欧州にみるIoT活用とリスク管理への挑戦：ビッグデータ利活用と問題解決のいま（3/3 ページ）

[笹原英司，ITmedia]

IoTサプライチェーンの全体最適化に欠かせないセキュリティ／リスク管理

　EUデータ保護指令を改正した「EU個人データ保護規則」の本格施行へ向けて準備作業が進む中（関連プレスリリース）、2014年9月16日に、EUのデータ保護指令第29条作業部会で、「近年のIoTの発展に関する意見書」が採択された。

　この意見書は、「ウェアラブル技術」「定量化された個人（Quantified Self）」「ホームオートメーション技術」の3分野を対象として、IoTのデータ保護に関する6つの懸念事項を挙げている。

1. コントロールの欠如と情報の不整合
2. ユーザーの合意の質
3. データに起因する干渉と本来の処理以外の再利用
4. 行動パターンやプロファイリングからの立ち入った持ち出し
5. 匿名性を維持する機能の限界
6. セキュリティのリスク：セキュリティ vs 効率性

　そして、IoTに関わるステークホルダーであるデバイス製造者、ソーシャルプラットフォーム（例：SNS）、サードパーティのアプリケーション開発者、その他のサードパーティ（例：医療保険者）、IoTデータプラットフォームに対しては、EUデータ保護指令の順守を推奨している。マルチステークホルダーの全体最適化の観点から、同意の取得・処理に際しての法的な根拠、データ品質に関する原則の順守、機微なデータの処理、透明性の要件、セキュリティなど、改正・EUデータ保護指令で追加・強化された部分にもフォーカスしている点が特徴だ。

　2013年10月、情報セキュリティマネジメントシステムの国際規格「ISO/IEC 27001」が改正された。国内でも従来の「ISO/IEC 27001:2005」から「ISO/IEC 27001:2013」への移行作業が行われている。このISO/IEC 27001:2013で新たに追加された項目の1つに、「ICTサプライチェーン」の管理策がある。

　例えば、前述のOpenIoTを利用したIoT・ビッグデータ分析の場合、複数のセンサ・クラウドが連携したICTサプライチェーンによって、初めてサービス提供が可能になる。その反面、IoTから生成された個人データが行き来する“ICTサプライチェーン”で情報漏えい事故が発生したら、サプライチェーン全体を対象にインシデントレスポンス（事故対応）を実行しなければ、各ステークホルダーに対する説明責任を果たせない。

　EUの場合、原則としてEU域外への個人データの持ち出しが禁止されているため、データの所在についても事業者側が説明する必要がある。

　様々なデバイスやサービス事業者がつながったIoT・ビッグデータのクラウド上で、このような説明責任を果たすことは容易でない。だが、それを支援する新技術やサービスを提供できる企業にとっては大きなビジネスチャンスとなる。EUも米国も、当然ながらそこを狙っている。

---

　次回は、EUが推進する「eヘルス政策」に焦点を当てて、健康医療分野のビッグデータ動向を考察してみたい。

著者者紹介：笹原英司（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook: https://www.facebook.com/esasahara

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ：

http://www.cloudsecurityalliance.jp/bigdata_wg.html