子供のプライバシーを守りながら安全なインターネットを実現する方法
※このインタビューは2024年9月17日に収録されました。
技術を活かしたプライバシー保護に注目が集まっています。
今回はスペインデータ保護監督局(AEPD)でイノベーションとテクノロジー部門のディレクターを務めるルイスさんに、データ保護の未来とテクノロジーの重要性についてお伺いしました。
前回の記事より
このプロジェクトではどういったことをゴールに設定して、ゴールを達成するためにどのような技術的なソリューションやID技術を採用する予定か教えてもらえませんか?
子供のプライバシーを守りながら安全なインターネットを実現する方法
Luis: このプロジェクトはただのアイデアではなく、既に開発が進んでいます。まず私たちが考えていることは、子供や成人を守るために何をすべきであるかを明確にする取り組みを進めています。
インターネット利用者は子供達だけでなく、体が不自由な方も多く利用しているため、そういった方々の利用についても検討しておく事が必要です。高齢の方がインターネットを利用する際には、子供達と同様の問題が起こる場合もあります。
ソリューションについては、年齢確認ができるツールのみを導入するわけではありません。年齢確認はソリューション全体の一つの機能を指します。サービス提供者は成人か否かを判断できるため、実装に関しては別途考慮することが必要な要素もあります。そこで、まずはどのようなコンテンツやサービスから対象の人を保護するべきなのかを考えるようにしています。
そして、そのコンテンツやサービスを誰が提供していて、提供者はインターネットサービスプロバイダーなのか、どこを拠点にしているのか等を探っていきます。
国によってインターネットに対する考え方も異なるので重要な要素の一つですね。また、情報へのアクセスは政府か教育者かNGO、対象者の家族かによっても変わってきます。
全ての家族が同じ問題を抱えているわけではないことに加えて、全ての子供が同じ問題を抱えているわけでもありません。子供達を有害なコンテンツから保護するためには、どのようにして管理を推奨するのかについても検討しておく事が必要です。
その他にはフィルタリングを実施する際に、誰が責任者であるべきかという問題が発生します。責任はサービス提供者にあるのか?それとも第三者にあるのか?などです。
場合によっては特定の基準を下にフィルタリングを実施している場合もあり、その基準に沿ってプロファイリングを実施しているケースもあります。コンテンツをラベリングする際に、サービスがどのように機能しているかを考え、適切なラベリングを実施しています。
ここまで話をしたような問題を事前に考慮しておくことが非常に重要だと考えています。そして、私がスペインのコミッショナーに提案したように、全てのシステムについても検討することが大切です。本人確認の要素やフィルタリング機能、また子供の安全性を監督するための基準が該当します。
私たちの提案はユーザーのデバイス上で全てのデータを処理できるような仕組みを考えています。この仕組みを通して、コンテンツへのアクセスを承認したデータ処理のみを実施します。
この処理の際に年齢を確認する必要はありません。年齢は一つの危険因子だからです。例えば、コンテンツの対象が14歳以上の場合は、16歳以上もターゲットとして含まれます。86歳の女性もその場合は対象になります。
こういった情報に関する種類も事前に考慮しておく事が必要です。事前に特定のコンテンツがサービス上で上手く機能するように調整しておく事です。アクセスしたい人には適切に承認が下りるような仕組みですね。
データ処理を行うにあたって2つのことに気をつけておく事が必要です。先程お話ししたデバイス上でアクセス承認を実施することと、コンテンツのフィルタリングを実施することです。
情報をインターネットサービス提供者に渡さない方法で実装します。現在は多くのアプリやブラウザ、アプリストアが既にスマートフォン内で搭載されているか、ダウンロードして利用できるためこういった機能を実装しておく事が必要です。
そして、自身のデバイス内で情報を管理するのです。そうすれば、自分で情報を監査するように確認できますし、自分の情報に誰がアクセスしているか等もわかります。どのようなフィルタリングが行われているかもわかるのです。
フィルターを通して自分のプロフィールを公開することなく、自分が子供であることをデフォルトで証明することもできるようになります。もし自分が既に成人していて、特定のコンテンツへのアクセスを希望する際には、デバイス上でコンテンツへのアクセスに必要な認証をするだけで、デバイス外に情報を持ち出す必要もありません。
必要な情報だけで運用できる新しい仕組み
自分自身でどういった本人に関する情報をインターネット上に公開するのかを選択できることが重要です。発行された証明書を提供する場合もあるでしょうし、自分のIDカードやパスポートを利用する場合もあるでしょう。
スペインのデータ保護監督機関では年齢確認のアプリケーションを通して、独立したIDスキーマを設定し、インターネットサービスからは独立した形でID情報を処理できる仕組みの検討を進めています。
これにより、本人確認と年齢確認がそれぞれ独立した形で実現できるのです。この独立した形での運用が非常に重要で、必要な情報を特定すれば良いのです。
それによって、利用者は自分のIDを公開する権利を保有しながら、アイデンティティプロバイダーに対しては自らの権利に沿って最低限の情報提供を実現する事ができるのです。
デバイス内に必要な範囲内で年齢情報を生成します。そして、子供ではないことが証明された上で、コンテンツへのアクセスが許可されるのです。
子供達は自分たちを特定する必要はありません。成人向けのサービスやコンテンツにアクセスしたい場合には、確認のツールを利用すれば良いのです。もし成人になっていないユーザーがインターネット上でのリスクを避けたい場合には、利用しないという選択もあります。
一方で、リスクがあってもインターネットを利用したいという場合には、事前に年齢が妥当であるのかを確認するコストを払う必要があるのです。
また、何が起こりうる脅威を極力減らしていくことも必要ですし、全てが脅威であると拡大解釈することもよくありません。私たちが購入できる全てのコンテンツや映画、本等へ適用する必要はないのです。
重要なポイントはユーザーが自らのIDを管理し、第三者に頼らずとも、成人や年齢等に関する情報を知らせることなく子供であるという事実をデバイス上で確認できることです。
デバイスでできることはより増えてきています。生体情報を活用すればインターネット上で誰が利用しているかという情報を知らなくても判断することができるようになります。対象のユーザーが子供か成人かについても、必要以上に情報を提供する必要はないのです。
私たちの権利を保護しながら、スマートフォン等のデバイスで最低限のデータを処理するだけで対応できる方法は広く誕生してきています。このような手法を利用することで、より強固な安全性に繋げていくことができます。VPNsのようなケースもありますね。
私たちはこういった保護機能をペアレンタルコントール等にも適用していきたいと考えています。
最も重要なポイントは構造的な問題に対して技術的にどのようなアプローチを行っていくのかということです。技術を活用するだけで構造的な問題が解決されたように見せかけるのはよくありません。
サービス提供方法に限らず、見直していくべき要素はたくさん残っています。子供達への教育活動もより重要になっていきますし、子供達がアクセスすべきではないデジタルシステムへのアクセス環境の見直しも必要なテーマだと思います。
Kohei: そうですね。非常に細かい範囲まで教えて頂きありがとうございました。ルイスさんがお話しして下さった取り組みは非常にチャレンジングではありますが、重要なテーマのお話です。インターネット空間で子供の権利を保護するためにできることを考える上では、重要な示唆を頂いたと思います。
ぜひ、新しいプロジェクトが成功して欲しいですね。最後にルイスさんから視聴者の方へメッセージをお願いしてもよろしいでしょうか?ルイスさんはこれまでに長い間データ保護の領域に関わっていらっしゃったと思います。ぜひ皆さんへもメッセージを頂けると幸いです。
プライバシーに取り組むことでサービスの質を高める
Luis: ありがとうございます。本日はお話しさせて頂く機会をいただき、ありがとうございます。個人のデータを取り扱う際に、コントローラー(管理者)とプロセッサー(処理者)という考え方がありますが、それは一体何かを私たちが理解することが必要だと思います。私たちが目指していくものは個人の権利と自由を守るということです。
プライバシーとは一体何かも重要なテーマです。これはインターネット上で私たちの権利と自由について考え、現実世界で実現していくような活動につながっていくと思います。自由に物事を思考し、差別から解き放され、教育や情報を自ら取得できるような環境を指していると思います。
これこそがプライバシーが重要な理由ですが、まだ分からずに話をしている人たちもたくさんいます。私たちが新しいサービスを構想する際には、ビジネスモデルを考えてデータを利用する仕組みを開発者と議論する際に、エンジニアやマネージャー、CEOが一緒になって権利を守るためにできることについて考えてみることが必要です。
その時に自分のパートナーや子供達、親族を思い出してみるといいと思います。プライバシーの保護と経済的に持続可能なプロダクト開発が相反するものであってはいけません。データ保護を理由に質の低いサービスを提供することは許されることではありません。
質が低いということは、プライバシーや安全性、セキュリティへの配慮も足りていないということです。私たちがプライバシーやデータ保護について語るときは、質の高いサービスを提供することと同義なのです。
今私たちは社会全体の大きなターニングポイントに来ていて、これまでデータ保護やプライバシーを意識してこなかった質の低いサービスをどのように転換させていくのかという過渡期にあります。こういったサービスは長い年月を経て支持され続けることは難しいでしょう。
7月19日に起こったことを思い出してもらいたいのですが(Crowdstrikeの事件)、システムの回復が遅れたことによる構造的な問題が影響しています。これまでに採用していた標準レベルでは質が担保できないため、このような問題は今後も出てくると思います。
(動画:【世界各国のシステム障害】「更新のソフトウエアに不具合」 セキュリティー会社CEOが謝罪)
そして、サービスの質を語る上でプライバシー保護は切り離せない要素になっていきます。これはセキュリティ問題と切り離して考える必要があります。セキュリティはインターネット上で非常に重要な要素です。でも、プライバシーはそれ以上に重要な側面もあります。
もしプライバシーが十分に保護されることなく運用されるとすると、セキュリティ対策も不十分であるということです。どのシステムも人が管理しているため、プライバシー無くしてセキュリティは存在し得ないのです。
私たちの生活の多くをデジタルシステムに依存するようになってきました。私たちはデジタルエコノミーについて語り始め、最終的には文化や教育もデジタル化していくでしょう。私たちは良い考え方を持ちながら、技術やリソースを上手く使い分けていくことが求められます。
そのためには、私たちの自由が保障され、時には手触りがあり、人間を介したよう技術利用を上手く取り入れていくことでより質の高いサービスと生活を実現できるだろうと考えています。
Kohei: 素晴らしいメッセージをありがとうございます。ルイスさん。本日はご参加いただきありがとうございました。今日はお話しできて非常に参考になりました。今後も定期的にアップデートさせてください。新しいプロジェクトのフィードバックも楽しみにしています。改めて感謝します。
Luis: どういたしまして。これまでに素晴らしい活動をされてきていると思いますし、非常に重要な活動であると確信しています。本日はありがとうございました。
データプライバシーに関するトレンドや今後の動きが気になる方は、Facebookで気軽にメッセージ頂ければお答えさせて頂きます!
プライバシーについて語るコミュニティを運営しています。
ご興味ある方はぜひご参加ください。
Interviewer, Translation and Edit 栗原宏平
Headline Image template author 山下夏姫