★☆★JNSAメールマガジン 第92号 2016.8.10☆★☆
(パナソニック エコソリューションズ社 システム開発センター 福田尚弘)
スマートフォンを使って拡張現実(AR)と位置情報を扱ったゲームが爆発的な人気を得ています。また、欧米のフィンテックでは仮想通貨での決済システム、さらに人工知能が資産運用を助言する「ロボアドバイザー」が利用され始めています。ゲームではユーザーのスマートフォンの位置情報を共有し、その場の画像情報も拡張現実として扱います。決済情報、資産情報などは顧客への助言だけでなく、顧客情報としてそのユーザー以外のメリットとして利活用される可能性があります。ユーザー・顧客の「プライバシー情報」はユーザー自身のものから、クローズな空間での利用に限定されますが他の用途に積極的に転用される時代がやって来ています。
個人のプライバシー情報が新たなビジネスシーンで積極的に利活用される時代となりました。ゲーム、決済のシーンでも「認証・認可・APIアクセス制御」の標準セキュリティプロトコルである「OAuth2.0/OpenID Connect」が使われています。このプロトコルは「認証・認可」と同時にプライバシー情報を転送し、その情報は「課金」「アクセス制限」などに利活用されます。例えばゲームのアプリと決済のアプリがバンキング標準のAPIで連結し、ゲーム課金が「パスワードレス」で便利にできるようになります。ユーザー情報や状態に合わせてアプリ機能への「アクセス権」もコントロールできます。課金のセキュリティ性を上げたければFIDO(Fast IDentity Online:ファイド)という「多要素認証」の認証技術の利用も可能です。そのようなアプリ間のAPIでの相互接続の整備が進んで来ています。
スマートフォンユーザーは、パスワードレスなど「手間無く」様々なアプリサービスを結合し、様々なサービスを組合せた利用ができるようになっています。ネット上のサービスだけでなく、IoTデバイスも同じ仕組みで接続できます。一方で、ユーザーのIoTデバイスに対する「プライバシー懸念」が今年、右肩上がりでクローズアップされています。IoTデバイスがアーリーアダプターに利用され始めたと同時に、米国大手サービサーの系列会社が販売するIoTデバイスに「プライバシー情報漏洩」の可能性があると専門化が指摘したことに起因しています。「様々なサービスを組合せた利用ができる」という事は組合せの増加により、ユーザーの意図しない結果を招く可能性を含んでいます。例えば資産アプリとゲームアプリを組み合わせた場合、「資産が多いゲームユーザーが誘導されて車に轢かれる」その原因が「アプリの脆弱性」なのか「プライバシー情報のコントロール設定」なのか等、そのユーザーにとって「組合せた利用価値」が増大する反面「潜在的な懸念」がトレードオフのように現れてくると思われます。
情報銀行を支えるその考え方は2006年ハーバード大学で登場し、日本では2013年からフォーカスされ始めました。今年、「政府はネット通販の購買履歴を一括管理する「情報銀行」の仕組み作りを後押しする。テレコム事業者など民間企業が情報銀行を作り、個人が利用できるようにする。2年後の利用開始を目指す。」との記事がニュースに載りました。「情報銀行」はパーソナル情報を取り扱うハブ(ブローカー)としてユーザーが安全安心にパーソナル情報を預け、それらを活用するものと言われています。なぜこのような仕組みが必要なんでしょうか?
現在のネット通販の購買履歴などの情報は通販の会社が各社毎に所有しています。顧客は必ずしも同じネット通販を使うとも限らず、製品販売やサービスを行う一企業はある個人に対する「まとまった顧客情報」を得ることは困難とされています。ある調査ではポイントカードで得られる顧客の消費動向は全体のせいぜい6%であるとされます。残り94%はわからないままに、企業はその情報を元にCRM(Customer Relationship Management)などで顧客の消費動向を分析し「広告」を行っているとされます。「的(まと)を得ない広告」が氾濫しているのが実情で、企業は顧客動向を掴めず生産性が向上しない原因でもあります。
企業が「100%の顧客情報を得る」というのはビジネスの事情から困難です。「個人情報は誰のものか?」と言えば「顧客のもの」です。企業がバラバラに顧客の個人情報を持つのでなく「いったん顧客に返す」というアプローチをVRM(Vendor Relationship Management)といいます。VRMでは「顧客が自身の購買情報を100%持つ」事でユーザー自身でRFP(購買要求提案)を生み出し、その要求に合う企業を選別するというものです。しかし選別には企業との「場」が必要となります。そのニュートラルな場を情報銀行がハブとして担うというものです。しかも情報銀行は「集めないビックデータ」すなわち、分散データベース(ブロックチェーンのようなもの)であっても良いと言います。
VRMでは「個人情報は顧客のもの」であり、「情報提供を受けたものが消費者のデータを分析し関係をコントロール」するCRMとは対極にあります。ユーザーは情報銀行に「個人情報を預ける」と情報銀行はユーザーのRFPと企業をつなぐブローカーとして存在することになります。尚、「2016年に開始されたマイナンバー制度とVRM・情報銀行は非常に近いポジションにある」とされます。「マイナンバーカードが持つ公的認証機能やマイポータルと連携すれば、ビジネスの可能性は広がる」とされています。
インターネットの仕組みはIETF(Internet Engineer Task Force)という標準化団体で標準化されてきた経緯があります。IETFが展開してきたインターネット標準は「クローズ」の考え方ではなく「オープン」です。インターネットに接続するユーザー間には企業組織のような上下関係はありません。IoTを考えれば、IoTデバイスを所有し、インターネットに接続するユーザー全てがそのIoTデバイスの「ステークホルダー」です。IoTデバイスの持つ「音声・画像・センサー」等から得られる情報を「リソース」と呼べば、「リソース」をインターネット経由で自在に提供し、そこでのアプリ間の相互接続は認証・認可・APIアクセス制御の技術で行うでしょう。IoTではインターネット上のマルチ・ステークホルダーがIoT機器を通じて互いに必要とする情報を交換することで、ユーザー個人が「要求する付加価値を形成」してゆくツールと成りうるでしょう。
今までのセキュリティのあり方は「クローズドなセキュリティ」であったと言えます。「なるべく外と繋がない」というのがソリューションの基本でした。「繋ぐ場合は信頼できる相手」とだけ繋ぐという事でした。冷戦時代では米ソの科学技術競争があり、資本主義社会では企業間でも競争をしていました。消費でも「沢山買わせる」仕組みのため「クレジットカード」が導入されました。グローバル化の時代となり、無駄な消費を抑える「持続可能な社会の実現」が叫ばれるようになりました。「マルチ・ステークホルダー」の世界観では冷戦時にあった「競争」ではなく「限りあるリソース」を共有し、共に付加価値や社会を作り出す「共創」の時代だと言われます。そこでは「クローズ」から「オープン」への転換が求められています。
また、プライバシーの権利は「一人で居させて欲しい」という消極的・受動的な権利から「自己に関する情報の流れをコントロールする」という積極的・能動的な権利を含むとされ、「個人情報に対する個人の主体的なかかわりを確保する」ために「自己情報コントロール権(積極的プライバシー権)」という権利概念が主張されています。
コンピューター化社会で、その利便性を享受しながら産業の最適化を含めた社会のあり方を考えると「ひたすらプライバシーを守るセキュリティ」だけでは「共創社会」の実現は難しくなっていくでしょう。セキュリティは「プライバシー情報を利活用」しつつ「しっかり守る」というバランスが求められていると思います。そのためのセキュリティをどう実現するかが、今後の最大の課題ではないでしょうか?