JEITA、IoT機器で取得するデータのプライバシー対策についてメーカー向けガイドライン策定

　一般社団法人電子情報技術産業協会（JEITA）スマートホーム部会は、「IoTデータプライバシーガイドライン」を策定。その内容について発表した。3月30日からJEITAのウェブサイトで公開しており、無償でダウンロードできる。

　「IoTデータプライバシーガイドライン」は、スマートホームの実現に向けて、事業者が実施すべきプライバシー対策についてまとめており、宅内に設置されるIoT機器が生成するスマートホームIoTデータを、個人情報保護やプライバシーに配慮しながら収集、活用するためのポイントを示している。利用者との信頼を構築するために、各関係者が必ず考慮すべき項目やあるべき姿をまとめたという。

ガイドラインの位置付け。利用者との信頼関係を構築することを目的とする

個人により、時代により変わってくるプライバシー意識に対応

　エアコンや冷蔵庫、電子レンジなどのIoT家電のほか、ペットカメラや窓開閉センサーなどのIoTガジェット、スマートウォッチをはじめとしたウェアラブル機器、電気・ガス・水道のスマートメーター、体重計や体組成計などの家庭用ヘルスケア機器、HEMS（ホームエネルギーマネジメントシステム）機器や電動シャッター、インターホンなどが生み出すデータを、スマートホームIoTデータと定義し、これらのデータは、プライバシーに注意して取り扱うべきデータが含まれていると指摘している。

　具体的には、宅内モニター映像やドアホン集音、エアコン熱画像などの「映像音声」、体重計計測値や血圧計計測値などの「健康情報」、炊飯器予約時間やトイレ人感センサーなどによる「生活リズム」、冷蔵庫開閉や照明ON/OFFなどの「在不在状態」、電子レンジメニュー選択や湯温設定などの「生活志向」、チャイルドロックや洗濯機メニューでわかる「家族構成」、室外気温や電波状態によって判別できる「地域特定」などのデータを対象としている。

個人情報とスマートホームIoTデータが扱う領域のイメージ

スマートホームIoTデータの類型の分類

スマートホームIoTデータの利用目的の整理

　なお、テレビ視聴履歴、宅外監視カメラ、医療情報について、すでにガイドラインが示されているため、対象外としている。

　JEITAスマートホーム部会の山本雅哉氏（IoTデータプライバシー検討ワーキンググループ主査）は、「スマートホームで取り扱うIoTデータには、必ずしも法で定められる個人情報には該当しないデータも存在する。また、プライバシーに注意して取り扱うべきデータも含まれる。プライバシーの感じ方は、個々人によって違っていたり、時代によって移り変わったりするため、取り扱いルールを定めることで、利用者が安心してIoTデータを提供できるに、業界として取り組んでいく必要がある」と、今回のガイドライン策定の狙いを説明した。

一般社団法人電子情報技術産業協会（JEITA）スマートホーム部会IoTデータプライバシー検討ワーキンググループ主査の山本雅哉氏

説明と同意を得る方法、およびユーザーの各種請求権で構成

　ガイドラインでは、次の「説明」「同意取得」「自己コントロール性」の3点からルールを構成している。

• 説明：IoTデータの取り扱いを説明するプライバシーポリシーにおいて、記載すべき項目とその粒度を
• 同意取得：機器の特性にあわせ、説明や同意取得を行うタイミングと、その方法
• 自己コントロール性：個人情報保護法における各種請求への対応義務を参考に、スマートホームIoTデータの特性にあわせて、利用者が各種の請求ができるようにするため、提供すべき手段など

説明に関するガイドライン。同意の取得、用語の説明、対象データのリスト、利用目的のリスト、業務委託、共同利用の6つの項目で示している

同意取得に関するガイドライン。事前の同意取得と、変更時の同意取得について示している

自己コントロール性に関するガイドライン。開示、訂正・追加・削除、利用方法利用方法・消去の3項目について示している

プライバシーとデータ活用の両立を目指して2021から議論

　JEITAスマートホーム部会は、業界や業種の枠を超えた企業が参加するかたちで2017年秋にスタート。安心・安全、健康、快適、便利なサービスを提供する新たなスマートライフ市場の構築に向けて、住宅、住宅設備機器、家電、IT通信機器、サービスなどの住まいに関わるあらゆるモノを連携したスマートホームの実現に向けた活動を行っている。

　今回の「IoTデータプライバシーガイドライン」の策定を担当したIoTデータプライバシー検討ワーキンググループは、スマートホームに関連するIoTデータの取得、活用、連携する際の取り扱いルールなどに関する検討を担当しており、プライバシーに関する議論を進めているという。今回のガイドラインの策定にあたっては、2021年度から議論を開始し、ガイドラインの原案を作成。有識者会議を通じて、意見を取り入れながら、実用性のあるガイドラインを目指してまとめたという。

スマートホーム部会のJAITAにおける位置付け

プライバシー検討ワーキンググループの取り組み

　「IoTデータは、サービスを提供するために利用したり、修理時の故障原因分析、製品開発、マーケティング分析、犯罪捜査のためなど、さまざまな目的で利用されることが想定される。プライバシーを重視しながらも、いかにデータを活用していくのかといったことを両立させること、消費者の観点からはどう見えるのかといったことについても、各分野の専門家の意見を反映した。多面的な議論を行い、その結果をガイドラインに反映している」という。

　JEITAスマートホーム部会IoTデータプライバシー検討ワーキンググループの顧問を務める佐藤一郎氏（国立情報学研究所 情報社会相関研究系・教授）は、「スマートホームで利用される家電製品や住宅設備などは、情報収集能力だけでなく、通信能力を持っており、インターネットを介してクウラドとやりとりをすることになる。家電製品の利用状況から、家庭内の情報がわかるなど、従来にはないプライバシーに関わる問題が発生することになる」と、議論の背景を振り返った。

　その上で、消費者との信頼関係の重要さについて「事業者にとっては、プライバシー対応はコストではなく、商品やサービスにおける最重要品質であり、商品差別化要素になり、多様なデータが競争力につながるということを理解すべきである。だが、利用者からの信頼を得られないと、データが取得できないという課題も生まれることになる」と指摘した。

　一方で、ビジネスをする側の事情も勘案した上での、ガイドラインの意義を語った。「個人情報であれば、個人情報保護法により利活用の方法が規定されているが、プライバシーに関しては規定されておらず、あいまいな部分がある。その結果、プライバシーに関わる情報により、個人の権利利益の侵害が起きうることもある。また、プライバシーに関する情報は広いので、すべてを保護しようとするとビジネスが回らない可能性がある。各事業者は保護すべき情報と利用方法を考えた対応が必要になる。そのためには、一定の保護基準の確保と、利用者の混乱を避けるには業界としての最低基準が求められる。そこで、今回のガイドラインを策定した」。

国立情報学研究所（NII）情報社会相関研究系・教授の佐藤一郎氏

　たとえば、家電製品から取得するデータや利用目的が、利用者側から見えていないため、利用者が想定しないデータ取得や利用が起きやすいのが実情だ。家電の利用情報をもとにサービスを向上させる目的で収集したデータが、在宅や不在を示す情報として捉えられるといったことも起こりうる。ガイドラインを通じて、さまざまなケースが把握でき、事業者が、プライバシー保護という観点から、課題を想像しやすくなることを目指したという。

　「ガイドラインを通じて、国内の家電メーカーなどがプライバシー保護に対する取り組みを底上げすることができる。海外では、プライバシー保護を差別化要素として取り入れるケースがあり、日本の事業者も同様の考え方を取り入れ、商品やサービスの差別化に活用する一歩になればいいと考えている」とした。

　また、JEITAの山本主査は、「プライバシー保護に関する懸念がスマートホームにおけるIoT機器利用を阻害する要因のひとつになっていることがわかっている。ルールを定めるだけでなく、機器やサービスを提供する事業者が、今回のガイドラインで示す各種要件に真摯に取り組むことで、プライバシー保護に関する利用者の懸念を払拭することが可能になる。これにより、利用者に、より多くのIoT機器を利用してもらい、スマートホームIoTデータを提供してもらうことができる。さらに便利なサービスを提供でき、スマートホームの付加価値を向上することができる」と述べた。

　JEITAでは、「IoTデータプライバシーガイドライン」の普及啓発に向けて、プライバシー塾の開催を企画しており、開発部門やサービス企画部門、法務部門の担当者などを中心に、2023年度に全10回のコースでの開催を予定している。