データプライバシー分野に注目する女性が増えてきている理由とは？

テクノロジーの発展によってモバイルアプリなどのサービス開発環境が徐々に整いつつあります。一方で、アプリを通じて知らぬ間に個人データを抜き取られている事例も数多く発生しています。

今回はワシントンDCでデータプライバシーを守るための国際デジタルアカウンタビリティカウンシルという組織で活動しているレナさんとのインタビューしています。

記事は第一回と第二回に分けられていて、第一回では国際デジタルアカウンタビリティカウンシルと女性活躍の話、第二回ではSDK含めたアプリの開発環境の観点からデータに関する話を伺っていきます。

国際デジタルアカウンタビリティカウンシル      政策・スタッフ代表        Lena Ghamrawi氏　　　　　　　　　　　　　　　　　　　　　　　　　  The Future of Privacy Forumでは政策カウンシルを務め、国際デジタルアカウンタビリティカウンシル（IDAC）ではプライバシー政策・スタッフマネジメントを行う。Women in Security and Privacy (WISP)ではワシントンDCノチャプター代表を務める。ビジネス、連邦政府向けのプライバシープログラム開発なども行う。弁護士。

Kohei: LenaさんワシントンDCからPrivacy Talkインタビューにお越し頂きありがとうございます。今回はモバイルアプリケーションに関わるデータプライバシーに関するトピックに関してお話しできればと思います。では早速始めましょう。Lenaさん、今取り組まれている内容と自己紹介を御願い致します。

データプライバシーを守るための新しい動き

Lena: ありがとうございます。インタビューに招待頂きありがとうございます。私の名前はLena Ghamrawiです。現在はアメリカのワシントンDCで活動しています。弁護士として活動していて、これまでにはデータ保護に関するコンサルティング分野に携わっていました。

これまでの数年間は欧州のGDPRやカリフォルニアのCCPAのコンプライアンス対応をクライアント向けに実施しています。それ以外にも、米国の連邦政府に対してプライバシープログラムのサポートなどを行なっています。最近は国際デジタルアカウンタビリティカウンセル（略称IDAC）と呼ばれる非営利組織に関わっています。

IDACは今年の4月に設立されたばかりの新しい組織で、国際的なワッチドッグ（監視組織）として、データプライバシー に関する企業やサービスのアカウンタビリティ向上を目的として活動しています。

アカウンタビリティに関する取り組みはまだまだ個別に取り組んでいる人たちが非常に少ない領域です。私たちのチームでは私を含めた数人の法律家と技術者が連携して共同で調査を行っています。

調査は主に三つのプロセスで実施しています。第一ステップは誤った処理が行われていないか検査するフェーズです。私たち自身で見つけて実施する時もあれば、第三者から紹介を受けて実施することもあります。

その際には例えば「今、コロナ関連のアプリで調査を行っています」という形で声をかけて、いくつかの要素を下に調査を実施します。その中には、ユーザーにどれくらいの影響があるのか？どのような情報が取得、共有され、ユーザーに影響するのか？などを考慮してユーザーへ与える悪い影響を予測します。

その後法律家と技術者の視点からテクノロジーでの処理がポリシーへ違反せず適切に行われているのかを調査します。テキストツールやモバイルなどを実際に使ってみるなどのテストを通じて、アプリを通じてどのような情報が取得されているのか、適切に暗号化されているかなどの検証を行います。.

その際に誤った形での処理の可能性がある場合は開発者に確認を行い、企業の担当者の方に「アプリを通じてこう言った問題が見られたのですが、説明してもらうことはできますか？」と相談し、もし私たちの調査が正しかった場合は「開発者ポリシー、もしくは規約から逸脱しているので変更指定もらえますか？」と要求します。

開発者に通知することでそのまま修正される場合は非常に良いパターンです。企業側で「ご指摘ありがとうございます。指摘頂いた点は修正が必要な点だと思うので、対応したいと思います」などの返答があった場合はそのまま進めてもらいます。

ただ、珍しいケースではありますが開発者側が協力的な姿勢ではないケースもあります。監視されているのを非常に不愉快と感じることもありますから。

その場合は、AppleやGoogle、もしくはTwitter社へ連絡して「バックヤードでこう言ったことが行われているのですが、対応御願いできませんか」という要求を行います。

それでも対応が行われないケースは非常に珍しいのですが、その場合は司法長官や連邦取引委員会に相談し「調査を通じて法律に違反するケースが発生しているので対応してください」と依頼し、メディアを通じての公表なども行います。

具体的な例を上げると、6週間前（インタビュー時）に作成したコロナ対策アプリに関する状況のレポートがあるのですが、レポートでは全世界41ヵ国108のアプリの調査を行っています。

その際にアプリが利用しているSDKに関しての調査を実施し、データの取引や暗号化状況などを確認しています。どのような許可がアプリ上で取得されているのか、第三者にどう言った情報が提供されているのかなどを調べています。

開発者の皆さんはかなり慎重に設計されていて、コロナに関する健康情報や位置情報取得に関する対策は行われている印象です。

これまでの調査を通じて発見した改善ポイントに関しては、レポートで紹介しています。レポートを公表した後で数社がすぐに改善してくれた事が非常に嬉しかったですね。こう言った取り組みは、他の分野でも必要になるので引き続き行っていきたいと思います。

特に位置情報のデータを収集しているアプリや、子供が利用するアプリ、ヘルスケア分野のアプリも同様に考えています。

Kohei: 素晴らしい取り組みですね。アプリ開発も容易になっていく中で、簡単にアプリストアを通じてダウンロードできるものも増えてきています。特に子供向けのアプリはどう言ったデータが明確に取得されているのか、第三者へ提供されているのかが分かりづらいので問題になっていきそうです。

ここからは組織での役割に関してお伺いしたいのですが、チーフオブスタッフというのは組織の中でどのような役割を担っているのですか？

Lena: 質問ありがとうございます。主に2つの役割を組織で担っています。チーフオブスタッフの役割とポリシーカウンシルという役割です。まだ組織が新しく立ち上げの段階ということもあり複数の役割を担っています。

チーフオブスタッフとしては、調査を進めていく上で開発者やステークホルダーと協力しながら進める役割を行っています。チームで進めていく際の目的の整理やゴール設定などを行っています。やることは沢山あるのですが、とても良い経験です。

Kohei: なるほど。自分も小さいチームの立ち上げを行っていますが、チーム全体で方向性を共有して進めていくのは非常に大事なポイントになりますね。Lenaさんが取り組まれている役割はチームとして非常に需要だと思います。

次の質問に行きたいのですが、IDAC以外にもWomen in Security and Privacy（WISP）という活動をされていると思うのですが、拝見したところ特に女性向けのセキュリティ、データプライバシーコミュニティのような印象を受けました。

こちらの取り組みに関して主にワシントンDCで活動されていると思うのですが、どう言った事に取り組まれているか教えて頂けますか？

データプライバシーは女性が活躍できる領域

Lena: 分かりました。WISPはWomen in Security and Privacyの略称で、非営利組織として活動しています。2014年にサンフランシスコでスタートしてから、様々な地域へコミュニティを拡大して行っています。

（動画：Hacker Daily Interviews: Kenesa Ahmad - Women in Security and Privacy）

アメリカ国内に加えて、他国にも徐々に拡大していて、現在はニューヨーク、ダブリン、シアトル、そして昨年ワシントンDCでも立ち上がりました。その時に立ち上げも手伝っています。

取り組みとしては4つの領域に注力しています。1つ目が教育で、セキュリティやデータプライバシー領域で活躍できる女性を増やしていくための教育を提供しています。

次にメンターシップとネットワーキングです。コミュニティを作っていく際に、特に心理的な安全性が重要でメンターや参加者それぞれが経験や知識を共有できるような環境づくりを行っています。

3つ目がキャリアのサポートと専門性の開発です。私たちのグループではそれぞれが異なるキャリアのテーマを持っていて、学校に通いながら将来を見据えて活動している参加者の方などもいます。

逆に意思決定レベルの経験をしている方も参加しているので、女性でも異なるバックグラウンドの人たちが集まっています。

会員は無料で参加できるのですが、理由としては誰でも気軽に参加してお互いに刺激し合える環境を提供したいと考えているからです。最後は、リーダーシップに関する取り組みです。

特に、リーダーシップを持って取り組める事をコミュニティ内では大切にして、見える化していきたいと思っています。例えば、誰から書いた記事をコミュニティ内でシェアしたり、それぞれが発言する機会を作ってお互いに発信する場を作るようにしています。

こう言った新しい取り組みを行っているので、興味のある方は是非一緒に活動しましょう。今はコロナの影響もあってオンラインでやり取りを行っていますが、オンラインであれば住んでいる地域は関係なくなりますね。

アメリカ特有の地域性のあるコミュニティづくり

DCでの取り組みに関しては、他と少し違っています。それぞれの地域チャプターごとに色があってサンフランシスコでは特にテクノロジーやセキュリティ、私たちのグループでは地域柄政策や政府とのリレーションなどを積極的に進めています。

DCでは独自のプログラムを設計していて、特にメンタリングプログラムには力を入れています。6ヶ月前にスタートして、15のペアグループができ、それぞれがグループで活動しています。

奨学金や割引の制度も設けていて、プライバシーやセキュリティカンファレンス費用のディスカウントなども行っています。通常はカンファレンスなどは学生やキャリアを考え始めた段階の人たちにとって高額なので、参加できるようなプランを考えました。.

それ以外にも認証資格を取得するトレーニング教材の提供も行っていて、IAPPなどが提供する認証制度に合わせたトレーニングができるような教材を準備しています。

学習教材を集めるのは大変なので、無料で参加者の人たちには提供しています。最後に、IAPPなどとパートナー連携をしていて、イベントなどの運営も行ったりしています。

Kohei: それは素晴らしいですね。アメリカでもジェンダーギャップがまだまだ大きく存在しているというのは意外でした。日本でも注目のトピックとして取り上げられていますが、新しくビジネスなどを考えていく上では検討が必要になると思っています。

気になっているのは、サイバーセキュリティとプライバシー領域でジェンダーギャップが発生した場合、どう言った影響があると考えられますか？

Lena: 大事な質問ですね。プライバシーとセキュリティは大きく異なる側面があるのですが、プライバシー分野では特にジェンダーギャップを減らしていくという考えが強いですね。どちらかというとサイバーセキュリティ分野はギャップが明確です。

メンターシップが非常に重要だと思っていまして、スポンサー制度などを通じて仕事に就く事ができる仕組みを作っていくことも取り組んでいます。多くの女性が仕事の中でメンターシップを得る機会が少ない事が問題だと思っていて、こう言った問題に取り組む事で解決できるのではないかと思っています。

少なくともプライバシーに関する取り組みは女性の視点が非常に重要で、最近は女性がパネルとして参加しない場合は、登壇者しないというような男性の方の意見も増えてきています。こう言った傾向は一つの変化だと思っています。

次回のNoteに続きます！

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookに気軽にメッセージ頂ければお答えさせて頂きます！

Facebookにログイン