orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

ITエンジニアは個人情報問題で炎上しないためにPIA(プライバシー影響評価)を知ろう

f:id:orangeitems:20190814101020j:plain

 

個人情報のデータ活用に潜むリスク

リクナビが学生の個人情報を元に内定辞退率の予測データを販売していた問題は、これからのWebサービスを考える上で問題提起となったと思います。

 

www.itmedia.co.jp

 リクルートキャリア(東京・千代田)が、就活支援サイト「リクナビ」で得た大学生の個人情報を元に、個人の「内定辞退率」を予測して企業に販売していた問題が炎上している。

 問題となったのは、同社が顧客企業にこの「辞退率」の予測データを提供していたサービス「リクナビDMPフォロー」だ。データを提供するに当たり、同社はプライバシーポリシーの不備で学生約8000人に同意が取れていなかったことが発覚したと発表。個人情報保護法に違反している恐れが強く、同社は5日、同サービスの廃止を表明した。個人情報保護委員会からも既に問題を指摘されている。

 

ユーザー数あってのWebサービスが、ユーザーから嫌われる事態になるということは運営側からすれば死活問題になるということです。リクナビは廃止して鎮火を望むと思いますが、システム導入にかかった費用も含めて大きな痛手になると思います。

今後、システム開発をする際には、利便性だけではなく適切に個人情報が扱われているかを踏まえる必要があるかと思いますがそれは具体的にどのように行動すればよいのでしょうか。

今回のようなデータを利用したサービスは、もともとあったデータを二次活用するシステムですから、初期構築における要件定義ではなくシステム改修の中で生まれがちだと思います。今あるデータを活かしてビジネスができないのか、というのはごもっともだと思いますがその考え方が本体のビジネスにも最終的に悪影響を及ぼすとしたら、むしろ「やらないほうがマシ」だということです。

 

防ぐ方法はあるか

個人情報問題を未然に防ぐために、たくさんのITエンジニアに知っていただきたいワードがPIA(プライバシー影響評価)です。

 

PIAを語る前に、一冊良い本があるので紹介しておきます。

 

プライバシー影響評価ガイドライン実践テキスト (NextPublishing)

 

面白いことに、この本Kindle Unlimited対象なんですよね。もし会員であれば読んでみていただきたい本です。

この本の内容ですが、

日々進歩を続ける高度な情報通信技術により、電子化された個人情報はネットワークを通じて交換されています。それは、消費者に利便性をもたらす一方で、プライバシー(個人情報)漏洩問題やセキュリティに関する懸念を生じさせています。2013年に起こった米国でのスノーデン事件しかり、2015年に日本で発生した日本年金機構での100万件を超える個人情報漏洩事件しかりです。

このような事件・事故に適切に対処するには、個人情報を扱うシステムの構築にあたって、事前にそのリスクを評価し、情報の提供者である個人の安心感を高める必要があります。

プライバシー影響評価(PIA:Privacy Impact Assessment)は、上記の問題を解決するための新しいリスク対策手法として注目されています。それは、個人情報を取り扱う情報システムの導入や改修に際して、個人情報への影響を「事前」に評価する評価手法で、個人情報漏洩や改変などの問題の回避・低減に有効です。

本書は、個人情報を扱う情報システムを構築・運用する者、個人情報を提供する個人、PIAを実施する専門家などのステークホルダーが、新しい個人情報保護の知識を共有することを目的とした、個人情報保護評価(プライバシー影響評価)の実践的なマニュアルです。

個人情報を扱う実務者(たとえば、国が整備するマイナンバー制度に関わる行政担当者・システム構築技術者、個人情報を経営資産として利用する民間組織のシステム導入者など)にとって現場できわめて有効なマニュアルであり、また、プライバシー教育、研究に関与する大学教員、大学院生にも有益な知見となるように工夫されています。

 ということで、PIAを正しく運用していれば防げることがたくさんあるように思います。最近はリクナビもそうですが、Yahoo!スコア、Tポイント・・いろいろとデータ活用段階で炎上することが多いように思います。

 

PIAとは

PIAを身近なものとするために、いくつか記事をご紹介します。

 

enterprisezine.jp

  パーソナルデータの取り扱い開始にあたって、発生する可能性のあるプライバシー侵害リスクを評価し、そのリスクを最小化する取組みである「プライバシーバイデザイン」及びその実践方法である「プライバシー影響評価(PIA)」が近年注目されている。文字どおり、設計段階でプライバシー保護の仕組みを盛り込むことによって、事後的に対処するよりも効率的かつ有効に保護措置を講じることができるという思想に基づいている。今回は、PIAの概要とその可能性について紹介する。

 

tech.nikkeibp.co.jp

 プライバシー保護の対策をするには、事業の全体像を把握し、そこに潜むリスクを洗い出して対応策を検討することが必要だ。しかし経験の無い企業が、こうした検討を一から実施しようとしても、どんなリスクを想定すればよいかが分からずに戸惑うことも多いだろう。

 そこで、「プライバシー影響評価(PIA)」という既にある枠組みを活用しよう。プライバシー影響評価を行うと、どの企業でも「我が社の、この業務」に最適な対策を具体的に考えられるようになる。

 

www.hitachiconsulting.co.jp

政府は、マイナンバー制度導入におけるプライバシー等に対する懸念に対し、番号法第27条の中で、「行政機関の長、地方公共団体の長等は、特定個人情報ファイルを保有しようとするときは、特定個人情報保護評価を実施することが原則義務付けられる」と定めており、マイナンバーを取り扱う前に、個人のプライバシー等に与える影響を予測・評価し、かかる影響を軽減する措置を予め講じるように、PIAの実施を義務付けています。加えて、政府はプライバシー保護対策の策定にあたって検討すべき事項、検討の観点、進め方を明確化したPIA実施指針を定めることで、各自治体のプライバシー保護対策が十分なレベルになるように、取り組んでいます。

 

www.newsweekjapan.jp

米国土安全保障省(DHS)が、向こう4年以内に米国から出国する旅客の97%に対し、顔認証システムによるチェックを実施する計画を発表した。

この顔認証システムは「Biometric Air Exit」と呼ばれ、DHSの税関・国境警備局(CBP)が2016年に最初の1台をアトランタ国際空港の出国ゲートに設置した。2018年末時点で15の空港に設置されている。

(中略)

DHSは、Biometric Air Exitの利用に当たっては既存のプライバシー法および規制を順守しており、定期的にプライバシー影響評価(PIA)を公開して透明性の維持に努めていると主張する。

 

以上のように、PIA自身が注目されたのはマイナンバー制度施行の際です。自治体はマイナンバーを取り扱うのは必須のため、PIAが義務付けられています。

リクナビ問題等のように、大量の個人情報を保有する企業は今後PIAが義務付けられるかもしれませんね。

 

アジャイルに潜む問題も

システムの初期構築時の場合で、ウォーターフォールに基づいて要件定義から実施していく場合だとPIAはやりやすいと思います。しかしビッグデータ活用はもともとシステムがサービスインしてしばらく時間が経ち、有効なデータが集まってから、システム改修の形で構築する場合がほとんどでしょう。

システム改修はウォータフォールで実施するのがほとんどですが、データ活用の場合は試行錯誤が重要です。本番データを複製し、データ解析基盤でいろいろな分析を施した上で特定の傾向が導き出されることを繰り返し検証します。

したがって通常のシステム開発の流れとは違っていて、特定傾向を導き出すデータの抜き出し方を生み出し、そこに対してシステム開発をくっつけていくという順番になるでしょう。

その後、最近のWebシステム運用にありがちなマイクロサービス開発やアジャイルなどの世界で考えると、要件定義の時間をあまり使わずプロトタイプを作りどんどんリリースしていきます。もともとデータの抽出情報は決まっているので開発期間も短縮しサービスインも早く、ビジネスの実装スピードを上げていくのが最近のトレンドです。

この中に、どうPIAを盛り込んでいくかが非常に重要になっていくと思います。技術的にはできる、でもそれは法的にも倫理的にも問題が無いか。

PIA自体が昔からある考え方なので、「年に一回点検します」程度では間に合わず、高速化する開発に取り入れる方法を生み出さなければいけないというのがポイントとなろうと思います。

いざ開発しリリースしてみたら、大炎上。こんなことに巻き込まれないように、ITエンジニアはPIAを積極的に知るべきだと思います。