仮想現実世界で起こりうるプライバシーリスクと求められる事業者倫理とは？

XR技術に関する話題はゲームなどのエンターテインメントだけでなく、医療や買い物など私たちのリアルの生活環境にまで徐々に入ってきつつあります。

今回はSNS、ゲーム業界の第一線でセキュリティ、プライバシー分野で関わってこられたKavyaさんをお招きして、XRに関するプライバシーリスクに関して紹介します。

第二回ではこれから普及が見込まれるXRにおけるリスクと検討が必要な問題点を整理していきたいと思います。

XR Safety Initiative 代表　　　　　　　　　　　　　　　　　　　　　　Kavya Pearlman氏　　　　　　　　　　　　　　　　　　　　　　　　　　  サイバーセキュリティ、XRテクノロジーの専門家。XR技術に関する非営利組織を立ち上げ、業界フレームワークやコミュニティ育成を行う。過去にはFacebook、リンデン・ラボ等の企業でセキュリティ部門を担当し、サイバーセキュリティ関連では数多くの賞を受賞している。

Kavya: はい。コロナ後には新しい技術がどんどん広がっていくと考えられますね。こう言った技術の進展は一時的なものではなく、気候変動によって家にいる時間が増えたり、パンデミックによって外出機会が減ったりと様々な要因でより当たり前になっていくと思います。

重要なポイントとしては、こう言った技術を活用するにあたってより複雑化していく事だと思います。Future of privacy forumが実施した調査で、今後トップ10の新技術の発展とともに今後10年で、よりデータ保護の問題が複雑化していくだろうと予測されている点は非常に興味深いです。

XRもその中に含まれている新しい技術分野の一つで、プライバシー対策は非常に重要な位置づけになっていますし、人を軸にして技術やプロダクト、サービスなどのレビューをバイアスを考慮した上で行っていく必要があります。自身のデータにどう言った影響があるのかであったり、それによって発生する影響などは分析が必要です。

これまでの研究の中で、米国の8700万人の個人データを容認されていない形でアクセスできた事で2016年の大統領選で非常に大きな問題となったケンブリッジアナリティカの事件のようにデータとプライバシーにまつわる懸念は非常に大きなテーマになります。

当時の事件では、人々の個人の行動に大きな影響を与え、米国人のそれぞれに対して5000の個人に纏わるデータを特定していたとしています。

これらの5000のデータを広告のターゲット操作に活用して、選挙期間のユーザー行動に大きな影響を与えたという事で問題になっています。これは拡張現実や仮想現実空間でも起こり得る事です。

特に、仮想現実のケースでは個人データを録音し、個人の位置情報や個人と個人の関係性、声でのコミュニケーションや目の動きなどをデータとして取得できるようになります。

姿勢や目の動き、顔の表情など対人関係でのやり取りを通じてデータとして記録されてます。そうする事で、”これは Kavyaさん、もしくはKavyaさんの声ですね” というのが特定できるようになります。

スタンフォード大学のVRゲームに関する調査によると、20分の利用で200万近くのデータポイントからデータを取得し、体の動きなど20分で5000のユニークデータポイントから自然と多くのデータを取得する事ができるという結果が出ています。このように多くのデータを取得する事ができる一方で、アカウンタビリティをどのように設計するかは議論になっています。 

ケンブリッジアナリティカのようなケースが起きないように、立ち止まって防ぐ方法を考える必要がありますね。考えられるリスクを未然に理解して対処するために、将来を見据えた上で取り組みを検討していく必要はあると思います。

Kohei: 確かにそうですね。新しいプロダクトデザインに憧れたりしますが、よく考えるとデータを取得する際の同意の問題は大きな課題として残っていますね。実際にデータ主体から同意を取得するのは非常に難解な気がします。このようなケースではプロダクトデザインにもデータ取引に関する倫理的な視点を考える必要性がありますね。

特に子供が利用する際には十分に気をつける必要があると思います。先日もTikTokがCOPPA（児童オンラインプライバシー保護法）の下で問題を指摘されていました。同意の問題に関しては同様に韓国でも問題になっていて、サービス設計時の同意問題はより深刻になっていくと考えられますね。

子供など本人の同意を取得する事が難しい場合の同意設計はXR分野でどのように考えれば良いのでしょうか？

TikTokがプライバシー問題を指摘された理由

Kavya: 非常に重要な質問ですね。プライバシー専門家でも答えるのが難しい内容だと思います。ただ、XRに関わる分野ではこの質問に対して考えを向ける必要があります。現時点で、何歳から仮想空間環境を利用できるか適切な基準ができていない点は大きな問題です。

ガイドラインが明確に決まっていない点も課題です。先ほど出てきたCOPPA含めて、関係方に対して、子供のデータ保護に関する議論は深めていく必要があります。

なぜこのような議論が足りていないかというと、子供のデータ保護に関しては基本的に親の同意を下に設計されているからです。なので、年齢に合わせて親の同意を必要とします。問題になるのは、子供たちは非常に賢く、TikTokの件でも出てきましたが12歳を年齢制限として設けたとしても、調べて利用する事になるため常に親の同意を下に設計する事自体が非常に難しいという点です。

実際、セキュリティのトップとして活動している際にこう言った問題に直面したという事があります。子供向けにチェックボックスを設けても、子供は大人のように振舞うためプライバシー問題は非常に複雑で難しい問題です。もちろん、XRに関する懸念は残っているため、Child Safety Initiativeを通じて対策プログラムも検討しています。.

最近はChild Safety Initiativeでドキュメントの基本骨子を作成し、オンライン上での被害を防ぐために適切な対象の設定と、適切な年齢に向けて目的を達成するためのデザインに関しても議論を進めています。 ゲーム企業や仮想現実、拡張現実に取り組んでいるスタジオなどは是非参考にしてもらえると嬉しいです。

イギリスのICO（英国個人情報保護監督機関）では子供をターゲットにする際の適切なデザインコードに関するガイダンスを発表していたり、それ以外にもガイダンスはいくつか発表されています。

ただ、あくまで防止のためとして広範囲な場合のケースではなく、XR分野の特定のケースやデバイスなど明確に定義しているものではありません。実際にXRを通じて子供たちの心理にどのような影響があるのかという視点や、長期的にどのような影響を及ぼす可能性があるのかを検証する必要があります。

子供への被害を防ぐという視点では、まずは理解を促進していくことと、モラル的な責任を親や、先生だけでなく組織や開発者が理解している必要があります。子供の場合はこう言ったヘッドセットを利用するケースも考えられるので、利用者である子供たちへの理解を進めていくこともプライバシー保護の観点からは重要になると思います。

それでも改善点がある場合は、子供を守るためにも法律に頼る必要性もあり、チェックボックスや親への同意以外にも考える必要があります。法的にも違法性があるものに関しては、執行するような意思決定を行うなど、リスクが考えられる活動に関しては慎重に対応が必要だと考えます。

（動画：Talk and Play- Ethics in XR：KavyaさんがEthicsの話をしている動画）

これはプライバシーを考えるだけでなく、安全性を前提にした上でプライバシーによる側面からも考える必要があるという事ですね。

Kohei: そうですね。安全性は保護の観点からも非常に重要だと思います。新技術の利便性の話に加えて、自主学習などの教育的な側面からも検討を進めていく必要がありますね。特に仮想空間での活動に移行していく領域に関しては、どう言った体験設計を作っていく必要があるのでしょうか？

より良いバーチャルリアリティ体験とは？

Kavya: 安全性は私自身が現在取り組んでいるテーマの一つになります。プライバシーやセキュリティだけでなく、倫理的に安全や信頼に関して考えるという事も必要になりますね。それは、コンピューターや機械などこれまでの伝統的なシステムからさらに変化していく事が考えられるからです。

これらの技術は私たちの脳に大きく影響する可能性があり、信頼や安全を自然と犠牲にしているケースもあります。私たちの生活空間に入り込む事に加えて、拡張現実や仮想現実空間の影響で間違った方向に進んでしまった場合、現実世界では外で事故に遭うケースなども影響として考えられます。

そう言った側面からも安全性と信頼性はテクノロジーに不可欠になっていくと考えられます。プライバシーに関しても、そのようなギャップをいかに埋めていくのかは必要になっていくと思います。

その場合は、私たちのデータに対して法が定める透明性などの要求を満たしているのかなど新たに考える必要が出てくる事になります。現時点では、まだ十分にデータに関する議論が進んでいないので、今後取り組みを進めつつ、伝えていく必要性がありますね。

私たちが取り組む事としてプライバシーポリシーを通じて伝えていく事が必要になりますが、XRに関しては継続して通知するためにこれまでとは異なる方法で進めていく必要があると考えています。

チェックボックスを通じてデータに関する許諾を取得するだけでは、別組織でも同様にデータを利用するためには十分に許諾を得ていると判断が難しいため、利用者に十分に理解してもらうためにデバイスを通じたアプローチをプライバシー保護の観点から取り組んでいく必要があると思います。

そして、最低限の基準に関する議論と法的なガイドラインのようなものを活用する必要があると思います。これによって、利用者が選択できるような設計を考えていく必要があります。

70ページもあるプライバシーポリシーを誰かが確認できるとも思わないですし、チェックボックスだけでも難しいと思います。理解ができる同意の設計は重要で、利用者が自ら関心を持つような設計やプライバシーを前提にしたデザイン設計も求められると考えています。

選択肢を提供することを組織として理解できた際に、こう言った取り組みを積極的に取り入れることでプライバシーもしくはデータ保護を優先した取り組みが実施されていくのだと考えています。

Kohei: ユーザーを中心したい体験はまさにXR分野でも重要と言うことですね。そう言った意味では、一つのプライバシーポリシーだけでなく、ユーザー体験をベースとしたデータプライバシーの定義が自然に行われていく事がポイントになるのではないかと思いました。

Kavya: そうですね。この会話の中で始めに出てきたように、こう言ったインタビューを通じて広げていくことも大切だと思います。インタビューを通じて始めのブレークアウトセッションのようなものを実施していくことはいいですね。XR分野に限定して専門家を集めてプライバシーに関するベースラインの話や、コンプライアンスガイドの設計などもできるようになると、XR専門家にとっても非常に良いと思います。

私が考えているのはプラットフォームとしてXRに関係する人たちがXRプライバシーの専門家とも連携し、プライバシーフレームワークのようなものが生まれてくるといいと思っています。イギリスではICOが設計していたりしますが、欧州からは欧州議会の人や日本からもそう言った専門家に加えて、アジア全域からも是非参加してもらえるような場を作っていきたいと思っています。

あと、ご紹介したいのが2週間前には発表されていなかった重要なもので、Facebookが公表したホワイトペーパーの内容になります。これはプライバシーに関する新しい動きで、プライバシーに関してはより重要度が上がっているため、こう言ったアップデートは今後も出てくると思います。

複数の分野を横断してこう言った議論が生まれてくる事が大切だと思っています。それぞれが自分の領域を越えて、協力して取り組んでいければいいと思っています。もし一緒に関わりたいと言う人がいればこちらまで連絡をもらえると嬉しいです【info@xrsi.org】。

現在はクラウド関連の事業を行っている組織とも連携して、専門家と協力しながら将来的にはXR分野でのフレームワークを設計したいと考えています。

Kohei: それは素晴らしいですね。Twitterでコミュニティに関するアップデートが投稿されていますね。FacebookやXiaomi、日本ではSonyやゲーム系の企業も多くの投資を行っている領域です。では最後の質問をさせて頂きます。日本でもXR分野で活動する企業は増えてきてきています。中国含めてアジアでもこの分野は盛り上がっていくと思うのですが、プライバシーやデータ保護の経験からメッセージを頂いてもよろしいでしょうか?

読者の方へのメッセージ

Kavya: もちろんです。日本の状況に関してはこれまでに詳しい方とお話しした事があり、APAC地域ではアジアの企業が適応されるプライバシーフレームワークに合わせてデータや情報流通に関しては検討する事が必要だと思います。

APACの地域に詳しい人たちやこの分野を追っている人たちからAPAC地域では9つの原則を元にしていて、欧州のGDPRの6つの原則とは異なるプライバシーの考え方があると話をしていました。

こう言った現存する法律やフレームワークからゲーム分野を始めとして仮想現実や、拡張現実などを提供する企業は原則も理解すると共に、次のステップとなる安全性や信頼設計にも目を向けていく必要があると思います。

これまでに政府の人たちとも話をしているとデータを不用意に活用するケースに対して、積極的に対策を行なっていくという事も話題に上がります。既存のフレームワークの考え方を学ぶことに加えて、これからのプライバシーに対して目を向けていく事も必要だと思います。日本でも人工知能や機械学習、5Gなどのインフラを通じて新領域の技術は数多く誕生し、それによってデータの流通はさらに加速していくと思います。

5G回線などは脳のコンピューターインターフェイスを始めとして、XR分野で様々な技術が交互に重なり、新しい価値が誕生していくと思います。そんな中で、日本では言葉の壁もあり英語圏で誕生した新しい分野のフレームワークのキャッチアップなどが難しいと周りで活動している人から聞く事もあります。

日本語はとても異なる表現なのですが、言葉の壁を越えた取り組みは今後必要になっていくと思います。既存のフレームワークの理解やテクノロジーの発展を見据えて言語の壁を超えた取り組みが必要になると思います。

Kohei: 素晴らしいメッセージをありがとうございます。今はネット環境の発達もあり、住む場所関係なく交流できる事は一つの新しい変化だと思います。新技術の分野でもここから得られる恩恵は数多くあると思います。Kavyaさん。今日はインタビューありがとうございました。是非引き続き新しい取り組みにチャレンジしていきましょう。

Kavya: ありがとうございます。

Kavyaさんの連絡先はこちらまで！（政府や非営利組織など興味のある組織は是非連携していきましょう）

kavya@xrsi.org
Kavya’s twitter: @KavyaPearlman
Kavya’s Linkedin: https://www.linkedin.com/in/kavya-pearlman

※一部法的な解釈を紹介していますが、個人の意見として書いているため法的なアドバイス、助言ではありません。

データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookに気軽にメッセージ頂ければお答えさせて頂きます！

プライバシーに関して語るコミュニティを運営しています！是非ご興味ある方はご参加ください！

「Privacy by Design Labコミュニティ」↓

Log into Facebook