ビジネスに情報を活用するという当然と思われることが中を見ていくと難しい問題を抱えていることのようだ。
取得することが許される情報は何か?、取得方法で許される方法は何か、情報利用で許される範囲は何か、情報のオーナー(個人情報に関連するものならその個人または委託者)に対してどのような承諾が必要か、どのようなオーナーの関与を可能としなければいけないか、などなど難しい。
個別では許可される情報の扱いも、集計や関連付けされた場合も許可されるのか。統計解析処理は許可される範囲だろうか。
※
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/103000099/
ベネッセ事件と米データブローカーに学ぶ名簿業者規制
2014/11/05
大豆生田 崇志=日経コンピュータ (筆者執筆記事一覧)
個人情報保護法改正で広がる、ビッグデータ活用の可能性とは?キーパーソンや専門家が最先端の動向を語るセミナー「プライバシーSummit Japan」を11/28(金)に緊急開催します。お申し込み、詳細は今すぐこちらへ
同じテーマでいろいろな方に取材していると、異なる取材先から同じ答えが返ってきて驚くことがある。最近では「犯罪組織もビッグデータ解析を始めている」という話を複数の取材先から聞く機会があった。
「セキュリティに詳しければ、犯罪組織もビッグデータ解析をやりたがっているはずと考える」。2014年1月にこう話してくれたのはセキュリティ関連の国際会議やセミナーを手がけているメタ・アソシエイツ代表の高間剛典氏だ(写真1)。
高間氏は英NGO「プライバシー・インターナショナル」のアドバイザリー・ボードメンバーで、2003年に伊藤穣一現MITメディアラボ所長のもとで、総務省が公表した「電子政府・電子自治体のプライバシーに関する調査研究報告書」などの海外調査を手がけた経歴の持ち主だ。
高間氏によると、犯罪組織の主な“収益”は特定の個人になりすましてクレジットカードや銀行の口座情報を使って現金化すること。当然ながら資産を持つ個人を狙う方が効率が上がる。個人データを高く売るには、お金になりそうな人をピックアップする。犯罪組織もビッグデータ解析をしてデータを精査し、ターゲットを絞る段階という。
実際に海外で起きている犯罪がある。カード会社を名乗って個人に電話をかけて「あなたのデータが流出したので確認させてください」と盗んだカードの情報を全部読み上げる。それが違っていなければ問題ないと言わせて「ありがとうございました」と電話を切る。直後にカードが不正利用される。
日本の「振り込め詐欺」でも標的になりやすい高齢者の名簿が出回っているとされる。同じようにカード会社を偽って電話をかける手口でも的を絞る方が効率が上がる。政府機関を狙ったメールによる標的型攻撃では、日ごろやりとりされている文体を緻密に分析して通常のイベントなどを装ったメールが届く段階にあるという。
「バラバラのデータを集積する分析力があれば、いろいろなことができるはず」と高間氏は警告する。パーソナルデータの保護と利用を議論するならば、データが悪用されるという前提で、こうした手口に対抗できる手段も考えなければならないということになる。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/103000099/?ST=management&P=2
ベネッセ事件と米データブローカーに学ぶ名簿業者規制 (2/4)
2014/11/05
問題は漏洩だけではない
最近になって同じ問題意識を別の取材先からも聞く機会があった。2014年7月に大量の個人情報の漏洩が発覚したベネッセホールディングスの事件が話題になったときだ。
ベネッセ事件は名簿業者を通じて流出したデータが使われ、見知らぬ相手からダイレクトメールが来ることだけが問題なのではない。問題の本質は、犯罪者にとっては断片的なデータだけでも、流出した個人情報と突き合わせて狙い撃ちできる手段が増えたことだという。
既にアンダーグラウンドの世界では、大量の個人情報が流通している。さらに大量の漏洩したデータが加わって、データをひも付ける土台が増えたことになる。
つまりデータの漏洩ばかりに注目するのは的外れで、今後予想される問題の方が遙かに大きい。例えばインターネットのサイトに生年月日を書いただけでも、IPアドレスで地域が特定されて、既に漏れたデータで個人名や住所が照合されやすい。国内の未成年者の多くが、そんなリスクを抱えた状態に置かれているという。
こうしたリスクを子どもに理解させるのが難しいならば、まず保護者がリスクを認識しなければならない。さらにいえば大量のデータ漏洩が続くと、もはやパーソナルデータを活用する ビジネスは困難になってしまう恐れすらある。
高間氏は、セキュリティとプライバシーの双方に関心を持っていなければ、こうした問題意識を理解するのは難しいという。セキュリティにしか関心がなければ、データが流出してしまったらパスワードを変えるといった技術的なセキュリティ対策だけで考えようとしてしまう。プライバシーだけが関心事だと「見知らぬ相手にデータが使われるのは気持ち悪い」といった反応にとどまってしまうというわけだ。
名簿業者を規制できない理由
政府はベネッセ事件を受けて、個人情報保護法の改正で「いわゆる名簿屋」と呼ばれる事業者をどう規制するか本格的な議論を始める方針という。個人情報保護法の改正方針をまとめた大綱は、名簿業者が販売する個人情報が、詐欺などの犯罪行為や不適切な勧誘で消費者被害を起こしているとして検討課題に挙げた。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/103000099/?ST=management&P=3
ベネッセ事件と米データブローカーに学ぶ名簿業者規制 (3/4)
2014/11/05
消費者行政全般に対して意見表明をする内閣府の消費者委員会は2014年9月に、ベネッセ事件を受けて、企業同士が本人の同意なく個人データをやり取りするにはデータの提供側に加えて受領側にも個人情報保護法の改正で発足する専門の第三者機関への届け出義務などを課すよう求めた。
現行の個人情報保護法では、企業が個人データをやり取りする場合、本人の同意を得るのが原則。ただ、提供元がホームページなどでオプトアウト(利用停止)の手段を示せば、本人が明確に同意しなくても提供できるという例外規定がある。それによって知らぬ間に個人情報が流通してきた。
消費者委は当初は名簿業者の登録制度などを設けて監督や規制を検討していた。だが実態が分からないまま名簿業者を規制するのは難しいと判断したという。マーケティングや住宅地図の作成、人物データベースといった通常のビジネスにも影響を及ぼしてしまうという指摘もある。
個人データの流通を一律に規制するのは難しい。しかし企業は「データの悪用を防ぐ手立てを講じなければならない」と話すのは、世界最大のデータブローカーである米アクシオムのチーフ・プライバシー・オフィサー(CPO)であるジェニファー・バレット氏だ(写真2)。
データブローカーは消費者の情報を収集して企業や公的機関に販売している企業だ。アクシオムは米国のほぼ全ての消費者のデータを保有し、マーケティングや不正行為の検知のために分析データを提供している。2013年に日本に再参入した。
バレット氏は漏洩したデータが「診療データや銀行口座データなどセンシティブな情報であれば、消費者の被害回復を手助けしなければならない」という。例えばクレジットカード会社は顧客がカードを紛失したと届ければ、利用を停止して不正利用があれば請求を取り消し、新しいカードを発行するといった対応をする。
同じように、消費者が長期間に渡って悪影響を受けないように、消費者の求めに応じてデータを更新できる仕組みが必要という。 漏洩したデータがアンダーグラウンドのブラックマーケットに流れたとしても、データの悪用による被害を少しでも減らすように努める必要があるというわけだ。
http://itpro.nikkeibp.co.jp/atcl/watcher/14/334361/103000099/?ST=management&P=4
ベネッセ事件と米データブローカーに学ぶ名簿業者規制 (4/4)
2014/11/05
アクシオムは2013年9月に消費者が自分のデータを閲覧したり修正したりできるAboutTheData.comというサイトを立ち上げた。自分のデータを削除してオプトアウトもできる。その気になれば、40歳代の消費者が20歳代と書き換えることもできる。これまでに75万人以上がアカウントを作ったものの、実際にオプトアウトしたのは2%未満という。
アクシオムがこうした対応を始めたのは法規制があるためではない。企業同士が行動規範として定めた自主規制と、強力な権限を持つ米連邦取引委員会や法律による直接規制を組み合わせた「共同規制」があるためだという。
米国は消費者が自らのデータの扱いについて選択肢を用意すべきだという考え方が多い。欧州の法規制はパーソナルデータを提供した個人を「データ主体」と呼び、データ主体に権利があるとする。
1980年に公表され各国の個人データ保護法制の基礎になっているOECDガイドラインの原則は「個人データは、その利用目的に沿ったものであるべきであり、かつ利用目的に必要な範囲内で正確、完全であり最新なものに保たれなければならない」と求めている。
同様の規定は日本の個人情報保護法にもある。しかし消費者に完全な選択肢を与えているといえるかといえば、心もとない。個人のデータを集めたデータベースを構築すると、あたかも自由に扱えるデータだと錯覚して、何十年前ものデータを抱えたまま漏洩事件を起こしたり、顧客に分かりにくい説明しかせずに知らぬ間にデータを他社に渡していれば、「いわゆる名簿屋」と変わらなくなってしまう。
アクシオムは2014年7月に広告関係企業の民間自主規制機関「ベタービジネスビューロー」と協力して、「Digital IQ」というプロジェクトを立ち上げた。バレット氏によるとAboutTheData.comで単にデータを見せるだけでは消費者の信頼は得られないとして、さらに「自分のデータをどう見るべきか」「何に注意すべきか」などが分かる短時間の動画を作成して、いわば消費者教育に乗り出すという。
個人データの扱いを巡って米国は「アルゴリズムの透明性」が議論の的になっている。2014年5月に米ホワイトハウスがビッグデータの活用について出した報告書で、大量の個人データを処理するアルゴリズムによって、住宅ローンやクレジットカードの与信などで差別的取り扱いを引き起こしかねないと問題提起したからだ。
バレット氏はアルゴリズムの透明性に対応するのは難しいと話す。ビッグデータのビジネスモデルそのものに影響するだけでなく、高度なデータ解析手法を消費者に理解できるようにすることがそもそも困難だからだという。
とはいえ消費者に選択肢を提供するだけでなく、消費者教育にも乗り出して理解を得ようと次々と手を打つ。そんな動きに学ぶべきことは多いのではないか。
※