今週のSecurity Check(第224回)

 オンラインショッピング、ソーシャルメディアなど、インターネットのアプリケーションはコンシューマーにまですっかり浸透した。携帯電話/スマートフォンの普及で、利用頻度はますます高まっている。

 こうした状況に合わせて、ユーザーの行動履歴を把握し、その情報を基にユーザーの利便性を高めたサービスが登場している。例えばショッピングサイトなら、ユーザーの購入履歴や閲覧履歴から、お薦め商品を選んで提示したり、嗜好が似ているユーザーの購買傾向を見せたりする。ソーシャルメディアの場合も、ユーザーの知人と推測される相手のリストを作成したり、好みのコンテンツへのリンクを表示したりする。

 ただ、これらはユーザーの個人情報やサービス利用履歴などの情報を利用する。このため、利便性を高める半面、ユーザーのプライバシーを侵害する危険性も秘めている。ユーザーの個人情報を管理・保存するシステムの設計や運用が不十分だと、情報漏洩を引き起こしてしまう可能性もある。こうした事故は、ビジネスに大きな影響を及ぼす。このためサービス提供者には、個人情報を守ったり、プライバシー侵害を防いだりするためのシステム構築や体制整備が欠かせない。

 実は最近、このプライバシー保護の取り組みに新たな兆候がある。カナダ・オンタリオ州のプライバシー・コミッショナー事務局が考案した「Privacy by Design」(プライバシー・バイ・デザイン)を、実践しようという動きである。Privacy by Designというのは、システムや体制を構築する場合、設計段階からプライバシー保護に配慮しておき、利便性などを損なうことなくプライバシーを保護しようという考え方である。その動きの一つとして、Webブラウザーにプライバシー保護の仕組みが実装されるようになってきた。行動追跡拒否(Do Not Track、以降DNT)と呼ぶ機能である。今回は、最新ブラウザーにおけるDNTの実装状況とともに、その背後にある消費者のプライバシー保護に関する一連の動きや取り組みに着いて解説する。ターゲット広告によって利益を享受する企業にとっては、DNTは必ずしも歓迎すべきものではない。ただ業界全体としては、DNTを含めたプライバシー保護技術を積極的に導入する方向に進んでいる。

行動追跡拒否 (Do Not Track)

 顧客のアクセス履歴や購買履歴を保存し、利用者の興味を引く広告を表示したり、おすすめの商品やブログを推薦したりするサービスは、サービス提供者に広告料を払う企業にとっても、より広告効果を期待できるユーザーにリーチできるという意味で有用なものとなっている。しかし一方で、ユーザーに十分な説明がないまま前述用のような情報が収集されている場合がある。本来、個人情報の収集、利用はユーザー、Webサイト運営者、広告主の間で明確に合意された規則に基づいて行われるべきである。

 こうした問題意識の高まりからブラウザーに実装されるようになったのがDNT機能である。DNTは、ユーザーが自分の操作で、アクセスするWebサイトに自分の行動履歴を残さないよう指定できる。既に主要なWebブラウザーではDNT機能が提供され、ユーザーの意思を受け取るWebサイト側での対応も進みつつある。

 DNTの仕組みを図1に示す。DNTを実現するには、WebブラウザーとWebサイト側の両方が対応する必要がある。Webブラウザー側では、利用者がDNTをオン/オフするための仕組みが必要である。例えばFirefoxでは、環境設定->プライバシータブからDNT機能のオン/オフを設定できる(図2)。ユーザーがDNTを有効にした場合 (図1では、「トラッキングの拒否をWebサイトに通知する」にチェックを入れる)、ブラウザーはHTTPヘッダに”DNT:1”という行を含めてWebサイトに送信する。ユーザーの意思として”DNT:1”を受け取ったWebアプリは、利用者個人の情報を使わずに処理を実行する必要がある(ただし現時点では法的な義務はない)。

 表1に、本コラム執筆時の主要なブラウザーのDNT機能サポート状況を示す。主要なWebブラウザーは、何らかの形でDNTのサポートを始めているが、詳細な機能は各ブラウザーで違いが見られる。またDNTをサポートするアプリはWebブラウザーだけではなく、例えばメールクライアントであるMozilla ThunderbirdもDNTのサポートを計画している。DNT+(http://www.abine.com/dntdetail.php)のように、Webサイトが送り込むcookieをブロックするブラウザープラグインなども公開されている。

図1●DNTのしくみ
図1●DNTのしくみ

図2●Firefox (OSX版)でのDNTの設定
図2●Firefox (OSX版)でのDNTの設定

表1●主要ブラウザーのDNTサポート状況
WebブラウザーDNTサポート状況
FirefoxFirefox 4からDNTをサポート。Android 版Firefoxもサポートしている
Internet Explorer (IE)IE 9からDNTをサポート。マイクロソフトは2012年6月、 Windows 8に搭載予定のIE10では、DNTをデフォルトで有効にすると発表
Chromeサードパーティーが提供するプラグインでDNTをサポート。グーグルは2012年末までにDNTをサポートすると発表
SafariSafari 5.1からDNTをサポート
OperaOpera 12からDNTをサポート

 ブラウザーから”DNT:1”を受け取ったWebサイトは、受け取った情報と個人を結びつけない(例えばすべて同じユーザーの情報として扱う)、あるいはカスタマイズした広告を出さないといった処理を行う。ただし現在は、Webサイト側でのDNTサポートには明確な基準がないため、何が実現されているかはWebサイトによって異なる。実際のところ、DNTをサポートしていないWebサイトにいくらDNT:1を送っても何も処理されないため、DNT、が役に立っていないサイトも多い。

 そんな中で、Yahoo!をはじめ複数の企業がDNTへの対応を表明している。既に実装済みのサイトもある。例を一つ挙げよう。2012年5月にDNTの導入を公表したTwitterはDNTを以下のように実現している(https://support.twitter.com/articles/20169453)。

・DNTを有効にしているユーザーに対しては、Twitterの”tailored suggestions”機能(おすすめユーザーの表示など)などで利用されているアクセス履歴を収集しない。これは、ブラウザーに保持されるcookieを削除することで実現される
・Twitterに新規登録する場合、登録ページでWebサイトの閲覧を基にTwitterをカスタマイズするかを指定できるが、DNTをオンにしているユーザーの場合、この指定をデフォルトでオフにする
・既にTwitterにアカウントを持っているユーザーに関しては、カスタマイズ機能をオンにする前であれば、アカウント設定の該当箇所の設定がデフォルトでオフになっている
 なおDNTの実装については、Mozilla Foundationが出している「Do Not Track 実装ガイド」(http://www.mozilla.jp/static/docs/firefox/dnt-guide.pdf)が参考になる。

DNTの歴史

 ここでDNTの歴史を見てみよう。元々は、2007年頃から米連邦取引委員会(FTC)を中心に議論が始まった。2010年12月に、”Protecting Consumer Privacy in an Era of Rapid Change”というタイトルの報告書がPreliminary FTC Staff Reportとして公開され、Privacy by DesignとともにDNTの重要性が強調された。この報告書の最新版は2012年3月に公開されている(http://www.ftc.gov/os/2012/03/120326privacyreport.pdf)。

 この動きに関連して、米オバマ大統領は、2012年2月にConsumer Privacy Bill of Rights(消費者プライバシー権利章典)を発表した。DNTは、この中で消費者のプライバシー権利を実現するための技術の一つとして期待されている。

 サービス提供者にとっても、ユーザー情報の活用は重要なビジネス上の課題となっている。例えばグーグルは2012年8月9日、「ユーザーにターゲット広告を配信するためにSafariのプライバシー設定を回避した」とする米国取引委員会(FTC)の告発に対して、制裁金2250万ドルを支払うこと同意した。8月10日には、フェイスブックがFTCとの間で、Facebookがユーザーの情報を共有する場合にはユーザーに対し明示的に通知することに同意している。

 関連する標準化活動に目を向けると、Web技術の標準化団体であるW3C(World Wid Web Consortium)ではTracking Projection作業部会が発足し、図1で説明したDNTを指示するHTTPヘッダーの標準化などについて議論している(最新のレポートは
http://www.w3.org/2011/tracking-protection/drafts/tracking-dnt.html)。

 プライバシーにまつわる議論は欧州でも活発に行われている。「電子プライバシー保護指令」(E-Privacy Directive)としてまとめられており、例えば、ユーザーが要求したサービスの提供に不可欠な場合以外は、cookieの利用にはユーザーの同意が必要だとされている。またEUから2012年1月に、利用者がネット上のサービス提供者に対して、自分のプライバシーに関する情報の削除を要求できる「忘れられる権利(right to be forgotten)」の提案が行われ、大きな議論となっている。拡散された情報をすべて検知し削除できるかという技術的な課題もさることながら、表現の自由や知る権利との関係など、様々な議論が今後も繰り広げられることだろう。

プライバシー・バイ・デザイン (Privacy by Design)

 このような時代背景から、冒頭に触れたPrivacy by Design (PbD)という考え方の注目度が高まっている。PbDはカナダのオンタリオ州の情報・プライバシー・コミッショナー、アン・カブキアン博士が1995年に提唱した概念。インターネットやスマートフォンなどの広がりに伴い、業界関係者を中心に、必要性を訴える声が強まってきた。そして、この考え方の実現例が、前述したWebブラウザーやWebサイトで実装が進んでいるDNT機能である。

 PbDという言葉には、馴染みがない読者の方が多いかもしれない。一般に、”by Design”は、ある機能を、後から付け加えるのではなく、設計時からきちんと考慮する、という考え方を指している。同様の考え方として、Security by Designがあり、セキュリティに配慮した設計開発手法やレビューなどがこれに当たる。

 従来、セキュリティは非機能要件の代表的なもので、実装のプライオリティーは必ずしも高くなかった。特にコストや期間に制限があるITサービスにおいては、設計段階ではセキュリティ要件が十分に組み込まれず、何か不都合が起こった場合に、後から追加されることがよくあった。しかし、昨今のサイバー攻撃の増加もあり、このような従来のやり方は変わりつつある。プライバシーに関しても状況は同様だろう。

 サイバー攻撃の増加に伴い、適切なプライバシー保護は大きな課題となっている。何かが起こってからあわてて対策を施すのではなく、日頃から対策を行っておくことの重要性においてPbDの考え方は、DNTの普及と合わせ今後実装へと向かっていくことだろう。また、Webサイト側だけでなくユーザー側もこの問題についてきちんと注意を払うことが大切である。

 最後に、PhDの内容を少し説明しておこう。骨子をなすのは、以下に示す七つの原則である。この原則と、DNTや他のツールで実現されている機能について、次の表で説明する。詳細に興味がある方はPbDのWebサイト(http://privacybydesign.ca)を参照されたい。

表2●Privacy by Designの7原則
原則概要実装や普及のための方策
1. 事後(Reactive)対応ではなく、事前(Proactive)対応プライバシー侵害インシデントが起きてからでなく、発生を防止することを目指す。そのためには、設計および開発段階でリスクを把握しておく必要がある開発者がWebアプリに対する典型的なプライバシーリスクを把握し、設計や開発にいかす。ユーザーはDNTや履歴の管理などブラウザーが提供する機能を把握し、適切に設定する
2. プライバシー保護はデフォルト(標準状態)アプリケーションにおいて、個人情報が自動的に守られることで、ユーザーにはプライバシー保護のための特別なアクションは求められないDNTを標準状態でオンにする
3. プライバシー保護が設計段階で埋め込まれているプライバシー保護の仕組みがアプリの設計やアーキテクチャーの中に組み込まれ、基本機能として提供されるDNTも広義にとらえれば、プライバシー保護機能が、ブラウザーやWebアプリに設計段階から組み込まれていることを意味する。セキュリティを例に取ると、マイクロソフトのSecurity Development Lifecycle (SDL)やIBMのSecure Engineering Framework (SEF)といったセキュアな製品開発の手法がある。プライバシーに関しても、これと同様の開発手法が必要
4. ゼロサム(Zero-Sum)ではなくポジティブサム(Positive-Sum)プライバシー保護が、他の要件とのトレードオフになるのではなく、いわゆるWin-Winの関係になるようにする必要最小限の情報を収集する、暗号化や匿名化データセキュリティ技術を用いたアプリ開発を行う
5. 個人情報のライフサイクル全体における保護情報の生成、流通、利用、削除といった過程全体で、強力なセキュリティ基準とコントロールが必要である直接技術的に関連するわけではないが、消費者プライバシー権利章典や標準化活動を通じて、個人情報をエンド・ツー・エンド で保護するための仕組み作りが必要だろう
6. 可視化と透明性関連する組織がプライバシーに関して保証している条項と方針を明確化し、公開されたセキュリティおよびプライバシーのベストプラクティスを順守するWebサイト提供者が、プライバシー条項を明確にわかりやすく提示することで、ユーザーが自分のどのような情報がどのようなサービスに使われているかを把握できるようにする
7.個人のプライバシーを尊重する安全側に倒したデフォルト、適切な通知、ユーザーに優しいオプションなどを通じて、個人中心を重視することを設計者や運用者に徹底する設計者が運用者が、プライバシー保護を、機能要件だととらえ、わかりやすいGUIなどを使ってITに詳しくない利用者が安心して使える仕組みを提供する

■変更履歴
「プライバシー・バイ・デザイン」の最初の段落で、カブキアン博士が提唱した時期を2000年代後半としていましたが,提唱したのは1995年です。お詫びして訂正します。本文は修正済みです。 [2012/10/01]


浦本 直彦
日本アイ・ビー・エム 東京基礎研究所 主席研究員

 「今週のSecurity Check」は、セキュリティに関する技術コラムです。日本アイ・ビーエム グループのスタッフの方々を執筆陣に迎え、セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)


■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら