もう面倒なので勝手に「プライバシー&セキュリティナイト」と愛称をつけてしまいましたが(笑)、正式名称 “TokyoStartupSchool vol.4 ー「スタートアップが気をつけるべきプライバシーとセキュリティ」” @NOMAD NEW'S BASE by Startup Dating に参加してきました。


利用規約ナイトでも活躍のご存知AZX総合法律事務所 雨宮美希弁護士に、元野村総研他→日本ベリサイン→現FrogApps取締役&株式会社エヴォルツィオ代表の高橋伸和さん、そしてOpenID ファウンデーション・ジャパン事務局長の山中進吾さんと、それぞれ法務/セキュリティ/アイデンティティの“実務”を知り尽くした専門家が登壇。私にとっては超豪華メンバーで、万難を排して参加しなければと思っていたイベントです。

s-IMG_9371


例によって、USTもtweetも制限つきのオフレコトーク満載のイベントだったのですが、雰囲気が伝わればということで私のメモの一部をご披露するとこんな感じ。質問・ディスカッションの時間が足りなかったのがちょっと残念でしたが、19:00〜21:00ちょっと過ぎまでの2時間あまりでこれだけのボリューム。その筋の方には、ヨダレモノのお話だということが伝わるのではないかと。
※ご登壇者・ご参加者各位におかれましては、補足あればぜひ。

【法務】by雨宮先生
  • プライバシーは自己情報コントロール権から自己決定権まで広がる余地のある捉えどころの難しい権利。
  • 個人情報保護法(皆さんが思うよりも狭い保護)と憲法によるプライバシー権(皆さんが思うよりも広い保護)の差があまりにも大きいのが、ベンチャーが道を踏みあやまりがちな理由。
  • ライフログ=蓄積された個人の履歴。大量に蓄積することで個人識別性を持ちうる。識別性がなくてもセンシティブだからたちが悪い。
  • 行動ターゲティング。広告事業は個人情報取扱事業者に当たらないと『第二次提言』では言われたものの、プライバシー権が及ぶことには注意をした方が良い。
  • プライバシー、セキュリティに関して抑えておくべき法律・ガイドライン
     1 個人情報保護法
     2 憲法
     3 電気通信事業法
     4 提言及び自主規制(『総務省第二次提言』&『JIAA行動ターゲティング広告ガイドライン』)
  • 個人情報保護法の保護範囲は狭い。利用停止請求だって、不正入手でなければ応じる義務なし。
  • 安全管理措置をどこまですればいいかは、経産省ガイドラインを熟読すべし。
  • プライバシーポリシー制定はベンチャーと言えどもmust。目的/第三者提供/開示変更請求等への対応/保護方針のアピール。
  • 電子メール広告。同意はプライバシーポリシーへの同意だけでは足りない。独立して同意取得が必要。
  • 利用規約の同意。経産省準則を参考に。※ただし雨宮先生はリンク同意は望ましくないとの見解
  • クッキーポリシー。行動履歴情報の“収集”/“利用”の可否は、それぞれを分けて選択できるようにすることが必要。
  • 実名あげての企業事例(オフレコ)
  • 最後に…ユーザーテストは必須。プライバシーに対する感覚は、サービスを作っている側だけではズレていることが多い。

【セキュリティ】by高橋先生
  • ベンチャーで、セキュリティを無視する人は、RPGで武器だけカネをつぎ込めばどうにかなると思っちゃう人。バランスが大事。
  • 807件・570億分のセキュリティインシデントが起きている。ベンチャーにとっては100万円の事故でもイタイ。セキュリティで良いビジネスが潰れるのはもったいない。
  • 100%のセキュリティは無いが、「コンセンサスゾーン」は目指さなければならない。かけられるお金がなくとも。
  • 大企業は何をしているか?
    −プライバシー委員会
    −CSO任命
    −セキュリティ技術の開発・標準化コミット
  • ベンチャーはどうすべきか?
    −最低限の知識は身に付ける
    −専門家に相談する
    −少しだけ、セキュリティインシデントに関するネット記事を気にしよう
  • 「個人情報保護法だけ守ればイイ」というのは、ベンチャーによくある間違い。いやベンチャーだけではないかも…(オフレコ)。日本は緩い方の国。日本の法律が足を引っ張って産業を潰しているという言説は多くの場合間違い。
  • アメリカのプライバシー権利章典はよく読むべし。「コンテキストプライバシー」
  • プライバシー≒セクハラ
  • 「ベンチャーがセキュリティやプライバシーについて考えるべき50のこと(メソッド)」を作ろう!

【アイデンティティ】by山中先生
  • いきなり某有名人のお話(すべてオフレコ笑)
  • マイナンバー制度の議論を見ていても、名寄せがもたらすプライバシーへの脅威をわかっていない人が多い。
  • UDIDも同じ話。この辺リワード広告界隈で安易な使い方がされる傾向にあるが。(またオフレコw)
  • UDIDはなりすまされるので認証に使うのはナンセンス。
  • ダボス会議“Personal Data is the new oil of the Internet and the new currency of the digital world"。パーソナルデジタルエコノミーの世界に入った。
  • FBの株価のからくりは、時価総額10兆円/ユーザー数10億人=10,000円/人。株価が2/3になったのは、1/3がスパムアカウントだと市場も気づいているから。
  • 車にブレーキがついているのはなぜ?=より速く走るため。ベンチャーが速く走るためには、性能の良いブレーキ=セキュリティも必要。
  • 世の中からパスワードをなくしたい。それが最近のテーマ。
  • 「利用規約」という訳は好きではない。Term of Useじゃなくて本来はTerm of Service。利用規約やプライバシーポリシーにも、おもてなしの心が必要。Googleの利用規約・プライバシーポリシーには、アンチfacebookもあって、おもてなしの片鱗が垣間見える。


「本当は大御所を呼ぼうかと思っていた」とのお話ですが、聞きたかった実務とベンチャーとの現実的ヒモ付けのお話だけでなく、プライバシーとセキュリティの大局的な流れについても3つの側面からまとめて聞くことができ、このメンバーがベストだったと思います。既知の雨宮弁護士に加え、高橋さんや山中さんというこれからの日本のプライバシー実務をリードしていくであろう方々とお会いできたのが、私はとても嬉しかったです。


2012年に入り、3月に利用規約ナイト、そしてこの6月にプライバシー&セキュリティナイトが開催されたわけですが、2010年ごろからそろそろくるなぁと思っていた日本のプライバシーの夜明けが来た感じがします。雨宮先生や猪木先生あたりをハブに、そろそろプライバシー旋風の前のそよ風を敏感に感じていらっしゃる法務/セキュリティ/アイデンティティの各クラスタの皆さんの叡智が集結し、化学反応が起きるんじゃないか、そんな予感漂う夜でした。

私はまだまだ若輩ですが、裏方としてでも、このテーマとコミュニティの成長にご協力できればと思っています。