IoT家電メーカーは利用者のプライバシーをどう守るべきか、JEITAが方針制定:製造業IoT
電子情報技術産業協会は2023年3月30日、IoTデバイスで収集したデータの事業者側での取り扱い方針などを示した「スマートホームIoTデータプライバシーガイドライン」を公開した。
電子情報技術産業協会(JEITA)は2023年3月30日、IoT(モノのインターネット)デバイスで収集したデータの事業者側での取り扱い方針などを示した「スマートホームIoTデータプライバシーガイドライン」を公開した。業界団体としてプライバシー情報の取り扱いに一定の基準を設けることで、利用者の不安を払拭(ふっしょく)することを目指す。
既存の法律で守り切れない「プライバシー」
IoT機能を搭載したスマート家電は消費者にとってますます身近な存在になっている。ただ、これらの機器が収集するデータには、家庭内のプライバシーに関わる情報が含まれる場合がある。例えば、ネットワークに接続されている照明や電力メータ、エアコンなどの使用情報から活動時間帯を推測できる。また、TVや調理家電からは使用者の好みに関する情報を取得できる可能性もあるだろう。
法的に定義された「個人情報」と、私生活の秘密など自己コントロールすべき情報全般を含む「プライバシー」は、互いに重なりつつも異なる概念だと見なされている。当然、プライバシー情報も個人の利益侵害や犯罪利用の懸念があるため一定の保護が求められる。ただ、国立情報学研究所 情報社会相関研究系 教授の佐藤一郎氏は「従来は個人情報とプライバシーの間で重なる領域が大きかったため、個人情報保護法で間接的にプライバシーを保護することができた。しかし現在は、プライバシーに当たるが個人情報には該当しない情報が増加しており、対処しきれないのが大きな問題となっている」と指摘する。例えば、先述の活動時間帯などの情報は、「プライバシーに当たるが個人情報には該当しない情報」に該当するだろう。
この中で、事業者は利用者が提供するプライバシー情報の保護とビジネス利用という相反する取り組みを、バランスよく進めなければならない。保護の水準は各事業者の判断に委ねられるが、一定の保護水準の確保と利用者の混乱防止を業界全体で図る必要がある。そこで制定されたのが今回のガイドラインだ。JEITAのスマートホーム部会に設置された「スマートホームIoTデータプライバシー検討WG(ワーキンググループ)」で検討が進められてきた。
今後は海外の議論と整合性を持たせる
ガイドラインでは、IoT機器やウェアラブルデバイスなどが取得するプライバシー情報と、事業者によるデータ利用目的の類型をそれぞれ紹介している。2つの要素の掛け合わせ次第でプライバシーリスクは変化するため、事業者はリスクに応じた適切な情報取り扱いルールの設定が求められる。
プライバシー情報の類型は「映像音声」「健康情報」「生活リズム」「在不在状態」など10項目が、データの利用目的は「利用者が申し込んだサービス提供のための利用」「製品開発やマーケティング分析」など8カテゴリーがそれぞれ定義されている。
ルール策定においては「説明」「同意取得」「自己コントロール性」の3つの観点で検討する必要がある。ガイドラインは、事業者が行うべき対策を観点別に示している。
「説明」では、IoTデータの取得を説明するプライバシーポリシーに記載すべき、「プライバシーポリシーの用語を説明する」「取得対象となるIoTデータをリストアップする」など6項目を紹介している。「同意取得」では、IoTデータを取得する頻度やタイミング、同意の取得方法などを示す必要性を指摘する。冷蔵庫や洗濯機などディスプレイがない製品を想定して、簡易的な同意取得方法も提示している。「自己コントロール性」については、利用者からの情報開示、訂正、追加、削除といった請求に対応する仕組みづくりを求めている。
これらに加えて、ガイドラインでは企業内でプライバシーを保護するガバナンス体制構築の必要性にも言及している。佐藤氏は「今回のガイドラインは事業者判断によるところが大きい。このため、プライバシー情報に関するガバナンス体制の構築とセットで行わないとうまく機能しないだろう。家電メーカーにも、経済産業省や総務省が発行する『プライバシーガバナンスガイドブック』の内容に準拠した取り組みを進めてほしい」と語った。
JEITA スマートホーム部会 IoTデータプライバシー検討ワーキンググループ 主査の山本雅哉氏は「当部会で行った一般消費者へのアンケート調査の中で、スマートホームにおけるIoT機器の利用を阻害する要因として、プライバシーへの懸念があることが分かっている。業界団体としてガイドラインを制定して、それを各事業者が順守することで利用者の懸念払拭を目指す。これにより、事業者のデータ利用の可能性を広げていく正のスパイラルを構築したい」と語った。
IoT機器が取得した情報の取り扱いに関する議論は海外でも進んでいる。佐藤氏は「ガイドライン策定に当たっては海外の議論も参照したが、主に日本市場を念頭に消費者の受け止め方を想定しながら制作した。海外の議論や法制度との整合性を持たせていくことは、今後の課題になる」と述べた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- IoT機器に求められるGDPR対応、対策のポイントを解説
2018年5月、欧州連合(EU)の個人情報保護法であるGDPR(一般データ保護規則)の適用がスタートした。GDPRはデータ漏えいが起きた場合の罰則規定が非常に厳しいことから企業に大きな動揺を与えている。本稿ではGDPRについて今一度簡単におさらいし、IoT機器の開発でGDPR対応に必要な考え方と対策のポイントについて解説する。 - パーソナルデータ流通と保護を両立させた、IoTサービス基盤を開発
KDDI総合研究所は、プライバシーを保護しながら、パーソナルデータの流通性を高められる「生体情報を中心とした個人向けIoTサービス基盤」を開発、実証した。 - IoTによるイノベーションで広がる可能性
今回はIoT(モノのインターネット)によって得られた情報から生まれる多様なイノベーションについてお話しします。 - 米国発サービスモデル視点のIoT標準化と健康医療分野の関わり
ウェアラブル機器、遠隔モニタリングセンサーに代表されるモノのインターネット(IoT)は、医療/健康/介護福祉分野でも導入が進んでいる。今回は、米国におけるIoT全般の相互運用性/標準化に向けた取り組みを紹介する。 - 「Society5.0」時代に求められるサイバーセキュリティ9つのポイント
「Embedded Technology 2016」「IoT Technology 2016」(2016年11月16〜18日/パシフィコ横浜)の特別講演として東京大学大学院 情報理工学系研究科 教授の江崎浩氏が登壇。「IoT・ビッグデータ時代に向けたSociety5.0インフラストラクチャの設計」をテーマに、「Society5.0」時代に組み込みシステムに求められることを提言した。