ニュース
» 2014年11月26日 08時00分 公開

欧州にみるIoT活用とリスク管理への挑戦ビッグデータ利活用と問題解決のいま(2/3 ページ)

[笹原英司,ITmedia]

RFIDでの経験を生かしたEUのIoT関連政策・法規制の枠組みづくり

 EUの場合、RFIDでの経験やノウハウをベースに、IoT関連施策の枠組みを作り上げてきたのが特徴だ。

 2006年3月、欧州委員会がRFIDに関する意見聴取を開始したのが発端となった(参考:「Commission launches public consultation on radio frequency ID tags)」)。2009年6月には、RFIDから医療、環境・エネルギーなど様々な分野に対象を拡張した「Internet of Things行動計画」が公表されている(参考:「When your yogurt pots start talking to you: Europe prepares for the internet revolution)」)。この計画では、重点項目として「ガバナンス」「プライバシー/データ保護」「チップの沈黙に関する権利」「新たなリスク」「不可欠な資源」「標準化」「研究開発」「官民連携(PPP)」「イノベーション」「機関における認識」「国際対話」「環境」「統計」「進化」の14分野が挙げられた。

 EUの専門機関である「欧州ネットワーク情報セキュリティ庁」(ENISA)も、RFIDを想定したInternet of Things行動計画に準じて、IoTにおける利点と新たなリスクを整理し、2010年4月には、飛行機の旅行をシナリオに用いてIoTおよびRFIDのリスクに関する評価結果を公表している(参考:「Flying 2.0 Study of Internet of Things/RFID in air travel launched)」)。

 このようなRFIDにおける経験も踏まえ、欧州委員会は2012年1月に「プライバシーに関わるEUデータ保護指令改正案(関連プレスリリース)を公開した。改正案では以下のような点が追加・強化されている。

  • 個人データ保護の権利の強化策:透明で適切なプライバシーポリシーの提供、明示的な同意の取得、ユーザーの自己情報へのアクセスの保証、忘れ去られる権利、データポータビリティ(データの可搬性)の権利、子どもへの特別な配慮を新たに追加・強化
  • データセキュリティの強化策:管理者に対して、個人データ違反の発見後、可能な限り24時間以内に監督機関に報告する義務を追加
  • 管理者および処理者の説明責任の強化策:位置情報、健康医療情報、遺伝子情報、生体情報、監視カメラ情報など、機微な個人データ処理に際し、管理者や処理者に対してデータ保護評価を新たに義務付け
  • 個人データの対象範囲拡大の可能性:個人識別可能なデータの例として、位置データとオンライン識別子(例えばIPアドレス、クッキー)を追加
  • グローバル環境でのデータ保護ルールの詳細化:第三国の管理者に適用される範囲の拡大と、適用ルールの詳細化

 個々の追加・強化点をみると、企業の情報システムの管理対象が、従来のクライアント/サーバ型システムから、RFIDやスマートフォン/タブレット、センサ機器へと拡張する中で、既存のプライバシー保護対策の考え方を生かしながら、IoTに拡張させようとするEUの姿勢がうかがえる。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ