米国FTCにみるビッグデータのルールづくりと課題とは?:ビッグデータ利活用と問題解決のいま(2/2 ページ)
日本のビッグデータ論議でよく引き合いに出されるのが米国の行政機関の連邦取引委員会(FTC)だ。一方で技術標準化を推進するNISTとは、ビッグデータに関するルールづくりにどんな違いがあるのだろうか。
判例法主義を採るプライバシー保護の考え
「クラウドセキュリティアライアンス」(CSA)は2015年4月20日、米国サンフランシスコでリーガル情報セミナーを開催し、FTC プライバシー/ID保護課のローラ・バーガー氏を招いて「ビッグデータとInternet of Thingsの準備に向けて」と題するパネルディスカッションを行った(関連PDF)。
バーガー氏によると、現時点でビッグデータを直接規制の対象とする法令は制定されていないが、ビッグデータ固有のプライバシーやデータセキュリティにつながるような判例やルールは、既に多く蓄積されているという。職員に占める法律家の比率が高いFTCでは判例法主義の影響から、ユースケースやベストプラクティスの蓄積を重視する傾向が強い。
参考までに、FTCのガイドライン類でビッグデータのプライバシー/セキュリティに関連するものを整理すると、下記のようになる。
ガイドライン | 内容 |
---|---|
Health Breach Notification Rule | 医療保険の携行性と責任に関する法律(HIPAA)で保護されない医療情報が漏えいした時の通知に関する順守ルール |
Red Flags Rule | 金融・信用分野を対象としたID窃盗予防対策プログラムの設計に関する順守ルール |
COPPA Rule | 13歳未満の子どもを対象とした児童オンラインプライバシー保護法(COPPA)順守のためのルール |
GLB Privacy Rule | グラム・リーチ・ブライリー法(GLB)に基づいた、金融機関による顧客の個人金融情報の収集および開示に関する順守ルール |
GLB Safeguards Rule | GLBに基づいた、金融機関による顧客情報保護を目的としたセーフガードの設計・実装・運用に関する順守ルール |
Telemarketing Sales Rule | テレマーケティングにおける消費者詐欺および濫用防止法(DNC)に基づいた、テレマーケティング販売に関する順守ルール(「Do Not Call」登録リスト等含む) |
CAN-SPAM Rule | 連邦スパム規制法(CAN-SPAM Act)に基づいた、商業電子メール送信の取扱に関する順守ルール(「Do Not Email」登録リスト等含む) |
Disposal Rule | 公正かつ正確な信用取引のための法律(FACTA)に基づき、企業が消費者から収集した信用報告書/情報を廃棄する際の順守ルール |
Pre-screen Opt-out Notice Rule | 公正かつ正確な信用取引のための法律(FACTA)に基づき、企業がプレスクリーニングされた信用/保険の勧誘を消費者に送付する際、簡単でわかりやすいオプトアウトの通知をするよう規定したルール |
エンジニア主導の標準化と法律家主導のルールづくりのバランスが課題
ビッグデータに関連してFTCが注力しているのが、データを保有する事業者(データプロバイダー)とデータを利活用するユーザー(データコンシューマー)の間に介在して、様々なデータを収集・蓄積・分析し、付加価値サービスを提供する「データブローカー」だ。
2014年5月にFTCは、「データブローカー:透明性と説明責任を求める」(関連PDF)と題した報告書を公表し、主要なデータブローカー企業における消費者データを利用したビジネス実態を分析している。データブローカーの透明性と説明責任に関しては、同時期にホワイトハウスが公表したビッグデータ報告書(関連PDF)でも指摘がなされている。
前回取り上げた「NISTのビッグデータ・リファレンス・アーキテクチャ」を参照すると、データプロバイダーとデータコンシューマーの間には、システムオーケストレーター、ビッグデータ・アプリケーションプ・ロバイダー、ビッグデータ・フレームワーク・プロバイダー、セキュリティ/プライバシー・ファブリック、マネジメント・ファブリックなど、様々なプレイヤーが介在して、データブローカーのサービス提供が可能になることが分かる。
他方、FTCが求めるデータブローカーの透明性と説明責任を担保するためには、様々なプレイヤーが関与するビッグデータのエコシステム全体を、法律的な観点から整理・可視化した上で、データのセキュアな保存、効率的な監査対応、来歴記録の管理など、ビッグデータ環境ならではの標準的な技術対策を実現していく必要がある。
前述のCSAのカンファレンスではビッグデータ管理において、エンジニア主導によるNISTの標準化活動と、法律家主導によるFTCのルールづくりの間のバランスをどうとるかが話題になった。日本にとっても大きな課題である。
NISTビッグデータ・リファレンス・アーキテクチャ(出典:NIST Big Data interoperability Framework Version 1.0 Working Drafts. 2015年4月)
次回はビッグデータの観点から見た米国のIoT標準化活動を取り上げる。
著者者紹介:笹原英司(NPO法人ヘルスケアクラウド研究会・理事)
宮崎県出身、千葉大学大学院医学薬学府博士課程修了(医薬学博士)。デジタルマーケティング全般(B2B/B2C)および健康医療/介護福祉/ライフサイエンス業界のガバナンス/リスク/コンプライアンス関連調査研究/コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。
Twitter:https://twitter.com/esasahara
LinkedIn:https://www.linkedin.com/in/esasahara
Facebook: https://www.facebook.com/esasahara
日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ:
http://www.cloudsecurityalliance.jp/bigdata_wg.html
関連記事
- 米国で進むビッグデータの相互運用性の標準化とセキュリティ
2014年5月にホワイトハウスがビッグデータ報告書を公表して早一年が経ち、米国ではビッグデータに関わるイノベーションと同時に標準化の活動も急ピッチで進んでいる。今回は最前線の動向をお伝えしよう。 - 多階層化が進む健康医療分野のICTとセキュリティ
金融業界と同じく、健康医療分野でもビッグデータ活用などを通じたイノベーションが急速に進みつつある。一方でセキュリティやリスクに対する懸念も高まっているが、どのような取り組みが行われているのだろうか。 - ITを駆使する金融業界とセキュリティの課題
保守的なイメージのある金融業界ではビジネスへのIT活用が急速に進み、大きな変革期を迎えている。こうした中では注すべきセキュリティの課題も伴うが、それは何だろうか。 - ビッグデータで使われるNoSQLとセキュリティ課題
動画やソーシャルデータに代表される非構造化データが急増し、バッチ処理からリアルタイム処理へと進展する中で、NoSQL型のデータベースに注目が集まっている。企業のデータベース管理者はどのようなセキュリティリスクに注意したらよいのだろうか。 - 米国の情報漏えいに学ぶビッグデータのセキュリティ対策
サイバー攻撃に起因する情報漏えいが発覚した場合、事後対策時にその組織を所管する複数の官庁が関わり、インシデント報告の提出先も多岐に渡るケースが多い。リアルタイム性が要求されるビッグデータのセキュリティではどのように対応すればいいのだろうか。 - 情報漏えい事件から考えるビッグデータとサイバーセキュリティ
「サイバーセキュリティ基本法」が全面施行され、個人情報保護法の改正に向けた作業も進んでいるが、海外ではサイバー攻撃に起因する情報漏えいが続発している。ビッグデータのメリットを維持するためには、どのような対策が必要なのだろうか。直近の事件から考察する。 - スマートシティ大国オランダに学ぶビッグデータの利活用戦略
EU諸国の中でオランダは、地域主導型スマートシティから築き上げた付加価値サービスの上に、クラウドやビッグデータの新技術を組み合わせながらグローバル展開を図っている。同国の事例を紹介しよう。 - 社会課題の解決にビッグデータを活用するデンマークの取り組み
EU諸国は、スケールメリットを生かした低コスト戦略が主流のクラウド上で、ビッグデータならではの付加価値サービスを開発し、独自性を発揮しようとしている。今回は北欧の社会課題の解決先進国であるデンマークの事例を紹介する。 - 健康医療のビッグデータ活用とリスク対応における欧米の足並みとは?
ビッグデータ活用の有力分野の1つとなる健康・医療では欧米が大西洋を越えた連携を進める。高まるプライバシーやセキュリティのリスクへの対応を含めた動向を紹介しよう。 - 欧州にみるIoT活用とリスク管理への挑戦
IoT(モノのインターネット)から生まれるビッグデータを活用したイノベーションが進む一方、プライバシー/個人情報管理、サイバーセキュリティなど、リスク管理上の課題も広がりつつある。厳格なプライバシー保護政策で知られる欧州諸国はどのように対応しているのだろうか。 - アイルランドにみるビッグデータとセキュリティの世界動向
多数のインターネット企業が欧州の拠点を構えるのがアイルランドだ。北海道とほぼ同じ面積の小国ながら、ビッグデータの利活用とセキュリティやプライバシーなどにおける取り組みが注目されている。 - ボストンに学ぶ市民参加型コミュニティの管理と人材の役割
市民主体の「シビックテック(Civic Tech)」を活用する自治体にとって悩みの種は、コミュニティの活性化と安定的な運用管理の両立だろう。米国の古都であると同時に新しい起業家を輩出し続けるボストンの取り組みとはどのようなものだろうか。 - 米シカゴにみる、市民参加で地域課題の解決を目指すスマートシティの最前線
現代の地域社会が抱える問題は複雑かつ多様であり、その解決に市民の力とICTを活用する動きが急速に広まっている。この分野で先行する米国シカゴの取り組みとはどのようなものだろうか。 - 研究開発を牽引するクラウドとビッグデータ、リスク管理をどうするか
健康医療分野の研究開発ではクラウドやビッグデータの活用が進んでいる。だが、ステークスホルダーや活用されるデータの広がりとともに、様々な情報セキュリティやリスクの問題も浮上する。先行する米国での事情はどのようになっているだろうか。 - 健康・医療分野におけるビッグデータイノベーションの動向
健康医療はビッグデータ利活用への期待が高い反面、厳格な法規制の下で情報セキュリティのリスクも高い。日本では医療介護データの有効活用によって医療費削減を図る方針が打ち出されたばかりだが、先行する米国はどのような形で取り組んでいるのだろうか。 - 世界や米国にみるセキュリティ人材の育成術と日本の課題
加速するビッグデータビジネスにおいて、情報セキュリティをコントロールできる人材の育成が追い付いていないのは、万国共通の悩みだ。クラウドコンピューティングやクラウドソーシングを活用して、将来を担う人材へテクノロジーと運用管理の両面の経験/スキルを学ぶ場を提供する動きが世界中に広がっている。 - 新規事業創出で注目されるクラウドストーミング、利点とリスクは何か
不特定多数からアイデアを募る「クラウドストーミング」への関心が高まっている。ビッグデータ関連の新規事業の開発で企業がクラウドストーミングを活用する際のベネフィットとリスクにはどのような点があるのだろうか。 - セキュリティ/リスク管理から見た米国のオープンデータ戦略
米国が推進するオープンガバメント政策では、データの利活用において国民の参加を促す仕組みを取り入れ、同時に浮上するプライバシー/セキュリティの課題にも具体的な対応を図っている。同国はこのテーマにどう取り組んできたのか――。 - ソーシャルメディアで加速するビッグデータ利活用とガバナンス課題
インターネットを介した情報流通の拡大と利活用の広がりは、様々なイノベーションと新たな課題を生じさせてきた。今回はソーシャルメディアを中心に、ビッグデータの利活用や課題を掘り下げる。 - IoTとビッグデータがもたらす社会変革とクラウドセキュリティ
今回はInternet of Things(モノのインターネット)やビッグデータの特徴をひも解きつつ、社会に与える影響とセキュリティ上の課題を提起していく。 - 【新連載】ビッグデータ利活用の表舞台に立つプライバシーとセキュリティ
企業や組織がクラウドやビッグデータ、モバイルなどのITトレンドをビジネスに取り込んでいく中で、避けて通れないのが、プライバシーやセキュリティへの対応だ。今後想定される課題や対応に立ち向かうためのヒントをお届けしていく。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.