プライバシーバイデザイン

プライバシーバイデザイン（英語: Privacy by Design、略称：PbD）は、エンジニアリングプロセス全体にわたってプライバシーを考慮するシステムエンジニアリングのアプローチである^[1]。

プライバシー権とは、一般人ならば公開を望まない私生活上の事実もしくは個人に関する情報の自己情報コントロール権と言える。前者を古典的プライバシー権、後者を現代的プライバシー権と呼ぶ。高度情報化社会の進展に伴い、個人情報が大量に収集・蓄積されるようになり、個人情報保護を課題とするプライバシー問題が顕在化した。 プライバシーバイデザインは、カナダ・オンタリオ州情報＆プライバシーコミッショナー（the Office of the Information and Privacy Commissioner（以下、IPC））のAnn Cavoukian博士が1990年代に提唱したものである。PbDとは、「プライバシー侵害のリスクを低減するために、システムの開発においてプロアクティブ（日本語で「事前対策」の意）にプライバシー対策を考慮し、企画から保守段階までのシステムライフサイクルで一貫した取り組みを行うこと」である。日本語訳としては、「計画的なプライバシー対策」といえる。設計思想や様々な情報通信技術の仕様にプライバシー対策を埋め込むアプローチを指し、情報処理技術やシステムの設計、運用、管理に公正な情報処理Fair Information practices（以下、FIPS））の原理を構築することによって達成することができる。

また、PbDの実施にはプライバシー強化技術（Privacy- Enhancing Technologies　以下PETと記述）を適用してシステム設計を行う。PETとは「個人情報の不正な収集、利用および開示を防ぎ、個人情報を個人が管理する事が出来るようにし、情報システムの個人のプライバシーの保護を強化する情報通信技術（ICT）」のことである。

なお、PbDの考え方に則り企画、設計の段階で適正性を評価するための支援手法に、プライバシー影響評価（Privacy Impact Assessment（PIA））がある。

PbDの起源は、Ann Cavoukian博士により、1990年代の半ば、IPCの官庁出版物、「Privacy Protection Makes Good Business Sense and Privacy:プライバシー保護が作るよいビジネス意識とプライバシー」において、電子商取り引きで組織による個人情報の収集、利用、開示を個人のプライバシーの利益と権利に適正に対処すべきであると公表したことより始まる。 1995年に、プライバシー強化技術のボリュームIIに「設計者がどのように設計過程の種々のフェーズの間にユーザーのプライバシーを考慮できるか」を発表し、設計段階でプライバシー問題を早期に認識することが、開発と導入段階でも好ましいとの考えを示した。 また、1995年のオランダ・データ保護局発行の論文で、プライバシー強化技術（PET）をつくり、認証の技術とシステムにプライバシーの組み込みのアプローチを発表した。 さらに、1997年の論文（スマート、光学式、他の高度なカード）で、プライバシー評価をし、アプリケーションにプライバシーを構築するためのフレームワークを発表した。 1998年～1999年に、プライバシーの脅威をプライバシー保護に転換するソフトウェアのプライバシー設計基準を、オランダRegistriekamerと共同発表した。 その後、1999年から2001年まで米国司法省司法計画部と共同でプライバシーバイデザインプロジェクトを実施した。その結果として、2000年に統合司法制度のためのプライバシー設計の原則を発表し、PbDの考え方を確立した。

図にPbDのコンセプト（出典：Ann Cavoukian PhD『Privacy by Design Curriculum』（IPC））を示す。 PbDは、情報技術だけでなく、組織や社会基盤も適用対象としている。PbDの実施は、適用対象に7原則を適用し、また、アプリケーションにPETを適用しプライバシー対策を組み込み、組織のプライバシーリスクの対策を行うことである。 PbDの基本は、FIPSの原則に則りシステムを構築することである。FIPSの原則を次に示す。

1. 通知：個人情報を収集する者は、事前に情報の取り扱いについて、個人情報の所有者である当事者に開示する。
2. 選択：個人情報を収集する場合はその使用方法について、当事者に選択権を与える。
3. アクセス：収集した個人情報を当事者が参照及び訂正することが可能とする。
4. セキュリティ：情報の不正利用に対して妥当な対策をとる。

FIPSの原則は、OECDガイドラインの基礎となり、米国プライバシー法やEUデータ保護指令にも採用されている。従来、社会の安全性を確保するには、セキュリティを強化し、ある程度のプライバシーの侵害は仕方がないという考え方が多いが、PbDでは、セキュリティとプライバシーの両方の安全性を成立させるポジティブサム（Positive-Sum Paradigm）を原則としている。

ポジティブサムの視点では、セキュリティ対策とプライバシー保護はを両立させるWin-Winの関係が可能であり、プライバシーに配慮した効果的なセキュリティソリューションが成り立つ。つまり、ポジティブサムとは、システム構築に際して、プロアクティブ（事前、計画的）にビジネスプロセスにプライバシー対策とセキュリティ対策を両立し実装することである。

PbDの実現には、図（出典：Ann Cavoukian PhD『Privacy by Design Curriculum』（IPC））に示すPrivacy by Designの7つの基本原則が重要である。

• 原則1　リアクティブ（事後）でなくプロアクティブ（事前）
  プライバシー対策は事後の措置でなく、プロアクティブな対策で、問題が発生する前にプライバシー侵害を防ぐことである。PbDは、プライバシー上のリスクが発生した際にプライバシー侵害を解決するための救済策を提供する。

• 原則2　デフォルト設定でプライバシー
  情報システムやビジネスにおいて個人情報が自動的に保護されることで、最高のプライバシー対策を提供する。プライバシーを保護するためにシステムにデフォルトで組み込まれている必要がある。

• 原則3　設計時に組み込むプライバシー対策
  プライバシー対策は、設計時に情報技術、組織や社会基盤に組み込まれており、結果としてプライバシー対策が、構成要素の不可欠な基盤機能となる。

• 原則4　ゼロサムではなくポジティブサム
  セキュリティ対策とプライバシー対策においてゼロサム的なアプローチではなく、すべての正当な利益をポジティブサム"Win-Win"の方法で対応する。

• 原則5　エンドツーエンドのプライバシーライフサイクル
  データのライフサイクル全体に対応し、情報のライフサイクル管理を保証する。

• 原則6　可視化と透明性
  全てのステークホルダーは、何が情報技術、組織や社会基盤に関係するかを確認する（可視化）。そして企業組織の理念、目標に対して独立した検証を行う（透明性）。

• 原則7　ユーザープライバシーの尊重
  システム構築者と運用者は、デフォルト設定されたプライバシー対策により、適切な通知、権限委譲、およびユーザープライバシー対策について選択出来る機能を提供する。つまり、個人を中心に個人の利益を考慮し、尊重しなければならない。

PbDの実施プロセスは、以下の6つのプロセスより構成される。

図にPbD実施プロセス（参考： Ann Cavoukian PhD『Privacy by Design Curriculum』（IPC）をもとに作成）を示す。

• 第1プロセス：　対象のプライバシー要件がどのように変化しているかを確認し、要件を作成する。

• 第2プロセス：　個人情報が新しいシステムによって、どのように収集、利用または開示し、破棄されるか、エンドツーエンドのシステムライフサイクルで確認する。

• 第3プロセス：　確認したプライバシー対策の要求仕様を開発する。

• 第4プロセス：　プライバシー要求仕様に基づき設計する。

• 第5プロセス：　FIPSの原則に則りシステム開発する。

• 第6プロセス：　要求したプライバシー対策が組み込まれているか検証する。

PbDを適用することは、PbDの原則に則り「計画的なプライバシー対策」を具体的に実現するPET技術を用いて、情報技術、組織、社会基盤にプライバシー対策を組み込むことである。PETの適用によりプライバシー対策とセキュリティ対策の両方を達成することができ、システムの信頼性（安全性）とユーザーの安心感を高めることができる。

以下参考文献に掲載されていた事例を参考に紹介する。

市民の防犯意識の向上によりCCTV監視カメラは多くの場所で設置されるようになった。撮影したデジタルデータは、離れた監視センターのデータベースにて一元管理され、表示、保存、索引付け等の処理ができる。 CCTV監視カメラは、犯罪の検知や問題発生時の証拠確保等が可能である。しかし、これらの撮影データは、Webアプリケーション上に存在するものもあり、誰もが見ることができ、第三者による監視やプライバシー侵害の問題が発生する。また、撮影画像の第三者による二次的利用のプライバシー侵害をどのように対策するのか、誤操作による情報漏洩に対する安全性確保をどのように対策するのか等の懸念が残る。

プライバシーを考慮した防犯カメラの方式として、一般的に次の2つの方式がある。

• ひとつ目の方式は、公共エリアをカメラで撮影し、そのデータは人を介さずデータベースに保管するものである。警察利用などで必要になった場合のみ、データを利用するというもので、プライバシーの確保は行われているという。これは、犯罪捜査における証拠を収集する以上の効果はなく、確かにプライバシーは確保されているが、商店街利用者の安全性向上には役に立っているとは言い切れない。

• もう一つの方式は、撮影画像をデジタル画像処理し、人を棒などの抽象的な記号に置き換え、監視人が随時カメラ画像をモニタリングするというものである。犯罪行為が発生した場合、監視人は適正な防護対応をとることができる。しかし、保管するデータは、オリジナルな撮影画像であるため、監視人が視認可能である。つまり、セキュリティの確保は行われているが、プライバシーへの配慮は十分とは言えない。

上記の方式は両方とも、プライバシーとセキュリティを総括的に考慮するPbDの考えに基づいていないため、一見プライバシーの対策を行っていることを強調するあまり、セキュリティとのバランスが適正にとれていないと言える。

カナダのトロント市では、公共機関に数千台のビデオ監視カメラを設置する際にプライバシーの懸念に対しPbDを適用して、効果的なプライバシー保護を実践した。そこでは、公共機関の利用者を特定する必要がない場合には、撮影画像を暗号化かつ非表示としプライバシー性を向上させる方法を採用している。個人情報に暗号化技術を利用し、管理者が秘密鍵で暗号化された画像を復号して元の撮影画像を表示できる。このため、犯罪捜査等において個人を特定する場合は、公共機関の利用者が写った画像を視認表示できる。PETによるプライバシー対策ソリューションにより、個別の対象のみの暗号化が可能である。この技術は画像の利用において柔軟性が高く、撮影画像全体を暗号化する従来技術より効果的である。また、画像の管理者には見ることを許可し、一方で個人のプライバシーを保護し、記録できる。

例えば、顔を対象オブジェクトとして識別し、抽出データとして効果的に暗号化して保管が可能である（出典： Ann Cavoukian PhD『Privacy by Design Book』（IPC））。この技術により、原画像（図a参照）と人物を取り除いた画像（図b参照）から、暗号化された画像（図c参照）を抽出する。犯行現場の調査に暗号化された撮影画像を利用する際、警察は識別する対象の内容を復号できる。暗号化は監視カメラの映像取得時に行われるため、画像確認時に識別する対象を見逃すリスクを低減できる。

PbDの考え方によりシステム開発を行えば、上記のように管理者や警察関係者による画像確認を容易にし、許可されていない者には、必要以上に情報を開示しないというセキュリティ確保とプライバシー保護を両立できる。また、設計時に実装する方式や、運用方法に関しPIAの手法を利用することで、関係者が納得のいくシステムの開発・運用が可能となる。

RFIDタグは、マイクロチップと小型無線アンテナで構成される「物」の識別に利用するバーコードの次世代の技術である。RFIDタグを製品に添付し、時間と場所の情報と共に製品に関する情報をマイクロチップに格納し、読み取り端末に固有の識別番号と格納情報を送信する。遠距離から迅速かつ簡単に読み取ることがでる。今では、製品在庫やサプライチェーンにおける物流管理のためになくてはならない技術となっている。 しかし、RFIDタグの最大のメリットである非接触認証という特性は、プライバシー保護という観点からすれば、気づかれないうちに購入した商品あるいは個人情報を読み取られる可能性があるのではないかという懸念がある。 例えば、RFIDタグが付いている服を着て街を歩けば、ブランド、素材、価格等の購入製品情報が周りに判ってしまう。所持品にRFIDタグを付けることで、所持品が紛失した場合は所在を調べるのに役立つが、監視やプロファイリング、差別に利用される可能性があり、利用者からの信頼、情報の利用用途等に問題がある。 また、RFIDタグの「情報漏洩」や「不要な監視」の問題の解決方法は提案されているが、技術面や使い勝手、コスト面において確立されたものは少ない。解決方法の一例として単純にデータの削除、または販売時点でタグを破棄する方法が挙げられる。しかし、デメリットとして、タグの返り値によるこれら製品の補充やリコール製品の確認、製品サービス範囲の継続的保証のための情報、廃棄物処理やリサイクル製品を識別する機能等を活用できないというトレードオフの関係がある。

カナダのオンタリオ州では、運転免許証に市民情報を付加し、米国との入国管理手続きの簡素化に利用している。免許証には、市民情報、OCR情報、RIDチップが埋め込まれている。RFIDチップは、米国の国境で、旅行者の処理を容易にするためにRFIDの技術を使用、OCRゾーンでは、RFIDチップのバックアップとして利用できる。RFIDチップのアクセスは、スリーブからRIDカードを取り出した時のみ許可される事になっている。これらの方法で許可されていない者に対し情報を開示しないというセキュリティの確保とプライバシー保護を両立している。

その他のPrivacy by Design適用事例を表に示す。

• 『プライバシー影響評価PIAと個人情報保護』中央経済社、2010年。ISBN 4502992305。 
• 『現代のプライバシー』岩波新書、1980年。 
• 堀部 政男, JIPDEC 訳『プライバシー・バイ・デザイン』日経BP、2012年。ISBN 4822210863。 
• Fair Information Practice Principles
• Privacy by Design (Information Commissioner’s Office,UK)
• Privacy by Design (Information & Privacy Commissioner, Ontario, Canada)
• Privacy-Enhancing Technologies
• プライバシー影響評価海外調査^{[リンク切れ]}

• プライバシー権
• 個人情報保護法
• プライバシー影響評価　PIA（Privacy Impact Assessment）
• プライバシーエンジニアリング（Privacy engineering）
• パーソナルデータ・サービス（PDS）
• 情報プライバシー