モノのインターネット（Internet of Things: IoT）のプライバシー保護に関する世界の議論動向

１．はじめに

現在「モノのインターネット(Internet of Things: IoT)」のプライバシーやデータ保護の問題に関し、各国政府や機関が様々な形で検討が進められている。

例えば、EUでは、データ保護指令第29条作業部会(Article 29 Working Party)がIoTに関する検討を行い、2014年9月16日にIoTのデータ保護における問題点や、EUのデータ保護法をどのようにIoTに適用させるかといった点についての意見書を公表している。

また、米国でもデータ保護の規制機関となっている連邦取引委員会（Federal Trade Commission: FTC）は2013年11月19日に「Internet of Things – Privacy and Security in a Connected World」と題したワークショップを開催し、FTCがIoTのプライバシーやセキュリティ問題に関しどのように対応していくべきかについての議論を行っている（※1）。

さらに、今月10月13日から16日にモーリシャスで開催された「第36回データ保護＆プライバシー・コミッショナー国際会議」でも、IoTが一つの議題となり、「IoTに関するモーリシャス宣言」も公表されている。

このように現在世界各国においてIoTはプライバシーやデータ保護における一つの重要な検討事項になっており、各国政府はこれらイノベーションの推進とデータ保護のバランスをどのようにとるのかについて頭を悩ませている。本記事では、これらIoTのプライバシー保護に関する各国の検討状況についてまとめる。

２．欧州の動向

欧州連合（EU）のデータ保護指令第29条作業部会は、2014年9月16日に、「Opinion 8/2014 on the on Recent Developments on the Internet of Things」と題する意見書を公表した（※2）。本意見書は、2013年3月15日に同じく第29条作業部会から公表された「Opinion 02/2013 on apps on smart devices（※3）」を補完する位置づけのもので、特にIoTに関し現在のEUデータ保護指令をどのように適用していくべきかについて、より踏み込んだ検討がなされている。

本意見書では、まず始めに本意見書で対象とするIoTとして、(1)時計やメガネなどのウェアラブル、(2)睡眠トラッカー等の個人の習慣やライフスタイルを記録しデータ化する、自己定量化ツール、(3)ネット接続された電化製品などのホームオートメーション機器、の３つを検討対象にした上で、これらIoTのデータ保護上の課題として、以下の6点をあげている。

• サードパーティのモニタリング等により、データの流通に関するコントロールの欠如
• 同意が不十分あるいは無効
• 当初の利用目的を超えた二次利用の可能性
• 行動パターンやプロファイリングの露見
• 当該サービスを匿名で利用することの限界
• セキュリティリスク（IoTにおけるセンサー類の暗号化や自動アップデートの難しさ等）

そして、これら現状分析を行った上で、IoTに関わるステークホルダー（端末製造者、ソーシャルプラットフォーム、サードパーティアプリケーションベンダー、IoTデータプラットフォーマ）はEU法を順守する必要があるとし、具体的にはEUデータ保護指令およびeプライバシー指令に準拠する必要があると指摘する。
　具体的にはEUデータ保護指令に基づき、以下の５つの条項を順守する必要があると指摘する。

• 同意の取得（データ保護指令第7条(a)、eプライバシー指令第5条（３））

　データ保護指令第7条(a)では、データの取扱いにあたって、データ主体の明確な同意が必要なことを規定する。これはIoTサービスにおいても同様で、端末製造者、データプラットフォーム、サードベンダ等のいずれの関係者であっても、本原則を順守する必要がある。

• 処理にあたっての法的根拠（データ保護指令第7条(b)、 (f)）

データ保護指令第7条はその他にもデータの取扱を適法にするための基準が規定されており、例えば、(b)項では「契約の履行又はその段階的作業のため」、あるいは同条(f)の「管理者等の適用な利益確保のため」といった基準を満たしている必要があるとする。IoTにおいても、これら基準を順守する必要がある。

本意見書では、公共交通機関の利用促進及び環境保護を目的に、市内の駐車場の駐車料金を車の車種や年代等に応じて変動させる仕組みを例に、具体的な説明がなされている。すなわち、例えば、車が市内の駐車場に入ってきた際に車のナンバーを読み取るセンサーを導入し、それにより、データベースから車の車種や年代を特定し、自動的に駐車料金を算出できるようにする仕組みが一種のIoTサービスとして考えられる。このケースでは、料金を算出するために車のナンバープレートの情報を読み取ることは、本条を満たしていると、本意見書では指摘する。ただし、それ以上の匿名化されていない車の移動情報等を取得する等の処理にあたっては、他の法的根拠が必要となる。

• データの内容に関する原則（データ保護指令第6条）

第6条は個人データの原則を定めたものであり、「(a)公正かつ適法に取り扱う」や、「(b)特定された明示的かつ適法な目的のために収集され、これらの目的と相容れない方法で更に取り扱われてはならない」といったデータ取扱いにあたっての諸原則が規定されている。本意見書では、IoTも本条文を順守する必要があることを強調する。

特にIoTには多様なセンサー類が含まれているが、消費者はこれらセンサーがどのようなデータを取得されているのかを確認することが難しい。それゆえ、IoT事業者自らが提供するサービスの個人データの利用は本原則に基づいていることを明らかにすることが重要となる。これも本意見書内で例示されているが、心拍数や血圧等を測定できるセンサーがついたヘルスケアデバイスがあるとする。そして、本デバイスには血中酸素レベルも測定できるセンサーもついているが、本センサー情報についてはデバイス上あるいはユーザーインターフェース上には本情報が取得されていることが表示されていないとする。この場合、血中酸素レベルが測定できる機能があったとしても、消費者の明示の同意が無い限り、本センサーを提供してはいけないと、本意見書は指摘している。

• センシティブデータの取扱（データ保護指令第8条）

第8条は、「人種又は民族的出自、政治的見解、宗教的又は思想的信条、労働組合への加入を明らかにするような個人データの取扱い、及び健康又は性生活に関するデータの取扱いを禁止しなければならない」と定め、データ主体の明示の同意等がない限り、これらセンシティブデータの利用を禁止する規定である。これについては特に自己定量化ツールを提供するIoTにおいて問題となることが予想され、自身のデータ等が長期間蓄積されることで例えば健康に関するセンシティブデータが推定される可能性がでてくる。こういったツールを提供する事業者はこういった可能性を想定、検討した上で、適切な対策をとることが求められる。

• 透明性要件（データ保護指令第10条、11条）

　第10条、第11条では、データ主体に提供されなければならない情報について規定されている。第10条では、データ主体からデータを収集した場合の情報として、(a)管理者、及び、代理人がいる場合はその身元、(b)意図されたデータの取扱目的、(c)アクセス権および訂正権の存在等を定めるよう、加盟国に義務付けている。IoTのセンサー類がこれら情報を消費者に対して分かりやすい形で提示することが特に重要となる。

• セキュリティ（データ保護指令第17条）

第17条では、取扱いの安全性が規定されており、個人データを保護するために、適切な技術的措置をとることが義務付けられている。これは、IoTデバイスの特定の部品等においても当然適用さるが、現在多くのセンサーは十分な暗号化がなされていなかったり、ワイヤレス通信もプロキシ攻撃等の攻撃にさらされやすいリスクを抱えていたりする。IoTサービスには複雑なサプライチェインのもと、多くのステークホルダーが関わることが多く、それらが異なる観点でセキュリティ上の責任を担うこととなる。したがって、これらセキュリティリスクを低減するため、取り扱うデータを最小限にする等の原則を順守することが改めて重要となる。

本意見書では、上記指摘をした上で、最後に各ステークホルダーに対する提言を行う、という構成となっている。本意見書は、これまでにも様々な観点で議論されていたIoTの問題に対し、改めてEUデータ保護指令等の既存の法規則に順守することの重要性を指摘したものといえるだろう。

３．米国の議論状況

米国のプライバシー保護の規制機関であるFTCは、2013年11月19日にIoTに関するワークショップを開催し、IoTのプライバシーやセキュリティに関する問題に対し、FTC等の規制機関や提供事業者、一般消費者がどのように対応していくべきかについて議論している（※4）。本ワークショップでの議論等を踏まえ、例えばFTCのコミッショナーであるJulie Brill氏は、2014年3月14日の講演の中で、IoTを提供する端末事業者やサービス事業者には３つの対策が必要になると指摘している（※5）。ただし、それらはIoT独自のものではなく、既にFTCが2012年のプライバシーレポート（※6）において指摘しているものであるとし、IoTにおいてはその重要性がより高まると指摘する。ここで指摘されているのは以下の3点である。

• プライバシー・バイ・デザイン
• 多くのIoTデバイスにはユーザーインターフェースがほとんどない、あるいはまったくないことから、提供事業者自らが消費者のプライバシー保護を重視した製品やサービスを提供する必要がある。
• パーソナルデータの堅牢な非識別化
• IoTでは様々な端末、サービス間でデータが流通される可能性が高まることから、データの非識別化が重要になる。その際の非識別化のベストプラクティスとしては、いわゆるFTC3要件が重要となる。
• 効果的な透明性の確保
• 迅速で、明快で、一般的でかつ可読性の高い告知を提供することで、消費者はその端末がどのデータを収集、送信しているのかを理解しやすくなる。また、IoTにおいては、特定の端末では視覚や聴覚、触覚を通して告知を提供できるようなまったく新しい手法がでてくるかもしれない。

米国においても、IoTは最近のパーソナルデータ保護の議論のホットイシューの一つとなっているが、その対応策としては、従来からFTCが主張しているベストプラクティスを実践することである、ということが読み取れる。

４．IoTに関するモーリシャス宣言

10月13日から16日にモーリシャスで開催された、「第36回データ保護＆プライバシー・コミッショナー国際会議」は、世界各国のプライバシー・データ保護に関する監督官庁、及び有識者が集まる国際会議であり、今年度はこの中でもIoTに関する検討が行われた。

そして、本会議での議論内容を踏まえ、「Internet of Thingsに関するモーリシャス宣言（※7）」が公表されている。このことからも、改めてIoTのデータ保護の問題がグローバルな問題として認識されているということを確認することができる。
　本宣言では主に以下の指摘がなされている。

• 自己決定(Self-determination)は人間にとって不可分の権利である。
• 接続機器から取得されたデータは、量的にも質的にも機微度としても増えており、それゆえにこれらはパーソナルデータとして取り扱われるべきである。
• 接続機器を提供しているものは、どのようなデータを収集し、どのような目的で、どの期間そのデータを保持するのかを明確にすべきである。
• プライバシー・バイ・デザインは革新的な技術を販売する際の重要な要素となるべきである。
• データは接続端末自体のローカル環境で処理させるべきである。もしローカル環境のみで処理することができない場合、企業は端末間の暗号化を保証すべきである。
• データ保護及びプライバシーの監督官庁は、法が侵された場合は適切な法執行を実行すべきである。
• IoTエコシステムに関わる全ての関係者は、IoTの可能性について、精力的、積極的、そして建設的な議論をしていく必要がある。

５．まとめ

以上、EU、米国におけるIoTに関する検討動向、および先日のデータ保護＆プライバシー・コミッショナー国際会議において公表されたInternet of Thingsに関するモーリシャス宣言について簡単に内容を紹介した。様々なデバイスがネットに繋がる世界においては全ての端末に入ってくる情報がデータ化され、ビッグデータとして利用されることとなる。その中で、パーソナルデータを以下に保護していくのかというのが現在のグローバルにおける大きな問題意識の一つとなっている。

ただし、新しい問題ではあるものの、既存の法体系では管理できなくなっているというものではなく、現在の各国のプライバシー関連法制度を順守することで対応できるとし、今後はさらにそれら施策が重要になる。

特に、プライバシー・バイ・デザインや透明性の確保といった点は、IoT端末やサービスの提供事業者にとっては必須のプライバシー対策として指摘されており、事業者側としてもこれらプライバシー対策をどのようにサービスに組み込んでいくかが、IoTビジネスを拡大させていく上での重要な要素になるといえるだろう。