セキュリティ

システム構築の「転ばぬ先の杖」、プライバシー・バイ・デザイン

2022.06.24

さまざまな分野で電子化が進み、世界的にもビッグデータ（※）の活用が盛んになりました。その一方で、個人情報の流出は深刻な問題となっています。
※ビッグデータ：総務省では「事業に役立つ知見を導出するためのデータ」と定義しています。多様な分野にわたって生成・収集されるデータで、量（Volume）、種類（Variety）、入出力速度（Velocity）の3Vが特性と言われます。

個人情報の流出は深刻な問題になっています

日本では2003年に成立（2005年に全面施行）した「個人情報の保護に関する法律（個人情報保護法）」によって個人情報の流出を規制しました。しかし、情報通信技術の急速な発展により成立当時には想定されなかった課題や問題も見られるようになり、何度か改正。最近では2020年3月に成立した改正法が2022年4月に全面施行され、法規制がより厳格化されました。こうした動きは世界でも見られ、例えば欧州連合（EU）では、個人情報の保護を目的として「EU 一般データ保護規則（General Data Protection Regulation）」通称・GDPRを2018年に施行しています。

このように国際的にも個人情報の扱いはデリケートなものと認知される流れから生まれたのが、プライバシー・バイ・デザイン（Privacy by Design）というコンセプトです。プライバシー・バイ・デザインとは、1990年代にカナダの情報プライバシー・コミッショナーであるアン・カブキアン博士が提唱した概念で、プライバシーに関する問題が発生するたびに対処するのではなく、あらかじめプライバシーを保護する仕組みを組み込んでおくというものです。略して「PbD」とも表記されます。

プライバシー・バイ・デザインの実践には3つの目的があります。

プライバシーを確保すること
個人が自己情報の取扱いをコントロールできるようにすること
組織として持続可能な競争的利点を獲得すること

これらは次に掲げる7つの基本原則を守ることで、達成できるとされています。

１、事後ではなく事前

個人情報の流失やプライバシー侵害が発生する前に、それを予測して対応することがプライバシー・バイ・デザインの要です。このアプローチは受け身ではなく、積極的にプライバシー保護へと動いていることが特徴です。救済的に作用するのではなく、予防的に作用するのがプライバシ・バイ・デザインなのです。

２、初期設定で保護

システムやサービスの初期設定としてプライバシー保護が組み込まれている必要があります。これによりユーザーが個人情報の公開範囲などを設定しなくても、プライバシーが保護されている状態で利用することができるのです。

３、デザインに組み込む

後から付加機能として追加するのではなく、そのシステムやサービスを構築する段階から取り入れることで、中心的な機能にプライバシー保護が含まれるようになります。

４、ポジティブ・サムである

「ポジティブ・サム」とは、英語の「Positive = プラスの」と「Sum = 合計」を組み合わせていることから、片方が得をすれば、もう片方も得をするという状態を指します。対して、似た言葉に「ゼロ・サム」がありますが、こちらは「Zoro = ゼロの」と「Sum = 合計」から差し引きゼロを表し、片方が得をすれば、もう片方が同じだけ損をするという状態を指します。
プライバシー・バイ・デザインでは、プライバシー保護を優先させるとシステムやサービスの利便性が損なわれるというゼロ・サムではなく、これらを両立できるwin-winの関係 = ポジティブ・サムを目指します。

５、データのライフサイクル全般にわたる保護

プライバシーに関する情報は生成、収集、保管、廃棄される時まで常に保護されるべきです。プライバシー・バイ・デザインにおける全データは、徹底したセキュリティのもとライフサイクル管理され、不要になった時には確実に消去（廃棄）されます。

６、可視化と透明性の維持

プライバシー・バイ・デザインでは、プライバシー保護の仕組みについてシステムやサービスの提供者側だけではなく、ユーザー側でも確認や検証できるよう可視化することを目指しています。そして、どんな技術が関係してこようとも、その透明性が保たれることが重要、としています。

７、ユーザー中心主義

システムやサービスのユーザーが自己の情報を簡単に変更でき、必要な通知が適切に行われる、といったユーザー中心主義の構成にすることで、プライバシーを最大限に尊重します。

システムの構築段階でプライバシー保護を組み込むことは世界的なトレンドとなっています

情報に大きな価値を見出し、活用することは生産性や利便性の向上につながりますが、安心して利用できる環境であることが大前提です。そういった意味で、明確に基本原則を打ち出しているプライバシー・バイ・デザインは、取り入れやすいものだと思います。
電子データ化センターでは、個人情報に配慮した電子化を行っております。ISO27001を取得しておりますので、ご安心してお任せ下さい。

参考

総務省　平成24年版情報通信白書　第1部　特集　ICTが導く震災復興・日本再生の道筋
（1）ビッグデータとは何か
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h24/html/nc121410.html
総務省パーソナルデータの利用・流通に関する研究会（第 1 回）参考資料 7-2　「Privacy by Design ７つの基本原則」（PDF）
https://www.soumu.go.jp/main_content/000196322.pdf