企業に求められるプライバシーの扱い方、MSが取り組みを説明

クラウド型サービスでは、企業は個人情報などをどう適切に扱うべきか――。Microsoftの最高プライバシー責任者が自社の取り組みを例に、企業に求められる点を紹介した。

[ITmedia]

　クラウド型サービスの拡大に伴い、個人情報などのユーザーのプライバシーを企業はどう適切に扱うべきか――。マイクロソフトは、このほど同社のプライバシー保護に関する取り組みを紹介するセミナーを開催。米Microsoftで最高プライバシー責任者を務めるピーター・カラン氏が、企業で取り組むべきポイントなどを説明した。

　プライバシーを取り巻く現状についてカラン氏は、不適切な管理によるデータ漏えいの増加、検索サービスやオンライン広告が介在するプライバシー情報の収集、国や地域で異なるプライバシー関連法規制と対応の難しさなどを挙げた。また、ユーザーが自身のプライバシーをインターネット上へ意識せずに晒してしまっている実態や、クラウド型サービスでは重要情報がどのように管理されているかが見えづらいといった課題も表面化しつつある。

　カラン氏は、「例えば欧州連合（EU）には加盟国共通のプライバシー関連規制があるが、ドイツの企業が他国の企業と第三国のデータセンターを経由してプライバシー情報をやり取りするといった場合に、どの国の法規制を適用するかが焦点になる。企業にとってプライバシーの取り扱いは、重大なテーマだ」と話した。

APEC（アジア太平洋経済協力会議）でのプライバシー保護のフレームワークと、Microsoftとの比較。表現などは一部異なるが内容は双方とも同等だという

　将来的にクラウド型サービスが世界規模で広がれば、サービス主体や情報の保管先といったプライバシー管理の関係先が幾つもの国や地域を跨ぐようになり、企業が適切な体制を構築しなければ、ユーザーの不審感を招いたり、不安を拡大させてしまったりする恐れがある。

　カラン氏によると、Microsoftはプライバシー規制が最も厳しい国や地域の基準を参考に全社統一のプライバシーポリシーを策定、運用している。「最も厳しい基準に合わせることは、どのような国や地域でも区別なくユーザーの重要情報を適切に扱うようにしていくために必要だ」（カラン氏）という。

　同社ではプライバシー情報の管理を厳重にしており、例えば広告宣伝の担当者が特定の顧客へ広告メールを送信したり、目的外の利用をしたりしないよう技術と運用の両面で厳しい管理体制を構築している。こうしたプライバシーが不適切に扱われるのを防止する仕組みは外部にも公表している。

　また長年、「Trustworthy Computing（信頼できるコンピューティング）」という概念を掲げており、プライバシー保護に対しては、情報盗難などに備える技術的な対策からユーザーなどへのガイダンス、IT業界を中心とした関係者による啓発強化などを推進してきた。

Microsoftにおけるプライバシーへの取り組み

　カラン氏は、「企業でのプライバシーの取り扱いには、顧客などに対して取り組み状況を正しく説明できるようにしていることが重要だ」と指摘。企業には説明責任を果たせる企業文化や仕組みが備わっているべきで、そうした取り組みをユーザーが受け入れて信頼していることがポイントになると提起した。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら