セキュリティ コミュニティは、サイバー脅威に対して世界をより適切に配置するために、継続的に変化し、成長し、互いに学び合っています。 Voice of the Community ブログ シリーズの最新記事では、マイクロソフト セキュリティシニア プロダクト マーケティング マネージャーのBrooke Lynn WeenigがAnn Cavoukian 博士と対談しています。 、Global Privacy & Security by Design の創設者兼最高経営責任者( CEO)、カナダのオンタリオ州の情報およびプライバシー委員を 3 期務め、「Privacy by Design: The 7 Foundational Principles」の著者。以下の考えは、彼女の雇用主やマイクロソフトの見解ではなく、アンの見解を反映したものであり、法的助言ではありません。このブログ投稿で、Ann は人々のプライバシーをより適切に保護する方法についての洞察を共有しています。
ブルック: プライバシー バイ デザインの 7 つの基本原則は何ですか?
Ann : 委員会に参加したとき、プライバシーとセキュリティに関して積極的に対応する必要があることについて、弁護士を訓練する必要がありました。プライバシー侵害の発生を理想的に防ぐものが欲しかったのです。
3 晩かけて、キッチン テーブルでプライバシー バイ デザインを作成しました。プライバシー バイ デザインは、2010 年に全会一致で国際標準として可決されました。2018 年には、欧州連合の新しい法律である一般データ保護規則 (GDPR) にプライバシー バイ デザインが含まれています。これは 40 の言語に翻訳されており、世界中の法域から連絡がない日は 1 週間もありません。ブラジルはまた、新しいプライバシー法にプライバシー・バイ・デザインを含めました。
プライバシー バイ デザインには 7 つの基本原則があります。 1つ目は、害が発生するのを防ぐために積極的に行動する必要があるということです。是正ではなく、予防的であること。
2 つ目は、デフォルト設定としてのプライバシーです。プライバシー ポリシーで参照されているすべての利用規約と法律用語を読み進む必要はありません。データ収集の本来の目的以外の目的で個人情報を使用しないというオプトアウト ボックスを見つける必要はありません。私たちはあなたに自動的にプライバシーを与えます!
3 つ目の原則は、デザインに組み込まれたプライバシーです。私はいつも、それをコードとすべての操作に組み込むと言っています。常に存在する重要な機能の 1 つにしてください。
第 4 の原則は、ゼロサム モデル (プライバシー対セキュリティ、またはプライバシー対データ ユーティリティ) を拒否することです。それは別の関心事です。勝ち負けです:これを拒否してください!正の合計は、プライバシーとセキュリティが密接に連携して、より良い結果をもたらします。
5 番目の原則は、エンド ツー エンドのセキュリティです。ハッキングが日常的に行われるこの時代では、エンド ツー エンドでライフサイクル全体を保護する必要があります。
第 6 の原則は、可視性と透明性です。あなたが行っていることをクライアントや市民に公開しておくと、彼らは情報の正確さと質を高めることであなたを助けてくれます.
7 番目の原則は、ユーザーのプライバシーの尊重です。ユーザーに焦点を当てると、これらすべてが何度も有利に働きます。
Brooke: 新たなプライバシーの問題が発生した場合、政府や人々はどのようにして ID データを保護できるのでしょうか?
Ann : 監視が大幅に拡大し、デジタル ID が調査されています。あなたの身元がデジタルである場合、それはあなたの手の中にないので、これは私を怖がらせます.通常は政府の誰かがそれを管理しています。モバイル運転免許の推進に関する記事を読みました。後半はなりすましについてでした。個人情報の盗難が発生する可能性があるため、彼らはバイデン政権に資金提供を求めています。私をからかってるの?
個人情報の盗難に焦点を当てるのではなく、デジタルで行える保護に焦点を当ててください。エンドツーエンドの暗号化は巨大です。指紋、顔画像、虹彩スキャンなどのバイオメトリックを暗号化して、誰もアクセスできないようにするバイオメトリック暗号化があります。誰かがハッキングに成功した場合、彼らはあなたの生体認証 ID を取得するのではなく、生体認証で暗号化されたものを取得します。
それを保護するためにあなたからのデータを要求している政府の義務であるべきです.個人が自分のデータを保護する方法を知っていると期待するのは、期待しすぎです。誰もがデジタル ID にブレーキをかけ、生体認証暗号化を使用してこのデータを保護する方法と、それが通常の暗号化よりも優れている理由について会議を開くことを望んでいます。私たちはこれらすべてを探求しなければならず、今それをしなければなりません。
Brooke: 過去 2、3 年の間に、プライバシーに対する独自の脅威はありましたか?
アン: パンデミックのせいで、人々は個人的な健康状態を明らかにすることを余儀なくされています。ワクチンの情報を開示するよう求められた場合、それはプライバシーの大きな侵害です。医療データは、現存する最も機密性の高い個人情報であり、あなたとあなたの医師以外の誰にも属しません。一般市民にワクチン接種状況を明らかにするよう要求することはぞっとすることであり、それは私が戦ってきたことの 1 つです。幸いなことに、パンデミックは解除され、制限も解除されていますが、最悪の事態は、健康データを明らかにすることを余儀なくされることです.
Brooke: 今日、組織がプライバシーに関して直面している最大の障壁は何ですか?
Ann:多くの場合、最高プライバシー責任者がいますが、彼らはより高いレベルの管理チームの一員ではありません.取締役会や最高経営責任者と話をするとき、私はこう言います。「セキュリティに取り組み、CEO または CEO 直下の誰かに報告するための不可欠な要素として、プライバシー オペレーションを導入する必要があります。」
私がもう 1 つ質問するのは、「あなたの組織にはデータ マップがありますか?」ということです。データが最初に組織に入ってくるとき、人々はデータ収集の主な目的に同意します。しかしその後、データはさまざまな方法で組織全体に流れ、多くの場合、データは二次利用されます。プライバシー マップがあれば、ある部門から別の部門にデータがどのように流れるかがわかります。使用が二次的なものであるために追加の同意が必要ですか、またはこれらの使用が主な目的と絡み合っていますか?
Brooke: 世界中の政府は、新しい技術についていくことができるでしょうか?
アン: 絶対にありません。彼らは、これらの分野で前進している民間企業に頼る必要があります。 「バイオメトリック暗号化」を検索したところ、10 社の企業がこれを世界的にリードしているため、政府がアクセスできるものはたくさんありますが、政府はそれを行わなければなりません。
ドイツ人は、「情報の自己決定」と呼ばれる用語を開発しました。これは、個人情報の運命を決定するのは個人であるべきであることを意味します。ドイツが世界有数のプライバシーおよびデータ保護国であることは偶然ではありません。彼らは第三帝国の虐待に耐えなければなりませんでした、そしてそれが終わったとき、彼らは私たちの人口をそのような虐待にさらすことは二度とないと言いました.彼らは州レベルで巨大なプライバシー法を持っています.これらすべての州および連邦レベルのプライバシー コミッショナーは、年に 2 回会議に集まります。彼らは素晴らしいです。
Brooke: プライバシーに関する最大の脆弱性は何ですか?
Ann : 多くの場合、それは法執行機関です。警察は、この問題があり、あなたのデータにアクセスする必要があると言っています。一般的に、企業はすぐにそれを提供します。私は彼らにそうしないよう強く勧めます。私がそう言うと、最初、彼らはショックを受けます。法執行機関がデータの正当な必要性、つまり考えられる原因がある場合、法執行機関は裁判官に訴えることができます。裁判官が彼らに令状を与えると、あなたはそれが合法であり、彼らにそれを与える完全な権限を持っていることがわかります.これをしなければならなかったので、顧客によって法廷に連れて行かれることはありません。これは、あなたが仕事をしている会社やサードパーティなど、あなたのドアをノックする可能性のある他の部門と同じです.すべてのデータ収集とデータ開示には承認が必要です。
ブルック: 誰かを監視するためにプライバシーを侵害する正当な理由はありますか?
Ann : 大きな理由はないと思います。当然のことながら、法執行機関は情報を必要とする場合もありますが、常に裁判所に行って令状を取得する必要があります。
顔認識会社は、Web からスクラブされた 33 億の顔画像を収集し、世界中の法執行機関に販売していました。警察はこれを買収していた。トロントの警察署長は、警察官がこのデータを購入していることを知ったとき、すぐにそれを止めました。その会社は現在、カナダで停止されています。他の政府にも同じことをしてもらいたい。
政府や民間企業による、この裏で秘密裏の監視を行うことはできません。政府の人々が情報を収集するとき、それは特定の目的のためであり、彼らが望むどんな目的のためでもありません.現在、監視は盛んに行われており、監視はプライバシーのアンチテーゼです。制御下に置かなければなりません。
もっと詳しく知る
Microsoft セキュリティ ソリューションの詳細については、当社の Web サイト を参照してください。セキュリティ ブログをブックマークして、セキュリティに関する専門家の記事を入手してください。また、 @MSFTSecurityをフォローして、サイバーセキュリティに関する最新ニュースと更新情報を入手してください。
Comments