カテゴリー
キーワード

今注目されているプライバシー・バイ・デザイン(PbD:Privacy by Design)とは? なぜ重要とされるのか?

         

日本で個人情報保護法が成立したのは2003年のこと。情報通信技術の進展とともに改正が進められ、近年の改正ではAI・ビッグデータ時代に即した内容の拡充や官民一元化に取り組まれています。

そんななかで注目を集めているのが「プライバシー・バイ・デザイン」という概念です。なぜ重要なのか、どのように実現すべきなのかなど情報セキュリティを高めるにあたって知っておくべきポイントをまとめてご紹介します!

「プライバシー・バイ・デザイン」は“企画段階で個人情報保護の仕組みを組み込むこと”

「プライバシー・バイ・デザイン」(PbD:Privacy by Design)とは、”個人情報保護の仕組みをシステムやサービスの企画時点で設計し、組み込んでおくこと“を意味します。1990年代、カナダ、オンタリオ州の情報プライバシーコミッショナー、アン・カブキアン博士によって開発されました。

上記の動画でCBC News(カナダの公共放送)のインタビューに答えている女性がアン・カブキアン博士。カナダ・トロントで進むスマートシティ計画におけるAlphabet傘下の私企業Sidewalk Labsのデータの取り扱いにPbDの観点から懸念を覚え、要職を辞任した背景について説明しています。

日本でもスーパーシティ構想などスマートシティ計画が進められる途上にあり、防犯カメラやセンサーから取得したデータの利用に伴いプライバシー・バイ・デザインの重要性も高まるでしょう。

また、近年企業が保有する個人情報流出事件がたびたび問題になるように、民間企業もプライバシー・バイ・デザインの考え方を組み込むことは不可欠です。

プライバシー・バイ・デザインの7つの原則

プライバシー・バイ・デザインでは以下の7つの基本原則により、パーソナルデータの保護と適切な活用を実現することを提案します。

【1】事後的ではなく、事前的:救済的でなく予防的
【2】初期設定としてのプライバシー
【3】デザインに組み込まれるプライバシー
【4】全機能的:ゼロサムではなく、ポジティブサム
【5】最初から最後までのセキュリティ:すべてのライフサイクルを保護
【6】可視性と透明性:公開の維持
【7】利用者のプライバシーの尊重:利用者中心主義を維持する

出典:PdD 7つの基本原則┃総務省

【1】はプライバシーの“脅威が起こる前に対処しておく”という、まさにPdDの根幹と言える原則です。【2】は商慣行やITシステムなど個人情報を保護する仕組みがデフォルトの状態として設定されていることを意味します。【3】も同じく、サービスやシステムの設計自体にプライバシーの概念が組み込まれているということで、【4】はプライバシーとセキュリティを対立させず、両方を達成することを目指します。

【5】はデータ他のライフサイクル(最初の取得から破棄まで)のすべての段階でプライバシーが保たれることで達成されます。【6】はプライバシーを保つための仕組みを全ステークホルダーが確認できる状態にあり、機能していることが証明されうることを求めています。そして、【7】はサービスやシステムのプライバシー保護に取り組むうえで、ユーザーを中心に据え、その利益を最大限に維持することを指します。

「セキュリティ・バイ・デザイン」とは? IoTやデータマネジメントとのかかわりとは?

セキュリティ・バイ・デザイン(SbD:Security by Design)は、プライバシー情報に限らないあらゆるデータやネットワーク上の脅威からの保護をプライバシー・バイ・デザインと同じく事前に構築し、サービスやシステムに組み込んでおくことを意味します。

内閣府サイバーセキュリティセンター(NISC)の資料では、物理的な設備や機器が情報ネットワークに接続されたIoT(モノのインターネット)において「セキュリティ・バイ・デザイン」の思想は不可欠であり、またコストや効果の高さという面でもメリットが大きいと説明されています。なんと、設計時にセキュリティ対策を行った場合と、運用時にセキュリティ対策を行った場合とではコストに100倍の差が生じるとの説明も。

とはいえ、資料が作成された2016年末段階では、「セキュリティ設計の歴史が浅く、上流工程の開発プロセスが定まっていない」「非機能要件であるセキュリティは企画段階で考慮されづらい」という問題があることも指摘されています。現在ではIoTやAIがより一般化したこともあり、当時よりセキュリティ・バイ・デザインの考え方は浸透しているはずです。

「データマネジメント」のバイブルと名高いDAMA InternationalのDMBOK(Data Management Body of Knowledge)がデータマネジメントで押さえるべき領域についてまとめたDAMAホイール図にも「データセキュリティ」という項目があります。データの全体像を把握し、機密度や重要度によってセキュリティレベルを定め、それに応じてデータを保護しつづける仕組みを設けることはもはやデータマネジメントにおいて当たり前のことなのです。

プライバシー・バイ・デザインを実現するための「プライバシー影響評価」

プライバシー・バイ・デザインを実現するための手段の一つにプライバシー影響評価(PIA:Privacy Impact Assessment)があります。PIAとは、“個人情報を取り扱うサービス・システムを構築する段階でそのリスクを評価し、管理体制や対応計画を事前に構築しておくこと”を意味します。一般社団法人日本情報経済社会推進協会(JIPDEC)の資料によると、PIAは以下の8ステップで実施することができます。

ステップ1:PIAの必要性の決定
ステップ2:PIAの事前準備
ステップ3:アセスメント対象の説明
ステップ4:ステークホルダーのエンゲージメント
ステップ5:プライバシー安全対策要件の決定
ステップ6:プライバシーリスクアセスメント
ステップ7:プライバシーリスク対応の準備
ステップ8:PIAのフォローアップ

出典:プライバシー影響評価(Privacy Impact Assessment)〜ISO/IEC29134:2017 の JIS 化について〜 ┃一般社団法人日本情報経済社会推進協会

終わりに

変化の激しいVUCA時代、事前に計画を固め過ぎずアジャイルに事業を進めることが重要だとされています。しかし、そんななかでも、プライバシー保護やセキュリティ対策については企画段階から組み込んでおくことは不可欠です。

プライバシー・バイ・デザインは、7つの原則にある通り、データをはじめに取得してから破棄するまでつづきます。新たなリスクに対し対策をアップデートすることも含めて、計画を進めていきましょう。

【参考資料】
・個人情報保護法令和2年改正及び令和3年改正案について┃個人情報保護委員会
・PdD 7つの基本原則┃総務省
・セキュリティ・バイ・デザイン入門~看板倒れでない設計段階のセキュリティ対策とは~┃IPA(独立行政法人情報処理推進機構)
・ゆずたそ (著, 編集), はせりょ (著) 『データマネジメントが30分でわかる本 Kindle版』2020
・プライバシー影響評価(Privacy Impact Assessment)〜ISO/IEC29134:2017 の JIS 化について〜 ┃一般社団法人日本情報経済社会推進協会
・DXに必須!プライバシーガバナンス 第3回/全5回 プライバシー影響評価(PIA)の実践が企業のガバナンスを促進┃日経XTREND
・プライバシー・バイ・デザインの実務的な基本概念と重要性┃EY 新日本有限責任監査法人

宮田文机

 
×

メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。


データ活用 Data utilization テクノロジー technology 社会 society ビジネス business ライフ life 特集 Special feature

関連記事Related article

書評記事Book-review

データのじかん公式InstagramInstagram

データのじかん公式Instagram

30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!

おすすめ記事Recommended articles

掲載特集

デジタル・DX・データにまつわる4コマ劇場『タイムくん』 デジタル・DX・データにまつわる4コマ劇場『タイムくん』 データのじかんをもっと詳しくデータのじかんフィーチャーズ データのじかんをもっと詳しく データのじかんフィーチャーズ 「47都道府県47色のDXの在り方」を訪ねる『Local DX Lab』 「47都道府県47色のDXの在り方」を訪ねる『Local DX Lab』 DXの1次情報をを世界から『World DX Journal』 DXの1次情報をを世界から 『World DX Journal』 データで越境するあなたへおすすめの『ブックレビュー』 データで越境するあなたへおすすめの 『ブックレビュー』 BIツールユーザーによる、BIツールユーザーのための、BIツールのトリセツ BIツールユーザーによる、BIツールユーザーのための、BIツールのトリセツ CIOの履歴書 by 一般社団法人CIOシェアリング協議会 CIOの履歴書 by 一般社団法人CIOシェアリング協議会 なぜ、日本企業のIT化が進まないのか――日本のSI構造から考える なぜ、日本企業のIT化が進まないのか――日本のSI構造から考える 日本ビジネスの血流である帳票のトレンドを徹底解説 日本ビジネスの血流である帳票のトレンドを徹底解説 データを武器にした課題解決家「柏木吉基」のあなたの組織がデータを活かせていないワケ データを武器にした課題解決家「柏木吉基」のあなたの組織がデータを活かせていないワケ BI(ビジネスインテリジェンス)のトリセツ BI(ビジネスインテリジェンス)のトリセツ 入社1年目に知っておきたい差が付くKPIマネジメント 入社1年目に知っておきたい 差が付くKPIマネジメント CIOLounge矢島氏が紐解くトップランナーたちのDXの“ホンネ” CIOLounge矢島氏が紐解く トップランナーたちのDXの“ホンネ” データのじかん Resources越境者のためのお役立ち資料集 データのじかん Resources 越境者のためのお役立ち資料集 AI実装の現在地点-トップITベンダーの捉え方 AI実装の現在地点-トップITベンダーの捉え方 データでビジネス、ライフを変える、面白くするDATA LOVERS データでビジネス、ライフを変える、 面白くするDATA LOVERS データマネジメント・ラジオ by データ横丁 データマネジメント・ラジオ by データ横丁 データのじかんNews データのじかんNews データ・情報は生もの!『DX Namamono information』 データ・情報は生もの! 『DX Namamono information』 ちょびっとラビット耳よりラピッドニュース ちょびっとラビット耳よりラピッドニュース AI事務員宮西さん(データ組織立ち上げ編) AI事務員宮西さん(データ組織立ち上げ編) 藤谷先生と一緒に学ぶ、DXリーダーのための危機管理入門 藤谷先生と一緒に学ぶ、DXリーダーのための危機管理入門 生情報取材班AI時代に逆行?ヒトが体感した「生情報」のみをお届け! 生情報取材班AI時代に逆行?ヒトが体感した「生情報」のみをお届け! データはともだち 〜怖くないよ!by UpdataTV Original データはともだち 〜怖くないよ!by UpdataTV Original データ飯店〜データに携わるモノたちの2.5thプレイス by UpdataTV〜 データ飯店〜データに携わるモノたちの2.5thプレイス by UpdataTV〜 インサイトーク〜データで世界を覗いてみたら〜by WingArc1st + IDEATECH インサイトーク〜データで世界を覗いてみたら〜by WingArc1st + IDEATECH
close close