新春特別企画

2021年のプライバシー標準

あけましておめでとうございます。@_natこと崎村夏彦です。2020年はプライバシーに関してもデジタル/アイデンティティに関しても様々な動きがあった年でした。2021年の年頭にあたり、2020年の動きを振り返り、その上で2021年を展望してみたいと思います。

コロナ禍とプライバシー

2020年の出来事で何が一番大きなことであったかというと、やはりコロナ禍でしょう。これによって、欧米でも5年分といわれるサイバー大陸シフトが起きました。遅れていた日本では10年分にもなるかもしれません。業務のうち可能なものはZoomなどを利用したリモート業務に移行し、リモート化を阻害するハンコなどもできる限り廃止しようという動きが表面化しました。

こうしたリモート会議やリモート授業に関して真っ先にプライバシー上の課題としてクローズアップされたのが「Zoombombing」とよばれるものです。これは、Zoomに代表されるようなリモート会議・授業・飲み会などのセッションに他人が乱入して胡乱な言動を流すなどして会議を中止させたりすることです[1]⁠。参加者に心理的外傷を与えるようなものもあります。これは後述しますが、要は参加者を認証しないという多くのビデオ会議システムに共通する性質から起きたことでした。

Zoom社はこれに対応すべく、待合室機能をデフォルトでオンにするなどの対策を取りましたが、待合室で待っているユーザにも暗号鍵が配られてしまうなどの脆弱性が発見されました[2]⁠。これを発見したのはトロント大学のチームで、彼らはそれ以前に暗号鍵が中国に送られていて現地で検閲可能になっているなどの問題点も指摘していました。これらの問題のために米国の政府機関などはZoomの使用を禁止するなどしました。これは、外国政府による盗聴を恐れてのものです。

こうした政府による無制限な情報アクセスはOECDなどでも問題とされ議論が行われました。なお、12月18日には、Zoom社の元幹部が、天安門事件を振り返るミーティングに関して個人の識別に使える情報を中国に引き渡したとして、米国法務省によって訴追されていますZoom社の声明⁠。

政府による情報アクセスは、個人の権利と公益のバランスという点で大変デリケートなものです。上記の天安門事件に関する会合の個人の情報というのは、中国政府にすれば「テロリスト」情報なのでしょうが、自由主義諸国からしたらもちろんそうではないし思想信条の自由に関わるプライバシーの根源的問題です。この場合であれば、少なくとも自由主義諸国であれば、全く問題なく個人の自由が尊重されるものと思われます。しかし、異なる場合ではそれが必ずしもそうではないかもしれないということがあぶり出されたのも2020年の特徴でした。新型コロナウイルスの接触履歴などのトラッキング問題などは典型的にそれにあたります。

「共通の敵」に対処する時、世論は「公益」側に振れて「個人の尊厳」や権利は通常よりも低く見られる傾向があります。新型コロナウイルスのトラッキングの議論でもその傾向が見られました。これはGDPRのお膝元である欧州でもそうでした。スマートフォンのGPSやBluetoothを使って常にトラッキングできるようにしようというような声が多く挙がり、政府・民間問わず多くのイニシアチブが立ち上がりました。

これに対して歯止めをかけたのは、サイバー大陸の覇者であるAppleとGoogleでした。特にGoogleは普段はプライバシー侵害者として扱われることが多いので皮肉なものでしたが、一方では自由の国の企業の矜持を見せつけた瞬間でもありました。同時に、政府よりも場合によっては上の存在であることも見せてしまったという側面もありましたが。

筆者が「共通の敵」と戦うという「公益に振れる」ことに危惧を抱いたのは、それが容易に差別問題に繋がり、個人の生活を破壊するからです。ユダヤ人差別と虐殺にしてもハンセン病患者やHIV感染者に対する差別なども実は同じ構図です。ですから、大変注意して取り扱う必要があるのです。案の定、新型コロナウイルスに関しても、日本では患者の家に投石が行われたり、県外ナンバーの車を乗り付けた大学教授をコンビニ店主が刃物で脅すなどの事件が起きました。わたしの身の回りでも、こうした「社会からの圧力」で潰されそうになっていった人を何人も見ました。

こうした差別問題になると、その情報が本当かどうかはあまり問題ではなくなります。敵である確率が平均より高いだけで差別するのには十分とされてしまいますので[3]⁠、本当にデリケートに扱われるべきなのと同時に、社会的な保護の手立ても整えなければならないのです。日本で言えば、いわゆる個人情報保護条例2000個問題であるとか、民間以外には個人情報保護委員会の権能が及ばない問題であるとか、そういう運用に関わるルールや体制をまずは手立てする必要があると思われます。

分散アイデンティティ(DID)と検証可能クレデンシャル(VC)

新型コロナウイルス関連でもう一つ出てきた動きに「新型コロナウイルス免疫パスポート」があります。これは支持者が多い一方で、以下のような危険性も指摘されています。

  1. 紙の免疫パスポートは偽造が容易。スマートフォンを使ったもののほうがその点では安全だがプライバシーを侵すリスクがかなり高い上、コロナ禍が収束してもこれらのアプリが役目を終えるという保証は何もない。
    1. 中国:一部の地域では人々が公共の場所に入るのをスマートフォンに表示されるQRコードで管理しているが、これは個人の新型コロナウイルス関連情報だけでなく、居場所、旅行歴、接触した相手、他のさまざまな健康情報(体温から最近風邪をひいたかどうかまで)といった個人情報まで伝えてしまう[4]⁠。
    2. 台湾:警察に直接つながる警報システム付きスマートフォンアプリを使って管理している。
  2. 社会的弱者がさらに厳しく監視されるようになる
    1. マイノリティなどをより強く監視するための手段の口実として使われる可能性がある。実際中国ではアフリカ国籍の居住者全員に検査を強要してラベリングを行ったため非難を受けている。アメリカでもソーシャル・ディスタンスを守らなかったとして逮捕された人々の大部分がアフリカ系であったなどの疑わしい例が出ており、これらが新型コロナウイルスパスポートアプリと連携して管理されることには危惧が表明されている。
    2. そもそも、このようなアプリにお世話にならないといけないエッセンシャルワーカーがユーザになり、テレワークだけで収入が保証されている人はぬくぬく安泰でこのアプリの厄介にならない、という状況があるため、二重の意味で格差の要因になる。

したがって、新型コロナウイルス免疫パスポートのようなものをもしも導入するのであれば、政府等の行動に対する非常に強い透明性の要件と、個人の情報の伝達に対する個人による強いコントロール要件が課されます。

こうした点で注目されているのが分散識別子(DID)と検証可能クレデンシャル(VC)です。これは内閣官房長官を本部長とする「デジタル市場競争本部」の下に組織されている「Trusted Web推進協議会」⁠筆者も構成員です)でも話題に挙がっているもので、引き渡す情報量を最小化してかつ「同意」ベースで渡すことができるとされる技術です。多くのものはブロックチェーンを使います。また、最終的なインターフェースとするプロトコルとしては、既存との接続を重視してOpenID Connectを利用するとう流派もあり、DIDを専門に取り扱う標準化団体であるDIFは、OpenID Foundationと共同してDID-SIOPと呼ばれる仕様の策定に取り組んでいます。透明性の確保にもこうした技術が寄与するようになっていくと良いと思っています。

もっとも筆者には、DID/VCが上述の問題の有効な解決策になる方向はまだ見えていません。多くの人は「同意による最小化されたデータの提供」だから良いと考えるようなのですが、わたしは説得されていません。わたしには、こうした場合に言われる「同意」の多くが有効な同意には思えず、単にボタンを押させているだけにしか見えないからです。同意が有効であるための条件とは、超えるためのハードルが大変高いものです。個人情報の提供がサービス提供の条件になっているようなものや、同意をしないこと自体が本人に被害を及ぼすようなものは、GDPRやISO/IEC 29184的には同意とは認められません。したがって、新型コロナウイルス免疫パスポートの提示を求めたりすることの根拠に同意を使うのは大変筋が悪いのです。一方で、⁠公益のため」というと、先程挙げた社会的差別の点に戻ってきてしまいます。そういう点では、これもまた上述したように、そのデータの取扱が倫理的に許されるフェアなものであるのかどうかを透明性高く監視する仕組みやルール・運用の整備が先行すべきものと考えています。

Identity Assurance for OpenID Connect

DID/VCに類似の技術として国際標準規格の開発が進んでいるものに、Identity Assurance for OpenID Connectという技術があります。これは、International Institute of FinanceとOpenID Foundationで共同で実施されている「Open Digital Trust Initiative」の1ワーキング・グループでもあるOpenID Foundation eKYC&Identity Assurance WGで開発されている技術です。端的に言うと、自然人および法人の情報の信頼性を表すために、データ自体のみならず、そのデータが「誰が」⁠どのように」⁠どの法律のもとに」⁠何の基準に従って」検証されたかなどの付随的情報(メタデータ)も同時に引き渡すための規格です。プライバシーの観点でいうならば、自分が何者であるかということを、信頼性高く表現することを可能にするための枠組みといえます。

既にドイツでは多くの金融機関を含む1,000社以上に使われており、eIDAS下の適格証明書の発行やリモート適格署名の実施のために使われています。こうした実運用の実績は非常に重要です。特にプライバシーには大変厳しいドイツでの事例ですから、日本で類似のことをしようと思うときにも参照すべきものであると考えています。

Fine Grained Authorization と Grant Management API

データの選択的提供ということでは、きめ細やかな認可とそれを可能にするAPIが重要です。OpenID Connectではこれを行うための枠組みをもともと持っていますが、2020年はこれをさらに具体的にするための活動がGrant Management APIの定義として始まっています。

Grant Management APIではPushed Authorization Request (PAR) というものを使います。PARは、OpenID Connectで定義しているRequest Objectという方式をさらに細かく規定したものです(IETFではOAuth JARとして規格化が最終段階に来ています⁠⁠。このPARの中に書いてサーバに送られた内容を管理していけるようにするAPIがGrant Management APIです。これは、オーストラリアの消費者データ標準に深く関わっているエンジニアが中心になって策定を進めています。2021年中には形になると考えられるので、期待して見ていて良いと思います。

その他のプライバシー関連標準

昨年の新年の特集では、ISO/IEC 29184(プライバシー通知と同意⁠⁠、ISO/IEC 27551(連結不能属性ベース認証⁠⁠、ISO/IEC 29134 ⁠プライバシー影響評価ガイドライン)について紹介しました。このうち、ISO/IEC 29184は6月に出版、ISO/IEC 27551は10月にDIS投票を通過しました。ISO/IEC 29134のJIS版は2021年前半に出版される予定です。

また、2020年はグローバルな動きであるMyDataと日本の動きである情報銀行、そしてEUの動きの結びつきがより強くなった年でもありました。12月にオンラインで行われたMyData Online 2020 Conferenceのパネルディスカッションでは、MyData Operator Award, 情報銀行, Proposed EU Data Governance Actの比較が行われ、より連携を深めるべきとの話になっています。その観点でも、IT連盟がISOに持ち込んで規格化を考えている、既存ISO標準と情報銀行認定の差分については国際的な関心が高まってきています。

 MyData Operata 2020と情報銀行、欧州データガバナンス法の比較
⁠出典]MyData Online 2020 - Interoperability between certifications Session

図

デジタル存在(Digital Being)の7つの原則

このMyData Online 2020 Conferenceで、筆者はメインステージでの講演をする機会を得ました。そのタイトルが「Digital Being」でした。⁠Digital Being」とは、私達のデジタルな分身としての存在を表すために今回筆者が使った造語です。私達はデジタルな存在としてサイバー大陸に実在しているのだということを強調するためにこの言葉を使いました。

新型コロナウイルスによって多くの人々[5]は十分な準備もなくサイバー大陸への移住を余儀なくされました。突然のことでしたので、そこには統治の原則もろくに揃っていません。この講演では、それがどうあるべきなのかということを7つの原則にまとめて打ち出しました。最後にこれを紹介して本稿を閉じます。

デジタル存在の7つの原則は以下になります。

  1. 責任あるデジタル存在(Accountable Digital Being⁠
    • 誰もが自らがその行動に責任を問われる[6]デジタル存在(Accountable Digital Being)を確立・再確立可能であること。
  2. 表現力のあるデジタル存在(Expressive Digital Being⁠
    • 自らの性質に関する他者が証明するデータおよび自己が表明するデータを使って、各人が自分のデジタル存在を通じて、自らを表現できること。
  3. データの正当な取り扱い(Fair Data Handling⁠
    • すべての参加者が、個々人に関するデータの取扱に関してプライバシー原則を遵守すること。
    • データの取扱目的は、当該個人に害を与えないようにすること。
  4. 忘れられない権利の尊重(Right NOT to be forgotten⁠
    • デジタル存在がなかったことにされたり、属性が書き換えられたりしないようにできるように技術的対策が取られること。
    • GoogleやFacebookによるアカウント停止などがまっさきに想定されるが、アプリ/ストア削除という形で現れたり、国家権力による属性の書き換えが行われたりする場合もある。後者の場合によっては広く他の用途でも使われているようなブロックチェーンに自らの情報を書き込むなどということも必要かもしれない。そうすれば、政府が物理的存在としての個人を抹消したとしても記録は残ることになる。
  5. 人間に優しい(Human Friendly⁠
    • 個人と法人の間の情報の非対称性、個人の限定合理性、社会的弱者に配慮した系とすること。
  6. 普及しやすい(Adoption Friendly⁠
    • 技術はオープンで、できるだけ既存インフラを活用し、相互接続の確保のために継続的にテストが実施されていること。
  7. 誰もが利益を得られる(Everyone benefit⁠
    • 個人は当然、企業も政府もこの系から利益を得ることができること。⁠そうでなければ、その系は実装されず、系として立ち行かないため。)

一つ一つを詳しく説明すると長くなり紙幅の制限もあるので割愛しますが、これらの考え方は、Trusted Web推進協議会にもフィードバックしていきますので、多少は日本の政策にも反映されていくのではないかと思います。

2021年が、プライバシーに関して、みなさんにとってより良い年になりますように。

おすすめ記事

記事・ニュース一覧