こんにちは! TECH Street 編集部です!
今回は2022年10月6 日(木)に開催した、 「「プライバシー・バイ・デザイン」エンジニア勉強会〜プロダクト開発において何故プライバシーが重要なのか〜」のイベントレポートをお届けします。
企業がパーソナルデータを外部に提供し、活用するには個人情報保護法などの法規制を遵守するのはもちろん、ユーザーが安心できるようにプライバシーを十分に保護する仕組みが求められています。今回はプロダクト開発に携わる(サービス設計側)エンジニアだけでなくどの職種でも知っておくべき基礎的なお話です。「プライバシー保護がなぜ重要なのか」セミナーとディスカッション形式で学ぶ勉強会を開催いたしました。
登壇者はこの方々!
栗原 宏平/一般社団法人Privacy by Design Lab 代表理事
海保 雄樹/パーソルキャリア株式会社 リードエンジニア
まずは栗原さんより「Privacy by Design」の概要と重要性についてお話いただきました。
なぜこれからのビジネスを考えるにおいて、プライバシーが重要なのか
栗原:本日の講義では下記の3点について学び「Privacy by Design」を導入するためにどんな視点を持てばよいのかについて考えていきたいと思います。
・「Privacy by Design」とは一体なにか?
・「Privacy by Design」はなぜ必要なのか
・「Privacy by Design」を現場で活用する第一ステップ
「Privacy by Design」とは一体なにか?
まず「Privacy by Design」という言葉を聞いたことがありますか?
日本ではあまり普及していない言葉だと思います。
「Privacy by Design」という言葉の誕生ストーリーについてまずはご紹介したいと思います。「Privacy by Design」はカナダのカブキアン博士が、カナダのオンタリオ州でプライバシーコミッショナーとして働いた経験をもとに構想されたアイデアです。
様々なテクノロジーが生まれて便利になっていく中で、今までのように自分たちのデータを提供してよいのか疑問に感じたそうです。そこでシステムやビジネス全体でプライバシーを考えることが必要なのではないかという発想からスタートしました。
関係性としては…以下の通りです。
最近は様々なデータ活用が行われています。そして集めたデータをどのように活かすか、運用するのかがビジネスにおいて重要になってきました。
サービスそのものの価値ではなく、サービスを利用したことで生まれるデータへと価値が移り変わっているからです。今まさにデータ活用について考える過渡期といえるでしょう。
分かりやすい例として、2017年に経済誌「エコノミスト」で書かれた言葉をご紹介いたします。「データはオイルであり、彼らの新しいビジネス資源」だと訴えたことが、データに価値が移っていることの1つの象徴といえます。その一方で、そのデータをやみくもに活用してよいのかという点が疑問としてあがっています。データを活用する前に、データを集めるプロダクトの安全性について考える必要が出てきました。
世界最先端を走ってきた企業でも、データ活用について今まで自分たちがやってきたことは正しかったのかを見つめなおす時代にきています。
プライバシーに配慮したプロダクトデザインはどのようなフローになるのかを簡単に図でご説明いたします。
上図のようにプロダクト構想の段階で「プライバシーを検討」ステップを挟むことでプライバシー問題を回避できる可能性が高まります。
続いてプライバシーに関するサービス開発事例をご紹介いたします。
なぜ「Privacy by Design」が必要なのか、問題が発生してしまった例と回避できた例の2つをあげてご紹介いたします。
「Privacy by Design」はなぜ必要なのか
問題が発生したサービス開発事例
まずは、2009年にカリフォルニアで始まった某ソーシャルメディアサービスについてです。
ゲイの方を対象にしたサービスであり、サービス内では利用者の“センシティブ”な個人情報を共有することもあります。
それにも関わらず、サービス開発企業は取得した個人データをユーザーの同意なく、広告配信のため第三者へ提供していたことが大きな問題になっていました。
結果的に制裁金を課されることになり、サービス開発企業にとっては個人データを活用するために必要な「事前確認」の重要性を再認識させられた事例となりました。
続いてプライバシー問題を未然に予測し回避した事例もご紹介しましょう。
今回のサービス提供者は過去に一度プライバシー問題で大きな損失を経験し、、それを失敗と捉えて改善したケースです。失敗したスマートシティのプロジェクトでは、広告ビジネスをスマートシティでどのように活かすかを検討していたところ、住民からの反対があり、最終的にはコロナの影響や不動産価格の高騰も重なり上手くいきませんでした。住民の個人データをどのように活用するかが不透明なため起こってしまった事例です。
開発チームはそこから学んで一度プロダクト構想フェーズに戻り、プライバシー対策を未然に検討した上でサービス開発に着手するようにサービス設計の手順を変更しました。繰り返しとなりますが、プロダクト開発の前(構想段階)にプライバシーリスクを洗い出し対策することによって、どこかで発生するプライバシー問題の回避に繋がります。これがサービス開発を行う上で重要になってくるのです。
「Privacy by Design」を現場で活用する第一ステップ
プライバシー課題を事前に予測するためには、自社のデータ利用に関する現在値を理解して、将来的にどのようなデータ活用がしたいかをしっかりと描くこと。そして、描いた後にプロダクトに落とし込んでいくことが重要です。
例えば、データの連携が必要なプロダクトの場合、システム的な連携方法(技術的に可能なこと)だけを描くのではなく、データを含めてプライバシーに配慮した連携方法をとる必要があります。
こちらはプライバシーに配慮したプロダクト設計をするためのフロー図です。
チーム内で現在地の把握や問題点の共有を行った上で、「このままいくと〇〇のような問題が発生する」というプライバシーリスクの洗い出しをしましょう。
先ほどから「現在地の把握」について何度かお伝えしてきましたが、どのように把握すればよいのかわからない場合は“データマッピング“と呼ばれる手段がありますので参考にしてみてください。
上図はデータが、今どこにあるのか、どこにデータ送信されているのかをマッピングしたものです。
例えば日本から離れ、安全にデータが守られない危険な地域に送られる可能性があったときには、その地域の特性に合わせたシステム開発環境を事前に準備しておくことが重要になってきます。
サービスを開発する上で、事前にデータがどのような環境でどのように処理されるのかを把握することが重要です。
続いて組織内で問題点の共有をしましょう。
その後はPIA(Privacy Impact Assessment)/リスク評価を実施します。
このようなステップを踏むことで未然にプライバシー問題を回避していきましょう。
明日から取り組めるテーマ
先ほどお話したリスクの話を含め、私たちはどうやってデータを活用するか。それをもとにどんなシステムを作っていくか。考えていきましょう。
例として以下のような議論が必要になってきます。
明日から取り組めるようにまずなによりも一人ひとりが意識的に取り組むことが重要ですが、例えばどういったデータを集めるのか、利用目的は何か、どのように安全に管理するのかといった点を徹底的に洗い出して整理することが必要になります。 開発工程とも密接にリンクしてきますのでその点も含めて説明できるような設計を心がけましょう。
Q&A(栗原 宏平さん/一般社団法人Privacy by Design Lab)
栗原様がこのジャンルに取り組まれようとしたのはどういった事がきっかけでしょうか。またこういったものは学ぶ?情報収集?どのようにされてますでしょうか。
きっかけは、ブロックチェーンなど新しいテクノロジーに興味があって学んだことです。海外の人とも交流しながら勉強するなかで、データの分野について議論が必要だと感じたのがきっかけです。
情報収集について、サービスを考える視点だと、アプリ作成時のポリシー、なぜそのポリシーがあるのか?配慮しているのか?どんなサービスがプライバシーに配慮していくのか?こういった視点が情報を集めやすいです。あとは、Twitterでリストを作ってそこから集めています。英語の方が情報は豊富です。
日本にはPrivacy by Design Labさんのような団体はどれくらいあるのでしょうか。データ活用なんかの団体は多いかと思いますが、そういった団体さんはプライバシー系の意識あるのかしら。
プライバシーに関して議論する団体は多いです。自分たちの団体の問題意識は、まだまだ新しい分野なので、どんなルールだと運用しやすいのかがまだ決まっていない。海外の人たちと新しいルールを作っていく。それによって「データ活用がしやすくなる環境づくり」に励んでいます。他の団体よりはプライバシーに重きを置いていると感じています。
個人情報保護とプライバシー保護の違いがイマイチ分からないです
難しい問題ですが、個人情報保護は守りの話。権利とは結びつきづらい情報。
プライバシーは情報に限らない。例えば、家の中でどういう行動をしているかなど奥行きのある内容。人としての権利をどう守っていくのか、がプライバシーかもしれないです。
個々のデータは個人特定できないが、組み合わせたときに個人が特定されるということもあり得るので、知らず知らずのうちにプライバシーを侵害している可能性もあります。難しい話ですが、ここは今後注意が必要です。
データ活用ということですと、オープンデータなんかは逆にプライバシー意識は必要無いということで合ってますでしょうか。
そもそも誰のためのオープンデータなのかという議論がまずは必要かと思います。データを提供している側がオープンであると判断しているのか、取得した側がオープンであると判断しているのかによってオープンデータの意味合いも異なってくるかと思います(SNSがわかりやすいかと思います)。SNS上で公開されている情報をオープンデータの一例で判断する場合、既にアメリカで判例が出ており、その際にはSNS上で利用者が公開しているデータを勝手に取得して分析した場合に違法性がなかったとの判決が発表されていますが、利用者自ら公開している情報が誰でもアクセスできるオープンな情報として公開されていると認識していない場合は、公開した情報が個人データでなかったとしても気になる方はいらっしゃるのではないかと思います。
プライバシー保護を訴えすぎるとデータ活用へネガティブな印象を与える印象があります。 経営層やプロダクトオーナーにポジティブな印象を与えるには、何を強調するのが良いでしょうか。
この問題は私たちが現在取り組みを始めているところなのですが、やはり政府等の様々なステークホルダーを巻き込みながら、プライバシーに取り組むことがプラスになる制度を作る必要があるかと思っています。こういった動きを民間事業者の方と作っていきたいと思っていますので、よろしければご一緒しましょう。
どこまでがプライバシーデータなのか、その明確なルールというか決めは専門家がいない企業でも読めば簡単にわかるものでしょうか。地方中小企業なんか、専門家もいないでしょうし、コンサル依頼するのも高いかもですし。。。。
Howの部分に関しては万人に受けるものは難しい。ただ、NGパターンを考えてみると良いと思います。自分ゴトにして、あなただったら、あなたの家族だったらこの情報(データ)を使われると嫌じゃないか?という視点を持つと入りやすいと思います。
つまりはそのデータに個人情報があるかないか、無ければひとまず安心しても良いということでしょうか。ただ、どういったものが個人情報なのかも明確には分かってなかったり。。。こういうの企業内だとどういう職種が担当するんだろう
専門職種がないわけではないですが、サービスを作る人・データを使う人が理解している必要があります。ビジネスを考える人たちが最低限のことは知っておく必要がある。ビジネスリテラシーとして大切。
海外でのデータ管理でこの国はリスクがある、なしを判断する際に参考になるようなまとめサイトはあるのでしょうか?
海外の法制度に関する情報は個人情報保護委員会が調査結果を報告しているのでこちらが参考になるかと思います。
ただリスクに関しては何を基準にリスクになるかが、事業者によって異なると思うので、まずはリスクになりそうな事象を定義してしまう方が優先かと思います。
昨今のアジャイル開発による将来的な機能追加を考慮すると、プログレッシブプロファイリングといった最小プライバシーを踏まえる必要があると思います。会員登録としてどういった情報を収集するのか?という観点では、どういった点を考慮するとよいのでしょうか?
この辺りはデータの最小化の議論(Data Minimizationと英語圏では呼ばれます)と繋がっていくのですが、まずは何のためにデータを取得するのかを議論する必要があると思います。今日スライドで紹介した駐車場アプリを例に出すと、アプリの利便性としては駐車場の空き状況が可視化されることでサービス価値が担保されるため個車を特定するような情報を取得しなくても良いという結論でデータ収集をおこなっています。そのサービス価値を前提とした際に、GPS等の位置情報技術を利用するのではなく、物理的なセンサーを駐車場に設置してセンサーが車体を感知したか否かのみで判断するようになっています(もちろん車以外の何かが止まってしまってセンサーが反応する場合もありますが、いずれにせよ空き状況がわかれば良いのでそのリスクについては目をつむっているのではないかと推測します)。このようにデータと目的が一致することが必要で、目的達成のために最小のデータを集められれば良いという考え方が重要になるかと思います。会員登録に関しても、何を目的として会員情報(そもそも会員とは一体なのかの議論から始めても良いかもしれません)を取得するのかをまずは議論し、その決定に基づいて必要な情報を必要な期間収集することが必要になるかと思います。
ここからはセミナー講師の栗原さんとパーソルキャリアの海保さんのお二人で参加者の質問に答えながらディスカッションをしていただきました。
ディスカッション/Q&Aコーナー
(右)栗原 宏平さん/一般社団法人Privacy by Design Lab 代表理事
(左)海保 雄樹さん/パーソルキャリア株式会社 リードエンジニア
海保:プライバシーは個人情報のように明確なものではないので、奥が深いと思います。人によって嫌だと感じる部分も違うと思いますが、そのことをあまり考えてしまうと、サービス開発など新しいことを始める際に大変だなと感じました。この点に対し、どうすればポジティブに考えられるのでしょうか。
栗原:データを活用したことでマイナスになることは、少なからずあると思います。例えば、知らない所から電話があったときなどは嫌な気分になると思いますが、そういったデータの使い方はあまり良くありません。結局は、それに対する配慮をどこまで考えるかがポイントだと思います。ビジネスでは必ず何かしらのリスクが発生すると思いますが、それはデータに対しても同じように言えるので、出来る限り使ってはいけない方法を潰していくために、議論を重ねる必要があります。
サービスを作る前に起こり得る問題をきちんと議論することが、ビジネスの視点で見たときに重要になります。
Mitz(ファシリテーター):実際に、実務で困っていることなどはありますか。
海保:プライバシーという言葉自体が、個人情報保護法と混同されがちです。社内でもプライバシーを重視していないわけではありませんが、そこまで意識が浸透していないと感じています。そういった新しい考えをサービス開発の現場に持ち込んだときに、果たしてきちんと議論できるのかという不安もあります。
栗原:どんな会社にも提供できるような「このようにすればいい」というHowは、残念ながらありません。しかし一方で、「こういう事は嫌だよね」ということを意見を出し合って洗い出すことは可能だと思います。例えば、「自分の家族のデータが使われたらどうか」という視点に立って考えるだけでも違いますよね。
視点を変えて考え「あなただったらどう思うか」ということを受けいれる空気感をどう作るか。それを身近な対象の人に当てはめて考えてみるというのは、あまり難しく考えずにできることだと思います。
海保:サービスによって発生するプライバシーが違うので、決まりきったものはないということですよね。
栗原:そうですね。使えるデータを組み合わせるということが起き始めています。それはクリエイティブにとってはとても重要ですが、中には「混ぜるな、危険」のようなデータもあるはずです。そういったことも議論する必要がありますね。何でも組み合わせれば良いものが生まれるとは限りません。
海保:同意を得ていて、その通りに使っているから良いということではない…。ということですね。
栗原:もちろん同意を得るのは大前提ですが、「何に同意したのか」がポイントです。例えば郵便を配達してほしいから住所を教えたのにDMが届いてしまった、ということがあるように、使い方を間違えてしまうとそれだけで不信感が生まれてしまいます。同意を得ることに重きを置きすぎると利用者にとって想定外のことが生まれがちなので、同意を取っていても議論した方がいいと思います。
Mitz:参加者から企業内ではどのような職種が担当するのかといった質問がありましたが、それはサービス開発の段階で議論を行って、意見を出しあうということで、専門の職種があるわけではないのでしょうか。
栗原:プライバシー専門の職種もありますが、企画・開発・運用などプロダクトに関わる多くの人。そしてデータを扱う人が理解していることが理想です。その上で、例えば法律のことは社内や外部の専門家に聞いてください。プライバシーに対する知見を持っている方が、ビジネスコミュニケーションもよりしやすくなると思います。
海保:弊社では個人情報に対する意識については情報セキュリティや個人情報保護法といった守るべきところについては社内体制もガッチリ取り組んでいますが、プライバシーに対しては社内でもさらに議論を進めていく必要があると思っています。そしてプライバシーに対する理解を広げていくことで、ユーザーにとってより良いサービスが出来てくると考えています。
Mitz:栗原さんから何かアドバイスはありますでしょうか。
栗原:いろいろな産業の方がデジタル化していこうというときには少なからず情報がデータ化されていきますが、そうなると知らないうちにデータを持つことになります。
システムを作るときにはオープンソースなど様々な要素を持ってくると思いますが、デジタルの環境でポイントとなるのは、いろいろな人が協力して新しいものが生まれるということです。デジタル環境に関わる人たちがみんなプライバシーの対策を行えば、自己完結ではなくなります。そういう意味で、デジタルを使う人達が配慮しなければならないと理解する人が社内で増えていけば、新しいものが生まれてくると思います。
海保:理解者を増やすために、企業の取り組みとしてプライバシー関連の活動および対策をしていることをアピールするためには、どうすればいいでしょうか。
栗原:何をもって対策しているとするのかという議論にもなってきます。
1つは、定期的なアップデートの中で取り組みを発信し、それを“見える化“することが大事だと思います。例えばアメリカでは最近プライバシーブラウザが出ていて、どのデータを取るのかを示すようになっています。それによって、どのようにプライバシーを配慮しているのかが利用者にも分かるようになっています。利用者が見えるような設計をするというのは、取り組みとしてもできることですね。
極論を言えば、利用者の方は良いサービスを受けられればいいのだと思います。しかしそのために、自分のデータが違う形で利用されていると不安になるので、その点の配慮の仕方が利用者に伝わるだけでも安心感に繋がると思います。
海保:アピールの仕方は難しいですね…頑張ります。
栗原:大変なことですが、見えることによって信頼にも繋がります。
Mitz:参加者からの質問です。プライバシーポリシーとかプライバシーマークなんかはフワっと聞いたことがありますが、「Privacy by Design」という言葉はこれから当たり前になっていくのでしょうか。
栗原:そうですね。
“ポリシー”は読み飛ばすものだったと思います。長いし、テンプレなところもあり…
ただ、そこがアプリなどをインストールしたときに最初に通る道です。そこを工夫するだけで、ユーザー体験は大分変わる可能性はあります。「デザイン」という言葉は広いので、独自性を持たせることがいいのかなと思います。
※参考情報ですがこちらがSNSの判決です。
データスクレイピングに適法判断 LinkedIn/hiQ訴訟
Mitz:参加者から「プライバシーの意識について日本と世界の違いはありますでしょうか。」という声もあがっていますが、いかがでしょうか。
栗原:プライバシーという言葉が日本語ではないので、言語として存在するかどうかの違いがあります。共通した思想の有無、環境面など…。
欧米との意識の違いを感じる時があります。日本だと、家族のような信頼できる人には自分のプライバシーも打ち明ける。そこまで親しくない人とは意図的に打ち明ける内容も変わってくる。そういった文化的な違いがあります。欧米だと、「これはプライバシーだから止めてくれ」と断ることもしっかりとできます。日本はまだそこまでのプライバシーへの主張は薄いかもしれません。
Mitz:ありがとうございます。少し話題が変わりますが、コメントで“プライバシーパラドックス”について話題があがっていました。こちらについてはいかがでしょうか。
栗原:プライバシーを重視していると言いながら、実際の行動にはその価値観が反映されていないというギャップを“プライバシーパラドックス”と呼んでいます。ギャップの解消には同意が大事だと言われますが、「何に同意したのか」という点については議論がされていないので矛盾していますよね。例えば恋愛関係で、心が通じ合っていたときは色々と渡していたものを、別れたときには返してほしいとなるときがありますが、企業相手でも同じように、返さなければならない(オプトアウト)時についての議論を行う必要があります。
同意という行為自体に目を向けすぎるよりは、個人と企業の関係性がより流動的になりその中でデータのやり取りがされているときに、そのやり取りが分かりやすく行われる設計ができていると、データもより価値が出てくると思います。
海保:「返してもらえる」と分かっていれば、渡しやすいですよね。
栗原:おそらくその通りです。例えばマイナンバーカードを作る際に、登録後して第三者に自分の番号を教えなければいけない場合に、必要に応じてお渡しした第三者からいつでも自分の番号情報を返してもらえるような設計になっていれば、最初の登録時のハードルはもっと下がっていると思いますね。その点がもっとカジュアルな方が、関係性としては良好だと思います。
Mitz:テクノロジーの進化でプライバシーデザインも変わっていくものでしょうか。コロナ禍での変化や加速なんかもありましたでしょうか。
海保:実は私はコロナ禍で転職してきたので、弊社内のコロナ禍前後のサービスの変化についてはわかりかねますが、前職の際、在宅で仕事をするようになったので、カメラで部屋や顔を写すことに抵抗を覚えましたが、その点への配慮はありました。
栗原:働く環境の変化は大きいですね。プライベートとパブリックの境界線については、これから議論をする必要があると思います。デジタルを使う動きは加速していくと考えていますが、そうなったときに、自分の情報をどこまで見られるようにするのかについては、どこかのタイミングで議論をしなければなりません。コロナはこの動きを後押ししたと思います。「デジタルが便利だ」という社会に変わってきていると思うので、その社会にある自分のデータに関しても考える必要があります。今は、知らない所で自分のデータが流通している、言わば無法地帯です。なので各社が一度立ち止まって考える良い機会だと、個人的には思っています。
Mitz:データ活用のなかで「個人が特定されないデータ環境(データクリーンルーム)」といった話も耳にします。こうした環境は栗原さんとしては「プライバシーが守られている」という扱いと認識されているのでしょうか?
栗原:例えば、「栗原さん」だと個人を特定できますが、「ボーダーのシャツを着ている人」だと個人を特定できない。法律自体を設計しているから守られる部分と、そうでない部分がある。マイナンバーカードは国が全部管理しているわけじゃないとしても、国が信用できないから使わないといった感情論が走ることもある。
プライバシーという視点が入ったときに、どんな目的でどんなデータを使っているかの説明が大切になっていきます。
Mitz:最後にもう一つ参加者からの質問をピックアップしたいと思います。「企業で絶対にNGな事例(特に日本)とか、ここは気を付けろー!なお話をお聞きしたい。」とのことですが、いかがでしょうか。
栗原:人事データは気を付けた方がいい。分析しよう!の流れがあって、それ自体は良いこと。ただ、強制的に導入して、社員の同意がないままそれをしていくのはどうなのかなぁと思うことはあります。
海保:サービスを利用される方が登録した瞬間に、その人が何のために登録するのか認識していることが重要だと思います。そこの齟齬がないようにするためには、ご提供いただいたデータがサービスの中でどのように使われ利用される方々に価値として還元されているのかをわかりやすく説明していくことが重要だと思っています。
イベントレポートは以上となります!
次回のレポートもお楽しみに♪
