プライバシーとアイデンティティ
OpenID Foundation 理事⻑ ㈱ 野村総合研究所 上席研究員
崎村夏彦
自己紹介:崎村夏彦
• (米)OpenID Foundation 理事長 • (米)Kantara Initiative 理事 • 野村総合研究所 上席研究員 • 経産省 パーソナルデータWG 委員 etc. • 各種国際標準化 – OpenID Connect– IETF OAuth, JWT, JWS/JWE – ISO/IEC JTC1 SC27/WG5
アイデンティティ・アクセス管理とプライバシー小委 員会 主査
• Etc.
Twitter: _nat
IIW IX “Tell me What Is Privacy” より
Privacy
Data
Prot
ection
Scott David ED of Law, Technology & Arts Group University of Washington語源からのアプローチ
• Privacy = Private + -cy
• Private は、ラテン語の Privatus より。
• Privatus = 他から分離して、自身に帰属させた。
• 「publicus(公共の)」
プライバシー
他人の干渉を許さない、
各個人の私生活上の自由。
文献からのアプローチ
• Warren & Brandeis• 「Rigth to be let alone」 ~ Cooley 判事より
– Personal immunity. The right to one’s person may be said to be a right of complete immunity: to be let alone.
– (出所)Treatise of the Law of Torts by Thomas McIntyre Cooley (Callaghan, 1888)
– 「個人の不可侵 (Complete Personal immunity)の権利」 – 「個人の肉体及び精神の自由の不可侵の権利」
• 自己に対する自己の主権、すなわち人間の自由の権利
• 「These considerations lead to the conclusion that the protection afforded to thoughts, sentiments, and emotions, expressed through the medium of writing or of the arts, so far as it consists in preventing publication, is merely an instance of the enforcement of the more general right of the individual to be let alone. 」 (出所)Warren and Brandeis, “The Right to Privacy”, Harvard Law Review, Vol. IV December 15, 1890 No. 5
プロッサーの4類型 I. 他人の干渉を受けずに送っ ている私生活に侵入するこ と II. 他人に知られたくない私的 事項を公開すること III. ある事実を公開することに よって他人に自己の真の姿 と異なる印象を与えること IV. 氏名や肖像を他人が利得の ために使用(盗用)すること Restatement of TORTS 2d §652A ⼀般原則 (1 )他⼈のプライバシー権を侵害したる 者は,他⼈の利益に対して⽣ぜしめた 損害を賠償する責を負う. (2)プライバシー権は, (a )§652B に規定されるように,他⼈ から隔絶していたい所に不法に侵⼊す ること,または, (b )§652C に規定されるように,他⼈ の名前およびその類似物を流⽤するこ と,または, (c )§652D に規定されるように,他⼈ の私⽣活を不法に公開すること,また は (d )§652E に規定されるように,不法 に他⼈を誤った姿で公衆の⾯前に出し てしまうということ, によって侵害される26). (出所)伊藤博文「プライバシーと不法行為法」Bulletin of Toyohashi Sozo Junior College 2003, No. 20, 19‒39
レッシグのプライバシー定議論 I. 苦痛を最小化するため のプライバシー II. 尊厳としての プライバシー III. 政府の権力に対する 実体的な制限としての プライバシー 同プライバシー保護論 「損害賠償による救済を与え るルール」 プライバシー侵害があれば 事後的に金銭賠償で救済 ↓ 「物権としての救済を与える ルール」 プライバシーを知的所有権の ような財産権(物権)の一つと 捉え,対価を持った交換可能 な財産的利益と考える (出所)伊藤博文「プライバシーと不法行為法」Bulletin of Toyohashi Sozo Junior College 2003, No. 20, 19‒39
(他人の自由を侵害しない限り)
自分に属する情報 etc. は
自分がどう使うか決めて良い
~
情報流通の自由
でもある。
例:プロフィール情報を共有する等
アイデンティティ連携
アイデンティティ?
エンティティ
(実体)
16
認識
18
金髪
メガネ
身長
185cm
今週末は 京都をエ ンジョイ属性
属性の集合
アイデンティティ
21ある実体に関連した属性の集合
[ISO 24760‐1:2011] 3.1.2 identity partial identity set of attributes (3.1.3) related to an entity (3.1.1) NOTE 1 An entity can have more than one identity.アイデンティティ
=
実体 (Entity) 自己像 (Identity) 自己像 (Identity) 誕生 日 性別 メアド 身長 呼び名 恋人 性別 身長 本名 社員 番号 住所 他観 他観 自観 自観 自観と他観のずれ =対人関係の悩み 自観と他観のずれ =対人関係の悩み 住所 資格 役職 実績 関係性 関係性 コンテキスト コンテキスト 23
アイデンティティ連携
誕生 日 性別 メアド 身長 呼び名 恋人 住所 位置 情報 購買 履歴 健康 情報 パーソナルデータ 呼び名 住所 連携・制御 アイデンティティ パーソナライゼーション CRM VRM スモールデータ ビッグデータ同意
OpenID® Connect / OAuth 誰に 何のために 何をもう⼀つのポピュラーなモデル
密かに or 騙して集めて
勝手に使う
• お客に正直なことを言ったら、同意してもらえない。 ↑ お客の利益にならないことをやろうとするから • 目的の限定なんて出来ない。 後から同意の取得なんてできない。 ↑ 技術的に20世紀だね! etc.バレたら炎上モデル
スピードを出すには、
「個人情報が不当に扱われな
いと感じる市民は、商業や政治
に関わったり、ヘルスケアを受け
ることをためらわなくなる。」
「インターネットは … 商業とイノベー
ションの爆発と将来の職をもたらした。
このイノベーションの多くは、個人情
報の斬新な利用によりもたらされ
• プライバシー by デザイン
–PIA (Privacy Impact Analysis)
• 他のステークホルダーとの関係
–個別契約
PIAレポートの構造
• はじめに • PIAの対象範囲 – 対象システム、情報、ステークホルダー • プライバシー原則にもとづく要件定義 • 脅威・リスク分析 – 個人にとってのリスクをも分析 • 通常のリスク分析は、自社にとっての。 • リスク処理 • 結論プライバシー・トラストフレームワークとは
• トラスト・フレームワーク (Trust Framework) – 情報の非対称性を減じ、ものや情報の流通を促進するための、取引に関 わる各主体に対する要求事項および強制手段の集合。 – 通常、品質要求事項およびそれらに対する適合性認定とその結果の公開 (マークや製品一覧など)からなる。 – パーソナル・データ流通の観点では、認証品質に関するトラスト・フレーム ワーク、パーソナル・データの取り扱いに関するトラスト・フレームワークなど がある。 • プライバシー・トラスト・フレームワーク(PTF) – サービス事業者のパーソナルデータの取得・取り扱い、個人の関与他が適 切であることを保証するための、ルールおよび強制手段 (enforcement) の集合。 – パーソナル・データの安全管理処置に関するレベル (Level of Protection) とパーソナル・データの個人によるコントロールのレベル (Level of Control) に分けて論じられることが多い。 41なぜプライバシー・トラストフレームワークが
必要か?
• パーソナルデータを提供するIdプロバイダ・個人からは、サー ビスプロバイダが適切に扱ってくれるかどうか一般には分か らない。 – サービスプロバイダは、第三者提供しませんと嘘をつい て、実際には名簿を販売しているかもしれない。 • そのため97%の個人からは、サービスプロバイダの信頼性を 知るための指標の提示が要望されている。(H21年度認証 基盤連携による認証基盤間の相互運用性確保の実証よ り) • また、Idプロバイダからは、消費者保護及び間接的な情報 漏えいの自社に対するリスクの双方の観点から、パーソナル データの提供には後ろ向きになる傾向があり、多くの場合、 情報の連携は親密先(資本や取引関係が事前にある相手) とのみ行う傾向がある。 それ以 外 3% まあ欲 しい 25% とても 欲しい 72% 登録情報の通知先が信頼できるサイト かどうかを判別する機能の希望状況 (n=117) 平成21年度 総務省 認証基盤連携による認証基盤 間の相互運用性確保の実証 最終報告書より (図表5.1‐1) • サービス・プロバイダにおけるパーソナルデータの取り扱いの適切性への透明性の欠 如(情報の非対称性)は、パーソナルデータの流通を阻害している。 • プライバシー・トラストフレームワークの設置により、透明性を確保し情報の非対称性 を減ずることによって、パーソナルデータの流通が促進され、経済発展に寄与する。42パーソナル・データ関連トラスト・フレームワークの現状 • パーソナル・データ関連トラスト・フレームワークとしては、認証や 提供される情報の品質に関するIdトラスト・フレームワークと、提 供された情報の取り扱いに関するプライバシー・トラスト・フレー ムワークの2種類が必要と考えられる。 Id トラスト・フレームワーク プライバシー・トラスト・フレームワーク パーソナル・データの品質が対象 ・認証レベル (ITU‐T X.1254) ・本人確認方法(ISO WD 29003)*1 ・サービス評価方法 パーソナル・データの取り扱いが対象 ・保護レベル ・制御レベル ・プライバシー影響評価 ISO WD 29134 *1 赤字は規格化未完了。番号のついていないものは未着手。 43
プライバシー・トラスト・フレームワークに対する想定要件 • ISO/IEC 29100 の要件を満たすこと (1) 同意と選択 (2) 目的の合理性と指定 (3) 収集制限 (4) データ最小化 (5) 利用、保管、開示の制限 (6) 正確性と品質 (7) 公開生、透明性および通 知 (8) 個人の参加とアクセス (9) 説明責任 (10) 情報セキュリティ (11) プ ライバシー・コンプライアンス • 妥当性を維持するためのマネジメント・システムが機能していること。 • 妥当性の基準は、公的な機関(第三者機関等)が認定していること。 • 認定は外部監査によること。 • 認定結果に対して、透明性が確保されていること。 • 海外から「十分性」を満たしているとみなされること(≒セーフハーバー)。 • パーソナルデータ要求のPTF要件適合性を機械的に確認する手段が用意されていること。 • 有効な同意取得のための「わかりやすい表示方法」が整備されていること。 (注)情報収集の目的の合理性と十分な指定制、データ最小化への適合性などを評価する には、業務知識が不可欠となるため、適合性認定基準も、適合性審査員も、業界ごとに 整備されることになるとおもわれる。 44
ISO/IEC 29100 のプライバシー原則
• 1. 同意と選択 2. 目的の正当性と規定 3. 収集の制限 4. データ最小化 5. 利用、保持、開示の制限 6. 正確性と品質 7. オープンさ、透明性、通知 8. 個人の参加とアクセス 9. 説明責任 10. 情報セキュリティ 11. プライバシー法令遵守 (出所) http://www.sakimura.org/2013/06/2042/1. 同意と選択
• 意味ある同意を得なさい – 明示的な同意とは限らない – きちんと「理解」を得ることが重要 • 文脈に沿うようにし、予想外のことをおこさない – 同意した場合、同意しなかった場合に「どのようなことが起 きるか」を伝える – 「同意する」以外の選択肢を提供する • Id連携との関係 – 仕様レベルでの同意画面の表示要求。 – 文脈に沿っている要求かどうかの第三者による支援意味ある同意
47 性別 身長 本名 社員 番号 住所 資格 役職 実績49
明示的同意?!
インターネット犬からパブロフの犬へ
50
51
そもそも同意の向きが逆
52
個人が企業に対してパー
ソナルデータを「ライセ
ンス」するのに対して、
企業が同意すべき。
パーソナルデータ提供のライセンス
• たとえば… • データ提供量 – 必要最低限(minimum) – min – パーソナライゼーション (personalization) – per • データ共有 – 無し – no – 限定 – lim – 拡大 – ext • 利用回数 – 今回のみ - 1 53(出所)Sakimura “Explicit Consent – Turning Internet Dog into Pavlov’s Dog”
あるべき同意の流れ
1 • 個人が、パーソナルデータ提供のライセンスをいくつかの選択 肢から選ぶ 2 • それを「プレファレンス」としてIdPに設定 3 • 企業は「データ・リクエスト」をIdPに対して出す 4 • IdPは「データ・リクエスト」の内容が正当かチェックし、企業が ユーザのライセンスに同意しているかを確認、データを返す 54プライバシー・トラストフレームワーク
• 企業の声明は信用できるのか?
55 要求 サービス・プロバイダ IdP 審査 審査員同意と契約
~[justice]第6章より • 形式的同意があるからといって有効な契約とは限らない – 自由意志(自律) • 理解した上での同意か? • それしか選択肢が無い状態での同意は自由意志に基づくのか? – ドン・コルレオーネ 「断れない提案」 – 公正な取引(互恵性) • 天秤~双方の提供物が吊り合わなければならない – シカゴの配管工の話 » 水漏れトイレ工事:老婆に5万ドル請求。老婆は同意 » →有効な契約か? – 日本では? » (民法90条~96条、消費者契約法1条あたり??) 5657
利用規約を読みますか?
FDA Nutrition Facts Label
58
Standard Information Sharing
Label
(出所) StandardLabel.org
ToS-DR Project
(Terms of Service, Didn’t Read)
(出所) http://tos‐dr.info twitpic の利用規約はかなり問 題あり。 ToS‐DR Twitter. twitterの利用規 約は平均的なレベルか。 何かと批判の的になる Google だが、そ の利用規約は比較的 まとも。 61
2.目的の正当性と規定
• 利用目的が正当でなければならない。 • 詳しく規定されなければならない。 • 新たな用途を追加するときには、都度、同意を得るこ と。 • Id連携との関係 – Id連携をしておくことで、都度の同意を取得するこ とができるようになる。3.収集の制限
• 必要最低限のデータしか求めてはならない。
• Id連携との関係
– 動的にどの属性を取得するかを決める。 – 予め、第三者機関などで、取得するデータの正当 性を検査しておき、その検査に合格したものにしか データを出さない。4. データ最小化
• 収集したデータは、必要最低限の処理しかしない。 – 望まない自己像の生成などを防ぐ。 • 同データには、必要最低限の人しか触らないようにす る。 – 同上 • Id連携との関係 – 仮名技術によって不当な名寄せを防ぐ。 – 認証技術によって触る人を再現する。5. 利用、保持、開示の制限
• 必要最低限の期間しか保持してはならない。 • 利用目的が達せられた後、法的要件などで保持する 必要が有る場合には、そのデータをロックしてアクセ スできないようにする。 • データの開示は利用目的を達するのに必要最低限の ものにしなければならない • Id連携との関係 – 必要なときにいつでも情報連携できるので、受け 取り側でのデータ保持要求が下がる6. 正確性と品質
• データが正確でないと、その人にとって不利な
イメージが形成されてしまう恐れがあるので、
データの品質を確保しなければならない。
• Id連携との関係
– オーソリティーティブなデータソースからリアル
タイムで取得する。
– 必要に応じて、データにデータソースが署名
することによって、改ざんを検知できるように
する。
7. オープンさ、透明性、通知
• パーソナルデータを処理する主体のポリシー、処理し たということ、ポリシーの変更、処理をやめさせる方法 などを個人に対してきちんと伝える。 • Id連携との関係 – どこにデータ提供を行ったかの一覧をと提供解除の手段を 提供。 – ポリシー変更があった時の通知8. 個人の参加とアクセス
• 各社がどのようなデータを保持しているかなどを見て、 必要に応じて修正を行うことができること。 • Id連携との関係 – 原則、データの保持期間はごく短期であり、常に最新の データを取得することをるため、上記 7 と相まって、個人は IdP側ですでにある程度のコントーロールを持っていると言え ます。 – RP側が不当に保持していないかどうかは、トラスト・フレー ムワークの監査によるものとなります。9. 説明責任
• マネジメントシステムを回し、情報の取り扱いについて の説明責任を確保すること。 • Id連携との関係 – 説明責任を果たしているとして認定を受けている先にしか データを提供しない。10. 情報セキュリティ
• 取得したパーソナルデータは安全に管理しなさい。 • Id連携との関係 – 国際標準化されたId連携技術では、多くのセキュリティ専門 家の目を通して安全が確保されている。 – (オレオレ・プロトコルは人々を危険にさらすのでやめて ね!)11. プライバシー法令遵守
• 関連法令を遵守しなさい。
– 個人情報保護法だけでなく、様々な関連法規を含むことに 留意する必要あり。
