プライバシーのリスク・ベネフィット アセスメント

ナッジとスラッジを活用することで人の行動を制御できることから、プライバシーの利用にはリスクがあります。ただし、プライバシーは大切な個人の権利ですが、相手を信頼して活用することも必要です。
つまり、プライバシーにおける「信頼をゼロにする」というのは、製造における「在庫をゼロにする」のと同じことです。しかし、信頼および在庫は、業務の遂行に必要なものです。

プライバシーを利用する際の配慮

受容可能リスクの原則

プライバシーを利用する際のリスクは,ベネフィットに比べて受容できるものでなければならない。

したがってプライバシーの受容可能リスクの原則に基づいて評価する際には,理想的には次の内容を含む資料を整備することが望まれます。

  1. 対象とする平均的な個人あるいは典型的な個人についてベネフィット,すなわちプライバシーの利用によるサービスと有効性を示す。
  2. このときに予想されるリスク,すなわちプライバシーの状態や漏洩した場合などを示し,それらの不具合による被害の程度と不具合の発生間隔を示す。
不具合発生間隔 年/件 = 利用期間(年)/発生件数
  1. プライバシーの個人差に依存する因子により,上記のベネフィットおよびリスクがどのように変化するかを示す。
  2. これらの資料に基づき,平均的あるいは典型的な個人およびこれらから大きく逸脱していない個人について,プライバシーを利用したサービスのベネフィットが予想されるリスクを上回ることを示す。 

プライバシーを利用する際には,このような資料の提供を受けて個人がプライバシーにおけるベネフィットとリスクを評価し,ベネフィットが予想されるリスクを上回ることを確認して個人が最終的な判断を下せるようにします。

将来的には、あらゆるサービスにおいて、予め基準となるプライバシーのベネフィット・リスクが明示されることが必要だと思います。

プライバシーのベネフィット・リスクの評価の参考例

  • GPSの位置情報によるナビゲーション
    有効性:目的地に辿り着ける。
    リスク:あなたがいつどこに行ったのか、場合によっては誰と何をしたのか把握できます。
    不具合発生間隔:10年
  • インターネット検索
    有効性:インターネット上にある必要な情報を見つける事ができる。
    リスク:様々な方法を用いて、あなたがいつ何を検索したのか、どんな興味があるのか、何をしようとしているのかなど予測できます。例えば、Cookie(ファーストパーティーCookieとサードパーティーCookie)、ブラウザーフィンガープリント、スマホアプリによるトラッキング、広告識別子(広告ID)などがあります。
    不具合発生間隔:1年
  • 生体認証(顔認識、指紋認識、音声認識、虹彩認識)
    有効性:本人確認により不正なアクセスを防止する。
    リスク:生涯変わることがない、あなたの顔、指紋、音声、虹彩など、漏洩しても変更する事はできません。
    不具合発生間隔:30年
  • 住所氏名とアンケートを記入する各種キャンペーンの応募
    有効性:キャンペーンの景品。
    リスク:アンケートに記入したあなたの情報が、他人に知られ様々な目的で利用されます。
    不具合発生間隔:1年
  • SNS(Twitter, Facebook, Instagram,LinkedIn,TikTokなど)
    有効性:SNSを用いたコミュニケーションを行う。
    リスク:匿名のSNSであっても、行動した時間、居場所、趣味や嗜好、文章鑑定など様々な要素で個人や交友関係など様々な情報を把握することが可能です。
    不具合発生間隔:3年
  • インターネット
    有効性:インターネットの利用。
    リスク:接続した時点でプロバイダーが持つ個人情報と紐づけられます。なおインターネットカフェでは身分証明(免許証など)が求められたり、監視カメラによって個人の特定が可能です。
    不具合発生間隔:10年
  • 公共交通機関や一部の市街地
    有効性:防犯対策による治安の向上。
    リスク:監視カメラによって撮影されており顔認識で本人を特定可能です。
    不具合発生間隔:10年

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ