米Microsoftの最高プライバシー責任者が語る、クラウド時代のプライバシーポリシー


米Microsoftの最高プライバシー責任者、ピーター・カレン氏

 マイクロソフト株式会社は3月1日、プライバシーに関する説明会を開催。米Microsoftの最高プライバシー責任者、ピーター・カレン氏が、同社でのプライバシーに関する取り組みを説明した。

 カレン氏によれば、プライバシーへの取り組みは、8年前の「Trustworthy Computing(信頼できるコンピューティング)」ビジョンから本格的に始まったという。その同社では、主に3つの分野でプライバシー関連に投資をしているとのことで、その1つが「技術」。フィッシングフィルタや無償のウイルス対策ソフト「Microsoft Security Essentials」を、ユーザーに提供してきた。2つ目の分野としては、ITセキュリティを強化するための「ガイダンスやサポート」を提供して啓発に取り組んでいるし、さらに3つ目の「パートナーシップ」については、「業界の標準やポジションを作らないといけない。競合他社とでさえ、パートナーを組んで、共通の目的に対して努力する必要がある」と説明。こうした取り組みの重要性を訴える。

 具体的なコンシューマ向けの取り組みとしては、広告ベースのサービスに力を入れる中で、個人を特定する情報(Personally Identifiable Information:PII)を用いないようにしており、匿名性の確保に気を配っているとした。例えばWindows Liveにおいて入力された情報のうち、個人が特定される情報を避け、性別や郵便番号といったデータのみを利用しているという。これを利用する上でも、一方向のハッシュ関数を使い、個人情報へたどり着けないようにしている。

プライバシーに対するコミットメント個人向けのプライバシー保護

 一方、昨今のプライバシーに関するトレンドとして、クラウドに関する動向を説明する。特にコンシューマにおいてクラウドサービスはほとんどが無償であり、その資金源は広告だ。その広告の提供にあたって、どこまでPIIを活用していいのか、という議論があり、データ保持とプライバシーに対しても、バランスをとることが求められている。また、クラウドでは国境を越えたデータのやりとりが発生する点についても、法規制や人の意識に違いがあることから、大きな課題があるとカレン氏は指摘する。

 また、クラウドサービスでは、「決して新しいサービスではないが、資産を自社で保有しなくてもいいというメリットを企業にもたらすため、特に中小企業の成長潜在性を大きく広げる」(カレン氏)という点を指摘。その上で、Microsoftでは、「ソフトウェア+サービス」ビジョンで選択肢をユーザーに与えるが、組織やコンシューマは、どの情報やサービスをクラウドで使うのか、クライアントPC側に残すかを明示的に考えるべきだと主張する。

クラウド環境におけるプライバシーとは?
APECのプライバシーフレームワークとMicrosoftのプライバシーポリシー

 もし、情報をクラウド側に出すとすると、そこでセキュリティやプライバシーの懸念に対応できるか、という問題が発生してくる。もちろん、クラウドベンダー側の信頼性も重要な要素になるし、前述したように、「情報はどんどんグローバルに流れるので、そこで問題が発生する可能性があるし、各国のローカルな規制にも違反する可能性がある」というのも、大きな問題だ。例えば、EUではプライバシーに関連する指令があるものの、各国での法規制としてはバラバラとのことで、EU内でもそれぞれの国において、どのように法律が解釈されているかを理解しないといけない。EU1つとってもそうなのだから、情報がグローバルに流れる中では、地域性の考慮はますます重要になってくるのだ。

 そこでマイクロソフトでは、プライバシーに関してグローバルで統一したポリシーを策定・運用することで、混乱を避けようとしている。カレン氏はこのポリシーについて「世界でも最高レベルの法律をベースにしており、それほど法律が厳しくない国でも、同レベルの保護を適用している」と紹介。さらに、地域内での事業振興とプライバシー保護の両立を図った、APEC(アジア太平洋経済協力機構)のプライバシーフレームワークに言及し、「言葉遣いとしてはある程度違うが、両者のポリシーは同じものだ。グローバルな情報の流れに関与している以上、日本も保護をしないといけない。このプライバシーフレームワークはその1例であり、日本の役割を進展させるためにも大事な点だ」と話した。

 また、カレン氏は、クラウド時代には「説明責任ベースのプライバシーガバナンスがいいのではないか」とする。「当社では長年ソフトを開発してきたが、細かいプライバシーの標準に基づいてきた。また、どのようにすればポリシーを満たせるかを示し、公開してきたので、ほかの企業は、当社の学んだことを活用でき、当社がいかに透明性があるかを証明できるもとにもなっている」とし、説明責任を果たしてきたと主張。「クラウドは将来どうなるかわらかないが、成功するためにはそれを信頼するようにならないといけない。説明責任を重視したガバナンスモデルが、信頼を得るためのやり方だと考えている」とも話し、説明責任の重要性を示していた。


(石井 一志)

2010/3/1 17:54