Microsoftの最高プライバシー責任者 Peter Cullen氏。同社には7年前に入社したが、その前はRoyal Bank of Canadaで個人情報保護の責任者を務めていたプライバシーのオーソリティ

「Microsoftにとってセキュリティおよびプライバシーはもっとも重要な分野。信頼ある企業としてのあかしを立てるためにも、これからもずっと追い続けていかなければならない」 - Microsoftの最高プライバシー責任者(Chief Privacy Strategist)であるPeter Cullen(ピーター・カレン)氏はこう語る。そして、コンシューマ/エンタープライズともにクラウドコンピューティング環境へのシフトが進みつつある現在、「企業の果たすべき説明責任はますます大きくなってきている」(Cullen氏)という。3月1日、来日した同氏が語った内容を元に、クラウドコンピューティング時代における同社の方向性を考察してみたい。

Microsoftのプライバシーコミットメント

「個人情報はいまや通貨と同じ価値をもっている」(Cullen氏)、だからこそ、「フィッシング目的のため数時間だけ存在し、すぐに閉鎖してしまうようなサイトに個人情報を入力してしまうような行為からユーザを守る」ことはMicrosoftに課せられた義務のひとつだとCullen氏は定義する。

具体的には、「テクノロジへの投資」「規定のガイダンス」「業界とのパートナーシップ」の3つが重要なコミットメントになる。「ユーザのプライバシーを守るためには、ライバル企業ともアライアンスを積極的に組んでいく必要がある」(Cullen氏)

議論が分かれるPIIの定義

さまざまなセキュリティソリューションに囲まれた大企業のユーザに比べ、個人ユーザや中小企業ユーザは、より情報漏洩の危機にさらされやすい。Cullen氏は、Microsoftがこれらのユーザに対して提供していることとして

  • 侵入の最小化 … 不必要なコミュニケーションの削減、悪質な広告の削除
  • 情報の管理 … 情報の利用に関する透明性、必要最小限の情報提供、選択肢の提供
  • 攻撃からの保護 … オンライン詐欺やIT盗難からの保護

を挙げる。

同氏の説明の中でとくに興味深かったのは、「侵入の最小化」を防ぐための個人特定情報(Personally Identifiable Information: PII)の扱い方だ。「Windows Liveで個人アカウントを作るとき、ユーザは個人情報を入力しなければならない。ただし広告や宣伝のために提供できる情報は、住んでいる国、郵便番号、性別といった、それだけでは個人を特定できないものに限っている」というCullen氏、こういった取り組みは「Microsoftだけが行っていること」と自信を見せるが、一方でこれは"どの情報までなら個人を特定できる/できないないのか"というラインに関わる部分でもあり、議論の余地が残るところだろう。

クラウドサービス企業は"説明責任"を果たせ

本題のクラウドコンピューティングとプライバシーの関わりについて、Cullen氏はまず現在の世界的な動向として、「センシティブな情報はクラウドに置いてはいけないと唱える人びとがいる一方で、一時的な、しかし、ビジネスに影響を与えるようなプライバシー関連法規の策定が世界各地で進行している」と分析する。しかしながらクラウドへとユーザがシフトしていく流れはもはや止めようがなく、「管轄や国境を越えたデータの流れはこれからますます活発化する。そして、Webサービスが旧来のサービスに代わってさらに発展することになるだろう」と予測する。

こういった背景の下にあっては、ITサービスを提供する企業はクラウド利用を前提としたユーザのプライバシー対策を考えていかなければならない。Cullen氏はここで、「コンシューマが健全なポリシーをもてるようにするためにも、サービス提供企業は(クラウドサービスに対する)説明責任を果たさなければならない」と強調する。クラウドサービスの"透明性"を担保することで、サービス提供企業としての責任とオーナーシップが明確になり、ユーザからの信頼を勝ち得ることができるという。「今後はデータをクラウドとオンプレミスに置き分ける"ハイブリッド型"のシステムが増えてくるだろう」とCullen氏、その流れにあってMicrosoftの強みは「(オンプレミス/クラウド双方のソリューションをもつことも含め)ユーザに多様な選択肢を与えることができる」ところにあるとする。「どのデータをどこに置くか」をユーザに選ばせること、またその選択肢が多いということはかえってユーザの負担になりはしないか、という質問に同氏は、「だからこそ、企業の説明責任が重要になる」と言う。PCだけではなく、携帯電話やそれ以外のデバイスでもインターネットにつながる時代になった現在、クラウドサービスを提供する企業は自社のサービスを可能な限り透明化しておく必要がある - つまり、安全性に関するユーザからのどんな疑問にも答えられるよう準備することが求められるようになるというわけだ。ユーザのリテラシ向上も、それによって促進されることになる。

今後、国をまたがったビジネスがクラウド上で続々と実現していく時代になることは間違いない。それに伴って、プライバシーポリシーに関して「どこの国/地域の法律を適用するか」は、今後も議論が続く課題となるだろう。Cullen氏がクラウドサービスの提供にあたって透明性が重要と強調する背景はここにもある。「世界的な調和が必要な分野ではある。しかし、企業が説明責任を明確にすることでプライバシーガバナンスのバランスが取れたモデルが出来上がってくるだろう」 - 急速に発展しつつあるクラウドサービスだからこそ、プライバシー保護の早急なスタンダード確立が求められている。サービス提供企業が説明責任を果たすこと、そしてユーザへの認知を広め、リテラシを高めること - これらの実現のため、Microsoftは「他社も活用できる事例やデータを発表し、いかに透明性を担保できるかをこれからも明確にしていく」(Cullen氏)という。いずれにしろ、クラウドサービスにおけるプライバシー保護は、ここしばらくは、サービス提供企業だけでなく、多くの国や行政を巻き込むホットトピックであることは間違いなさそうだ。