3月1日、米マイクロソフトの最高プライバシー責任者Peter Cullen氏が来日し、同社のプライバシー戦略に関する説明会が開催された。Cullen氏は、個人情報が国際的に流通するようになったことで、「国際的な協調と、企業側も透明性のある説明責任を果たす必要がある」と指摘する。

Peter Cullen氏

Microsoftのプライバシー戦略は、2002年に当時のBill Gates会長が従業員に向けた「Trustworthy Computing(信頼できるコンピューティング)」からスタートしている。Trustworthy Computingは、セキュリティ、プライバシー、信頼性、ビジネスプラクティスという4本の柱からなっており、「すべてのユーザーが信頼できるようなコンピューティングがなければ、コンピューティングの十分なメリットを享受できない」(Cullen氏)ことから、同社の大きなビジネスの規範となっている考え方だ。

Cullen氏は、Trustworthy Computingが始まった当時を「セキュリティはMicrosoftにとって大きな課題だった」と振り返り、そこから同社ではさまざまな投資を行ってきた。プライバシーに関しては「3つの投資が必要」とCullen氏。具体的には、Internet Explorer 8のフィッシングフィルターやInPrivateブラウジングといった機能、ウイルス対策の「Microsoft Security Essentials」などのテクノロジーの開発に加え、プライバシーガイドラインの制定とソフトウェアへの適用、コンシューマに向けたガイダンスの公開、競合他社も含めた業界とのパートナーシップによる連携といった取り組みを積み重ねてきた。

Trustworthy Computingの4つの柱

プライバシーに関わる3つの投資分野

Cullen氏は、ユーザーのプライバシー保護には「3つの原則がある」と指摘する。侵入の最小化、情報の管理、攻撃からの保護の3点で、スパムフィルタやSmartScreenフィルタなどのような技術的な対策から、プライバシー情報をユーザーに分かりやすく通知すること、Cookieのコントロールとオプトアウトなどを実施してきた。さらに「個人を特定する情報」(PII)を使わない広告手法を開発し、「最初から匿名性を確保」(同)した形で広告を提供している。同社が取得した情報は、ユーザーが再利用を拒否できる仕組みも導入している。ちなみに同社の場合、Liveアカウントを作成する際に入力した情報から性別、郵便番号といった「個人情報ではない情報」(同)のみを広告に利用しているそうだ。

プライバシー保護の3つの原則

クラウドでグローバル化する情報流通

こうした取り組みを続けていても、「個人情報をどんな組織がトラッキングしているか、情報がどう扱われているか」という点をユーザーは懸念している。さらにクラウドサービスの進展で個人情報がグローバルに流通するようになったことで、さらにプライバシーの問題は複雑化しているという。プライバシー関連の法整備が各国で一致しておらず、国によって法律が違うことが混乱に拍車をかけている。

Cullen氏は、現在のクラウドサービスの時代を「第4のコンピューティング」と定義し、ミクロ・マクロ経済としても重要な役割を果たしているとしつつ、セキュリティやプライバシーでは大きな課題があると指摘する。

クラウド時代はメインフレームから始まる第4のコンピューティングの時代

クラウド環境では、国際的な情報の流通などの課題があり、説明責任などのガバナンスの確立が必要

クラウド上に情報を残そうとすると、そのサービスがその国の中だけで提供されているとは限らないので、情報がグローバルに流通することになり、ある国ではそれが関連法令に違反する可能性も出てくる。たとえば、欧州連合(EU)では情報を国外に提供する場合、その国がEUと同等の規制を持っていなければならないという。

APECのプライバシーフレームワークと同社のポリシーの比較。文言が違う程度で、内容は同じだという

こうした状況においては国際的な協調が必要で、たとえばアジア太平洋経済協力会議(APEC)では、域内の情報流通を円滑化するためにプライバシーフレームワークを策定しており、マイクロソフトも民間企業代表として参加している。今回は日本が議長国で、Cullen氏もこの会合に参加するために来日していた。

このプライバシーフレームワークは、マイクロソフトが定めるプライバシーポリシーとほぼ同等になっているという。同社は最も厳しい国にあわせる形でポリシーを制定しており、それをすべての国に適用しているため、APECのフレームワークにも賛同をしているそうだ。

こうした国際的な協調が実現することで、企業にとってもビジネスを円滑に行うことができるようになるというメリットがあり、国際的な情報流通の問題が解決できる、という。

説明責任が信頼につながる

さらにCullen氏は、「企業の説明責任」にも言及する。企業は、明確なポリシーがあるか、プライバシーに関して透明性が確保されているか、説明責任を果たしていることをきちんと示せるか、といったことが求められるとしている。同社ではソフトの開発にプライバシーガイドラインを適用しているが、これによってマイクロソフトが学んできたことを、他社が生かす形で自社の製品にも適用できる、同社が透明性を持っているかどうかを示せる、という2つの目的も果たせるという。

「成功するために必要なのは、人々が(その会社や製品を)信頼するようになること。信頼がなければ成功はない」。Cullen氏はこう強調し、「説明責任のあるガバナンスモデルが必要だ」と指摘している。

説明責任の4つのポイント