データプライバシーとは?

データプライバシーとは、アクセスすべきでない者から個人データを保護することであり、誰が自分の個人情報にアクセスできるかを自身で決定する能力を指します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「プライバシー」の定義
  • データプライバシーが重要である理由を理解する
  • プライバシーを保護する際にユーザーが直面する課題の説明

記事のリンクをコピーする

データプライバシーとは?

一般的に、データプライバシーとは、自己に関する情報をいつ、どのように、どの程度他人と共有するか、あるいは他人に伝達するかを自分で決定する権利を意味します。この個人情報とは、氏名、所在地、連絡先、オンラインまたは実世界での行動などです。プライベートな会話を人に聞かれたくないと思うように、多くのオンラインユーザーは、ある種の個人データが収集されることを制御または阻止したいと考えています。

インターネットの普及に伴い、データプライバシーの重要性が高まっています。Webサイト、アプリケーション、ソーシャルメディアプラットフォームは、サービスを提供するために、ユーザーの個人データを収集・保存する必要があります。しかし、一部のアプリケーションやプラットフォームでは、データの収集や使用に関してユーザーの想定を超え、ユーザーの認識に反してプライバシーが損なわれる場合があります。また、収集したデータに対して適切な保護措置を講じていないアプリケーションやプラットフォームもあり、その結果、ユーザーのプライバシーを侵害するデータ漏えいが生じる可能性があります。

データプライバシーが重要な理由とは?

多くの国では、プライバシーは基本的人権であると考えられており、データ保護法はその権利を守るために存在しています。また、個人がオンラインでの活動に積極的に参加するためには、自分の個人データが慎重に取り扱われることを信頼できることが必要であるため、データプライバシーは重要です。企業は、顧客やユーザーに対して、自分たちが個人データを信頼して任せられる存在であることを示すために、データ保護慣行を実践しています。

個人データは、その機密性が保たれなかったり、自己の情報の使われ方をコントロールできない場合、さまざまな形で悪用される可能性があります。

  • 犯罪者は個人データを利用して、ユーザーに詐欺行為や攻撃を仕掛けることができます。
  • 事業者は、ユーザーの同意なしに個人データを広告主やその他の外部団体に販売することがあります。その結果、ユーザーは望まないマーケティングや広告を受け取る場合があります。
  • 個人の行動が追跡・監視されると、特に抑圧的な政府の下では、自由な自己表現が制限される可能性があります。

個人にとっては、これらの結果はいずれも有害です。企業にとってこれらの結果は、制裁金、制裁措置、その他の法的結果をもたらすだけでなく、企業の評判を回復不能なほど損なう可能性があります。

プライバシー侵害の現実的な影響に加えて、多くの人々や国は、プライバシーには本質的な価値がある、つまりプライバシーは、言論の自由の権利のように、自由な社会の基本的な人権であると考えています。

データプライバシーを管理する法律は何か?

技術の進歩により、データ収集や監視の能力が向上したため、世界各国の政府は、ユーザーについてどのような種類のデータを収集できるか、そのデータをどのように使用できるか、データをどのように保存・保護すべきかを規制する法律を制定し始めています。知っておくべき最も重要なプライバシー規制の枠組みには、以下のようなものがあります。

  • EU一般データ保護規則(GDPR):欧州連合(EU)のデータ主体(個人を意味する)の個人データを収集・保存および処理する方法を規制し、データ主体に自分の個人データを管理する権利(忘れられる権利を含む)を与えます。
  • 各国のデータ保護法:カナダ、日本、オーストラリア、シンガポールなど、多くの国が何らかの形で包括的なデータ保護法を制定しています。ブラジルの「個人情報保護法」や英国の「データ保護法」のように、GDPRとよく似た法律もあります。
  • カリフォルニア州消費者プライバシー法(CCPA):どのような個人データが収集されているかを消費者に知らせることを要求し、個人データを販売しないよう組織に指示する権利など、消費者が自らの個人データを管理できるようにします。

また、国によっては、業界特有のプライバシーガイドラインも存在します。例えば、米国では、医療保険の相互運用性と説明責任に関する法律(HIPAA)により、個人のヘルスケアデータの取り扱いが規定されています。

しかし、多くのプライバシー保護論者は、個人が自己の個人データの扱いについて十分にコントロールできていないと主張しています。今後、世界各国の政府がデータプライバシー法を追加制定する可能性があります。

公正な情報慣行とは?

既存のデータ保護法の多くは、公正な情報慣行(Fair Information Practices)で示されているような、基本的なプライバシーの原則と慣行に基づいています。公正な情報慣行は、データの収集と使用に関する一連のガイドラインです。このガイドラインは、1973年に米国保健教育福祉省の諮問委員会によって初めて提案されました。その後、国際的な経済協力開発機構(OECD)の「プライバシーの保護と個人データの国際流通についてのガイドライン」に採用されました。

公正な情報慣行とは、

  • 収集制限:個人データの収集には、制限を設けるべきである
  • データ内容:収集された個人データは、正確であり、その利用目的に沿ったものでなければならない
  • 目的明確化:個人データの利用は明確化されていなければならない
  • 利用制限:明確化された目的以外にデータを使用してはならない
  • 安全保護:データは安全に保たれるべきである
  • 公開:個人データに係る収集および使用については、個人に公開されなければならない
  • 個人参加:個人は、自己の個人データを誰が有しているかを知る権利、自己のデータについて自己に知らしめる権利、自己に関するデータの要求が拒否された理由を知る権利、自己の個人データを修正または消去させる権利など、多くの権利を有しています。
  • 責任:データを収集する者は、諸原則を実施するための措置に従う責任を有する

ユーザーがオンラインでのプライバシーを保護する際に直面する課題とは?

オンライントラッキング:ユーザーの行動はオンラインで定期的に追跡されます。Cookieはしばしばユーザーの行動を記録します。ほとんどの国では、WebサイトがCookieの使用についてユーザーに通知することを義務付けていますが、ユーザーはCookieがどの程度自分の行動を記録しているかを認識していない場合があります。

データに関するコントロールの喪失:非常に多くのオンラインサービスが一般的に使用されている中で、個人は自身のデータがオンラインでやり取りするWebサイト以外でどのように共有されているかを認識しておらず、自身のデータがどう扱われるかについて発言権がない可能性があります。

透明性の欠如:Webアプリケーションを利用するために、ユーザーは氏名、電子メール、電話番号、所在地などの個人データを提供しなければならないことが良くあります。一方で、それらのアプリケーションに関連するプライバシーポリシーは緻密で理解しにくい場合があります。

ソーシャルメディア:ソーシャルメディアのプラットフォームを使ってオンラインで誰かを見つけることはこれまで以上に簡単になっています。また、ソーシャルメディアでの投稿は、ユーザーが思っている以上に個人情報を明らかにしている場合があります。さらに、ソーシャルメディアプラットフォームは、ユーザーが認識している以上のデータを収集していることがよくあります。

サイバー犯罪:多くの攻撃者は、詐欺行為を働いたり、セキュアなシステムを侵害したり、悪意のある目的でデータを使用する者へのアンダーグラウンドマーケットでの販売などを目的として、ユーザーデータを盗み出そうとします。攻撃者の中には、 フィッシング攻撃を仕掛けて、ユーザーを騙して個人情報を露呈させようとする者もいれば、個人データを含む企業の内部システムを侵害しようとする者もいます。

ユーザーのプライバシーを保護する際に企業が直面する課題とは?

伝達:組織は、収集する個人データの内容と、利用方法をユーザーに明確に伝えることに苦労することがあります。

サイバー犯罪:攻撃者は、個人のユーザーと、これらのユーザーに関するデータを収集・保存する組織の両方を標的にします。また、ビジネスの様々な領域がインターネットに接続されるようになると、攻撃対象領域は拡大します。

データ漏えい:データ漏えいは、個人情報が流出すると、ユーザープライバシーの著しい侵害に繋がります。攻撃者は、このような侵害を引き起こすための手法を改良し続けています。

インサイダーの脅威:データが適切に保護されていない場合、社内の従業員や契約者がデータに不適切にアクセスしてしまう可能性があります。

データプライバシーに関する最も重要な技術とは?

  • 暗号化は、ランダムなデータに見えるように情報をスクランブルすることで情報を隠蔽する方法です。暗号化鍵を持つ当事者のみが情報のスクランブルを解除できます。
  • アクセス制御は、許可された当事者のみがシステムやデータにアクセスできるようにします。アクセス制御は、情報漏えい対策(DLP) と組み合わせることで、機密データがネットワークから流出することを防止することができます。
  • 二要素認証は、攻撃者による個人アカウントへの不正アクセスをはるかに困難にするため、一般ユーザーにとって最も重要な技術の一つです。

これらは、ユーザーのプライバシーを保護し、データをより安全に保つことができる、現在利用可能なテクノロジーのほんの一部に過ぎません。しかし、テクノロジーだけでは、データのプライバシーを保護するには不十分です。

Cloudflareは、プライバシーを保護するためにどのような措置をとっているか?

Cloudflareは、データのプライバシーが「より良いインターネットの構築を支援する」という使命の中核を成すものであると考えています。Cloudflareの製品はプライバシーを考慮して作られており、Cloudflareはオンラインユーザーのプライバシーを保護するために設計された次のようなサービスを数多くリリースしています。

  • 1.1.1.1は、DNS クエリを追跡したり保存したりすることのない無料のDNSリゾルバです(広告主にこの情報を販売する可能性がある他の多くのDNSリゾルバとは異なります)
  • Cloudflareは、DNS のクエリを完全に暗号化するDNS over HTTPSをサポートしています。
  • Cloudflareは、Cloudflareを使用するすべてのWebサイトに対して、無料のSSLを提供しています。
  • Project Galileoは、重要な脆弱性を持つ組織のプライバシーを無償で保護します。
  • Cloudflare Web Analytics は、企業はユーザーのプライバシーを侵害することなく、Webサイトへのトラフィックを分析することができます。

また、Cloudflareは、半年ごとに透明性レポートを発行しており、当社が受領した、お客様に関する情報開要求について報告しています。このレポートには、令状のカナリアのセットが含まれています。Cloudflareのプライバシーポリシーについては、 ここから確認できます

ユーザーのプライバシーを保護するためのCloudflareの取り組みについては、こちらのブログ記事をご覧ください