Online Privacy

Transcript

1. オンラインプライバシー 坂本一仁 2024年4月時点の資料 なぜ私たちのプライバシーが侵害されるのか ©︎ 2024 Takahito Sakamoto

2. 講師について 2 坂本 一仁 (さかもと たかひと) 民間企業の研究所 2009年 民間スタートアップ企業 2020年

   プライバシーの研究開始 2014年 PKI, ICカード セキュリティ (クライアントサイド) プライバシー規制対応 プロダクト責任者 2024年 オンラインプライバシーの調査 民間研究所・事業会社で 約10年以上 オンラインプラバシーを調査・研究 2015年 PWS Cup 参加

3. この講義について 3 この講義ではオンラインプライバシーについて、なぜプライバシーの問題 が発生するのかをデジタルアイデンティティーやデジタルマーケティング の観点から理解し、次の取り組みを考えることを目的とします。 講義の流れ ◼ プライバシーの考え方 ◼ 事業者の視点に立つ

   ◼ これまでの取り組みを見る ◼ これからを考える

4. 4 1. プライバシーの考え方

5. プライバシーとは 分野横断的で複雑かつ多面的、様々な立場からの論点がある 心理学 情報工学 経済学 哲学 法学 5

6. プライバシーとは 6 時代による主要な定義の推移 第一世代: 私生活の保護 第二世代: 自己情報コントロール権 第三世代: 自我を造形する権利 •

   独りにしておいてもらう権利 • みだりに公開されない権利 • 情報を開示する範囲を選択できる権利 • 自己イメージを使い分ける自由 • プロファイリングにより決定されない権利 • 自らの自我の造形が保障される権利 ※ プライバシーという権利（宮下綋 2021年）から引用

7. オンラインプライバシーとは 7 インターネットに常時接続された環境で発生するプライバシーの課題

8. デジタル空間でのアイデンティティー 8 アイデンティティー 属性情報 データ エンティティー リアル空間 デジタル空間 ※ アイデンティティー:

   実体(エンティティー)に関する属性の集合 ISO/IEC 24760-1 氏名: 坂本 一仁 firstName: 一仁 lastName: 坂本 年齢: 39歳 行動: 週2でジム birthday: 198x/xx/xx location: [ {date: 2024/01/05 20:25, latitude: 35.689, longitude: 139.691}, {date: 2024/01/07 21:04, latitude: 35.689, longitude: 139.691}, ]

9. プライバシー侵害のモデル化 9 ※ デジタルアイデンティティー（崎村夏彦 2021年）図表7-2 をもとに講師が作成 実体 (エンティティー) 自観 コンテキスト:

   親しい友人との集まり コンテキスト: 社会人2年目でまじめに仕事 自分が狙った自己像 (アイデンティティー) 他人から見た自己像 (アイデンティティー) 友人たち 上司 自分が狙った自己像 (アイデンティティー) 他人から見た自己像 (アイデンティティー) 自観 他観 他観 ズレ ズレ プライバシー 侵害 プライバシー 侵害 関係性 関係性 山ちゃん 明るい 彼女ほしい 山ちゃん 山田さん 明るい 明るい 彼女ほしい 山田さん 明るい まじめ 彼女ほしい

10. オンラインプライバシーの侵害（シンプルに） 10 ユーザー 事業者 このコンテキストならここまで知られてもよいけど とにかくあなたのことをもっと知りたい 事業者はどうしてユーザーをもっと知りたいのか？ 事業を成功させるためにユーザーを詳細に知ることが必要不可欠だから ズレ プライバシー

    侵害

11. 11 2. 事業者の視点に立つ

12. 事業における基本 12 新規事業開発、サービス開発、プロダクト開発、ブランディング、 マーケティングに共通する基本的な考え（問い） 特定の〇〇さんを どんな状態にしたいのか 具体的な架空の人物を設定して、プロダクトやサービスで課題を 解決できるか仮説検証を繰り返す

13. 事業の進め方 13 ① 特定の人物(ペルソナ)にプロダクトやサービスで課題解決できることを検証 ② 特定の人物(ペルソナ)に広くリーチしたい ③ マーケティング会社(広告事業者)に依頼 ④ マーケティング会社はさまざまな依頼に対応するために、多くのセグメントを用意

    ⑤ オンライントラッキングで実現 ⑥ アイデンティティを統合してサイロ化をなくす ⑦ リーチしたいセグメントに広告を表示して検証を繰り返す よくあるオンラインビジネス(SaaSプロダクト)の流れ

14. ペルソナ・仮説検証 14 他人から見た自己像 (他観アイデンティティー) 氏名: 田中 慶一 職業: 大学3年生 活動:

    テニスサークル 家族: 両親・妹の4人 = ペルソナ 趣味: 週末は山登り 性格: 周りに気配りができる 特徴: クヨクヨと悩まないタイプ バイト: 両親・妹の4人 アンケート デプスインタビュー プロトタイピング テストマーケティング 仮説検証 ペルソナ修正

15. STP (Segmentation / Targeting / Positioning) 15 セグメンテーション ターゲティング ポジショニング

    価格 ペルソナ 品質 多くの軸で市場の顧客 を細分化して特定の誰 かにアプローチしやす くする。 定めたペルソナが含ま れているであろうセグ メントをターゲットに する。 自社のサービスやプロ ダクトの立ち位置を明 確にして差別化を図 る。 自社 A社 B社

16. 事業者のモチベーション 16 広告代理店 サービス事業者 オンライントラッキングとターゲティング広告で実現 多くのセグメントとセグメントに含ま れる市場の顧客を用意して、広告を出 したい事業者のニーズに応える 定めたペルソナに対してサービスやプ ロダクトで多くの顧客の課題解決がで

    きるか市場でテストを繰り返す

17. オンライントラッキング（前提知識） 17 ウェブページ (主体) news.example.com × https://news.example.com コンテンツ配信(CDN) Web API

    広告事業者 ニュース ------------- ------------- ------------- ------------- ------------- ------------------------------ ---- ------------------------------ ---- ------------------------------ ---- ------------------------------ ---- ------------------------------ ---- ------------------------------ ---- ------------------------------ ---- 広告枠 広告枠 つぶやき 画像 つぶやき ------------------- - ------------------- ------------------- - ------------------- ファースト パーティ サード パーティ 広告① 広告② 今のウェブサービスは多くの異なる事業者からデータが配信されてページが組み立てられる

18. オンライントラッキング（Cookie ID） 18 × https://news.example.com ニュース -- --- --- ---

    --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - -- --- --- --- --- --- --- --- --- - 広告枠 ① 広告枠 ② Cookie news.example.com ad01.example.org ad02.example news.example.com newsId = 123 ad01.example.org ad01 = abc ad02.example ad02 = xyz ドメイン 名前 = 値 newsId=123 ad01 = abc ad02 = xyz 広告① 広告② 2023/7/11 10:14:25 news.example.com 2023/7/11 10:18:32 blog.example.com ad01 = abc ad02 = xyz newsId=123 ad02 = xyz newsId=123 ad01 = abc Cookie Sync Script 広告事業者① 広告事業者② xyzの情報を ad01へ 問合せ可能 Referer: 閲覧URL Referer: 閲覧URL Cookieで識別して閲覧履歴を収集、さらに事業者間で協力してCookie IDを名寄せ ウェブページ (主体)

19. 補足: RTB (Real Time Bidding) 19 × https://news.example.com ニュース ---------------------------

    --------------------------- --------------------------- --------------------------- --------------------------- --------------------------- --------------------------- 広告枠 ニュースサイト SSP (Supply Side Platform ) DSP (Demand Side Platform ) 広告主 Ad Server 「30代, 男性, 野球 好き」にxxx円 /1000回表示で 月10万円まで でお願いします 広告枠を掲載します 広告 入稿 広告

20. 補足: RTB (Real Time Bidding) 20 × https://news.example.com ニュース ---------------------------

    --------------------------- --------------------------- --------------------------- --------------------------- --------------------------- --------------------------- 広告枠 広告 ニュースサイト SSP (Supply Side Platform ) DSP (Demand Side Platform ) 広告主 Ad Server 10円 20円 30円 勝利 abcさん Cookie ID 「30代, 男性, 野球 好き」にxxx円 /1000回表示で 月10万円まで でお願いします ニュースサイトに 「30代, 男性, 野球好 き」のabcさんが来 ました 広告 RTB (Real Time Bidding)

21. CDP (Customer Data Platform) 21 顧客データのサイロ化をなくし、顧客の解像度を高めるソリューション First party data Output

    ウェブ閲覧 アプリログ 店舗情報 SNSデータ 位置情報 CDP 広告キャンペーン パーソナライズ Third party data データ分析

22. プライバシー侵害モデルとマーケティング 22 実体 (エンティティー) 自観 コンテキスト: インターネットで仕事内容に関する調べ物 自分が狙った自己像 (アイデンティティー) 他観

    ズレ プライバシー 侵害 関係性 山田さん 明るい まじめ 他人から見た(統合された)自己像 (アイデンティティー) 明るい 30代 収入 (中) アニメ好き デリバリ インドア 広告代理店 野球 ラーメン アニメグッズ 30% OFF! 広告 コンテキストから大きくはみ出した他観的な アイデンティティーの属性情報をもとに広告 クリエイティブが表示されるため、自観アイ デンティティーとのズレが大きくプライバシ ー侵害に繋がりやすい。

23. 23 3. これまでの取り組みを見る

24. オンラインプライバシーマップ (Ver.1) 24 コンテキスト ファースト パーティ サード パーティ その他 アイデンティティー

    エンティティー 環境 ユーザ • ブラウザのURL • アプリ提供事業者 • 広告 • Web API • SDK

25. プライバシー通知 (マッピング) 25 コンテキスト ファースト パーティ サード パーティ その他 アイデンティティー

    エンティティー 環境 ユーザ • ブラウザのURL • アプリ提供事業者 • 広告 • Web API • SDK プライバシー通知

26. プライバシー通知 26 アイコンとフレーズ プライバシーポリシー 早期からどのようなアイコンやフレー ズがよいかの研究が行われているが、 効果的なものが導入されていない。 法的効力を重視した前時代的なテキス トコミュニケーションが主流。 ほとんどのユーザーは読まない、読む

    と年間200時間以上かかる。 出典: Amazon.co.jpプライバシー規約

27. 同意状態の宣言 (マッピング) 27 コンテキスト ファースト パーティ サード パーティ その他 アイデンティティー

    エンティティー 環境 ユーザ • ブラウザのURL • アプリ提供事業者 • 広告 • Web API • SDK 同意状態の宣言

28. 同意状態の宣言 ① 28 DNT (Do Not Track) Cookieを利用する 同意管理ツール・オプトアウト ウェブページ

    広告事業者 HTTP Request Header DNT: 1 DNT: 1 W3C Note (Recommendationではない) ブラウザは機能を実装しているが、DNTに 準拠する事業者がほとんどいないことやフ ィンガープリンティングに利用される恐れ があるとして非推奨としている。 ウェブページ 広告事業者 optout=1 Cookie: 広告事業者ドメインのCookieにoptout=1の ような値を送ると広告事業者はターゲティン グ広告を表示しないようにする。 IABなどの業界団体が広く推奨して広告事業 者は実装しているが、Cookieのような不安定 なものを使うこと、実際にユーザが機能を使 うことが困難なことなど課題が多い。

29. 同意状態の宣言 ② 29 プライバシー設定 トラッキング拒否 (iOS) Googleにログイン後のアカウント設定か ら遷移できるようなプライバシーに関する 設定画面。 Googleから見たアイデンティティーの属

    性情報を修正することができる。 AppleのApp Tracking Transparency (ATT) の一環で制御できる広告用識別子の パーミッション設定。 「許可」されないとアプリから広告用識別 子の取得ができない。 出典: Googleアカウント設定

30. 識別子管理 (マッピング) 30 コンテキスト ファースト パーティ サード パーティ その他 アイデンティティー

    エンティティー 環境 ユーザ • ブラウザのURL • アプリ提供事業者 • 広告 • Web API • SDK 識別子管理

31. 識別子管理 ① 31 Cookie制御 プライベートブラウザ 主にサードパーティCookieのブロッキン グ機能であり、最近ではブラウザが自動 で有効にしている。 同意管理ツールで制御される場合もある。 Cookie制御と近いが、ブラウザを閉じる

    と履歴やCookieが全て削除されるという もの。 一時的なアイデンティティーでブラウジ ングできる。

32. 識別子管理 ② 32 広告ID (Android) 広告ブロックツール 広告用識別子を削除もしくは変更して、 新しいアイデンティティーとして広告事 業者に認識させる。 広告やトラッキングの通信をブロックし

    て、Cookieなどで設定されている識別子 を送信できなくし、匿名状態を維持する。

33. プライバシー強化技術 (PETs) (マッピング) 33 コンテキスト ファースト パーティ サード パーティ その他

    アイデンティティー エンティティー 環境 ユーザ • ブラウザのURL • アプリ提供事業者 • 広告 • Web API • SDK プライバシー強化技術 (PETs)

34. プライバシー強化技術 (PETs) ① 34 匿名化 差分プライバシー 一般的に特定の属性の組み合わせが一意 とならないように加工を行う技術。 統計量の差分やある事象の出現に関する 情報を確率的にわからなくするデータ保

    護技術。 主にプライバシーバジェット(ε)と呼ば れる変数で強度が設定でき、実装が簡単。 ❤ 2022/06/11 22:30:25 2022/06/11 22:35:40 2022/06/11 23:11:23 ? ? ? ID 性別 年齢 年収 100001 男 35 750万円 100002 女 29 800万円 100003 男 32 600万円 100004 女 27 550万円 性別 年齢 年収 男 30代 750万円 男 30代 600万円 女 20代 800万円 女 20代 550万円

35. プライバシー強化技術 (PETs) ② 35 秘密計算 連合学習 データを暗号化したままで計算を実行す る技術。生データを交換せずに目的の結 果だけを得ることができる。 端末側で学習モデルを更新し、パラメー

    タの差分のみをアップロードして統合さ れたモデルを再配布する技術。生データ が直接アップロードされない。 https://blog.research.google/2017/04/fed erated-learning-collaborative.html 暗号化 したまま 計算 計算 結果

36. プライバシーガバナンス強化 (マッピング) 36 コンテキスト ファースト パーティ サード パーティ その他 アイデンティティー

    エンティティー 環境 ユーザ • ブラウザのURL • アプリ提供事業者 • 広告 • Web API • SDK プライバシーガバナンス強化

37. プライバシーガバナンス強化 ① 37 プライバシーガバナンスガイドブック (総務省, 経済産業省) 出展: DX時代における企業のプライバシーガバナンスガイドブックver1.3 p.18 図表4プライバシーガバナンスのフレームワーク

38. プライバシーガバナンス強化 ② 38 プライバシー影響評価(PIA) プライバシー・バイ・デザイン 技術 ビジネス モデル Privacy by

    Design 組織 事前的/ 予防的 初期設定と してのプラ イバシー デザインに 組み込む ゼロサムで はなくポジ ティムサム 徹底したセ キュリティ 利用者プラ イバシーの 尊重 可視性/ 透明性 Step 1 Step 2 Step 3 Step 4 Step 5 Step 6 Step 7 PIAの必要性の決定 PIAの事前準備 評価対象の説明 ステークホルダーの調整 プライバシー要件の決定 プライバシーリスク対応の準備 PIAのフォローアップ ※ ISO/IEC 29134:2017, JIS X 9251:2021 をもとに作成

39. 39 4. これからを考える

40. 再掲: プライバシー侵害モデル 40 自観 自分が狙った自己像 (アイデンティティー) ズレ プライバシー 侵害 山田さん

    明るい まじめ コンテキスト 他人から見た自己像 (アイデンティティー) 他観 関係性 山田さん 明るい まじめ ズレからプライバシー侵害の発生を抑制するためには、コンテキストと関係性 の重要視が必要。 これまでの取り組みで、ユーザーが自身のプライバシーについて確認や宣言できる方法、 トラッキング自体の抑制、企業がユーザーのプライバシーを保護する体制は整いつつあ るが、コンテキストや関係性についての取り組みはほとんどない。

41. コンテキストの重視 41 コンテキスト アイデンティティー エンティティー 環境 ユーザ コンテキスト エンティティーの環境や状況によって、エンティ ティーが最適と考えるアイデンティティーをイメ

    ージしている状態。 外部からコンテキストを 測定することは難しいが、 デジタルウェルビーイン グのような取り組みでユ ーザからコンテキストを 通知することはできるか もしれない。

42. 関係性の重視 42 関係性 ユーザーはサービスやプロダクトに対して合理的 な期待があり、事業者はその期待に沿うことが重 要であるが、関係性によってはアイデンティティ ーのズレがほどよいサプライズであり、ユーザー にポジティブな効果をもたらす。 関係性 ユーザーがアイデンティティーのズレをポジティ

    ブにとらえられる関係。 例えば、彼女が欲しがっているアクセサリーを彼女の友人たち から情報を収集して彼女の誕生日にサプライズでプレゼントす るならば、彼氏-彼女という親密な関係性であれば彼女にボジテ ィブな感情を与える可能性が高い。しかし、彼女と普段ほとん ど接点がない第三者の男性が、彼女の情報を仕入れたり、こっ そり彼女の行動を観察したりして、彼女の誕生日にいきなり目 の前に現れてプレゼントを渡しても、彼女にボジティブな感情 を与える可能性はほとんどないだろう。今のターゲティング広 告では同じようなことになっていないだろうか。

43. 意味のある同意 43 自律性 互恵性 • 内容を理解しているか • それしかない状態での同意ではないか • それぞれの提供物が釣り合っていて公平か

    事業者がパーソナルデータを利用する際に、現状ではユーザーの同意を根拠にしてい ることが多い。しかし、本当に意味のある同意が取得できているか、ダークパターン のようにユーザーの理解を十分に促さず誘導して同意を取得していないか。 意味のある同意には「自律性」と「互恵性」が必要。 （デジタルアイデンティティー（崎村夏彦 2021年） p.203より）

44. プライバシー・バイ・デフォルト 44 プライバシー保護はオプションではなく、要件としてデフォルトでプロダクトやサービ スに組み込まれることが重要。 プライバシー・バイ・デザインの1つにも「初期設定としてのプライバシー」がある。 オプトアウトではなくオプトイン デフォルトでパーソナルデータは利用されない設定として、パーソナルデータの提供と利用目的 の互恵性を明らかにしてパーソナルデータを活用した機能を有効にすべき。 可能な限りプライバシー保護技術を適用 差分プライバシーであればノイズ付与のみなので比較的導入コストは低いと思料される。

    第三者提供時や自社内での分析時も、法的な枠組みにとらわれず匿名化、秘密計算、連合学習を 取り入れた設計を検討すべき。

45. 健全な市場となるために 45 パーソナルデータの取り扱いに関してユーザと事業者の間で「情報の非対称性」が発生し ている。事業者がパーソナルデータでマネタイズをして、ユーザーへほぼ無料でサービス を提供している構図はすでに「レモン市場」が出来上がっていると言えるかもしれない。 パーソナルデータの取り扱いに 関して、しつこいぐらいの説明 やコミュニケーション （シグナリング） 事業者（売り手）

    ユーザ（買い手） パーソナルデータをできるだけ 多く取得する。 本当の自分の情報を出さずに サービスを享受する。 本当の情報を提示してもらうた めにいくつかの選択肢を用意 （スクリーニング）

46. 多くの個人が参加可能な環境の促進 46 「使う人」と「作る人」の両方が参加 し、パーソナルデータの活用を考える Co-Design (共創) の取り組みもある。 ※ CoDaの発表資料から引用 https://coda-pj.org/

47. 最後に 47 本講義ではオンラインプライバシーについて、デジタルアイデンティティーやデジタル マーケティングといったビジネス的視点から私たちのプライバシーが侵害される問題の 本質を考えました。 これまでもプライバシーに関するさまざまな研究や問題への対応が行われていますが、 まだまだ解決への道のりは長いと感じます。 今後さらにAIの発展やXR、ポスト5Gの世界では新たなプライバシーの脅威が発生する、 もしくはすでに発生している可能性があります。 プライバシーは情報工学、法学、心理学などさまざまな側面から取り組むことができま

    すが、まだまだ全体的な量が足りていない状況と思います。 将来もしプライバシーに関する問題に取り組むことがあったときに、本講義が少しでも お役に立てれば嬉しいです。