DXなどの組織改革、新サービスやシステムの導入に当たって、企画や設計段階からユーザーのプライバシー保護をあらゆる側面で検討し、あらかじめプライバシー保護対策を組み込む考え方を「プライバシー・バイ・デザイン」と呼ぶ。
この考え方は1990年代半ばに提唱されたものだが、GDPRにより法的要求事項になったことやGDPR違反による有名企業に対する制裁事例が生じたことから、企業やユーザーに広く認知され、今ではグローバルスタンダードな設計思想になった。
プライバシー・バイ・デザインは、次の7つの原則から構成されている(※)。
ユーザーのプライバシーを侵害するイベントが発生する前に、プライバシー対策を導入する必要がある。
サービスやシステムにあらかじめプライバシー保護対策を組み込んでおくことで、ユーザーが自身の個人情報の提供範囲や利用方法を設定せずとも、プライバシーが自動的に保護される必要がある。
プライバシー保護対策は、サービスやシステムが稼働した後に追加で導入されるのではなく、企画や設計といったデザインの段階から組み込むことで、そのサービスやシステムの基本機能とする必要がある。
プライバシー・バイ・デザインは、サービスやシステムによって生まれる利便性とユーザーのプライバシー保護のどちらか一方というゼロサムの関係であるべきではなく、双方に利益があるポジティブサムを目指す。
プライバシー情報を収集・利用・保管・廃棄というというライフサイクル全体を通して、エンド・ツー・エンドの強力なセキュリティで保護することが不可欠。
ユーザーのプライバシー情報を保護する仕組みが可視化され検証可能であること、またその仕組みが適切に機能することを全ての関係者に保証する必要がある。
プライバシー・バイ・デザインでは、上述の通り、デザインや初期設定として組み込む、強力なセキュリティを実装する、個人情報の取り扱いに関してユーザーに通知するといった対応をするうえで、ユーザーのプライバシーを中心に考え、最大限に尊重する必要がある。
(※)出典:Ann Cavoukian, “Privacy by Design: The 7 Foundational Principles”(PDF)
では、実際にプライバシー・バイ・デザインをどのように実装すればよいのか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング