緻密な規約同意管理が競争力の源泉に—崎村夏彦『デジタルアイデンティティー』
本記事では、書籍『デジタルアイデンティティー』を紹介します。日本企業がGAFAと伍して戦っていくためには、経営者自身がアイデンティティー管理の重要性を認識し、そのリスクポイントを検証・把握できるようになることが必要です。
セキュリティ技術を防御だけでなく攻撃に転用する
前回ご紹介した『ネット社会と本人認証』で、セキュリティを守る技術としての認証の歴史と基礎を学んだ後、それがビジネス上の競争力創出にどのように役立つのかを考えるネクストステップとしておすすめしたい一冊が、本書『デジタルアイデンティティー』です。
書籍情報
- 著者:崎村夏彦/著
- 出版社:日経BP
- 出版年月:20210717
「アイデンティティー」という言葉は日本語ではあまり使わないかもしれませんが、英語圏ではしばしば登場します。その意味を日本語にすると「属性の集合」になります。属性とは、「あるものの一部の性質を表すもの」のことです。属性を必要なだけ集めると「あるものを他とは違うものとして確立する」ことができるようになります。こうした、「あるものを他とは違うものとして確立する」ことができる属性の集合のことを特別に識別子(Identifier)と呼びます。(P19)
『ネット社会と本人認証』では、「認証・認可」の前にまず「識別」があることを学びました。本書は、その識別の対象である「アイデンティティー」すなわちある「属性の集合」(ISO/IEC 24760の定義)として識別された存在 に注目し、
- さまざまなアプリケーションの利用主体を「アイデンティティー」に紐づけて統合管理していることこそが、GAFAの競争力の源泉であること
- 日本企業がGAFAと戦っていくためには、技術者任せにせず経営者自身がアイデンティティ管理の技術と重要性を認識する必要があること
を説きます。
「名簿屋」と「アイデンティティ管理企業」との違い
デジタルアイデンティティーを理解しビジネスの競争力に、と聞くと、氏名・住所・性別といった個人情報を集めてリスト化し他社に横流しする、名簿屋のようなビジネスモデルを想像しがちです。
しかし、GAFAはそうした名簿屋のような商売をしているわけではありません。実際のところ、Googleアカウントは偽名での登録もできますし、住所を入力する欄もなければ、性別を「指定しない」ままで登録することすら可能です。
それでも彼らがネットビジネスの覇者となっているのは、検索エンジンの利用やメールの送受信等のネット上の行動履歴から属性を抽出し、その「属性の集合」をアカウントとして管理し(識別し)しているから。企業は、属性情報を購入するのでなく、Googleアカウントに化体するアイデンティティーにアプローチする手数料として、Googleにフィーを支払っています。
GAFAの競争力の本質とは、彼らが保有している個人情報そのものの情報量や正確性にあるわけではなく、アイデンティティー管理フレームワークをネット上でいち早く構築し、ユーザーを「属性の集合」として識別できるようにした 点にこそあると、筆者は指摘します。
識別子の統合が生むプライバシーリスクの本質
そのようにアイデンティティーと個人情報との違いを捉える視点を持つと、日本の経営者が誤解しがちなプライバシーリスクの本質も捉えやすくなります。
たとえば、氏名とそれに紐づく情報が記載されたリストは法令上の「個人情報データベース等」にあたるので危険だが、氏名を意味のない番号や符号=識別子に置き換えてリストを受け渡しすれば問題ないとする誤解は、日本の経営者が陥りがちな思考パターンです。
単独で扱う分にはリスクの低い識別子も、複数の識別子を名寄せ(統合)をしていくと、予想外の「超過リスク」を生む 情報となります。文字だけでは把握しにくいそうしたプライバシーリスクの本質を、本書は図表を使って分かりやすく表現します。
告知と同意の国際標準規格「ISO/IEC 29184」
後半では、ライフサイクルに即したプライバシー同意の取得のあり方について展望します。
GDPRも施行から3年が経ち、その考え方は日本企業にも浸透してきました。しかしながら著者は、本当は誰も読まないプライバシーポリシーを皆読んでいるという建前のもと、形式的な同意を取得することにまだ躍起になっている日本の現状に疑問を呈します。
人間のライフサイクルの中で有効な同意を行える期間は限られています。子どもの間は十分な理解力がありませんし、年老いて認知力が弱ってきた場合にも同様です。現行の法律では保護の対象外になっていますが、筆者を含めて一部の人々が重要だと考えている死後のデータの取り扱いについてももちろん同意は与えられないわけです。(P209)
日本では(f)【編集部注:GDPR第6条「正当な理由」に基づくパーソナルデータの取扱い】は認められていません。これが、産業界が「個人情報」の範囲を狭くするように働きかける一因になっていると思われます。本来産業界が求めるべきは、個人情報の範囲を狭くすることではなく(f)です。(P210)
このような問題意識から著者が紹介するのが、告知と同意の国際標準規格であるISO/IEC 29184 です。
同意はあくまで最終手段であることは前提としても、同規格が定める同意取得の行動規範の中で注目しておきたいのが、プライバシー同意を「他の同意からの独立」させる必要性です。それは、
- プライバシーポリシーへの同意
- サービス利用規約への同意
- Cookie利用の同意
をまとめて取得することは適切でない、というシンプルな原則です。ですが、個別に同意を取ったとして、そのそれぞれの同意・不同意・撤回の履歴を緻密に記録し、サービス提供方法への反映が可能な基盤を備えた仕組みを作るのは、入り口で長文のプライバシーポリシーを読ませて全員が同意したものとして済ませていたこれまでと比較すると、大きな落差があります。
アイデンティティーを競争力の源としていくためには、そのユーザーに何を告知し、結果何に同意しして何に同意しなかったのかといった、規約同意管理の解像度も上げていく必要 があります。
(橋詰)
