「IoT機器は生活のデータが取れる!」と思ったときに考えるべきこと宮田健の「セキュリティの道も一歩から」(42)(2/2 ページ)

» 2019年10月25日 09時00分 公開
[宮田健TechFactory]
前のページへ 1|2       

早め、早めに情報を集めよう

 冒頭、EUにおける「GDPR」、APECにおける「CBPR認証」、中国における「中国サイバーセキュリティ法」を紹介しました。実はこれ以外の地域、国ごとにも同様のプライバシー関連法案/データ越境の規則が次々と登場しています。これらの存在を知らないまま世界に製品が展開され、個人情報に関して世界基準のルールに達していなかった場合、巨額の制裁金が課せられる可能性があります。

 また、GDPRは運用からしばらくの時間が経っていることもあり、いくつかの事例も明らかになりつつあります。航空大手のブリティッシュ・エアウェイズ(BA)の事例はサイバー攻撃が原因であり、理解しやすい事例かもしれませんが、ホテル大手のマリオットの事例は、サイバー攻撃にてデータ漏えいを起こしていたスターウッドホテルを、その事実を認識しないまま買収し、その際にデータ保護状況を調査していなかったことが、GDPR違反の理由とされました。そしてデンマークのタクシー会社、Taxa 4x35は、登録後2年以上経過した、本来削除すべきデータを「氏名、住所以外保持していた」ことにより、数千万円の制裁金が課せられたことにも注目です。

 おそらく、今後も多数の事例が登場してくるでしょう。これらの情報を押さえ、自社にも同様のリスクがないかをウオッチすることも重要です。

まとめ

 多くの場合、開発者と“法務”はやや遠い位置にいるかと思います。プライバシーに関する世界各国の規則は、専門家がいなければ判断が非常に難しいというのが現状です。そのため、開発者はリスクを大きめに考え、安全側に倒すことが重要かもしれません。その意味では「勝手に使っていい個人情報はない」と考えるべきでしょう。

 IoT機器はセンサーの塊であり、倫理観なく考えれば、ありとあらゆる利用者の情報が取れるかもしれません。しかし、それを「利用規約に全部使っていいと記したから利用可能」と考えるのは非常に危険です。倫理観なきサービスを作らないためには、企画段階でしっかりとブレーキを踏める人がいるかどうかがポイントになるでしょう。その役割は、あなたにもあるはずです。

 また、こういったルールはもしかしたら“GAFA”と呼ばれるような外資系の超大企業を締め付けるためだけのもの、と考えるのも危険です。Google、Apple、Facebook、Amazonなどの企業は大手ゆえに常に世間の厳しい目があるため、プライバシーに関して一定のレベルの機能は既にあり、とんでもないサービスはそうそう出てきません。むしろ、日本国内の企業で作られるサービスの方が、プライバシー軽視という意味では恐ろしく、決して対岸の火事ではありません。

 近い将来、プライバシー重視は立派な「IoTの機能」として認知されるはずです。そうなる前に、皆さんもぜひ、プライバシーに強くなってほしいと思います。(次回に続く)


著者紹介:

Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!

宮田健(みやた たけし)

元@ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q&Aで考えるセキュリティ入門「木曜日のフルット」と学ぼう!<漫画キャラで学ぶ大人のビジネス教養シリーズ>』(エムディエヌコーポレーション)が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ&Aのクイズ形式で楽しく学べる本です。

筆者より:TechFactoryでの本連載では、ITセキュリティの「あるべき論」「正論」だけでなく、モノづくりに携わる方たちに「気楽に」「楽しく」セキュリティを考えていただけるように、さまざまな話題を取り上げたいと思います。「セキュリティっていわれてもねえ……」と思わず考えてしまった皆さまに覚えていただけるようなコラムにしたいと思います。お楽しみに!



前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.