限、組織に対する価値の付加におけ る役割をより深く理解できるようにする。 21 法的要件を反映してポリシーやプラクティスを策定することもあれば、ポリシーやプラクティス が法的要件を上回ることもある。たとえば、地域の規制や法令による要求事項がなくても、グローバ ル・プラクティスが存在する場合がある 22 『The Privacy Payoff: How Successful Businesses Build Customer Trust』(Ann Cavoukian, Ph.D.および Tyler J. Hamilton 著、2002 年 1 月、p. 290) 305 連合エコシステムにおいて各組織が協力するとなると、PIA を新たな概念として捉え直す必要が ある。そこで、これを F-PIA と呼ぶことにする。F-PIA と従来の PIA には、多くの違いがある。最も重 要な点は、F-PIA は(多数のシステムが連携動作している)企業内でも、情報のニーズも利用方法 も異なる企業間でも利用できるようになっていることだ。F-PIA はさまざまな出発点に対応している。 ほとんどのシステムで何らかの PIA が実施済みの場合もあれば、レビューを必要とする大半のシス テムで PIA が未実施の場合もある(前者の場合は F-PIA の出発点として集中的なギャップ分析が 有効であり、後者の場合は連合レベルでの F-PIA が組織レベルの PIA を開始するためのテンプレ ートとなる)。F-PIA の要素の多くは従来と同様だが、もっと柔軟に適用できるようになっている。 F-PIA では、従来の PIA のようにデータを「止まっている」ものではなく、「動いている」もの(つまり、 さまざまな組織間で転送されている)と見なす。アイデンティティ連合体の中での情報交換という問 題は、従来の PIA と比べ、ある面では単純になり、ある面では複雑になる。例えば、アイデンティテ ィ連合体は、通常、扱う個人情報が明確に指定され、データフローが文書化されている点で単純 である。 連合体の各メンバーには、アイデンティティ・プロバイダー(IP)、サービス・プロバイダー(SP)、検 索サービス(DS)のように、役割が定められている 23。それぞれの役割が扱うことのできる個人情報 の種類は、連合体の技術仕様の一部として明確に定義されている。このことから、大量の非構造化 データやレガシー・アプリケーションのデータなど、PIA での厄介な問題を回避できる。 ただし、F-PIA には、PIA にはなかった複雑さもある。F-PIA は「動いているデータ」を対象として いるため、データが規制の管轄区域間、異なる業界間、あるいは国境を越えてやりとりされることも ある(PIA でも、多国籍企業や海外へのデータ外部委託の場合にこの懸念を考慮すべきである)。 そのため、1 社の内部では存在しなかった、個人情報の技術的な説明責任や管理という問題が生 じる。多くの規制制度では、サービスの外部委託は可能だが、説明責任まで外部委託することはで きない。つまり、特定のデータフローに関与していなくても、連合体に参加しているすべての組織が 利害関係者となるのだ。 また、F-PIA は再利用可能でもある。連合体は非静的であるため、メンバーやサービスが加わる たびにエコシステム全体の評価を実施することは現実的ではない。そのような実施の仕方をする代 わりに、新しく加わったメンバーやサービスが各自の役割と対応する責任および要件を認識できる ようにしなければならない。後述する各モデルにより、F-PIA を通じてプライバシーと信頼の一連の 標準を作成し、連合体に新しく加わったメンバーやサービスを比較することが可能だ。 23 連合エコシステムでは、1 つの組織が複数の役割を担うことができる。エコシステムが一般化す れば、複数の役割を兼任することはもっと一般的になるだろう。 306 4.1 連合体の性質 アイデンティティ連合体において、連合体の目的を果たすために従うべき一連のプライバシー標 準を作成、確立、適用し、F-PIA の実施を決定すると、性質の異なるメンバー間でどのようにしてプ ライバシーに関するポリシー、手順、プラクティスを連携させるかという問題が出てくる。連合体には さまざまな形態がある。同等のパートナーが流動的なグループを形成することもあれば、関連子会 社が中央組織の指示のもとに集まっていることもある。連合体の構造によって、法的な制約を最優 先したうえでプライバシー標準を決定する権限がどこにあるかが決まる。また、F-PIA の実施者は、 連合体の性質によって、プライバシー標準に対する脅威がどこにあるかを判断できる。 4.1.1 協力モデル 協力モデルでは、創設メンバーが、エコシステムの運営とガバナンス、日々のシステム管理の監 督のためのルールを確立する事業体を形成する。このモデルは連合モデルの中では最も複雑だ が、柔軟性も最も高い。逆説的にではあるが、最も厳格なプライバシールールと厳しい F-PIA が必 要である。これらの管理策により、無制限のメンバーシップと柔軟性を悪用して、不正目的で個人 情報が引き出されることのないようにする。情報提供を最小限に留め、プライバシーガイドラインを 技術的に厳しく遵守するには、監査と正確なユーザー報告を行い、プライバシーの検証可能性に おいて適切な信頼を得る必要がある。このモデルにおいては、統率する事業体がプライバシー・コ ンプライアンスの中央組織となる。 4.1.2 コンソーシアム・モデル 第 2 のモデルでは、少数の創立者が形成するコンソーシアム(共同体)である。複数の当事者に 307 よる契約を通じて、エコシステムのルール設定とガバナンスを行う。当然、創立者には自律性があ るため、プライバシーに対するリスクは、単一または複数の創立者が大きく異なるプライバシー・モ デルを利用している可能性がある点である。個人情報の交換については、連合体の基盤となって いる契約上の同意において、共通のプライバシー要素が具体的に定められている必要がある。こ のような連合体の F-PIA では、コンソーシアムとしての表明の制限が明確にされていなければなら ない。連合体全体としてのプライバシーに関する表明は、創立者の「最低限の共通項」であること が非常に多い。コンソーシアムが共通の業界から生まれて共通のプラクティスを持っている場合、こ のことは大きな障壁にはならないかもしれない。しかし複数の業界にわたっている場合は、摩擦が 生じる可能性がある。 4.1.3 集中モデル 集中モデルでは、単一の創立者がエコシステムのルール設定とガバナンスを行い、その他の各 メンバーと個別に契約を結ぶ。この方式では、創立者が大きな支配力を持ち、他のメンバーの支配 力は小さい。集中モデルにおいては、データフローが単一の創立者を経由するか、創立者によっ て把握される。そのため、プライバシーに関する表明の実施と検証は、創立者が行うことになる。ま た、この構造では、単一の創立者が F-PIA によって特定および提示されたデータ保護策を、契約 によって連合体に一貫して組み込むことが可能である。 4.1.4 サービス指向構造 サービス指向構造(SOA)では、複雑さが増すが、分析や影響評価は簡単になることがある。わ かりやすく言うと、SOA では、サービスを提供するために多数のサービス要素を動的または直接的 308 にさまざまに関連付けることができる。異なるサービス要素を結合して目的のさまざまなソリューショ ンを構築できるゆえに、複雑さが生じるのだ。場合によっては、後で確認するために、特定のソリュ ーションで利用されている要素とその特性(定期的に変更される可能性があるため)の記録が必要 だ。F-PIA で SOA 構造に関連する分析を行う場合は、同じモジュール式のアプローチを利用する ことで簡単になることがある。SOA の設計原則からヒントを得て、F-PIA もモジュール式で組み立て、 再利用できるようにするとよい。つまり、サービス・チェーンの入力および出力(サービスがアクセス した情報と、利用したサービス要素の結果)に対する全体的なプライバシー評価で、各モジュール を評価し、取得した情報を再利用するということだ。SOA 環境の評価には、4 つの要因を利用する。 要素のセキュリティ、要素の監査可能性、アクセス制御、システム管理と説明責任である。これらの 要素を評価した後で組み合わせて再利用すれば、信頼度が高まり、付帯作業が軽減される。 構造モデルや法的形式を問わず、多くの場合は、連合体全体でさまざまなレベルのプライバシ ー・プラクティスが混在している。例えば、アクセスする個人情報の量が少ない、または機密性が低 い場合は、適切な予防措置を講じるための保護策やコンプライアンス手順をそれほど緻密に練る 必要はないことがある。実装しやすく、あるいは簡単にしようと最低水準に向かって「底辺への競争」 をしたり、連合体がメンバーの中で「最低レベル」のプライバシー標準を採用したりする可能性もあ る。しかし、そういう行動は、長期的に見れば生産性の低下を招く可能性が高い。これは、プライバ シーを競争上の優位性の源にする場合や、連合事業体とエンド・ユーザー(市民、消費者、従業 員)の間の信頼の基盤とする場合に特に言えることだ。メンバー組織は、誘惑に負けることなく、存 在しているリスクに相応しいデータ保護策を常に講じておく必要がある。 5 F-PIA の目的と価値提案 5.1 データ主体と規制機関 F-PIA の利害関係者は、連合体に関与している組織以外にも多く存在する。このような利害関 係者は F-PIA に直接参加せず、結果を利用したりプロセスに依存したりして、各自の利益を守って いる。このような利害関係者の中で最も重要なのは、データ主体だ。つまり、システムによって収集、 処理、保管、共有される情報の所有者である市民、消費者、従業員、その他の個人である。データ 主体は、情報のセキュリティと関連するポリシーおよび手順の実装が適切に確保されるという点で、 FPIA のプロセスの受益者である。データ主体の共通の懸念は、連合内の事業体との約束が守ら れ、苦情や償還のための適切な仕組みが存在するかどうかということだ。 また、外部の利害関係者としては、監督機関や規制機関がある。これらの機関は、従来の個人 情報保護および情報委員会、個人情報保護に関連する監督機関、信頼の監督や評価に関連す る民間団体などだ。F-PIA においては、これらの利害関係者のニーズに対応するための柔軟な方 法を検討する必要がある。PIA には、その性質上、提供文書で共有するには適さない秘密情報や 専有情報が存在することがある。そのため、F-PIA のプロセスでは、秘密情報や専有情報、あるい はシステムのセキュリティを危険にさらしかねない設定情報を危殆化させることなく、レビューに関 309 する有用情報を提供する方法を検討しなければならない。 したがって、F-PIA では 2 つに分けて検討する必要がある。まず、当該組織とそのコンプライアン ス機能にどれが関係しているのかを検討する。その後、要点を絞り込み、監督機関にどれを提供し、 あるいは必要に応じて提供する必要があるのかを検討する。F-PIA を実施した結果として、アクセ スできる情報の量が減った場合は、不備を隠す機会と捉えるのではなく、セキュリティ侵害を引き起 こす可能性のある情報、あるいは別の意味で組織が保護すべき情報が漏れないようにする機会と 捉えるべきである。もちろん、適切な状況では、監督機関は法律上の義務を果たすために、より詳 細な情報の作成を要請または要求できる。 5.2 F-PIA の目的 F-PIA の目的は、主に 4 つある。 目的 1:メンバーが連合体のプライバシーポリシーを議論、開発、体系化する機会を提供する まず、プライバシーポリシーは連合体によって異なることが認識されている。これらのポリシーは、 連合エコシステムの適用状況に即し、また対象となる規制要件を満たしつつ、個人情報の公正な 運用についての原則を実現するものでなければならない。また、ポリシーにおいては、処理対象の データの主体である個人に、そのデータに誰がアクセスでき、何ができて何ができないのかを指定 する適切な選択肢と管理する力が提供されていることが認識されている必要がある(裁判所命令や 医学的な緊急事態などの優先要素は考慮される)。ただし、個々のポリシーの選択肢を問わず、個 人は信頼関係を構築するために、連合体が主張するデータ保護の信憑性を確信している必要が ある。そこで、F-PIA の第 2 の目的は次のようになる。 目的 2:連合体メンバーが定義したプライバシーポリシーが守られていることを実証すること ほとんどのプライバシーポリシーでは、ある程度のデータ最小化が必須とされ、法律に従って選 択肢を提示するか同意を求めるようになっている。そのため、同意に基づいて個人情報を収集する システムに対して F-PIA を実施する場合は、その同意を適切な方法で得る必要がある。自由形式 か具体的か、許可(オプトイン)か禁止(オプトアウト)かは、要件によって異なる。同様に、データ最 小化ポリシーの F-PIA 評価でも、必要最小限の個人情報のみが収集されることを要件としなけれ ばならない。F-PIA では同様の分析フレームワークを使って、データの共有の度合い、利用方法、 保有期間の判断など、ポリシーおよび法的要件のすべての要素に対応する。 ただし、プライバシーを効果的に保護するには、システムに適用される個々のプライバシー標準 にかかわらず、多くのシステム設計要素を用意する必要がある。プライバシーポリシーで定められ ているように、データへのアクセス権限を持つユーザーのみに確実に制限するには、疑いの余地 がなく、最新で堅牢なセキュリティの仕組みが存在しなければならない。そこで、F-PIA の第 3 の目 310 的は次のようになる。 目的 3:プライバシーポリシーに対する偶発的または意図的な違反を可能な限り予防するための 適切な技術的構造が存在することを証明する セキュリティが確立されているからといって、プライバシーが保護されているというわけではないこ とを思い出してほしい。セキュリティはプライバシーに不可欠ではあるが、その一因でしかない。こ の機能を実現するには、技術的なプライバシー保護やセキュリティ対策を一度示すだけでは不十 分だ。F-PIA は反復的で継続的なプロセスでなければならない。プライバシーの保護は一時の取り 組みで実現できることではないし、F-PIA を実施するということはガイドラインを満たすためだけの行 為ではない。組織のニーズ、個人との約束、そして規制要件を積極的に満たすための継続的な義 務である。連合体は達成し得る最高のプライバシー標準の目標を設定し、その目標を定期的に見 直す必要がある。新しいシステムやプログラムが加わった場合、また個人情報を処理するシステム やプログラムに大きな変更を加えた場合には、F-PIA を実施する。アイデンティティ連合ではアイデ ンティティに関連する情報が交換されているため、連合体またはそのデータフローに大きな変更が 加えられた場合は、大規模なプライバシー侵害が発生した場合と同様に、F-PIA も改めて実施す る必要がある。F-PIA は生きた文書であり、常に手元に置いて利用または参照すべきツールであ る。 適切なリソースを使って誠実に F-PIA を実施することを確認したうえで、第 4 の目的は次のように なる。 目的 4:F-PIA を実施、利用、信頼するすべての当事者に利益をもたらすこと 本書では、F-PIA のさまざまな利害関係者の関心事項について説明した。PIA の設計では、PIA を実施することで得られる価値が検討されないまま、PIA のプロセスによって満たされる最終的な規 制要件のみが重視される。 F-PIA では、この概念は特に重要である。F-PIA の主な原動力は、組織のトップダウン型の命令 ではない。F-PIA の設計において解決しなければならない課題は、提示された要件を満たす能力 を超えて、システムに関する有用な情報を質問や形式を通じてシステム設計者やユーザーにどの ように提供するかということだ。F-PIA の利点は、多くの場合、目標や義務のほか、システムを横断 するテクノロジーやポリシーの相互作用が明確になるということだ。したがって、設計者は、各事業 体がシステムの設計と相互関係をより深く理解できるように、F-PIA の結果の一部の共有が必要な 場合があることを認識する必要がある。 しかし最終的に、このプロセスから得たプライバシーの保護を通じて利益を享受するのは、個々 の消費者である。この利益は、競争上の優位性、消費者からの信頼の向上、連合サービスの利用 拡大を通じて、すべての連合体メンバーに配分される。 311 5.3 F-PIA のフレームワーク プライバシー要件を確定し、以前の PIA を組み込んだ後、連合体の中の事業体全体に対する評 価として F-PIA を実施する。これも反復的プロセスである。F-PIA を高レベルの目標からデータや 個々の手順レベルの具体的な決定に進めながら、より細かいレベルで戦略的なステップを繰り返 す。 有効な F-PIA の重要な構造要素は、データそのものと、ポリシー、手順、テクノロジーおよびシス テム、説明責任である。アイデンティティ連合体は、これらの要素に対応する個人情報の公正な運 用についての原則(例:世界プライバシー標準)に基づいて評価を実施することで、すべての利害 関係者に対してプライバシー関連の問題への対応を保証できる。 6 質問の内容 F-PIA で調査する必要がある要素は、主に 3 つのカテゴリに分類できる。情報ライフサイクル、組 織としての原則、実装である。この最後の項では、それぞれの質問領域のサンプルを示す。なお、 次の質問は包括的なものではなく、F-PIA に必ず含めなければならないわけでもない。ここでは、 連合体のプライバシーおよびセキュリティ標準について行うべき質問の種類を示すことを目的とし ている。 6.1 情報ライフサイクル 前に述べたように、ユーザーとの信頼関係を構築するためには、組織の中で「プライバシーとい う文化」を醸成することが重要だ。情報ライフサイクルに関する質問をすることで、この文化を調査 する。例えば、情報が必要な目的のために収集されているか、情報の配布は最終的に関与する個 人によって決定されているかなど、連合体における個人情報の取り扱いを検討する。このように、一 般的に受け入れられているプライバシー標準で定められている内容と連合体のプラクティスを比較 する。ここでは、次のような領域を調査する。 1. 適切な通知 – 転送される個人情報の主体は、その転送を認識しているか。 2. 適切な指定 – 連合体の当事者は、情報の収集、利用、共有、保有に関する制限を適切 に認識しているか。 3. 適切な同意 – 個人情報の転送はユーザーの同意または選択に適切にリンクされている か。 4. 適切な管理 – ユーザーは自分の個人情報の転送を適切に管理できるか。 5. データ最小化 – 連合体メンバーが収集する個人情報は、必要最小限か。 6. 最小手段アクセス – 連合体メンバーが転送またはアクセスするのは、特定の取引を実行 312 するために必要な個人情報のみか。 7. コンプライアンス、監査、監督 – プライバシーポリシーの遵守を確実にするための監督組 織、監査またはコンプライアンスの仕組みが存在するか。 8. 報告 – コンプライアンスを証明するためのポリシーおよび手順の文書化が十分に行われ ているか。 6.2 運営方針 連合体の運営方針を調べることで、連合体メンバー間のやりとりにおける指針と、個人からデー タを収集するときの指針が明らかになる。ここでは、明確さを重視する必要がある。各メンバーが連 合体において各自に何が求められているかを理解していることが示されなければならない。連合体 の複雑さが露呈するのは、特にこのレベルにおいてだ。 運営手順を調査する際には、次のような質問をする。 1. 構造と役割の割り当て – すべての連合体メンバーの役割は明確に理解され、透明性をも って定義されていますか。連合体メンバーは各自の責任と義務を理解していますか。 2. ユーザーの理解 – 連合体メンバーの名前や種類、役割は、ユーザーにとって明確になっ ていますか。 3. エコシステム・レベルでの ID 管理 – サービス・プロバイダーはユーザーの承認を得ること なく、ユーザーのプロファイルをサービス全体にリンクすることができますか。これは、サービ ス・プロバイダーがアイデンティティ・プロバイダーとしての役割も兼ねている場合に懸念さ れることだ。[この件は、連合アイデンティティの形式で適切な共有制限を有効にできるかど うかという話につながっている。] 4. ユーザーの関与 – 連合体はアカウントのリンク、トラフィック、分析をどのように予防してい ますか。連合体は管理策の定義において、ユーザーの関与をどのように促進しています か。 5. 最悪のシナリオ – 「災害」が発生した場合にユーザーに通知し、被害を最小限に抑える 手順を含むシナリオは検討されていますか。 6.3 実装 F-PIA では、連合体の技術的実装のさまざまな要素を検討する必要がある。システムの設計や 313 構造をはじめとして、情報の流れ、信頼コミュニティ(連合体)のプライバシー目標を達成するため のテクノロジーの構成を評価する。OECD のセキュリティ原則と Liberty Alliance のセキュリティに関 するベスト・プラクティス24を参考に、この領域の詳細な質問を作成するときには、次のフレームワー クに従うことができる。 1. 認識 – 連合体メンバーは、必要な情報およびネットワーク・セキュリティ、またセキュリティを 強化するために実施できる手順を認識しているか。 2. 説明責任 – 連合体メンバーは、各自の役割に適した程度に、情報セキュリティについて説 明責任を果たすことができるか。 3. 対応 – 連合体メンバーがセキュリティ・インシデントを共同で防止、検知、対応できるように、 対応のための行動計画が用意されているか。 4. 倫理 – 参加者は各自の活動または非活動が他の連合体メンバーに悪影響を与えることを 理解しているか25。 5. リスク評価 – すべての連合体メンバーは個別および連合レベルで、リスク評価および最小 化プロセスを実施しているか。 6. セキュリティの設計と実装 – セキュリティは情報システムの不可欠な要素として設計されて いるか。 7. セキュリティ管理 – 連合体はセキュリティ管理に対し、包括的な取り組みをしているか。 8. 再評価と学習 – 連合体および連合体メンバーは、セキュリティ対策を再評価し、必要に応 じて変更を実施するためのスケジュールを確保しているか(インシデントや運用障害が発生 した後の再評価など)。 連合体全体のセキュリティ対策に加え、ユーザーと連合体メンバーの取引レベルで存在する共通の セキュリティ脅威に関する技術的な質問もしなけれなならない。このような脅威は、サービス妨害、メッセ ージリプレイ、スプーフィング(なりすまし)、総当たり攻撃、その他の一般的なオンライン攻撃につながる 24 Liberty Alliance が発行した『Privacy and Security Best Practices』(バージョン 2.0、2003 年 11 月 12 日) http://www.projectliberty.org/liberty/strategic_initiatives/privacy_trust_security 25 政府や組織においては一般的に民主主義の原則として表現されるように、すべての F-PIA で は、情報およびネットワークのセキュリティを自由社会の重要な価値観(自由な意見の交換、オー プンさ、透明性など)に沿ったものにすることを目標とすべきである。 314 可能性がある。連合体および個々の連合体メンバーは、次のような質問を行うことができる。 1. ユーザーとのやりとり(ログイン・プロセス以降)に対し、認証を実施していますか。実施して いない場合、セッションの乗っ取りを防止するためにどのような代替策をとっていますか。 2. セッション・トークンを利用しますか。利用する場合、メッセージリプレイを防止するためにど のような対策を用意していますか。 3. 認証方法の評価を実施し、情報の性質と機密性に適していることを確認していますか。 繰り返しになるが、これらの質問は包括的なものではなく、連合体のプライバシーおよびセキュリ ティ対策を分析する際に検討すべき問題の例として示している。 7 次のステップ 「プライバシー・バイ・デザイン」は、オンタリオ州情報およびプライバシーコミッショナーの誕生に つながった概念の一つであり、以前から目指されてきたことである。これは、プライバシーをテクノロ ジーに直接組み込むという概念を発展させ、設計および開発プロセスに盛り込むことを指す。これ は、連合 ID 管理の開発が、消費者にとっても組織にとっても大きな潜在的利益をもたらすという信 念に基づいている。ただし、この利益が最大限に実現されるのは、プライバシーと信頼を実現する 連合体を背景としてのみである。また、F-PIA は、「プライバシー・バイ・デザイン」の採用を実証す る最も重要で効果的なツールであると考える。 前述の点を調査した後、連合体が取るべき次のステップは、正式な F-PIA の開発である。本書 は手引きのみを目的としている。組織および連合体は多くの既存の PIA 開発ツールとともに本書を 利用して測定可能な標準を策定し、プライバシーと信頼を実現するための対策と比較しなければ ならない。最後に、このプロセスはゼロサムゲームではないことを忘れないようにする必要がある。 機能性のためにプライバシーを犠牲にする必要はないのだ。プライバシーと信頼をプラス・サムで 構築することで、双方に利益がもたらされる。消費者とサプライヤーの両方が、堅牢な情報エコシス テムの受益者である。不要な妥協は過去のものになる。 315 付録 1:世界プライバシー標準 1. 同意:法律によって許可されている場合を除き、個人情報の収集、利用、提供には、個人 の自由意志による具体的な同意が必要である。データの機密性が高いほど、より明確で具 体的な同意が必要になる。同意は後で取り消すことができる。 2. 説明責任:個人情報の収集には、保護のための注意義務が伴う。プライバシー関連のすべ てのポリシーおよび手順に関する責任を適切に文書化、伝達し、組織内の特定の個人に 割り当てる必要がある。個人情報を第三者に転送する場合は、契約やその他の手段によっ て同等のプライバシー保護を求めなければならない。 3. 目的:個人情報を収集、利用、保有、提供する目的を明らかにし、情報の収集時または収 集前にその目的を個人に伝達しなければならない。明示された目的は明確かつ限定的で、 状況に適したものである必要がある。 4. 収集に関する制限:個人情報の収集は公正で合法的な方法で行い、明示された目的を達 成するために必要なものに限定されていなければならない。データ最小化 – 個人情報の 収集は、厳密に最低限に留めなければならない。プログラム、情報技術、システムの設計で は、インタラクションおよびトランザクションから個人を特定できないことをデフォルト設定とす る必要がある。可能な場合は、個人情報の特定可能性、観測可能性、リンク可能性を最小 限にする。 6. 利用、保有、提供に関する制限:個人情報の利用、保有、提供は、法律によって要求され る場合を除き、個人に明示された目的に限定する必要がある。個人情報の保有期間は明 示された目的を達成するために必要な期間のみとし、その後は安全な方法で破棄しなけれ ばならない。 7. 正確性:組織は明示された目的を達成するための必要性に応じて、個人情報が正確かつ 完全で最新のものであることを確認する必要がある。 8. セキュリティ:組織は個人情報のライフサイクル全体を通して、公認の標準開発機関が開発 した国際標準に従ってセキュリティの責任を負う必要がある。個人情報の保護には、情報の 機密性に適した合理的な予防措置(物理的、技術的、管理的手段を含む)を利用しなけれ ばならない。 9. オープン性:説明責任においては、オープンさと透明性が重要だ。個人は、個人情報の管 理に関するポリシーやプラクティスの情報に容易にアクセスできなければならない。 10. アクセス:個人は自分の個人情報にアクセスでき、利用と提供について通知を受ける。個人 316 は情報の正確性と完全性に異議申し立てをし、必要に応じて修正を行わせることができる。 11. コンプライアンス:組織はコンプライアンスと是正の仕組みを確立し、次の段階の要請方法 も含めて情報を提供する必要がある。プライバシーポリシーおよび手順の遵守を監視、評 価、検証するために必要な手順を実施しなければならない。 『Creation of a Global Privacy Standard』を参照 http://www.ipc.on.ca/index.asp?navid=46&fid1=575 317 参考文献 オンラインのプライバシー 7 Laws of Identity: The Case for Privacy-Embedded Laws of Identity for the Digital Age (2006 年 10 月) http://www.ipc.on.ca/index.asp?navid=46&fid1=471 Creation of a Global Privacy Standard (2006 年 11 月) http://www.ipc.on.ca/index.asp?navid=46&fid1=575 Privacy in the Clouds: Privacy and Digital Identity – Implications for the Internet(2008 年 5 月) http://www.ipc.on.ca/index.asp?navid=46&fid1=748 Privacy and the Open Networked Enterprise (December 2006) http://www.ipc.on.ca/index.asp?navid=46&fid1=576 プライバシーおよびセキュリティ A View from 2018: A Glimpse of the Internet Future (2008 年 6 月) www.biac.org/members/iccp/mtg/2008-06-seoulmin/ Final_View_from_2018_ICCP_Chair_Paper.pdf Intelligent Software Agents: Turning a Privacy Threat into a Privacy Protector. Result of a joint project of the Office of the Information and Privacy Commissioner/Ontario and the Registratierkamer, The Netherlands. 1999 年 4 月 http://www.ipc.on.ca/index.asp?navid=46&fid1=316 Privacy and Security Best Practices (version 2.0, 2003 年 11 月) http://www.projectliberty.org/liberty/strategic_initiatives/privacy_trust_security Cavoukian, Ann, Ph.D., and Hamilton, Tyler J., The Privacy Payoff: How Successful Businesses Build Customer Trust, 290 ページ、2002 年 1 月 リスク評価 Information Security Risk Assessment http://www.gao.gov/special.pubs/ai99139.pdf 318 (1999 年 8 月 ) INFOSEC Assessment Methodology http://www.fountainheadcollege.edu/ia/nsa/iam.htm INFOSEC Evaluation Methodology http://www.fountainheadcollege.edu/ia/nsa/iem.htm Risk Management Framework (2008 年 8 月) http://csrc.nist.gov/groups/SMA/fisma/framework.html Threat and Risk Assessment Working Guide (2005 年 11 月) http://www.cse-cst.gc.ca/publications/gov-pubs/itsg/itsg04-e.html 319 Online Privacy: Make Youth Awareness and Education a Priority オンラインプライバシー:若年層の理解と教育を優先事項に 320 オンラインプライバシー:若年層の理解と教育を優先事項に 2009 年 3 月 オンラインプライバシー: 若年層の理解と教育を優先事項に 今日の若年層にとって、他者との交流を求めてオンラインを利用するのは極めて自然な行為で あり、日常生活において不可欠である。メールやブログ、チャットにログオンしたり、オンラインのソ ーシャルネットワークに参加したりする若者にとって、インターネットはもはやただのツールではなく、 社会生活やパブリックアイデンティティの延長なのである。 サイバースペースでの体験の多くは極めて肯定的に受け止められる類のものではあるが、多くの 若年層はオンライン上になると『自動操縦(auto-pilot)』状態となり、さまざまなサイトで彼ら自身の 私的な詳細情報を深く考えずに公開しているように見受けられる。残念なことに、これがネットいじ めやなりすまし、ストーカー事件や学校からの除籍、果ては軽率な投稿による将来的な就職可能 性の損失など、幅広い被害や予想外の結果を生み出すのである。 若年層の多くはネット活動によって生じる、サイバープレデター(ネットを利用して情報収集し悪 用する者)による被害のような物理的被害の可能性については認識しているが、一方でネット上に 個人情報を晒しすぎることがさらなる脅威に繋がることを十分に理解している者はほとんどいない。 多くの人々は、それらの情報がネット上に事実上永遠に残り、無数の人びとによって閲覧され、コピ ーされ、ダウンロードされる可能性があることを意識していない。その結果、現在仲間内で共有して いる個人情報が、将来自分を辱め、傷つけ、もしくは消えない傷となって残りうる。同様に、彼らの オンラインにおける活動はマーケティングや商用目的で密かに利用されることもありうるだろう。 オンタリオ州情報・プライバシーコミッショナー(以下、「IPC」と記す。)の事務局はオンタリオにお ける情報アクセスおよびプライバシー法について周知を行う義務がある。2006 年以降、ソーシャル ネットワーキングサイト(以下、 「SNS」と記す。 )が技術的および社会的現象となって初めてヘッ ドラインを飾り始め、IPC では一般人や利害関係者、ウェブサイト事業者、そしてとりわけ若年層の オンライン上での個人情報保護の共同責任への教育を優先事項とした。 我々から若年層へのメッセージの焦点は、情報を投稿する前にその行為の引き起こす結果を予 想し、考えを馳せる必要があることだった。インターネット上の情報を完全に削除することは不可能 だ。だからこそ彼らには、ネットに投稿した情報を保護者、警察、プレデター、専門家、将来の雇用 主、同僚、友人(頭文字をとって「7 Ps」ともいう)に閲覧される可能性を考慮し、自分が共有している それらの情報は安全なものなのか考えるように薦めている。またプライバシーとは選択の自由であり、 どれだけの個人情報をオンラインに載せて、誰からのアクセスを許可するか、自分で管理すること が可能だということを教えている。 321 我々は若年層に訴えかけるためにさまざまな手段を利用している。これらの手段には課外授業 やメディア、カンファレンス、若年層と密接に活動している機関との提携などが挙げられる。また、若 年層の間で理解を深めるための刷新的なピア・ツー・ピアネットワーク構築への助力も行っている。 それと同時に、Facebook や MySpace の取締役のような、プライバシー強化オプションをユーザー に提供することができ、そのオプションを利用することでどれだけの個人情報を誰とシェアするか管 理可能であることを周知させる遂行力のある、主要な利害関係者とも共同で活動を行っている。 IPC は、若年層にオンライン活動に伴うリスク管理を意識させることの必要性を喚起している各 国のプライバシーコミッショナーやデータ保護機関(DPAs)のコミュニティの一員だ。世界各国から の国際的な協力者と共同でこれらの課題に取り組むための機運を高めている。 若者がネット上で直面するプライバシー問題への理解を一層深めるための機会を考えるにあた り、今日までの我々の実績を振り返り、どのような手段が教育目標を達成する為に貢献してきた か検討することは有益だと思われる。 I ソーシャルネットワーキングサイトへの参加 Facebook 2005 年、Facebook がサイトの一般ユーザー向け公開準備を行うにあたり、同社上級役員がプラ イバシー対策について IPC の意見を求めてコンタクトしてきた。Facebook とのコラボレーションはユ ーザーによるプライバシーコントロールの範囲を広げ、これらオプションを利用することへの理解を 深めさせる上で非常に良い機会だと即座に認識した。 Facebook はインターネット業界でまだ比較的新しいものだったため、我々の採用した最初のステ ップは、Facebook のコアユーザーとなる見込みのある学生や若者について理解を深めることだっ た。2006 年 8 月、IPC はライアーソン大学をはじめクイーンズ大学、ブリティッシュコロンビア大学、 ジョージ・ブラウンカレッジ、トロント大学、ヨーク大学から 18 人の大学生を招いてフォーカスグルー プを開催し、オンラインでのソーシャルネットワーキングについて話し合った。 グループからのフィードバックは目覚ましいものだった。学生のほぼ全員が Facebook 利用者で、 このサイトに強い好意を持っていた。ほとんどの学生は潜在的なプライバシーの問題に気づいてい なかった。サイトのプライバシーポリシーも読んでおらず、提供されているプライバシーフィルターに ついて何も知らなかった。この分野に関する教育が強く求められていることは明らかだった。 それ以来、Facebook や他の SNS の人気は急上昇し、明らかに人々の生活に浸透した。SNS を 利用する際に適切な判断力を働かせることの重要性について若年層の認識を高めることは、今ま で以上に重要な意味を持っている。その必要性を周知させるため、IPC では特に Facebook ユーザ 322 ーに向けていくつかのリソースを生み出してきた: - 2006 年 10 月、IPC と Facebook は共同で「When Online Gets Out of Line: Privacy - Make an Informed Online Choice(ネットで過ちを犯す前に:プライバシー-ネット上でのインフォームド・チョイ スについて)」という小冊子を発行し、高校生や大学生に対し、個人情報をオンラインに載せる前に プライバシーオプションについて注意深く考えることを提言した。 - 2007 年 5 月、IPC は「How to Protect Your Privacy on Facebook(Facebook 上でプライバシー をどのように保護するか)」という Tip 集をリリースし、Facebook のプライバシーをどのように設定 すれば適切なレベルの保護をかけられるか詳細に説明した。この Tip 集は 2009 年にアップデート された。 - 2007 年 10 月、IPC は「Reference Check:Is Your Boss Watching? Privacy and Your Facebook Profile(リファレンスチェック:上司に見られている?プライバシーと Facebook のプロフィール機能)」 という Tip 集を発行し、Facebook ユーザーに向けて、ユーザーの投稿したプロフィール情報が現在 および将来の雇用主に検索される可能性について警告した。 - 2008 年 7 月、オンタリオ州情報・プライバシーコミッショナーの Ann Cavoukian 博士と、 Facebook の CPO(チーフ・プライバシー・オフィサー)の Chris Kelly 氏は、「Be a Player: Take Control of Your Privacy on Facebook」という DVD を発行し、Facebook のプライバシー設定の使い 方を順を追って説明した。 IPC は、Facebook と良好な協力関係を築くことで、Facebook の発展に伴い、サイトのプライバ シーのあり方に影響を与えることが可能になった。例えば 2007 年 12 月には、IPC は Facebook の 新しいビーコン広告サービス機能に対する強い懸念を文書で表明した。結果的に Facebook ユー ザー間で大きな論争を巻き起こしたこのビーコン機能とは、Facebook 外のパートナーサイトにおけ る Facebook 利用者の活動をトラッキングし、その情報を利用者のソーシャルネットワークで見られる ようニュースフィードで公開するものである。ユーザー情報のトラッキングはユーザーが Facebook か らログアウトし、自分の行動がニュースフィードで公開されないように設定した後も続く。 IPC の干渉や他のプライバシー提唱者やユーザーによる批判の結果、Facebook は最終的にビ ーコンサービスから完全にオプトアウトする選択肢をユーザーに提示することを決めた。 IPC は、Facebook のようなサイト事業者との間に協力的関係を結ぶことは、サイトのプライバシ ー安全策の形成と展開方法に影響を与える点、ユーザーにプライバシーの選択肢を周知させる 点で、自らの立場をよりよいものにすると強く信じている。 II 教育と支援活動 ティーチャーズガイド 323 IPC はオープンガバメントや学校システム内でのプライバシーについて、何年にも渡って生徒へ 教育を行い、より深い認識と理解をサポートするさまざまなリソースを開発してきた。小中学校向け のプログラム「What Students Need to Know about Freedom of Information and Protection of Privacy(情報の自由とプライバシー保護について知っておくこと)」は、5、10、11、12 年生の生徒向 けとして作られた。このプログラムは教師が情報の自由や個人のプライバシーの概念に焦点をあて た授業や課外活動を行う際に、ガイダンスとして提供される。 2008 年には 10 年生向けのティーチャーズガイドをアップデートし、オンラインでのソーシャルネッ トワーキングについてのモジュールを追加した。このモジュールでは SNS への個人情報の投稿によ るプライバシー侵害の可能性に焦点をあて、個人情報へのアクセスできるユーザーを制限するオ プションを理解する手助けをする。 iCommish 2007 年 10 月、Ann Cavoukian 博士は『The Revealed “I”: A Conference on Privacy and Identity (白日の下にさらされる “私”:プライバシーとアイデンティティ)』というオタワ大学の著名なプライバ シー研究者達が主催したカンファレンスに参加した。カンファレンスではアカデミックな分野や公私、 非営利セクターなどのさまざまな分野におけるリサーチの権威や専門家を一同に集め、情報技術 や認証技術がアイデンティティに与える影響について議論を交わした。 そのカンファレンスの目的のために、Cavoukian コミッショナーやアルバータ州とブリティッシュコ ロンビア州の各プライバシーコミッショナーは、Facebook にアカウントとプロフィールを作成し、2007 年の夏季の間「第 2 の人生」を送るようにとの要請を受けた。その後、コミッショナー達はグループ 実験の結果をカンファレンスの「 iCommish」という公開討論会で話し合うように依頼された。 Cavoukian 博士は Facebook のプロフィールを可能な限りプライベートにするようアドバイスし、他の コミッショナーと共有した懸念として Facebook に投稿した個人情報は、ソーシャルネットワーキング 以外の目的(ハラスメントやストーキング、法律の施行や雇用者によるチェック等)でアクセスされ、 利用されることが非常に容易であることを訴えた。パネル討論会では、興味深い活発な議論によっ て SNS にまつわるリスクを浮かび上がらせる一方、オンライン上で個人のアイデンティティを表現す る手段としての Facebook の価値を認識させることにもなった。 学校支援活動 支援活動の一環として IPC は小中学校を訪れ、オンライン活動に内在するプライバシーリスクに ついて生徒達と直接対話を行ってきた。ここでの焦点は、生徒が自分自身のプライバシーをオンラ インで保護することの責任と、そのために利用可能なオプションを理解する支援を行うことである。 これまでの経験から、対面でのミーティングは非常に効果的だと言える。 我々はこれまでにトロントのハバーガルカレッジやヨークスクール、アールグレイ・シニア・パブリッ クスクールなど幾つかの学校を訪れてきた。時として焦点は極めてはっきりしている。例えば 2006 324 年 12 月にコミッショナーは、トロントのビショップ・ストラチャン・スクールの生徒と保護者に向けて、 SNS や e メールによるネットいじめに関するトラブル体験についての講義のため招かれた。生徒 向けの発表の後、コミッショナーは別途、保護者と面談したが、多くの保護者は現在のオンラインテ クノロジーによって生じるネットいじめやその他のリスクについて詳しくは知らずにいた。 メディアインタビュー SNS に関連する問題への大衆の意識を高める上でメディアは大きな役割を果たしている。IPC は 定期的にメディアインタビューを行い、オンラインでのプライバシー保護に関する事例の提供や、そ れに関する広範な情報リソースの紹介を行っている。 Youth Privacy Online: Take Control, Make It Your Choice! (若者のオンラインプライバ シー:コントロールしよう、それは君の選択だ!) カンファレンスはオンラインでのプライバシー問題についての意識を高め、可能な解決策追い求 めるための良い機会を提供してくれる。 2008 年 9 月、IPC はトロントで「Youth Privacy Online: Take Control, Make It Your Choice! (若 者のオンラインプライバシー:コントロールしよう、それは君の選択だ!)」と題したカンファレンスを 開催した。このカンファレンスは若年層がオンラインコミュニケーションツールを利用する際にプライ バシー関連のリスクに晒されていることや、オンラインで個人情報を守るためのさまざまな方法を取 り上げた。 スピーカーには研究、教育、保護者支援団体やテクノロジーの分野の第一人者が含まれていた。 開会の挨拶がオンタリオ州情報・プライバシーコミッショナーの Ann Cavoukian 博士、オンタリオ州 教育大臣の Kathleen Wynne 氏、著名なインターネットの安全性問題の提唱者であり弁護士の Parry Aftab 氏らによって行われた。また、さまざまなカナダの研究者、教育部門からの代表者、 Facebook や Microsoft、Research in Motion 社の技術系代表者によるプレゼンテーションや、国際 的にも知られている保護者支援団体関係者で作家の Barbara Coloroso 氏による活気溢れる講演 も行われた。彼女は聴衆に向け、子供が難しい局面に面したときには批評的かつ倫理的に考える よう教えるべきと、楽しく洞察力に富んだアドバイスを行った。 カンファレンス参加者は、オンラインソーシャルネットワーキングが若年層の生活において学習 や協調、自立を促進する役割について、理解を深めた。また、若者がオンライン上のプライバシー について独特の視点を持っており、特定のネットワーク内ではオープンに個人情報を共有すること を許すことも学んだ。参加者は、オンライン上の個人情報に対してより良い安全策を提示するテクノ ロジーソリューションが発展し続ける一方で、これらすべてのソリューションが健全な判断力と効果 325 的な保護者の指導にとって代わるものではないという認識を共有した。 カンファレンスはスピーカーと参加者双方にとって貴重な学びの機会であることを証明し、メディ アの興味を引いた。これはオンラインの世界で若年層が直面している独特の問題に焦点をあてた、 非常に重要な一歩だった。 Teenangels 若年層にピア・ツー・ピアモデルでプライバシーに関するメッセージを広げていくことは非常に大 きな可能性を秘めている。若者は友人を信頼できる情報源とする傾向にあり、権威者からよりも友 人達から学ぶことにモチベーションを感じる場合が多いようだ。 2008 年に IPC が最初の「トロント Teenangels 憲章」の策定を支援したのはその理由によるもので ある。著名なネットの法律家であり WiredSafety.org のエグゼクティブディレクターである Parry Aftab 氏によって設立された Teenangels は 13 歳から 18 歳のボランティアを訓練し、そのボランティア生を 通じて他のティーンや年下の子供達、保護者や教師に対してオンラインの安全性やプライバシー、 セキュリティについての教えを広めていくチャリティプログラムである。 トレーニングのコースでは、Teenangels のメンバーが IPC のカンファレンス「若者のオンライン プライバシー:コントロールしよう、それは君の選択だ!」に参加し、オンラインでのプライバシーや 生徒へのネットいじめに関するワークショップの運営を支援した。 Bacchus Canada 若年層向けの支援のために、IPC は若年層や若年層が抱える問題について近い興味を持って いる機関と共同活動する価値を認識した。2008 年 9 月、Bacchus Canada は Cavoukian コミッショナ ーに対し、オンラインソーシャルネットワーキングにおける生徒の意識を高めるキャンペーンのため にパブリックメッセージの録音を依頼した。 Student Life Education Company1の一部門である Bacchus Canada は非営利団体で、中学卒業 後の学生におけるアルコールやその他の健康問題に対して健康的な判断を下すことを推進しよう としている。 Cavoukian 博士のビデオメッセージは Bacchus Canada の Facebook ページに投稿され、閲覧者 に対してオンラインでのプライバシー保護についての先見を持ち、彼ら自身が利用可能な SNS の プライバシーコントロール機能について学ぶことを強く訴えた。 1 http://www.studentlifeeducation.com/ 326 III 国内および国際的なイニシアティブ オンラインにおける子供のプライバシーに関する決議 2008 年 6 月 4 日、IPC は他の同様の機関と共に「オンラインにおける子供のプライバシーに関す る決議」 の承認に参加した。この決議は、特にカナダのプライバシーコミッショナーに対し、共同で の教育活動の開発や推進を求め、業界に強固なプライバシー基準を採択し、サイト事業者にはよ り良いプライバシー保護手段を実装するよう強く訴えるものである。 2008 年 10 月 17 日、フランスのストラスブールにおける第 30 回「データ保護とプライバシーコミッ ショナー国際会議」では、IPC と世界各国からのデータ保護機関(DPAs)が、先述の決議と同様の 「オンラインにおける子供のプライバシーに関する決議」を承認した。カナダでのものと同じように、 この決議ではデータ保護機関による教育ベースのアプローチを共同支援し、サイト事業者にはプ ライバシー保護政策や施策を採用するように強く要請している。 IPC はこの決議で定められた原則に強く関わっており、この広範な支援を通して、既に定められ た目標を達成し、目標を上回るところがあることを喜ばしく思っている。IPC は他のデータ保護機関 (DPAs)と共同で若年層のオンラインプライバシー分野への知識と教育を深めていくことを心待ち にしている。 SNS 上のプライバシーに関する報告書と指針 オンラインコミュニティに関するプライバシーおよびセキュリティ問題は世界中で懸念されている。 International Working Group on Data Protection in Telecommunications (IWGDPT)の一員として、 IPC は 2008 年 3 月 4 日に発行された「SNS 上のプライバシーに関する報告書と指針(通称「ローマ・ メモランダム」)」の策定に際して情報提供を行った。このワーキンググループは情報通信とメディア におけるプライバシーとデータ保護を向上させるために、各国のデータ保護コミッショナーによって 開始された。 「ローマ・メモランダム」には、SNS 利用に際しての既知のプライバシーリスクや、SNS の監督者お よびプロバイダー、ユーザーのためのプライバシー保護手段への指針などが包括的に含まれてい る。一般市民および利害関係者にとって、SNS において個人情報を守る上での成功事例となる重 要なリソースである。 IV 結論 IPC はオンラインプライバシー問題への若年層の意識を高めるために、特に彼らの関係している オンライン上のソーシャルネットワークにおいて非常に積極的な活動を行ってきた。さまざまな手段 やメディアを活用し、若者のネットにおけるリスクへの理解を助け、いつ、どのように、誰と自分の個 人情報をシェアするか意識するように協力を行ってきた。 327 他の人口層と同様に若者もインターネットから非常に多くの恩恵を受けることが可能である。しか しそのためには目を大きく開いて、自身の判断で個人情報を適切にコントロールし、最終的には自 分の評判を保つことが大切である。 IPC は、若年層がオンラインで活動する際にプライバシーへの理解を深め、主要な利害関係者 がオンラインで利用可能なプライバシー強化オプションを促進する機会の一層の訪れを待ち望 んでいる。 328 How to Protect Your Privacy on Facebook: A Step-by-Step Guide Facebook 上でプライバシーをどのように保護するか:ステップ・ガイド 329 Facebook 上でプライバシーをどのように保護するか:ステップ・ ガイド (2007 年 5 月 3 日発行、最新の改定は 2009 年 3 月 17 日) 2009 年 3 月 Facebook にユーザー登録すると、情報公開のデフォルト設定は Facebook の他のすべてのユー ザーが検索機能を利用してあなたを見つけることが可能となっている。しかしながら、あなたが 友達として承認した人かネットワークを共有する人だけしか、あなたのプロフィールすべてを閲覧 することができない。デフォルトでは、あなたの名前、プロフィール写真のサムネイルが一般のサ ーチエンジンからも見つけることが可能だ。Facebook は多くのユーザーからの要求に基づいてこ れをデフォルトにしたが、自分の思うとおりに個人情報へのアクセスを制限するよう設定を変えるこ ともできる。つまり、プロフィールへのアクセスを制限するようにデフォルトの設定を変更できるという ことだ。現在の設定(※2009 年 3 月段階)では、あなたの友達、友達の友達、そしてあなたのネッ トワーク上にいる人だけがあなたのプロフィールを読むことができる。サードパーティによるアプリケ ーションを Facebook プラットフォーム上にダウンロードした場合には、あなたの情報の一部が共有 される可能性がある(以下『Application』のセクション参照)。これらのデフォルト設定を把握し、大丈 夫と思う人だけが情報を見られるよう設定を変更することが大切である。 デフォルトの設定を変更するのは簡単である。一度サインインしたら、画面上部右側の『Settings』 をクリックし(検索バーのすぐ左にある)、『Privacy Settings』をドロップダウンメニューから選ぶ。プ ライバシーメニューには、ユーザーの望むプライバシーの公開度合いに合わせて 4 つのカテゴリ がある。変更したいページにアクセスするには、各カテゴリ名をクリックすればよい。Privacy Settings は特定の友達や友達リストを除外するか含めるかカスタマイズできる。このページから移 動する前に『Save Changes』をクリックするのを忘れないように (注:地域ネットワークについての情 報を変更した場合には Privacy Settings を見直すこと。この設定はすべての設定をデフォルトに戻 すため、ネットワークの全員があなたのプロフィールすべてを見ることができるようになるだろう。こ れを覚えておき、もしこれが嫌であれば Privacy Settings を変更すること。プロフィールに変更を加 えるたびに Privacy Settings をチェックするのが良いと思われる)。 Profile: このページにはタブが二つあり、どちらも誰がどのプロフィールを見ることができるかを 個々に管理できる。基本タブはプロフィール全体と、以下のそれぞれのプロフィールの要素を管 理する: 基本情報 (性別、生年月日、出身地、政治観、宗教・信仰、交際ステータスが含まれる)、 個人情報(趣味・関心、好きな活動、連絡先情報(About Me)のセクションが含まれる)、 330 あなたのタグがついた写真やビデオ、近況(status updates)、友達、ウォール、学歴と勤務先 情報。連絡先情報タブでは、IM スクリーンネーム、携帯電話、その他の電話、現住所、ウェブサイ ト URL、e メールアドレスへのアクセス許可を編集できる (これらの情報をプロフィールで入力し た場合のみ)。 - プロフィール情報の公開を Facebook 上の友達に限定する場合、それぞれのドロップダウンメ ニューから『Only Friends』を選ぶ。もしメインの友達ページで設定した特定の友達のリストやそ れぞれの友達のみにアクセスを制限したり、ネットワーク内の特定の個人やネットワークを除外 したい場合には、『Customize』をドロップダウンメニューから選び、適宜設定する。 Search: Facebook ユーザーが検索機能であなたを見つけられるようにするかの設定や、サイト の検索リストに表示される情報を管理できる。また『People You May Know』機能によって、あなた を友達候補として他の人に紹介されないように選ぶこともできる。また一般のサーチエンジンから あなたを検索可能にするかどうかも選べる。Facebook 内ではどのネットワークが検索経由であなた のプロフィールにアクセスできるか、検索結果から、例えばあなたにメッセージを送るとか、友達とし て追加するなどの行動を制限することができる。 - Facebook 内であなたの Facebook の友達からのみ検索可能にするには、Search Visibility のド ロップダウンから検索設定で『Only Friends』を選択し、最初のチェックボックス(『In addition…』で 始まる箇所)のチェックを外す。 - 『Only Friends』はまた、他の Facebook ユーザーにあなたを友達候補として紹介されることを 防ぐ。もしあなたが Search で他のユーザーから検索可能な場合には (例えば公開範囲が『Friends of Friends』、『My Networks&Friends of Friends』または『Everyone』になっている場合)、あなたが 彼らの『People You May Know』のセクションに表示される可能性がある。また People You May Know』で『x-ed out』した人は友達候補として表示されない。 - 一般のサーチエンジン(Yahoo や Google など)から検索できないようにする場合、もし Search Visibility のドロップダウンメニューで『Everyone』を選んでいる場合には、『Create a public search listing for me』にあるチェックを外す。このボックスのチェックを外すことで、あなたの基本情報(名前、 ネットワーク、プロフィール写真や友達リスト)は Facebook プラットフォーム上のアプリケーションでも 利用できなくなる。 『News Feed』と『Wall』:このページにはタブが二つある。『Actions within Facebook』タブでは、 あなたの活動がストーリーとして、自動的にあなたの Wall と友達の News Feed に表示される か管理できる。 - いつ投稿に対してコメントしたかや友達になったかなど、自動的に友達に知らせたくない行動 は『Uncheck』する。 331 『Social Ads』タブでは、あなたの情報(や写真)があなたの友達をターゲットにした広告に利用 されるのを、ドロップダウンメニューで『No One』を選ぶことでオプトアウトできる。 『Applications』: Facebook プラットフォームを利用して開発されたものも含め、アプリケーション で利用可能な情報をある程度管理することができる。第三者によるアプリケーションは、あなたの 設定よりも優先される独自のプライバシーポリシーやユーザー管理を設定している可能性がある。 Facebook の利用規約に定められているように、アプリケーションを利用する場合には自己責任とな る。アプリケーションについて詳しくはこのセクションの『Overview』タブを参照。 - 『Settings』タブから進むと、友達によってインストールされたアプリケーションの管理や、 Facebook プラットフォームを通して共有される情報をオプトアウトすることができる。プライバシ ーを最大限に保護するには、『Do not share any information about me through the Facebook API』 をチェックする。注意してほしいのは、このオプションは第三者によるアプリケーションをダウンロ ードしたり、Facebook Connect 経由で外部サイトからアカウント情報やパスワードを入力してログオ ンした場合には、自動的にこの機能がオフにされる。つまり、アプリケーションをダウンロードすると いうことは、あなたの情報が管理できない状況で、共有されてしまうかもしれないということ だ。 - このページではあなたがブロックしたアプリケーションがリスト化されていて、ブロックを解除す るのはこのページから行う。またこのページであなたが無視したアプリケーションの招待を送ってき た友達を追跡できる。 -『Beacon Websites』のチェックボックスでは、外部サイトでの行動をあなたの Wall やその友達 の News Feed に投稿するのをオプトアウトできる。Applications のプライバシーページの 『Settings』タブに行き、『Beacon Websites』以下の『Don't allow Beacon website to post stories to my profile』にチェックを入れるとオプトアウトされる。このボックスをチェックすると Beacon サイトは あなたのプロフィールに情報を投稿しなくなる。 - アプリケーションへの許可の確認や設定の変更をするには、どの Facebook ページでも良いの で画面下部左側の『Applications』アイコンをクリックし、次にポップアップウィンドウに表示された 『Edit』をクリックする。ここで表示されるチャートにはそれぞれのアプリケーションに『Edit Settings』 オプションが利用可能になっている。これによりアプリケーションや Facebook Connect の外部サイ トにおけるあなたの活動を Wall に投稿する許可設定を変更できる。最大限のプライバシーのた めには『Never publish any stories from…』を選択する。 加えて、Privacy Overview ページでは、特定の人にあなたのプロフィールが読まれるのをブロッ クするオプションを備えている。Facebook のどのページからも『Settings』以下の『Privacy』をドロ ップダウンメニューから選び、『Block People』にアクセスできる。 Facebook のどこからでも、自分の書いたノートや投稿した写真を、誰が見られるようにするかを 332 設定したり、オンラインステータス可視性を管理したりできる。 - 『Notes』内において、『My Notes』か『Notes About Me』タブのどちらかを選び、Note Settings 以下の、画面右側の『Edit Notes Privacy』のリンクをクリックする。ドロップダウンメニューは 先述の Profile と同様のオプションである。また誰があなたの Notes へコメントしたり、購読した りすることができるのか設定もできる。 - 『Photos』では、先述の Profile と同様にドロップダウンメニューを使って『Album Privacy』を クリックして、各アルバムを変更する。 - オンラインステータスの設定を変更するには、あなたのプロフィールページの右下にある、上 半身のシルエット画像を含む Chat ボックスの中をクリックする。小さいポップアップ画面が現れて、 中にあなたがオンラインかどうかを記した行が表示される。ここをクリックすれば、例えあなたがオン ラインであってもオフラインのように(赤い丸で)表示される。あなたがオンラインであると(緑の丸で) 表示されているときには、この機能を利用してログイン状況を確認する友達はあなたがオンラインだ と知ることができる。この機能は簡単にチャットできるようにするためのものである。 Facebook でのなりすましを報告する: -Facebook のどのページからでも良いので、Help Center の Privacy Help Page へアクセスする。 Privacy Help Page には 画面下方右側の『Help』もしくは『Privacy』をクリックしてもたどり着ける。 Privacy Questions and Answers の Abuse セクションから『I need to report an impostor profile』をク リックする。e メールフォームには、あなたの e メールアドレス、報告したいプロフィールの URL、報告 したい対象者の氏名、プロフィールが所属している Network、プロフィールに掲載されている e メールアドレス、そしてこの問題の状況の記入が必要になる。 - もしくは、通常の問い合わせフォームを、『Help』、『Security』、『How Do I Report Abuse』の順 でクリックし、最後に『My Question is Not Listed』を選び、報告する対象者のプロフィールをメール フォームに記入する方法でもよい。 333 その他の IPC 資料 _ When Online Gets Out of Line - Privacy: Make an Informed Online Choice (ネットで過ちを犯す前に:プライバシー-ネット上でのインフォームド・チョイスについて) この小冊子は大学生や高校生にプライバシーオプションについて注意深く考えるよう薦めている。 _ Be a Player: Take Control of Your Privacy on Facebook (Facebook 上でプライバシーを管理するには) このビデオでは Cavoukian コミッショナーがオンラインソーシャルネットワーキングにおけるプラ イバシーとセキュリティの問題についてディスカッションを行っている。 334 Reference Check: Is Your Boss Watching? Privacy and Your Facebook Profile リファレンスチェック:上司が監視している? プライバシーと Facebook のプロフィール機能 335 リファレンスチェック:上司が監視している? プライバシーと Facebook のプロフィール機能 2009 年 2 月 Facebook や他のオンライン・ソーシャル・ネットワークに集い、人と繋がり、交流し、みずからの個 人情報を他人と共有する人は日々増加している1 。当初は若者向けのネットワークや娯楽として始 まったこのサービスも、大規模のソーシャルネットワークにはあらゆる年齢層の人が引き寄せられて いる2。 就職応募者の経歴を知るために Facebook などの SNS をチェックする雇用者も増えている3。こ れらのサイトは将来的に同社の社員になる可能性のある人物の身元確認のために、サーチエン ジンとともに、サイトのポテンシャルを理解している人事部マネージャーたちによって活用されてい る。Facebook や他の SNS ユーザーは自分の投稿する情報に目を光らせ、現在や将来の雇用機会 へのリスクに配慮しなければならない。本紙ではこのようなリスクを緩和、最小化する方法を提案す る。 ネット上に投稿された情報は形を変えながら永遠に残る可能性があるということを忘れてはなら ない。Internet Archive の Wayback Machine サイト4や Google や Yahoo のキャッシュを通して、サ イトの古いバージョンは、どこを調べれば良いか詳しい人間にかかればすぐに検索されてしまう。 1 comScore によれば、Facebook は以下のような点からデジタル分野における世界的リーダー企 業だと考えられている。2007 年 5 月時点で最も資産を増やした企業上位 10 社中、月間のユニーク ビジター数において最大数を誇り、成長が最も著しいサイトトップ 10 の中では、他の企業の 5 倍以 上のビジターが訪れている。 2 最近のカナダネットユーザー調査では、50 歳以上のカナダ人ユーザーの 1/3 が SNS を訪れて いるとの結果が出ている。40 歳代の場合にはその数値は 45%になる http://www.newswire.ca/en/releases/archive/June2007/11/c2653.html 3 ExecuNet による調査結果では 77%の人事担当役員が、応募者を調査するのに web やサーチ エンジンを利用したと答え、また 35%がその方法を利用して応募者を落としたと回答した http://www.execunet.com/m_releases_content.cfm?id=3349 http://http://www2.warwick.ac.uk/fac/soc/law/elj/jilt/2002_1/kenny/ExecuNet は 2007 年の 雇用トレンド上位 5 位のうち一つを『就職活動はデジタルの塵に埋もれた』状況だと表現した。 4 http://www.archive.org/web/web.php 336 そこではあなた自身が自分について書き込んだ情報ばかりでなく、あなたについて他者がどこかに 投稿した情報さえもが見つかる可能性がある。個人のプライバシーや機微な情報の守秘義務に対 する不確実さは、SNS の持つ数々の肯定的な要素をも上回る、SNS の大きな否定的側面である。あ なたに関わるすべてのもの-もしくはあなたに繋がるすべての人-は他者から見られ、判断の対象 とされてしまう。そして閲覧者の側に今もしくは将来のあなたに大きな影響を与えるかもしれない 人々がいる可能性もある。 あなたの情報が仕事に関係する事情で利用される可能性があると知れば、あなたの考え方も変 わるだろう。投稿された情報次第では、あなたの将来性は大きく貶められたり、また救われたりする。 MySpace や Facebook、Friendstar は、友人達だけの輪の中で自由に何をしても何を話してもいい 場所だと思われがちだ。またはプライバシー保護策が組み込まれた、学校や地域という閉じられた ネットワークにいるように感じているかもしれない。しかしどちらの視点も誤りである 5。以下を考えて みてほしい。: 2007 年 1 月 - オンタリオ州東部の食料品チェーン店である Farm Boy では、Facebook 上 の「I got Farm Boy'd」というグループの投稿内容を読んでオタワ支店の複数の従業員を解 雇した。「Ottawa Citizen」紙にて元従業員が語るには、彼が店内で盗みを働いたのを 咎められたとそのグループページに書き込んだためだという。 そしてネット上であなたの情報を探しているのは今の雇用者だけではない。中には将来的にあ なたの上司になる可能性のある人もいるかもしれないし、あなたの乱暴な発言を目に留めてしまっ たばかりに、あなたをトラブルメーカーだとみなして面接に呼ばないと判断し、一生あなたの上司 になる可能性が無くなった人もいるかもしれない。リクルーターはサーチエンジンや SNS を利用して 仕事への応募者の身元情報を取得し、そこで見つかった情報を元に、既に多くの応募者の足きり をはじめている(Facebook では一部のメンバー情報を一般のサーチエンジンで検索可能にするこ とを容易にできるようになっているが、ユーザーはプライバシーコントロールを利用して防ぐことが できる6)。採用担当者は人権法の関係で面接ではあなたに聞くことが許されていないような質問へ の答えをあなたのページで見つけてしまうかもしれない。もしそのような機微な情報について自分 5 Facebook のネットワークでのプライバシーは、他のネットワークからのユーザーはあなたの友達 としてリンクされない限りあなたの情報が彼らには見えないような最小化されたものとなっている。し かし、もし他のプライバシー設定を適用してプライバシーを保護しないのであれば、目的の人物の プロフィール情報を得るために一時的に当該者の地域ネットワークに参加するなどして情報を入手 したりプロフィールを閲覧したりするのは簡単である。 6 IPC の Tip 集 “How to Protect Your Privacy on Facebook,” (Facebook 上でプライバシーをどのように保護するか) http://www.ipc.on.ca/images/Resources/up-1facebk_handout_priv.pdf 337 のサイトに投稿する場合には、あなたのオンラインプロフィールに関するどのような情報についての 質問が来てもその場で応えられるようにしておかなければならない。 雇用者があなたをリサーチする上で問題とみなす可能性のある例を幾つか挙げる: 娯楽的活動が写りこんだあなたや友人のプロファイル写真: もしあなたが酔っていたり自分自身をコントロールできていないように見受けられたり、 パーティで騒いでいたり、または攻撃的な態度だと見なされかねない状態であれば、 あなたの評判は失われる可能性がある。 職場に関する次のようなコメント: 『上司が嫌い!』 『朝どうやっても起きられない。また遅刻だ!』 『こんなに働かなくても良いじゃないか!』 あなたの宗教的、政治的、もしくは性的な活動や視点(これらがグループ活動を通じてで明 らかになっていたり、暗に記されていたりする場合): もしそれらが異端であれば、悪影響を及ぼす可能性を考慮するべきである もし SNS から取得された情報を元にあなたを判断されてしまった場合、あなたは何故仕事で落と されたのか、何故面接を受けさせて貰えなかったのか、何故昇進できなかったのか等の理由を永 遠に知ることはないだろう。今の時点では少なくとも、SNS など Web2.0 ツールの持つ「暴露」的な性 質を、異質で決まりが悪くリスキーなものであり、時にビジネスの場にはふさわしくないと判断する人 は、ネガティブな判断を下すことだろう 7 。あなたにとっては楽しく、深い意味のない「ウォール (Wall)」上の投稿は、その文脈が理解できない他者にとっては、あなたの無謀さや判断力の無さの 根拠とされてしまいかねない。あなたの活動やコメント、考え方は、あなたからすれば友人とふざけ ていただけかも知れないが、うっかりしていたにしろそうではないにしろ、それらのすべての要素は 誰もが閲覧可能なオンライン履歴書の一部となってしまうのだ。 7 John Palfrey の“digital natives” と “digital immigrants,”についてのコメントを参照のこと HBR Case Commentary, Harvard Business Review, June 2007, p. 42.. 338 そんな困惑しそうな状況や、もっと酷い場合、仕事の機会を失いかねないような状況から、どうや って自分の身を守ればよいのだろうか? 1. 文章や写真をグループや掲示板に投稿し、他人のページに書き込むときは、それが現在 の雇用者との対話や就職面接の場において話したくないトピックではないことを『クリックす る前に良く考える』こと。あなたの仕事に関連する不適切で品位を落とす中傷的な情報は 特にリスキーである。 2. Google などのサーチエンジンを利用して、SNS や、ZoomInfo や LinkedIn などのビジネス・ 人材サイトなどにあなたに関する情報がないか確認すること。見つかった情報の幾つかは 偽の情報だったり、同姓同名の別人についての情報だったりするだろうが、それでも知って おく必要がある。 3. もし可能であれば、現在の雇用主や就職面接の場で話せないような情報は削除すること。 見られて困るような自分の写真を友人がアップしている場合には削除するよう依頼する。最 近 で は こ の よ う な 削 除 事 業 を 行 う 民 間 企 業 が あ り 、 例 え ば 、 Reputation Defender(www.Reputationdefender.com)では料金を払えばこのサービスが利用できる。 しかしこのような情報による悪影響は長く続く可能性があることを理解する必要がある: - 削除された情報はその後もサイトのキャッシュやアーカイブとして残り、熱心なインターネット ユーザーに見つかる可能性がある。削除された情報が既に見られていた場合に供え、説明 を用意しておく必要があるだろう - 新しいメディアや政府に記録されたものを削除するのは不可能に近い - 都合の悪い情報は既に将来雇用者となるかも知れない誰かに見られてしまっているかもし れない 4. オンラインソーシャルネットワーク上では自分の個人情報に対してプライバシー管理を実施 すること。中には利用にクセがあるので、設定した後はプロフィール画面を他人に確認して 貰うか、一般のサーチエンジンを利用して自分の情報を検索してみるなどしてテストすること 8 - 。 もしあなたのプロフィールを閲覧可能な人物があなたの友人のページも閲覧可能な場合、 見られたくないような画像や発言を見られることもありうる。また、自分のプロフィールは友 8 これらのコントロールについては事前の通知なしで設定が変更になることもありうるため、完 全に信用するのは危険である 339 人のページの閲覧者には見られない状態であることを確実にし、可能であれば、適切に プライバシー管理を行うこと。Facebook には、他者のページにある自分の写真が自分の名 前とタグ付けされないようにするための方法が幾つか存在している9。 - SNS 内で第三者が開発したアプリケーションの利用には特別の注意を払うこと。iLike のよう なアプリケーションは個人情報を収集して利用するが、ユーザーがプライバシーポリシー を見つけられずそれに合意しない場合(開発者がそれを遵守しない場合)、収集され た個人情報が何に使われているのかを知ることはない。 5. 自分のために、自分や他人のサイト、写真、グループにコメントして自分のプロフィールに 良い印象を積み重ねる-将来的な雇用者に見て欲しい自分を演出する。 最後に、繰り返しではあるが、それだけの価値があるので言わなければならない。インターネ ットや web は基本的に公共の場所であるということだ。もしどうしても削除できない情報があるのなら、 いずれ見つかり説明する羽目になると考えて準備しておく方がよい。 9 IPC の Tip 集 “How to Protect Your Privacy on Facebook,” (Facebook でプライバシーを守るには) http://www.ipc.on.ca/images/Resources/up-1facebk_handout_priv.pdf 340 DESIGN: Bus Stop Design + Communications www.busstopdesign.com 341 連絡先: お問い合わせは下記までお願いします: Tel: (416) 326-3333 1-800-387-0073 Fax: (416) 325-9195 テレタイプ端末: (416) 325-7539 e-mail: info@ipc.on.ca Web: www.ipc.on.ca 2 Bloor Street East Suite 1400 Toronto, Ontario M4W 1A8 Canada Ann Cavoukian, Ph.D. オンタリオ州情報・プライバシーコミッショナー事務局 カナダ 342 禁 無 断 転 載 PRIVACY BY DESIGN … TAKE THE CHALLENGE (日本語訳) 平成26年4月発行 Ver 1.0 原著者 Ann Cavoukian, Ph.D 監訳 堀部政男 編訳 一般財団法人日本情報経済社会推進協会 発行 次世代パーソナルサービス推進コンソーシアム (事務局:一般財団法人日本情報経済社会推進協会) 東京都港区六本木 1-9-9 六本木ファーストビル内 TEL 03(5860)7558 © Ann Cavoukian Ph.d、堀部政男、JIPDEC 343
© Copyright 2024 Paperzz