( EVENT REPORT )
プライバシー保護技術:PETs導入への道
PlayBook(社内ルール)
開発支援サービス
AI・パーソナルデータ利活用のルールをまとめ、現場の機動力を加速する。
Privacy-enhancing Technologies: Paving the Way for PETs Adoption
IAPP Asia Privacy Forum 2024 現地レポート[Vol.4]
公開:2024/08/05 執筆:ウンリュエル愛友美(株式会社プライバシーテック)、取材:山下大介(株式会社プライバシーテック)
世界中のプライバシー専門家が集う国際会議「IAPP Asia Privacy Forum 2024」が、2024年7月17日〜18日の日程で、シンガポールで開催されました。株式会社プライバシーテックは、今年4月にワシントンD.C.で行われたカンファレンスに続いて、今回も現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。
◆ この記事でわかること
・現状、PETs普及の妨げとなっているものは何か、理解する。
・PETs導入により得られる効果について理解する。
・PETs の可能性を最大限に引き出すために、市場関係者、政策立案者、規制当局はどのような取り組みが必要か理解する。
登壇者
Bojana Bellamy, CIPP/E, President, Centre for Information Policy Leadership
Derek Ho, CIPP/US, CIPM, SVP, Assistant General Counsel, Privacy & Data Protection, Mastercard
William Malcolm, Senior Director, International Privacy, Legal and Consumer Protection, Google
Benjamin Moore, Senior Policy Advisor (Responsible Data Access Lead), Responsible Technology Adoption Unit (DSIT)
Adeline Tung, Director, Policy & Technology, Personal Data Protection Commission
転載:IAPP Asia Privacy Forum 2024
概要
プライバシー保護技術は、プライバシーリスクの軽減、法的コンプライアンスの合理化、デジタル技術に対する信頼の確立において、非常に大きな可能性を秘めている。
本セッションでは、PETsとされる技術や、その普及に関する既存の課題、PETs導入によるメリットについて解説がなされた。また、PETs の可能性を最大限に引き出すために、市場関係者、政策立案者、規制当局はどのような取り組みが必要であるかについても言及された。
PETsとPPTs
デーやAIなど革新的なテクノロジーは、産業や政府機関、医療や科学研究、そして社会的な目標の追求において、私たちの社会に革命的な進歩をもたらしている。テクノロジーと社会の進歩を促進するデータの必要性が求められる今、個人のプライバシーやセキュリティに対する私たちの意識も高めていかなければならない。
このような背景から、近年PETs(Privacy-Enhancing Technologies:プライバシー強化技術)やPPTs(Privacy-Preserving Technologies:プライバシー保護技術)に注目が集まっている。これらの技術は、プライバシーとセキュリティの管理をシステム、技術、製品の設計や構造に統合する一方で、データの有益な利用や共有を可能にするという特徴がある。
PETsとPPTsは、AIや機械学習モデルにおけるプライバシーの問題に対処する上で、特に重要な役割を果たし、さまざまな使用事例において利益をもたらすものである。
本セッションでは、PETsとPPTsの現状について、CIPL(Centre for Information Policy Leadership:情報政策リーダーシップセンター)が企業、専門家、規制当局への調査、研究、インタビューを行った成果について発表された。
CIPLについて
2001年に大手企業とHunton Andrews Kurth LLP(旧Hunton & Williams)によって設立された。ロンドン、ブリュッセル、ワシントンD.C.に拠点を置く、プライバシーとデータ政策に関するシンクタンク兼実践機関である。
ビジネスとコンプライアンス、政府、規制政策、消費者擁護、テクノロジーの分野で豊富な実務経験を持つアドバイザーが在籍し、プライバシーとデータの責任ある利用に関してグローバルな視点でのソリューションとベストプラクティスを推進している。
プライバシーを保護する技術革新
PETsおよびPPTsとは、一般的に、データの処理や利用を容易にし、そのデータを使用する個人のプライバシーを保護する技術革新を指す。プライバシー保護を強化するだけでなく、データの情報価値をさまざまなレベルで維持することができる。
PETsおよびPPTsは、どちらも広く使用されている用語であるが、互換性があり、これより先は総称してPETsと記述する。
PETsに統一された定義はないが、一般的に該当する技術として理解されているものがいくつかある。例えば、次のような 3 つのカテゴリーに分類される。
1.暗号ツール
準同型暗号、秘匿マルチパーティ計算、信頼性の高い実行環境、ゼロ知識証明など。特定のデータ要素を隠したまま使用することが可能。
2.分散型解析ツール
連合学習など。データを一ヶ所に集めずに、分散している環境でそれぞれ処理する。
3.仮名化および匿名化のためのツール
差分プライバシーや合成データの使用などのソリューションが含まれる。
1 つの PETsが万能というわけではなく、それぞれに長所と短所がある。そのため、PETs は使用事例に応じて組み合わせて使用されることが多い。
PETsの普及を妨げているもの
責任あるプライバシー保護データ利用に対する認識が高まっているにもかかわらず、PETs の普及に関しては次のような課題がある。
・ 企業や規制当局における理解不足
多くのプライバシー専門家は、PETsの機能と限界、その利点とリスク、特定の状況における具体的な用途を明確に理解できていない。PETsの導入を実現し効果的な利用を促進するためには、企業のトップも規制当局も、利用可能なテクノロジーに関する最新知識を常に収集しておく必要がある。
・開発の難しさと導入コスト
すべての PETsが同じように開発され、成熟しているわけではない。比較的新しく、技術的に複雑でリソース集約的なものもあり、特に中小企業にとってはコスト的に導入が難しい。
・成長過程にあるPETsに関する政策および規制の枠組み
PETsに関する規制指針を提供したり、その利用を積極的に奨励している管轄区域はほとんどない。前述の通り、多くの規制当局で、この新しいテクノロジーに対する理解が追いついていないことが理由と考えられる。
管轄区域が、適用される法規制の枠組みの中で PETsやその利用に直接言及していない限り、その導入による利益については法的不安が存在することになる。
・業界標準の欠如
現状、PETsの開発者やその他の利害関係者に対して、信頼性の高いソリューションやベストプラクティスに関する合意を促進するための共通の枠組みや技術標準がない。研究者やエンジニアは、プライバシー保護ソリューションのシームレスな統合を可能にするために、国際的な融合を追求する必要がある。
PETsにより得られるメリット
PETs を使用することにより、企業は優れたデータ管理者であることを保証し、規制当局と消費者の双方からの信頼を獲得することができる。さらに、データの価値を最大限に引き出し、リスクを最小限に抑えることも可能となる。
PETsの導入により期待される効果には、具体的に次のようなものがある。
1.安全なデータ処理
個人情報が不正または違法な方法でアクセス、使用、共有されるといったセキュリティ上の脅威やその他のインシデントのリスクを軽減する。
2.データ最小化および目的限定の原則
特定の処理目的のために個人データを使用することに対して、技術的な代替手段を提供すると同時に、基礎となるデータセットの可視性、アクセス、共有を制限することが可能。
3.説明責任
組織が説明責任を果たすための手段として活用できる。個人データとデータプライバシーの保護のために講じた措置を示すのに役立ち、データ保護の原則を浸透させる有効な手段である。
4.匿名化
GDPR などのデータ保護法における「個人データ」に該当しなくなるように、データを確実に保護することが可能となる。企業はデータをより自由に活用し、高額なコンプライアンスコストを回避できる。
5.越境データ移転
第三国へのデータ転送を可能にする。PETsを活用し、リスクベースのアプローチを採用することで、国際的なデータ転送の必要性と個人のプライバシー保護のバランスを取ることができる。
CIPLの提言
PETsの広範な普及を促進し、企業や政府がデータの利用と共有から新たな洞察や利益を生み出す中で、個人のプライバシー権が引き続き保護されるべく、CIPLは次の事項を提言する。
規制当局および政策立案者は、PETs に関する規制指針を定めるべきである。
PETの開発者や提供者は、PETsに関する教育と認知度を高めるために協力する必要がある。
主要な利害関係者は、研究、実験、議論を通じて、PETsに関する業界標準を策定する必要がある。
PETsは説明責任の明確な要素として認識されるべきである。
以上
※本記事は山下大介(株式会社プライバシーテック)が取材、ウンリュエル愛友美(株式会社プライバシーテック)が翻訳、編集しています。
当社では、今回のカンファレンスの詳細版レポートと勉強会を有償(20万円〜)にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。
◆ 関連記事
[Vol.1]IAPP Asia Privacy Forum 2024が開催
[Vol.2]データ主権とはなにか?〜越境データ移転規制の現在地〜その1
[Vol.3]データ主権とはなにか?〜越境データ移転規制の現在地〜その2
[Vol.4]プライバシー保護技術:PETs導入への道←この記事
[Vol.5]ガバナンスの核となる「説明責任」とは何か?〜その1
[Vol.6]ガバナンスの核となる「説明責任」とは何か?〜その2
===
<<前へ:[Vol.2]データ主権とはなにか?〜越境データ移転規制の現在地〜その2
>>次へ:ガバナンスの核となる「説明責任」とは何か?〜その1
===
<公開予定>
CBPR:信頼に基づく自由なデータ流通の実現(CBPR: Bringing Data Free Flows with Trust to Life)
IAPP公式サイト:https://iapp.org/about/
#AIガバナンス #AI利活用 #プライバシー #IAPP
お問い合わせ・資料ダウンロード
人手不足のガバナンス業務をAIで自動化する。
プライバシーテックは、人手不足のガバナンス業務をAIで自動化します。最新のデータ利活用時におけるプライバシー保護技術に関して、資料ダウンロードも可能です。是非ご覧ください。
過去の支援実績
支援実績
最新資料
PrivacyTech GRoW-VA
散在する情報を、複利を育むIntelligenceに変え、AI・データガバナンスの実行を支援・自動化。AIとデータガバナンス領域の専門性を深いレベルで統合し、顧客ごとにカスタマイズされた出力をスピーディーに実現できるプラットフォームです。
PlayBook開発支援サービス
AI・データ活用の原理原則・ルールをまとめた、PlayBook(プレイブック)は急速に進化する技術を乗りこなしていくため、現場の従業員が課題を発見し、対策を導くための手順・戦略・ノウハウをまとめた指南書です。
PIAとはなにか? (策定と運用)
Privacy Impact Assessment (Data Protection Impact Assessment)プライバシー影響評価(データ保護影響評価)に関する概要説明、及びプライバシーへの配慮を前提とした開発モデル「プライバシー・バイ・デザイン(PbD)」について記載しております。
プライバシーポリシー改定の進め方
AIや3rdParty、Cookieレスへの対応など、従来の個人情報管理だけではない、利用者への説明責任や選択機会の提供の対応が求められています。そういった環境変化に対応するための戦略的プライバシーポリシー改定の方法を記載しております。
プライバシーセンター新規開設の進め方
Webサイトやアプリのアクセス時に突如出現する「同意取得バナー」や、難解で大量の文字で埋め尽くされた規約で、生活者(ユーザー)から同意取得をすればよいという対応は、既に形骸化しており、もはや時代にそぐわないものになっています。生活者との信頼の醸成に繋がるプライバシーの同意取得の方法・考え方を記載しております。
改正電気通信事業法 外部送信規律の対応事例
2023年6月16日から改正電気通信事業法が施行されることになり、「外部送信規律」が新たに追加されました。これは、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。この対応を怠ると、行政指導や業務改善命令、従わない場合は200万円以下の罰金が課されるため、他社事例を元にこの規律を学んでいただける資料を作成しております。