JIPDEC 電子情報利活用研究部　主席研究員　水島　九十九

• 印刷用PDFファイルをダウンロード

2023年1月31日、ISO（国際標準化機構）はプライバシー・バイ・デザインに関する新しい国際規格として、「ISO 31700」を公開した。この規格は、消費者向け製品・サービスにおいて、設計・開発およびその他のライフサイクル全体を通じて消費者のプライバシーを考慮するための要求事項である。この規格の目的は、組織が個人データのプライバシーを保護し、製品やサービスに関連するプライバシー規制に沿っていることを保証することにある。消費者との信頼を構築するために、プライバシー原則を運用し、利用者が不利益を被らないように取り組むことが求められる。

国際規格「ISO 31700」は2つの文書で構成されている。また、この規格では、要求事項（しなければならない）に対して、実装に必要な部分は推奨事項となっている。

• （1）ISO 31700-1：5つのカテゴリーにおいて合計27の要求事項が規定され、それぞれ要求事項・説明・ガイドダンスの構成が示されている。

• ISO 31700-1:2023　消費者保護－消費財およびサービスのプライバシー・バイ・デザイン－第1部: 高レベルの要件（日本規格協会） 別ウインドウで開く
• ISO 31700-1:2023　Consumer protection -- Privacy by design for consumer goods and services -- Part 1: High-level requirements（ISO）別ウインドウで開く

• （2）ISO 31700-2：ユースケースとして代表的な３つの業態について、リスクマネジメントや消費者への説明事項などが示されている。

• ISO/TR 31700-2:2023　消費者保護－消費財およびサービスのプライバシー・バイ・デザイン－第2部：ユースケース（日本規格協会）別ウインドウで開く
• ISO/TR 31700-2:2023　Consumer protection — Privacy by design for consumer goods and services — Part 2: Use cases（ISO）別ウインドウで開く

プライバシー・バイ・デザインの考え方は新しいものではない。カナダのAnn Cavoukian博士はプライバシー・バイ・デザインについて、7つの基本原則からなるフレームワークを確立し、2009年8月にカナダのデータ保護当局（OPC）にて公開した。

• Privacy by Design The 7 Foundational Principles（Information and Privacy Commissioner of Ontario）別ウインドウで開く

その後、プライバシー・バイ・デザインのコンセプトは、データ保護プライバシー・コミッショナー国際会議（現GPA）にて紹介され、信頼構築のためのフレームワークとして徐々に国際的に支持されるようになった。2010年のイスラエルで開催されたプライバシー・コミッショナー会議では、プライバシー・バイ・デザインのコンセプトを促進するために、各国で基本原則の採用を推奨することが全会一致で決議された。現在では、約40の言語に翻訳されている。

• Resolution on Privacy by Design（32nd International Conference of Data Protection and Privacy Commissioners）別ウインドウで開く

その後の各国におけるアプローチは様々であった。欧州ではGDPRの採択において、プライバシー・バイ・デザインが明示的な要件となった。GDPR第25条では、すべてのデータ管理者に対し、設計段階からそのライフサイクルを通じて、データ保護を業務プロセスに組み込むことが求められている。またEDPB（欧州データ保護委員会）のガイドラインでも、例えば透明性については明確でわかりやすい言葉で、アクセスや適時対応を行うこと等が明記されている。しかしながら、一定の成果は見られたもののグローバルでは標準化されていないこともあり、プライバシー・バイ・デザインの概念が広く普及していないのが実態であった。以前より、プライバシー・バイ・デザインを国際規格にするプロジェクト活動が進められていたが、消費者製品安全規格（ISO 10377）にプライバシーの用語定義を追加するなどを検討するに留まっていた。

その後、個人データの価値が見直されるようになり、データ保護法に基づく権利に対する認識が高まってきた。再び4年前に、7つの原則を踏まえたプライバシー・バイ・デザインの枠組みとなる運用ガイダンスの検討がスタートした。製品やサービスにおいて消費者保護を強化するため、プライバシー管理やリスクマネジメントなどがデフォルトとして運用されることを目指し、新しい国際規格の策定が進められた。

2月8日には、BSI主催による「ISO 31700」の発表イベントが行われ、300名以上がオンラインで参加した。今回、プライバシー・バイ・デザインに関する新たな国際規格が公開され、グローバルで非常に注目されていることが伺えた。基調講演では、Ann Cavoukian博士が以下のようなスピーチをされている。

• 明らかになっているプライバシー侵害は氷山の一角に過ぎず、プライバシー対応を上手くデザインし運用することが今まで以上に重要となっている。
• プライバシーへの配慮はデータ保護法だけでは十分ではなく、プライバシー侵害を未然に防ぐための積極的な手続きを策定することを目指してきた。今回、プライバシー・バイ・デザインがISOの国際規格になったことは、このコンセプトをグローバルで普及させるための非常に有意義なステップと捉えている。
• プライバシー・バイ・デザインを採用した企業からは、グローバルでの競争力強化と優位性が向上したという声が上がっている。消費者からの信頼を高めることにより、顧客価値を最大化できると考えている。

当協会は、Ann Cavoukian博士がプライバシー・バイ・デザインを提唱した当初よりそのコンセプトの普及を担っており、今回の「ISO 37100」においても日本における国内審議委員会の事務局運営を務めている。規格案検討の国際会議では、知識豊富な国際的な専門家集団が集まり、非常に興味深い議論が行われた。今後、ISO 31700の普及活動や、関係府省へJIS化の働きかけなどを行い、社会実装を進めていくことが必要だろう。