MSのプライバシー最高責任者が語る、クラウド時代の説明責任

米Microsoftのプライバシー最高責任者を務めるPeter Cullen氏

　マイクロソフトは1日、米Microsoftのプライバシー最高責任者を務めるPeter Cullen氏の来日に合わせ、同社のプライバシーに関する取り組みについて説明会を開催した。

　Cullen氏は、マイクロソフトにとってプライバシーは、2002年に提唱した「Trustworthy Computing（信頼できるコンピューティング）」を支える柱の1つであると説明。顧客からの信頼を得るために、プライバシーへの取り組みは欠かせないものだと語った。

　プライバシーに関する動向としては、組織内での不適切なデータ管理による重要なデータ漏えいが多発する一方で、多くの消費者は自分がWeb上に残した痕跡に気が付かないと説明。また、検索サービスやオンライン広告がますますプライバシー情報収集の中心になりつつあり、ソーシャルネットワークやブログはより細かなプライバシー情報が露呈する可能性があるとした。

　こうした状況を受けて、一部の消費者擁護団体は、プライバシー上の懸念から、医療関係など秘匿性の高いデータの保存にはクラウドストレージサービスを利用しないよう注意を喚起していると説明。また、各国でプライバシー関連法規の策定が進行しているが、企業にとっては各国ごとの法規の方向性を把握し、管理することが困難になってきているとした。

　マイクロソフトの個人に対するプライバシー保護の取り組みについては、「侵入の最小化」「情報の管理」「攻撃からの保護」の3点を重視していると説明。「侵入の最小化」とは、不要なコミュニケーションを削減し、悪質な広告の排除を行うといった取り組みのことを指し、広告サービスには個人を特定する情報を用いていないと語った。

　「情報の管理」は、情報の利用に関する透明性の確保や、ユーザーに選択肢を提供することだと説明。ユーザーにわかりやすいプライバシー情報利用用途の通知や、Cookieのコントロールとオプトアウトを提供することなどがこれにあたるとした。また、「攻撃からの保護」については、SmartScreenフィルターやSecurity Essentialsの提供により、オンライン詐欺やID盗難からの保護を提供することだとした。

　Cullen氏は、特にクラウドサービスの普及によって、情報やサービスがグローバルで展開されるようになり、どの国の法律に基づくべきかといった点が問題になっていると指摘。こうした状況に対応するため、マイクロソフトでは「最も厳しい国の法規よりも厳しいと考えている」というプライバシーポリシーをグローバルで適用することで、各国の法整備の度合いなどに関わらず、高いレベルのプライバシー保護を提供していると語った。

　マイクロソフトでは各国政府ともプライバシー保護に関して意見を交換しており、Cullen氏が今回来日した目的の1つも、2010年に日本が議長国を務めるAPEC（アジア太平洋経済協力）のプライバシーフレームワークについて議論するためだと説明。マイクロソフトのプライバシーポリシーは、APECの合意にも沿うものだとした。

プライバシーの動向	APECのプライバシーフレームワークとマイクロソフトのプライバシーポリシー

　また、「クラウドサービスは決して新しい概念ではないが、ビジネス向けのクラウドが登場してきたのが新しい点だ」として、クラウドを利用する企業には新たなプライバシーポリシーが求められていると説明。企業は提供するサービスや扱うデータについて、どの部分をローカルで、どの部分をクラウドで運用するかを、プライバシー保護の観点からも検討すべきだとした。

　Cullen氏は、クラウド時代のプライバシー保護のあり方については、説明責任が重要になるだろうと語る。「マイクロソフトはソフトウェア開発でも、非常に細かいプライバシーポリシーに基づいてソフトウェアを開発してきた。このポリシーは公開されているので、他の企業が参考にできるだけでなく、透明性の証明にもなってきた」として、信頼を得るためには説明責任を果たすことが重要だと説明。今後のクラウドを利用したサービスも、「人々に信頼されなければ成功しない」として、説明責任重視型のプライバシーモデルが、企業がユーザーに信頼を得るために必要だと語った。

　ユーザー側からすると、今後さらに複雑化したプライバシーポリシーを読んで理解しなければならないのかという質問には、「短い通知ですべての主要な項目を知ることができるようにし、詳細はクリックすれば見られるようにするなど、プライバシーの通知をシンプルにすることに取り組んでいる」として、ユーザー側だけに負担させることのないよう、バランスを取っていくことが重要だとした。

クラウド環境におけるプライバシー	プライバシーポリシーの課題