FTC議長 イーディス・ラミレス氏が語る、IoTのリスク
FTCは、アメリカ国内市場が競争原理に基づき運用されることを確保し、不当な制限から自由な状況を確保することを目指す組織だ。不公正な競争方法の防止と独占禁止法に違反した会社の調査をが主な任務である。
FTC議長 イーディス・ラミレス氏がCESの基調講演で語ったのは、IoTのプライバシー問題について。2015年は、IoTデバイスの数が250億個に達するといわれており、人々は次の3つのリスクと対峙するという。
(1)ユビキタス(偏在的)なデータ収集
(2)データの目的外利用による潜在的危険性
(3)セキュリティリスクの拡大
自動車、テレビ、掃除機、監視カメラなどは言うにおよばず、ドアロック、体温計、衣類などあらゆるものがインターネットにつながることによって、膨大な個人データが時間・場所を問わず収集される。その中には健康や人権に関わる情報も含まれる。人々は家の中で普通に生活していてもデータが収集されていると思わなければならない。
データの目的外利用による潜在的危険性は、提供側や収集側が想定していないデータの利用によって生じる被害があるという危険性だ。たとえば人材採用で不利益を被ったり、保険契約などで不当な差別を受けるかもしれないという意味である。
3番目のセキュリティリスクの拡大は、世の中に浸透するIoT機器を利用したサイバー攻撃やインシデントが増えるということを警告している。
セキュリティ・バイ・デザインとデータ利用の透明性で対応
これらのリスクへの対策として、ラミレス氏は以下の3点を挙げている。
(1)セキュリティ・バイ・デザインの導入
(2)データの最小化
(3)悪用・目的外利用に対する透明性の確保および消費者への通知と選択
1番目のセキュリティ・バイ・デザインとは、企画・設計段階からセキュリティ向上を目指す考え方だ。サーバーやストレージをはじめとする情報システム関連ハードウェアだけでなく、ICSやSCADAとよばれる産業制御システムの領域では啓発・普及が叫ばれていることだが、IoTのシステムにおいても同様に必要だということだ。認証機構やセキュリティアップデートなど問題となっているが、家電製品やセンサー、通信モジュールやクラウドサービス基盤なども対象として拡大されるというわけだ。
2番目のデータの最小化とは、利用が明確でない情報や必要のない情報は収集しないようにすべき、ということだ。ビッグデータを活用したビジネスを考えている企業にとっては受け入れがたいかもしれないが、個人情報やプライバシー情報に関するインシデントは、時に企業の業績はおろか存続に関わる問題まで広がることがある。個人情報を収取する責任とリスク評価は楽観的に行うべきではないだろう。
3番目の対策は、すべての業界の信頼性の維持、向上のために必要なものだ。利用目的の明確化とその周知、そして利用の可否の選択主体を消費者に委ねること。攻撃や漏えい・悪用があった場合、情報公開を含めて迅速に対応する。これらができない企業や業界は、グローバルで信頼に値しないというコモンセンスができている。
【次ページ】Google Glassの個人販売はなぜなくなった?