プライバシーバイデザイン ぷらいばしーばいでざいん
簡単に言うとこんな感じ!
家を建てるとき「あとから鍵をつければいいや」じゃなくて、最初の設計図の段階でドアや鍵の場所を決めるよね。それと同じで、システムを作るときに「後でプライバシー対策を追加する」じゃなく、最初からプライバシー保護を設計に組み込んでしまおう!という考え方だよ。
プライバシーバイデザインとは
プライバシーバイデザイン(Privacy by Design、PbD) とは、システムやサービスを設計・開発する段階から、プライバシー保護の仕組みをあらかじめ組み込む考え方です。後から対策を「追加」するのではなく、設計の大前提として位置づけることが最大の特徴です。
この概念は1990年代にカナダのオンタリオ州情報・プライバシーコミッショナーだった アン・カブキアン(Ann Cavoukian) 博士が提唱しました。「プライバシーはシステムの機能として組み込まれるべきものであり、後付けであってはならない」という哲学が根幹にあります。現在では欧州の個人情報保護規制 GDPR(General Data Protection Regulation) が法的要件として採用したことで、世界標準の設計思想となりました。
日本でも 改正個人情報保護法 の対応やシステム発注・調達の際に「プライバシーバイデザインの考え方に基づいて設計すること」と要件定義書に明記されるケースが増えています。ITベンダーに発注する際に知っておくべき重要キーワードのひとつです。
7つの基本原則
プライバシーバイデザインには、アン・カブキアン博士が定めた 7つの基本原則 があります。これを知っておくと、ベンダーへの発注要件や設計レビューの判断軸として活用できます。
| # | 原則名 | 内容のポイント |
|---|---|---|
| 1 | 事後対応ではなく予防的・事前対応 | 問題が起きてから対処するのではなく、発生しないよう最初から設計する |
| 2 | デフォルトでのプライバシー保護 | 何も設定しなくても、デフォルト状態で最も保護レベルが高い |
| 3 | 設計へのプライバシーの組み込み | プライバシー対策はシステムの一部であり「後付けオプション」ではない |
| 4 | 全機能の維持(ゼロサム回避) | プライバシー保護と利便性はトレードオフではなく、両立できる |
| 5 | エンドツーエンドのセキュリティ | データのライフサイクル全体(収集から廃棄まで)を通じて保護する |
| 6 | 可視性と透明性 | 利用者に何のデータをどう扱うかを見える形で示す |
| 7 | 利用者プライバシーの尊重 | 利用者が自分のデータをコントロールできる仕組みを提供する |
覚え方:「予デ設ゼエ可利」
7原則を頭文字で「よ・で・せ・ぜ・え・か・り」と覚えると便利です。「予防、デフォルト、設計、ゼロサム回避、エンドツーエンド、可視性、利用者尊重」の順です。
「デフォルトでのプライバシー保護」が特に重要
原則2の 「デフォルトでのプライバシー保護(Privacy as the Default)」 は実務でとくに重要です。たとえばSNSの新規アカウントを作ったとき、投稿の公開範囲が「デフォルトで全体公開」になっているサービスと「デフォルトで非公開」になっているサービスでは、プライバシー保護レベルが大きく異なります。GDPRでは後者のアプローチを求めています。
歴史と背景
- 1995年:アン・カブキアン博士がオンタリオ州情報・プライバシーコミッショナーに就任し、プライバシーバイデザインの概念を提唱し始める
- 2009年:「Privacy by Design: The 7 Foundational Principles」として7原則を正式に文書化・公開
- 2010年:国際プライバシー執行機関会議(International Conference of Privacy and Data Protection Commissioners)で国際標準として採択される
- 2016年:EUが GDPR(EU一般データ保護規則) を制定。第25条「データ保護バイデザイン及びデフォルト」として法的義務化される
- 2018年:GDPRが施行。違反した企業への制裁金(最大で全世界年間売上高の4%または2,000万ユーロ)が科せられる可能性が生じ、世界中の企業が対応に動く
- 2020年代:日本の改正個人情報保護法対応・行政システム調達要件などにも浸透。ITベンダー選定の評価軸のひとつになる
「後からプライバシー対策を追加」との比較
プライバシーバイデザインと、従来の「後から対策を追加する」アプローチの違いを整理します。
| 比較軸 | 従来アプローチ(後付け) | プライバシーバイデザイン |
|---|---|---|
| 対策のタイミング | 開発完了後・問題発生後 | 要件定義・設計の段階から |
| コスト | 修正コストが高くなりやすい | 初期設計コストは増えるが総コストは低い |
| データ収集方針 | 「取れるデータは全部取る」 | 目的に必要な最小限のデータのみ取得(データ最小化) |
| デフォルト設定 | 利便性優先(公開・共有が初期値) | プライバシー保護優先(非公開・最小権限が初期値) |
| 利用者への説明 | 利用規約に埋め込み(読まれない) | 分かりやすい形で明示・同意取得 |
| 法的リスク | GDPR・個人情報保護法違反リスクが高い | コンプライアンスを設計段階で担保 |
発注時のチェックポイント
システムをベンダーに発注する際、以下の点を確認すると「プライバシーバイデザインが実践されているか」を判断できます。
- 収集するデータの種類と目的が明確か(不要なデータを収集していないか)
- デフォルト設定がプライバシー保護優先になっているか
- データの保存期間と削除ルールが設計に含まれているか
- 利用者が自分のデータを確認・削除できる機能があるか
- DPIA(データ保護影響評価)の実施が計画されているか
関連する規格・RFC
| 規格番号 | 内容 |
|---|---|
| GDPR 第25条 | 「データ保護バイデザイン及びデフォルト」として法的義務を規定。EU域内でサービスを提供する場合に適用 |
| ISO/IEC 29101 | プライバシーアーキテクチャフレームワーク。プライバシーバイデザインの実装指針を定める国際規格 |
| ISO/IEC 27701 | プライバシー情報マネジメントシステム(PIMS)の要求事項。ISO 27001の拡張規格としてプライバシー管理を体系化 |
| RFC 6973 | インターネットプロトコル設計におけるプライバシー考慮事項のガイドライン |
関連用語
- GDPR — EUの一般データ保護規則。プライバシーバイデザインを法的要件として義務化した規制
- 個人情報保護法 — 日本における個人情報の取り扱いを定めた法律。GDPRの影響を受けて改正が続く
- データ最小化 — 目的達成に必要な最小限のデータのみ収集する原則
- DPIA(データ保護影響評価) — 新しいシステムやプロセスがプライバシーに与えるリスクを事前に評価する手法
- 暗号化 — データを第三者が読めない形式に変換する技術。プライバシーバイデザインの実装手段のひとつ
- アクセス制御 — 誰がどのデータにアクセスできるかを制限する仕組み
- セキュリティバイデザイン — プライバシーバイデザインの姉妹概念。セキュリティを設計段階から組み込む考え方