第三者認証とは?
そこで出てくるのが、第三者認証です。第三者認証というのは、ある特定の事業者について、(潜在的な)顧客に対し、「信頼してよい」と中立な第三者が認証することを指します。たとえば、宿泊施設が「適マーク」を掲げていることがあります。
あれは、防火安全の基準に合致していることを、消防機関が審査した結果として与えられるものです。適マークがついていなくとも、旅館やホテルの営業には差し支えありません。しかし気になる人には、頼りになります。 このように、(1)一定の基準に合致していることを、(2)第三者が認証することにより、(3)財やサービスの品質についてのユーザーのニーズに応えるのが第三者認証の仕組みです。
なお、(3)のようにユーザーのニーズが極めて強いなどの理由で、基準に合致するのが社会的に必須だとされれば、法律によって認証の取得が義務づけられることがあります。すべての建物に対して最低限の防火防災品質を求める建築基準法上の建築確認はそうした例です。
集積する個人データに関連して最近注目されているのが、ISO/IEC 29100という規格です。これは、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同して2011年に策定したもので、個人を特定できるような情報(Personally Identifiable Information; PII)を保護するための規範を定めています。
とりわけ、PIIを取得する入口の段階で取得すべき「同意」に関しては、「きちんと理解を得た」意味のある同意でなければならず、文脈に沿わない、予想外の結果をもたらしてはならない、同意しなかった場合に何が起こるかを伝えねばならない、また同意以外の選択肢を提供せねばならないといった厳格な基準になっています。
また、データ利用の目的が正当でなければならず、用途を新たに追加するときはその都度同意を得なければならない、収集するデータは必要最小限に限り、かつ最低限の処理しかせず、かつ最低限の期間しか保持しない、さらに、対象となる個人が修正要求などができるようにするといった、かなり厳格なものになっています。まさに、次回以降で見る欧州の先進的なデータ保護法制を先取りするものです(崎村夏彦氏の解説/PDF形式)。
これをパブリック・クラウド・サービスを提供する事業者に適用した規格が、2014年8月に策定されたISO/IEC 27018です。情報セキュリティそのものに関する技術的規格は別にありますが(ISO/ IEC 27002)、それを下敷きに、パブリック・クラウド・サービス事業者の扱う「データ・プライバシー」について特に設けた規格になっています(打川和男氏の解説記事)。
その対象は、個人特定情報(PII)を直接に個人から取得する「PIIコントローラ」ではなく、その委託を受けて情報処理を行う「PIIプロセッサ」です。(「PIIコントローラ」については、ISO/ IEC 29151 として別途に基準が策定中のようです。)
このISO/ IEC 27018 を最初に取得したのが、マイクロソフト社のサービス "Azure" でした。それによって、ユーザーは、自己のデータをコントロールすることができる、即ち自らのデータがどのように取扱われているかを知ることができ、そのデータには強力なプロテクションがかかり、かつそのデータが勝手に広告宣伝に使われることはない、ということが保障されると同社はいいます。
また、クラウド上のサービスであるOffice 365も同様の基準を満たしている、とされます(同社のアナウンスメント)。マイクロソフトも、アイルランドで保存している電子メールのデータを開示せよとの米国司法省の命令に抵抗し、それを拒否して裁判で争っています(日本語の解説記事、同社のアナウンスメント、BBCの記事、最近の解説記事)。
その点ではアップルと似た行動を執っているわけですが、報道は地味ですし、それによって高いブランド・イメージを得たとはいえません。ISOという著名な国際団体が、厳格な基準を設けて策定した規格に則っているということは、それらの弱点を補うものだといえます。
