 |
≫ |
|
|
|
|
「情報セキュリティ侵害」が世界的に問題化し、「個人情報保護の規約遵守」が企業の重用な責務となっていますが、そのために企業は複雑な管理作業を求められ、大きな負担になっているのも事実です。そんな中、英国のHP研究所では、強力な管理機能をミドルウェアに組み込む、一歩進んだ「自動化」を推進。トラブル回避に大きく寄与する、「待望の技術」の中身に迫ります。
※本記事は、HP研究所Webサイト編集長、ジェイミー・ベケット(Jamie Beckett)のレポートを元に編集しています。 |
|
|
|
|
|
|
|
|
|
|
|
まず最初に、個人情報保護に関する最近のニュースを列挙してみます(2005年6月時点)。
・米国アリゾナ州にあるカード決済処理会社から、4000万件以上のクレジットカード情報が盗まれ、不正利用される危険性が発生(2005/6/16)。
・極秘取材を続けていた記者が、インドのニューデリーにある某コールセンターから、英国の銀行の顧客1000人分の氏名、住所、口座情報、およびクレジットカード番号を1人分当たり数ドルで買い取った、と英国タブロイド紙「サン」が報道(2005/6/23)。
・米国防総省は、新兵入隊の可能性を探るため、大学生や高校生を対象に、社会保障番号や人種などの個人情報に関するデータベースの作成を、民間市場調査会社に依頼(2005/6/23)。
|
|
 |
|
|
|
|
|
|
|
昨今、世界各地で立て続けに起こっている「セキュリティ侵害」や「オンライン詐欺」。調査会社ガートナーが6月に、米国のインターネットユーザを対象に行った調査では、多くの人が「セキュリティ上の問題のために、オンラインショッピングやオンラインバンキングの利用を控えたい」と答え、多くの不祥事による人々の不信感は大きくなっていることがうかがわれます。
もちろん米国以外の国々も例外ではありません。企業、行政組織、情報を提供する消費者……と多くの国の人々にとって、「個人情報保護」は重要な関心事であり、情報の管理強化による早急な解決を望む声は、世界規模で急速に高まっています。
日本でも今年4 月に法施行がスタートし、すでにこの問題に取り組んでいる企業も少なくないでしょう。しかし顧客、従業員、パートナー情報など、企業が保有する機密データは膨大な量で、その処理方法に関する要望も多岐に渡るため、その作業は複雑さを極めるはず。また国外でも活動をしている大企業は、異なるアプリケーションやコンピューティング・システム、さらに多数のデータベースといった環境でデータを管理しなければならず、国によって異なるプライバシーの法律を遵守する必要もあるなど、管理作業は企業の大きな負担になっているのも事実でしょう。
そんな状況を打開するため、英国ブリストルのHP研究所では、より簡単に高度なプライバシー保護を行えるツールの開発を推進中。リーダーのブラムホーム氏率いる研究チームでは「各個人が自分で情報を管理できる範囲を拡大すること」、そして「企業が行う管理を簡素化すること」を目標に、プロトタイプの発案を含め、プライバシー保護問題解決のための研究を継続的に行ってきました。
彼らが試みてきたのは「個人情報を強力に保護する機能を、システムに組み込み、データにどのようにアクセス、処理、転送したか、そして削除をしたかを把握できるようにする」こと。現在のセキュリティシステムではアプリケーションごとに情報が処理されていますが、ミドルウェアにその機能を組み込むことで、多数のアプリケーションや異なるコンピューティング・システムでもフォーマットを変えて作動できるようにし、これまで以上に厳しく、信頼性の高い情報管理の仕組みを作り上げることに成功したのです。
では、彼らの開発した技術でたとえばどんなことが可能になるのか?企業の個人情報保護で必要となる3つのタスク--(1)個人情報へのアクセス管理 (2)個人情報に関する責任管理 (3)ITシステムの方針の遵守チェック--ごとに説明していきましょう。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
従業員が他の社員の個人情報にアクセスできなくするなど、プライバシー・ポリシー適用によるソフトウェアでのアクセス管理は、すでに実行している企業も多いはず。しかしその内容はあまりきめ細やかではなく、「データを提供した顧客や個人の希望を考慮する」ことなどは、まだ技術的に困難とされてきました。
|
|
 |
|
|
|
|
|
|
|
それを解決するため、ブラムホールの研究チームは、「セキュリティやプライバシー・ポリシーの管理と適用を、単一のフレームワークに統合するシステム」のプロトタイプを開発。大規模ネットワークでアクセス権を管理するためのソフトウェア、HP Select Accessに基づいてツールを構築し、プライバシーの制約を示すプラグインを追加することで、アクセスの「許可」や「拒否」を決定できるようにしました。
これによって、個人の意向をきめ細かく反映したアクセスの設定や実行が可能に。例えばオンラインストアを訪れた顧客に対し「住所情報へは発送のために必要な場合のみ。郵便番号情報は、その使用目的をマーケティング調査に限定。クレジットカード情報は、売掛金管理者のみが閲覧可能で、その目的は紛争解決に限定」……といった指定もできるようになりました。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
企業は、個人を特定できる情報の受け取りに際し、自らの方針、法規制、顧客の意向に沿って情報を管理する義務を負います。しかしこの義務の遂行は現在、アプリケーションごとで行われており、システム全体を通して簡潔に行われる仕組みにはなっていません。ブラムホールらが開発したプロトタイプは、まず、個人情報をある一定の期間を経た後に「削除」または「更新」するなど、プライバシー管理作業のスケジューリングができる設計になっています。
また、システムが自ら作業を開始し、正しく完了できたかのチェックも自動的に遂行。これを使えば、オンラインストアを訪れた顧客が、支払い完了の2日後にクレジットカードの詳細情報を削除するように指定したり、オンラインストアに対し、半年ごとにデータベース中のその他の個人情報について保持継続の許可申請を要請できるようにするなど、さまざまな要望やチェックをスムーズに行うことが可能になります。
他にも、マーケティング用電子メールの受信解除情報をアーカイブし、個人情報を多数のアプリケーション間で複製する場合に発生する「情報の不一致」問題も、簡単に回避することが可能。パートナー企業などに個人情報を渡す許可を顧客に求める場合にも適用でき、法律が異なる国外の企業が対象の場合など、特定の処理を実行する時にも役立てられます。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
企業がプライバシー保護の規約を守るためには、コンピューティング・システムがプライバシー・ポリシーや人の意向を適用できるレベルにあるかどうか「査定」を行うことが不可欠です。ところが最近、企業のシステムが自社内やパートナー企業内に分散化することで、個人情報を処理するバックエンド・プロセスが複数のシステムに割り当てられる(IPアドレスを動的に割り当てる)ケースが増加しており、全体を完全にチェックするには大きな困難が伴います。
そこでブラムホールらのプロトタイプでは、個人情報を転送する可能性があるパートナー企業や自社の分散化されたシステム全体の信頼性を、企業自らがチェックできるようにしました。ちなみに提供するアプリケーションやサービスについては、「BBBOnLine」や「TRUSTe」といった独立系のプライバシー検査機関に依頼することで、信頼性の判断が可能。信頼性テストの結果によっては、TPMチップ*1の装備や使用状況の検査が行われることになります。
|
|
 |
|
|
|
|
|
|
|
つまりブラムホールらのプロトタイプは、分散システムのコンフィギュレーション(設定)を、推論エンジンに調査結果として与え、その結果生じる基準値を報告する、という一連の検査によって評価できるのが特徴。企業はこのシステムを使うことで、システムのコンフィギュレーションやプロセスが、自社のプライバシー保護の規約に沿っているかどうか即座に判断でき、一方、顧客側では、品物を初めて買うオンラインストアで、サイトに記載されているプライバシー・ポリシーが信頼できるITシステムやプロセスに従って適用されているかどうかを確認することもできるのです。 |
|
|
|
|
|
|
|
| *1 |
|
TPMチップ:マイクロコントローラの一種で、暗号キーを安全に保存するために用い、TCG(Trusted Computing Group)が定めた仕様に準拠している。TCGは、異なるプラットフォーム間でのコンピューティング・セキュリティの仕様を標準化する非営利団体。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
以上のように、個人情報の管理強化には多くのクリアすべき課題がありますが、これは見方によっては、企業にとって一つのビジネスチャンスとも言えるもの。つまり新技術によって、膨大な作業を伴わずに「情報を正確かつ誠実に扱う」ことができれば、その企業の信用やブランディングにつなげられ、顧客獲得が期待できる可能性も大きいのです。
|
|
 |
|
|
|
|
|
|
|
「プライバシーについて皆が望んでいるのは、締め付けではなく、組み込むこと(HP CPO / プライバシー保護最高責任者ロウラー氏)」……この考えに基づき、HPでは今後も「個人が管理できる範囲の拡大」と「プライバシー管理の簡素化」を目指した研究を続け、HP他部門の協力も得ることで、具体的な製品やサービス設計に結びつけていきたいと考えています。同時に、パートナー企業や大学と共同で、プライバシー面を強化したアクセス管理と責任管理に関するポリシーの解釈に必要な「言語の標準化」も計画中。この分野でのHPへの期待は、今後ますます高まっていくことになりそうです。
なおHPは2005年1月、オンライン・プライバシーに関する主要非営利団体TRUSTeと、信頼性の高い情報管理プロセスを研究するシンクタンクPoneman Instituteから「プライバシーに関して最も信頼できる企業」という評価を獲得。ブラムホール氏は「今後もこの評価に値する企業であるために、貢献したい」と語るとともに、次のような抱負を述べています。
「私たちの最終目標は、市民や消費者の皆さんが、安心してデジタル社会の経済に参加できるようにすること。個人情報が自分の希望する通りに保護および管理されていると信頼を得られるようになって初めて、この目標に到達できるのではないかと考えています」。
研究チームとHPの挑戦はこれからも続きます。
≫ HPが社内で進めている、プライバシー・ポリシーを参照したい方はこちら |
|
|
|
|
|
|
|
|
| [個人情報保護についてさらに詳しくは] |
|
|
|
|
| [1分アンケート] |
|
|
|
|
|
|
印刷用画面へ
