FTC(アメリカ連邦取引委員会) は、モノのインターネット(Internet of Things)に潜むプライバシーとセキュリティー上のリスクに対して関係者に強く注意を促した。インターネットに接続するさまざまなデバイスの数は2015年中に250億個に達すると予測されている。サーモスタットやドアロックなど、いわゆるスマートホーム・デバイスの数も今年は2500万になると見られる。
FTCは「ひとたびプライバシー、セキュリティー上の大規模な事故が発生すれば、消費者にIoT1への抜きがたい不信感を植え付けることになりかねない」と警告した。こうした破壊的シナリオを避けるために、IoTビジネスはセキュリティーおよびプライバシーのリスク対策に現在よりもずっと真剣に取り組む必要があるというのがFTCの考えだ。
FTCのEdith Ramirez委員長はラスベガスで開催中のConsumer Electronics Showを視察した後でIoTビジネスの将来に関する講演を行った。
「[モノのインターネット]は消費者に巨大な便益を与える一方、プライバシーとセキュリティー上のリスクも重大だ。IoTデバイスは、たとえばヘルス、医療関連分野で普及し始めているが、、膨大な個人情報を収集、転送することになる。こうした情報は極めてプラバシー性の高いもので、その処理には潜在的に非常に大きなリスクを伴う」とRamirez委員長は警告した。
3つの高リスク要素
Ramirez委員長は、プライバシー上、特にリスクの高い3つの要素について分析した。
(1) データ収集の遍在化; (2) 個人に不利益を与えるような個人情報の目的外使用; (3) 悪意による攻撃
データ収集の遍在化というのは、センサーやモニター・テクノロジーの発達にともなって「驚くほど大量かつ正確な個人的情報が蓄積される」という問題を指す。しかも収集されたデータを強力なツールによって分析することで、その影響力は一層拡大される。
しかもIoTデバイスは、家庭、自動車、さらには体表、体内にまで入り込み、きわめて個人的な情報を収集する。「IoTによってビジネスはわれわれの私生活のあらゆる側面を把握することができるようになる」とRamirezは述べた。.
そこで、収集されたデータが当初の目的や予期に反して使用されるというリスクが重大なものとなってくる。フィットネスや医療のために利用されるはずのデバイスから得られた個人情報が横流しされ、企業の採用選考に用いられるなどという例が考えられる。あるいは保険会社が健康保険や生命保険の料率を計算するために用いるかもしれない。消費者が便利なデバイスを購入したつもりで、実は知らないうちに自分の個人情報を売り渡す結果となるかもしれない。
「われわれは最終的な結果を慎重に考慮することなく無制限な個人情報の収集と流通を許すわけにはいかない」とRamirezは付け加えた。
またRamirezはIoTデバイスがハッカーの攻撃にさらされるセキュリティー上のリスクについて言及した。また侵入されたIoTデバイスがさらに広汎なネットワークへの侵入の突破口となる危険性にも注意を喚起した。
最近、いくつもの大規模なデータ漏えいがトップ・ニュースとなっている。データ・セキュリティーの困難性はますます高まっているといえる。しかしIoTはまた別種のセキュリティー上の問題を生じる。その一つは、伝統的インターネット業界はセキュリティーに対して数十年の経験を積んでいるのに対して、最近IoT市場に参入しているソフト、ハード企業の多くがセキュリティー問題に未経験であることだ。同時にIoTデバイスのサイズが小さく、処理能力に限界があることが暗号化その他の強力なセキュリティー施策を導入することを妨げている。また一部のIoTデバイスは安価な使い捨てモデルだ。こうしたことから、IoTデバイスに深刻な脆弱性が発見されてもソフトウェアをアップデートすてパッチを当てるなどの対策が難しい。それどころか脆弱性があることを消費者に周知することさえ困難だろう。
IoTデバイスには最初からセキュリティーを「焼きこむ」必要がある
こうした課題に対処するため、IoT企業はプライバシーとセキュリティーの重要性を認識し、ビジネスモデルそのものに「焼きこんでいく」必要があるとFTCは考えている。 それが企業自身、さらにはIoT市場全体への消費者の信頼をつなぎ止める道だという。
Ramirez委員長は具体的に3つの施策を挙げた。
(1) 「セキュリティー・デザイン」の採用; (2) データ収集、保存の最小化; (3) システムの透明性の確保、また予期せぬ情報漏えいや目的外使用が発生した場合の消費者に対する適切・迅速な情報開示
セキュリティー・デザインの採用とは、プロダクトやサービスのデザインにおいてセキュリティーを優先させることだ。「デバイスはデザインの段階でセキュリティーが作りこまれて居なければならない」としてRamirez委員長は次のように述べた。
デザインの過程でプライバシーとセキュリティーのリスクに関する十分な検討が行われる必要がある。プロダクトの市販、一般公開前に必ずセキュリティーがテストされなければならない。またデバイスのセットアップの段階で消費者がかならず独自のパスワードを設定しなければならい〔デフォールトのパスワードを使い続けることができない〕スマート・デフォールトを採用すべきだ。可能な限り暗号化を図る必要がある。またプロダクトのリリース後もモニターを続け、脆弱性の発見と修整に努めねばならない。 また社内にセキュリティー問題に関する責任者を置かねばならない。
これらはいずれも大企業では標準的に実施されている措置だが、小規模なスタートアップの場合、人的その他のリソース上の制限が厳しく、また新しいプロダクトをリリースすることを急ぐあまり、プライバシーとセキュリティーの保護がないがしろにされがちだ。
Ramirez委員長はまた「データ最小化」の原則についても触れた。これもまたスタートアップにとっては利益の相反となる分野だ。スタートアップのビジネスチャンスは取得するデータの種類や量に比例して向上する。そこで「サービス、デバイスが機能するために必要最小限のデータのみ取得する」、「取得後も必要のなかくなったデータは即座に破棄する」という方針は生まれにくい。 FTCの求めるこの原理は多くのスタートアップのビジネスモデルと衝突することになる。
「多量の個人データを取得、保持していればいるほど、その漏洩によるダメージは大きくなる。ビッグデータの恩恵を受けるために企業はできる限り多種多様なデータを取得、保持すべきだという議論がある。しかし私はこのような議論には疑問を持っている。将来もしかするとビジネスに役立つかもしれないというようなあやふやな理由で現在の業務に不必要な個人情報を持ち続けることは企業に大きなリスクを追わせるjものだ」とRamirezは述べた。
またRamirezは「個人識別情報を削除して保管する」という方法についても「そうして削除された情報はさまざまな方法で復元可能なので十分な対策にはならない」と警告した。また「企業は個人識別情報を削除された情報を再度個人識別可能にするような処理を行わない」と公式に約束すべきだとも述べた。
最後にRamirez委員長は透明性とユーザーに選択権を与えることの重要性を強調した。
IoT企業がユーザー情報を利用する場合、ユーザーはその内容を明示し、ユーザーが承諾ないし拒絶する機会を与えねばならない。この選択は長々しい利用約款の中に埋め込んでユーザーが一括して承諾するか拒絶する以外にないような方法で提示されてはならない。利用約款は一般消費者が通読する可能性がほとんどない。FTCは個人情報の利用に関する選択は一般の利用約款とは別に提示されるべきだと考える。
つまり「スマート薬缶」を販売する企業が、ユーザーが1日に何杯、いつ湯を沸かすかについての情報を地元のスーパーマーケットに売りたければ、そのことを別途、明示してユーザーの承諾を得なければならないということだ。
「IoTデバイスの場合、通例ユーザーインタフェースがきわめて限定されているか、そもそも存在しない。そのため消費者から明示的承諾を得ることが技術的に難しいことは私も理解している。それであっても、私は消費者に目的外使用を承諾するか否かについて選択の余地を与えることは必須だと考える。問題はそうすべきかどうかではなく、いかにしてそれをするかだ」とRamirez委員長は結論づけた。
[原文へ]
(翻訳:滑川海彦@Facebook Google+)