米国連邦取引委員会のワークショップ報告書
次に、米国連邦取引委員が2013年11月に開催した、一般消費者が利用するIoT機器に関するセキュリティをテーマにしたワークショップの報告書について紹介する。
このワークショップの成果として、IoT時代に求められるプライバシー保護やセキュリティ対策について、次の(1)〜(4)の4つの知見が得られたという報告がなされている。
(1)IoT機器のセキュリティに関しては6点を考慮
①機器の設計段階からセキュリティを考慮(Security by Design注11)
②社員のセキュリティトレーニングの実施
③サービスプロバイダは、適切なセキュリティが提供できるところを利用
④セキュリティリスクの発見時は、多層防御の観点から対策を実施
⑤機器のデータ、ネットワークに関する適切なアクセス制御を実施
⑥機器のライフサイクル通じて監視し、必要ならパッチあてを実施
(2)データを最小化し、不要な情報漏えいのリスクを軽減
(3)プライバシー情報収集に際しては、ユーザーに選択させる通知を出す
(4)立法化については時期尚早
一般消費者を対象にしたM2M/IoTのソリューションは、大半が「情報利用型」に当たると考えられるため、主にユーザーのプライバシー保護が焦点となった議論が展開されている。ただ、一覧してわかる通り、その内容は基本的な方針レベルにとどまっており、セキュリティに関しては、Security by Design やライフサイクル監視などM2M/IoTの機器ベンダに対して求める要件が特徴的ではあるが、ガイドラインなどに発展するにはまだまだ時間がかかるといった状態である。
1点補足すると、プライバシーに関しては、米国では、国、業界、州などそれぞれのレベルでさまざまな法制化がなされており、基本的にはそれらに従うことが求められる。ところが、M2M/IoTの進展によって、現状の法体制ではカバーできない事案が出てきている。
例えば、米国の医療業界には、患者の治療や健康状態に関する機微性の高い(センシティブ)情報を守るために、医療関係の事業者が順守すべき法律(HIPAA注12)があるが、これはあくまで、医療機関や保険会社が収集したデータに対して有効であり、例えばウェアラブル端末や医療系のアプリで収集したようなデータに対しては適用されない。
今後も、M2M/IoTの進展によって、これまでの法体系ではカバーしきれないプライバシーの問題が出てくると考えられるが、本ワークショップでは、このような個人情報の収集に対しては、利用者に通知がなされて選択ができることが大切だと述べている。
▼ 注11
Security by Design:システム設計(デザイン)時からセキュリティを考慮しておくことを意味する。セキュリティを後付けするのは、技術的にも、コスト的にも不利になるという考え方。IoTセキュリティの基本となる考え方としてしばしば取り上げられる。
▼ 注12
HIPPA(ヒッパ):Health Insurance Portability and Accountability Act、「医療保険の携行性と責任に関する法律」のこと。米国保健社会福祉省(DHHS:Department of Health and Human Service)が策定した健康情報に関するプライバシールールおよびセキュリティルール。