IoTをプライバシー問題を起こさずに使いこなすために今から準備すべきこと

2017年7月1日 日本データ通信協会 セキュリティ 0

日本電信電話株式会社
NTTセキュアプラットフォーム研究所
主席研究員 高橋 克巳

はじめに

 IoTを使いこなしていくために、プライバシーの問題に関して気をつけるべきことを考察する。現在、IoTシステムを導入して、顧客等のデータを計測して業務に役立てる場合に、何をすべきかが明らかになっているとは言い難い。この背景には、IoTは進化中の技術であり、使う方も、データを計測される側もIoTが何であるのかの認識が固まっていない状況がある。本稿ではこの考えに基づき、一旦冷静に立ち止まって、考察を進める。

 IoTプライバシーがわかりにくい理由を、(1)計測されるデータは何か、(2)計測の場所と時間、(3)計測されたデータの解釈、(4)計測の主体、(5)計測の目的、の5項目で分析した。これらの課題に対して、IoT機器で何が計測でき、どう解釈できるのかの技術的な類型化を行う、さらに機器を設置する場所や主体がその目的に応じて運用の仕方を明らかにして相場を形成する、という地道な準備が重要であることを提案する。

IoTプライバシーの事例

(1)ロンドンのゴミ箱

 スマートフォンというモノの移動を、ゴミ箱でありかつ無線LAN基地局でもあるというモノが計測し、それがプライバシー上の問題となった件を紹介する。この一件は2013年にイギリスで起きたもので、ある企業がロンドンの街角に無線LAN基地局機能を持つ「スマートゴミ箱」を複数台設置し、そのゴミ箱で通行人らが所有するスマートフォンなどの携帯端末のMACアドレスを収集する実験を行った。この実験が報道されると市民から批判が集まり、ロンドン市は実験の中止を命じた。

図 MACアドレスも集めるゴミ箱
図1:MACアドレスも集めるゴミ箱

 このゴミ箱はデジタルサイネージのように広告が表示できるディスプレイを有し、広告収入によってゴミ箱管理の費用が軽減できることが売りであり、MACアドレス収集の目的は、その広告の表示効果の向上と考えられた。実施側の(当初の)主張は集めるのはMACアドレスだけで、それ以外の個人情報は集めていないというもので、一方市民側の主張はMACアドレスは個人にひもづくもので、そのデータがトラッキングされることがプライバシー上の懸念となるというものであった。結果は、実施側が行政および市民の主張を受け入れることとなったのである。

 また、この一件をめぐる報道にも興味深いものがあった。一部では「個々のスマートフォンの動き、機種、行き先、スピード」が集められたと報じられた。これは一見、実施側のMACアドレスしか集めていないという主張と一致しないが、おそらく集めたMACアドレスを解釈したものと考えられる。MACアドレスを複数の基地局で収集することで「動き」や「スピード」が把握でき、MACアドレスの番号自体から「機種」を特定することができる。残る「行き先」は少し書きすぎで実際は不可能ではないかと筆者は考えるのだが、このゴミ箱が無数に設置されていれば、それも可能になる。この逸話は、IoTが集めうるものはわかりにくいため、思いもよらない情報が集められていたという事態に繋がることもあれば、逆に実際には集めていない情報を集めていると勘違いされてしまう事態に繋がることもあるということを示唆している。

(2)IoTぬいぐるみ

 ぬいぐるみが子供の音声を含む個人情報を漏らしてしまったとされる件を紹介する。この一件は本2017年の初頭に発生したもので、米国等で発売された音声の録音再生機能と通信機能を有するぬいぐるみによって起きた。このぬいぐるみは例えば、単身赴任のパパが娘にぬいぐるみをプレゼントし、娘はぬいぐるみを「抱っこして」パパへ音声メッセージを録音し、またパパからの音声メッセージを再生するといった使い方をするものである。ぬいぐるみにはブルートゥースでペアリングされた(ママの)スマートフォンが必要で、一方、単身赴任のパパは自分のスマートフォンで会話を楽しむ。このサービスはぬいぐるみの提供会社が管理するクラウド上のデータベースで音声をやりとりしていたのだが、そのデータベース管理にセキュリティ上の問題があり、登録情報が漏洩した。その結果、提供会社は問題を認め、設定の変更を行った。なお漏洩の内容については、提供会社とこの問題を指摘したセキュリティ研究者の間で見解が異なっており、社はメールアドレス、ユーザ名、ハッシュ化されたパスワードのみとしているが、研究者は音声データも第三者が取得可能な状態にあったとしている。

図 会話をクラウドに保存するぬいぐるみ
図2:会話をクラウドに保存するぬいぐるみ

 このぬいぐるみとそのサービスの売りは、スマートフォンを操作できない子供にも、音声メッセージをやりとりできるようにすることであり、一件後もサービスは行われている。確かにぬいぐるみによって通信サービスの複雑さを隠蔽するサービス設計は悪くなく、クラウドアプリケーションが容易に構築できるようになった現在、このようなサービスは増えていくだろう。しかしながら、研究者により指摘された事実や社の対応をみると、セキュリティが十分だったとはいえないだろう。気軽で安価なIoTサービスに安全性も求める場合、陥りがちな問題点を示唆している。

-IoTプライバシーがわかりにくい理由

(1)計測されるデータ(What)

 IoTプライバシーがわかりにくい第一の理由には、そのIoTが何を、すなわちどのようなデータを計測するのかがわかりにくいことがある。例えば、昔の(アルコールや水銀を用いる)温度計は、見れば温度を計測することがわかる(かつ温度以外は計測せず、その温度もそばに見に行った人だけに開示されることがわかった。ましてやクラウドにアップロードされるようなことは想定外)。しかし、それがデジタル(例えば半導体)で計測されると直感で理解しにくくなり、さらにそれが集積された機器になれば、計測されるデータが何であるのか、もはやわからない。あなたは、あなたのスマートフォンが何を計測できるのか、全てご存知だろうか(しかもそれは通信機能によって、他人に知らせることができるのかもしれない)。

図 何が計測されるのか、わからない
図3:何が計測されるのか、わからない

IoT機器が目の前にあって、それが何を計測するのかが直感的にわかることが望ましい。しかし、多くのIoT機器はそうではない。

(2)計測の場所と時間(Where&When)

 次なる理由に場所と時間がある。壁に耳あり障子に目ありとは昔の人が言ったものだが、IoT機器によりその状況を簡単に作れるようになった。いつどこで計測されているのかがわかりにくい。例えば、自分を撮影している街頭カメラを全て把握するのは困難であろう。前述のスマートゴミ箱のようなMACアドレスの収集もどこで行われているのかわからない。

図 いつどこで計測されるのか、わからない
図4:いつどこで計測されるのか、わからない


 映像の撮影のような計測される側が受動的なものは、計測が告知されなければわかることはない。告知を徹底することを考えてみよう。告知は一般的にはその場で行わないと意味がないので、計測機器ごとに告知の看板を立てることを想像してみよう。看板は、せっかくの機器の「小型化」とは相性が悪いし、そもそも街中が看板だらけになってしまうかもしれない。他方、GPSの利用のような、被計測者の機器の機能を作動させて計測するものであれば、その都度ごとに(画面等に)告知を表示することが可能である。例えば、スマートフォンでGPSを使うたびに位置情報利用に関するダイアログが表示された経験を持った方も多いだろう。こちらも何度も表示されるとわずらわしいが、一方表示されなければ、いつどこで、の把握が難しくなる。

 その場での告知、あるいは都度告知以外の方法を考えてみると、あらかじめ告知しておくということを思いつく。例えば、「あなたには○○の計測をさせていただきます」としておく、あるいは「いついつ、どこそこでは(□□のイベントを開催するので)○○の計測がされます」ということが考えられる。しかしこのように人やイベントでターゲットをしぼっても、空間では必ずターゲットに該当しない人が存在しうる。その場合にはターゲットではなく、告知も受けていない人が計測されてしまうことが起きる。これは映像でいう映り込みなどと呼ばれる現象である。

(3)計測されたデータの解釈(How)

 ここまで、IoT機器による計測について論じてきた。計測されたデータがプライバシーに関わるかどうかは、一般には自明ではない。まず機器が人の何かを計測していることが前提であるが、その計測データがそのままプライバシーに関連するかどうかはわからない。GPS位置情報は関連するといえるだろうが、例えば加速度センサーのデータはどうだろうか。同データは機器所持者の加速度であり、それがプライバシーになるだろうか。加速度一つではどうともいえないだろう。しかし、同データを時系列で集めて解釈することで、例えば活動状況を推定することができる。被計測者が走っているのか、座っているのかなどの推定である。

図 計測されたデータがどう解釈されるのか、わからない
図5:計測されたデータがどう解釈されるのか、わからない

 加速度センサーというIoTがあり、仮にそこから加速度が計測されるということがわかったとしても、それをどのように解釈され、何がわかるのかがわかりにくいのである。

図 計測されたデータが組み合わされてどう解釈されるのか、わからない
図6:計測されたデータが組み合わされてどう解釈されるのか、わからない


 図7は、複数の異なるIoT機器から計測されたデータが組み合わされて解釈される例である。加速度データから活動状況がわかり、GPS位置情報とさらには地図情報を持ち込むと、結果としてライブで歌い踊っているのか、レストランで食事をしているのか、このような推定も技術的に可能である。若干、想像力豊かな例に振ってはいるが、それこそAI技術の応用が進めばこの例のような技術ができることと一般の理解のギャップは広がる。

図 計測されたデータがどう解釈されていないのか、わからない
図7:計測されたデータがどう解釈されていないのか、わからない


 こちらは逆側、すなわち「実は想像よりも概観的にしか解釈されていないこともある」例である。もはや街頭カメラで撮影されると、個人が識別できるレベルの詳細な情報が記録されてしまい、さらに想像力の豊かな人は、どこかにあるデータベースと照合されて個人が特定されてしまうことを心配するかもしれない。しかし、実際の街頭カメラからの画像は上記のように詳細に扱われることもあれば、そうでない場合もあると想定できる。図では扱われる撮影された画像が実際どう扱われるかを3レベルに書き分けたが、その例は(1)本人が識別可能な特徴量、(2)推定性別、推定年代がわかる属性、(3)人の人数だけがわかるカウント、というレベル分けである。例えば、人流把握のために街頭カメラを設置したとしよう。この場合(3)の解釈ができればよい場合でも、カメラ撮影があるだけでが想起されてしまうのではないだろうか。そしてそれはもしかしたら、そのカメラが必要なレベルの解像度を持たず、もともと(1)ができない場合でも同様のことが起こり得る。

 この例は、IoTで計測する事業者が、プライバシーへの影響がないデータ処理を行なっていたとしても、それが理解されない可能性があるという性質である。

(4)計測の主体(Who)

IoTプライバシーをわかりにくくする次なる理由は、計測の主体にまつわる性質である。例えば公共空間で人の移動が計測されている時、その主体が直ちにわかるだろうか。ショッピングモールで計測機器が置かれている場合、それがテナントの各店舗のものか、
モールなのか、あるいは自治体なのか、色々な可能性があり、現在誰が計測しているのか、直感的にわかる状態にない。

図 誰が計測しているのか、わからない
図8:誰が計測しているのか、わからない


 客等の被計測者にとっての計測主体が明らかである必要性は、苦情やオプトアウトなどへの対応に他ならない。そして、さらに考えておきたいのが、計測する側、される側、両者を含んだステークホルダー全体での目的の共有である。

(5)計測の目的(Why)

 最後に指摘する性質は計測の目的である。例えば、ある人が訪問先で自分のデータがIoT機器によって計測されていることを不意に知った状況を想定してみよう。その人が最初に「どうして」と思っても不思議ではない。これに対して「防犯ですよ」となると仕方ないと考えるかもしれないし、「来訪10000人目のお客様に豪華プレゼント」となると喜んで計測されるかもしれない。本来、IoTを設置して計測するにはなんらかの目的があるはずであり、その目的にしたがって、データが(クラウドに集められ)解釈され、その恩恵が被計測者を含むステークホルダー全体にプラスに還元される状況が作り出せることが望ましい。しかしそれを伝えるのは簡単なことではなく、直感的な理解が可能な性質のものでもない。

図 計測の目標は何?
図9:計測の目標は何?

計測の目的に関する論点は、IoT機器での計測には目的があるはずであるが、その共有はとても難しいという性質である。

IoTプライバシーの理解のためにすべきこと

 ここまでIoTプライバシーがわかりにくい理由について考察してきたが、これに対して、IoTを提供する業界側ですべきことの提案を述べる。

 IoTプライバシーがわかりにくい理由として、次の5項目を挙げた、(1)データは何か、(2)場所と時間、(3)データの解釈、(4)主体、(5)目的、を挙げた。これらをわかりやすくIoTデータの被計測者(お客様)に伝えることがゴールである。ただしこのゴールの達成は、それぞれの項で述べた難しさがある。この難しさに共通してあるのは、IoTで都度、被計測者から確認をもらうのは現実的に困難であるという性質である。他方、IoTシステムをプラットフォームとして利用したいIoTユーザ企業のニーズとしては、こんな細かいことを気にせずに、IoTをハコとして使いたい、というものもあるだろう。

 この困難さとユーザ企業のニーズを勘案すると、尽力すべきことは、IoTプライバシーがわかりにくい理由の各項目をできるだけ類型化して、それに対する「なにがどうなる」という相場を形成することである。例えば、NHK-BSで火野正平氏が自転車で各地を訪問する番組が放送されているが、この番組において「火野正平が自転車で来たらテレビに撮影される、ただし氏名年齢が放送で出ることはない」という相場ができている(と思う)。その相場を知っていれば、火野正平が来た場合、喜んで撮影されるか、その場から逃げる、という選択を冷静にすることができる。

 相場を形成するためには、IoT機器で何が計測でき、どう解釈できるのかの技術的な類型化を行い、類型化ができたものに対して、機器を設置する場所や主体がその目的に応じて運用の相場、すなわち「ここではこういう計測がおこなわれているのです」といった情報を明らかにしていくことがよいと考えられる。このような情報が出揃うことにより、被計測者への通知方法などの合理的な検討が可能になる。無論IoTは日進月歩の分野であるので、技術的にできることの確定は難しいケースもある。その場合は、慎重にことを進めましょう、と言わざるを得ない。IoTで計測されるデータは、個人情報である可能性もあるので、その場合は個人情報保護法で定められている「適正な取得」が必要であることも念のために述べておく。


 筆者は総務省で開催された「改正個人情報保護法等を踏まえたプライバシー保護検討タスクフォース(第4回)平成28年4月6日(水)開催」において、国立情報学研究所の佐藤一郎 氏と共にIoTの進展等を踏まえたプライバシー保護についての報告を行なった。本稿はその議論に基づく。

(初出:機関誌『日本データ通信』第215号(2017年7月発行))