情報技術と倫理 ~ユビキタス社会にお ける倫理~hara/it_ethics_h25.pdf ·...
TRANSCRIPT
情報技術と倫理
~ユビキタス社会にお
ける倫理~
平成25年7月29日
原 隆浩(西尾研究室)
講義の内容
情報倫理
ユビキタス環境
国内の取り組み
技術(研究)的な取り組み
情報倫理
倫理とは?
正しいことをする = 他者(社会)との相互関係
ITに関する新たな倫理
プライバシー
ハードウェア,ソフトウェアの安全性
著作権の保護
専門家の倫理綱領の必要性
最も無防備な人への危害を増大させない.
専門家:ソフトウェア開発者,研究者,etc.
倫理綱領の例:学会
ACMの倫理綱領(抜粋) 1. 一般的倫理規範 ACMメンバーとして
社会および福祉に貢献する
公正に差別なく行動する
他者のプライバシーを尊重する
2. 専門家の責任 ACMコンピュータ専門家として
専門家の能力を獲得し,維持する
コンピュータの利用とその重大性に対する一般の理解を向上させる
コンピュータおよび通信装置へは許可なくアクセスしない
3. 組織リーダの要件 ACMメンバー,組織指導者として
組織のコンピュータや通信装置を適切な権限で利用させる
ユーザやシステム関係者の尊厳を守るような指針を明示して,実行する
情報倫理(つづき)
倫理綱領:当たり前の事の列挙
当たり前の事でも明文化することが重要
当たり前(常識・倫理的)であることを認識させる.
⇒ そうではない人は非倫理的(ダメな)人
大部分の人は倫理的に行動する.
少数派の非倫理的な人物・組織
情報社会は一部の非倫理的な存在(例:ハッカー)が大規模な被害を及ぼす可能性がある.
プライバシー保護等のための倫理教育、法、技術が重要
結局、倫理とは?
倫理(感)
法整備 技術開発 促進・強制力
促進・影響
影響
促進・影響
ユーザの安全 (プライバシー等)
保護 保護
促進
これを促進することも技術者・研究者としての責任(倫理)
ユビキタス時代の情報倫理
ユビキタス時代の到来 ユビキタスコンピューティング
1988年,米ゼロックス パロアルト研究所のマーク・ワイザー(Mark Weiser) が提唱
ユビキタス(Ubiquitous):(神の如く)遍在する
いつでも,どこでも,情報機器の存在を意識せずに利用できるほど日常生活に溶け込んだ状態
情報通信(ICT)技術の発展
携帯電話,情報家電・住宅,ウェアラブルコンピュータ,無線ICチップ(RFID),センサーネットワーク,etc.
夢物語だったユビキタス時代が現実に!!
U-Japan政策
e-Japan戦略
「2005年までに世界最先端のIT国家となる」
U-Japan政策(総務省:2004年12月) 次の特質を備えた2010年の次世代ICT社会
Ubiquitous(ユビキタス):あらゆる人や物が結び
Universal(ユニバーサル):人に優しい心と心の触れ合い
User-oriented(ユーザ):利用者の視点が融けこむ
Unique(ユニーク):個性ある活力が湧き上がる
ユビキタスネット社会憲章
2004年3月~12月にかけて開催された「ユビキタス
ネット社会の実現に向けた政策懇談会」で発案された、ユビキタスネット社会の基本原則や共通認識を総括した憲章の名称。
=健全なユビキタス社会を構築するための基本原
則や共通認識
2005年に策定・公開(総務省) http://www.soumu.go.jp/s-news/2005/050516_4.html
国内のルール作りの指針として活用するとともに,世界にも呼びかける.
ユビキタスネット社会憲章(総務省HPより)
第1章 自由で多様な情報流通 第1条 情報の受発信に関する権利 ネットワークへ・公開情報へのアクセス,情報の発信,地理的デジタルディバイドの解消
第2条 情報内容の多様性 コンテンツの多様性の確保,アクセス手段の相互運用性の確保
第3条 経済社会の情報化 ICTの利活用の推進,電子商取引の健全な発展,公的分野における情報化 の推進,利便性を高める基盤の整備
第4条 情報活用能力(リテラシー) ICTによる利益享受の均等化,専門家の育成,ユニバーサルデザインの確保,分かりやすい言葉や表現の利用
第2章 安全で安心な情報流通 第5条 プライバシー ネットワークからの独立,個人情報の保護,プライバシーの確保,適正な撮影の確保
第6条 情報セキュリティ ネットワークの安全確保,不適切な利用の回避,セキュリティ技術の開発
第7条 知的財産権 著作権等の保護,技術による権利保護
第8条 情報倫理 情報倫理の確立,違法・有害コンテンツ等の回避,科学技術倫理,コンテンツ制作者の倫理
第3章 新たな社会基盤の構築 第9条 現実社会とサイバー社会の調和 サイバー社会に対応した制度整備,新たな社会規範の確立,適時適切な政策の実現
第10条 地域的・国際的な協調・協力体制 政策立案への多様な主体の参画,地域社会国際社会における協調・協力体制
何故、ユビキタス環境で倫理が重要か?
いつでもどこでもネットワーク(サービス)にアクセスできる!
= いつでもどこでもネット社会の危険と隣合せ!
いつでもどこでも貴方向けの個人化サービスを受けられる!
= いつでもどこでも貴方のプライバシーは丸裸!
例)位置情報(移動パターン、自宅)、趣味、etc.
結局、倫理とは?
倫理(感)
法整備 技術開発 促進・強制力
促進・影響
影響
促進・影響
ユーザの安全 (プライバシー等)
保護 保護
促進
これを促進することも技術者・研究者としての責任(倫理)
現状の法整備
個人情報保護法
個人情報取扱事業者のみが規制対象 個人情報データベース等を事業の用に供している者(5000人を超えるもの)に限る(施行令2条)
ユビキタス社会では,ネットワーク上に散在する情報を集約することにより,特定個人を識別可能な情報を生成することが可能.
⇒ 新たな法の必要性
監視カメラ規制法
国内では,監視カメラの規制を目的とする法律は未制定(2003年議案受理も廃案)
スイス
私的個人によるビデオ監視カメラに関する広報
カナダ
公共機関によるビデオ監視技術利用に関するプライバシーガイドライン(BC州)
イギリス
データ保護法(1998年)
不正アクセス禁止法(H11制定)
①電気通信回線に接続している電子計算機に、②電気通信回線を通じて、不正にアクセスした場合にのみ処罰される.
ユビキタス社会では,インフラ無しに一時的に生成されるアドホックネットワークや,スタンドアローンコンピュータに対する直接の攻撃も起こりうる.
⇒ 新たな法の必要性
国内の取り組み
ユビキタスと倫理に関する国内の取り組み
文部科学省科学技術振興調整費 「横断的科学によるユビキタス情報社会の研究」,2002~2005年度 テーマ1『ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究』
「東京ユビキタス会議」 総務省・国際電気通信連合(ITU)・国連大学主催, 2005年5月16/17日.
目的・目標・アプローチ
1 将来のユビキタス情報社会を想定して、人道的・社会的観点から、プライバシーを保護するためのガイドラインを策定し、システムが満たすべき基本要件を具体化すること
2 将来のユビキタス情報社会において必要となるであろう法制度・倫理的枠組みなどを検討すること
文理融合アプローチ
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
個人情報、プライバシーの意識 知られたくない個人情報
23.8
25.7
27.3
32.1
44.3
44.5
44.7
48.5
49.5
64.9
66.9
69.2
75.0
18.4
0 20 40 60 80
性 別
職 業
資 格
年 齢
学 歴
病歴・障害の有無
電子メールアドレス
家族構成
加入している保険
氏 名
年 収
住 所
財 産
電話番号
(複数回答)
「知らない人や会社から電話があった」経験 66.0%
個人情報登録の際に注意していること
10.4
6.0
5.8
9.1
10.4
17.8
24.2
27.5
38.5
0 10 20 30 40 50
特に気にしていない
「プライバシーマーク」を確認
相手方により登録内容を使い分ける
相手方の個人情報保護の対応を確認
情報は暗号化して送信する
IDやパスワード管理を注意する
メールで極力個人情報を送らない
ネットで極力個人情報を送らない
不用意に個人情報を送信しない
(複数回答)
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
インターネット上の法や倫理の整備
インターネットを安心して使うにはどちらの意見に近いですか?
37.5 58.2 4.3
0% 20% 40% 60% 80% 100%
技術の開発・整備を行なうべきだ 法制度の整備を行なうべきだ
無回答
ネット犯罪に対して、あなたはどちらの考え方に近いですか?
35.2 30.0 32.3 2.5
0% 20% 40% 60% 80% 100%
自分で守る 中間 社会が守る 無回答
今後強化してほしい法律
0.6
9.5
13.3
30.6
51.5
84.9
0 20 40 60 80 100
法律を強化する必要はない
創作者の権利を保護するための法律
電子商取引のための法律
有害情報等を取り締まるための法律
違法行為を取り締まるための法律
個人情報等を保護するための法律
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
社会調査のまとめ
(1) ユビキタス情報社会への期待
ユーザーは、単なる、便利さよりも、高齢者・障害者の保護、犯罪の防止などの高い社会的価値を有するものへの活用を望む傾向がある。
(2) ユビキタス情報社会への不安
個人情報の漏洩や、監視社会化、新たな犯罪の出現などに対して不安を持っている。
プライバシー・ガイドラインの具体化
法制度の整備に関する検討
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
プライバシー・ガイドライン
OECD(経済協力開発機構)ガイドライン
「プライバシー保護と個人データの国際流通に関する勧告」(1980年) ①収集制限の原則
個人データの収集は、適法かつ公正な手段によって、かつ適当な場合には、データ主体に通知または同意を得て行わなければならない。
②データ内容の原則
個人データは、正確、完全、最新に保たれなければならない。
③目的明確化の原則
個人データの収集目的を明確化しなければならない。
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
④利用制限の原則
明確化された目的以外のために使用されてはならない。
⑤安全保護の原則
合理的な安全保護措置により保護されなければならない。
⑥公開の原則
個人データに関する開発、実施、方針、個人データの存在、種類、利用目的、管理者の識別、住所を明らかにする。
⑦個人参加の原則
データ管理者のデータ保有の有無を確認しうる。データについての通知を受けうる。データの削除、訂正、完全化、補正をさせることができる。
⑧責任の原則
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
センサネットワークにおけるプライバシー・ガイドライン
至る所に無数のセンサが埋め込まれ、ユーザがどこで、何をしているのかが感知されるため、プライバシー問題が生じる。
センサーネットワーク
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
センサネットワークのプライバシー・ガイドライン
①収集制限
(a)家庭など私的な場所に設置される場合、個人データは本人の同意を得て取得しなければならない。(b)公共の場所に設定される場合、センサネットワークの存在を見やすい場所に表示しなければならない。
②データ内容
センサネットワークから取得したデータは、そのまま保存しなければならない。
③目的明確化
センサネットワークによって、個人データを収集する目的を収集時までに明確化しなければならない。
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
④利用制限
センサネットワークから取得したデータを明確化された目的以外に使用してはならない。
⑤安全保護
取得したデータについて、不正アクセス、漏洩などの防止のために、アクセスコントロール、ファイアウォール、暗号化などのセキュリティ対策が講じられなければならない。
⑥公開
個人データの取扱に関するプライバシーポリシーを開示しなければならない。また、設置者の氏名、連絡先を表示しなければならない。
⑦個人参加
本人からのデータの開示、削除などの要求に応じなければならない。
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
RFID(無線ICタグ)のプライバシー・ガイドライン
RFID のプライバシー問題
行動を追跡される恐れ、所持している物品を知られる恐れ
RFIDタグ
Welcat
RFID
リーダ・ライタ
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
RFIDのプライバシー・ガイドライン
(a)消費者の選択権
消費者には、製品からタグを破棄するか、または使用不能にする選択権が保障されなければならない。タグを読み取り不能にする方法について、事前に説明または表示がなされなければならない。
(b)消費者への通知
当該製品がタグを装着している事実、その性質、情報の内容について、消費者が認識しうるよう説明または表示がなされなければならない。
①収集制限 本来、本人の同意を得て収集する必要がある
→ しかし、現在のシステムでは難しい
*EPCグローバル「消費者向け製品に関するEPCガイドライン」、
経済産業省「電子タグに関するプライバシー保護ガイドライン案」を参照
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
②データ内容
データは、正確、完全、最新に保たれなければならない。
③目的明確化
データを取得する目的を明確化しなければならない。
④利用制限
明確化された以外の目的に使用されてはならない。
⑤安全保護
データについて、安全保護措置を講じなければならない。
⑥公開
プライバシーポリシーを開示しなければならない。データ管理者の氏名、連絡先を明らかにしなければならない。
⑦個人参加
本人からの開示、削除の要求に応じなければならない。
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
プライバシーと個人データ流通を考慮したユビキタス・システム
ユーザの端末(携帯、PDA)に、データ取得の目的、責任者の氏名・連絡先、プライバシーポリシーなどを表示
ユーザ
目的
ポリシー
責任者
諾否の選択
RFID
RFID
RFID
ビデオカメラ
センサ
ネットワーク
RFID
リーダ・ライタ
S S
S
Sensor Network
「ユビキタス情報社会で要請される社会的倫理と適合的なネットワークに関する研究」
このような法整備・ガイドライン策定で十分か?
No!
現状では,法的,技術的な抜け道はたくさんあり,逆に,ユビキタスサービスの新たな展開を抑制するケースもあり得る.
結局、倫理とは?
倫理(感)
法整備 技術開発 促進・強制力
促進・影響
影響
促進・影響
ユーザの安全 (プライバシー等)
保護 保護
促進
これを促進することも技術者・研究者としての責任(倫理)
技術(研究)的な取り組み
ユビキタス環境に関わる倫理問題
1. ネットワーク内に散在する個人データ
個人(プライバシー)情報が漏洩する恐れ
2. 移動しながらの情報機器・ネットワークの利用
行動をトラッキングされる恐れ
位置プライバシー(Location Privacy)
第三者によってある人の現在の位置,もしくは過去にいた位置を知られることを防ぐ能力
[A. Baresford, 2003]
個人(プライバシー)情報の漏洩の恐れ
企業,公共,個人のデータベースがネットワークに接続し,あらゆる場所からアクセスできる.
⇒ 個人情報漏洩の機会が増加
国内外でプライバシー保護の政策・法が実施 Personal Information Protection and Electronic Act,
Canada, 2001.
個人情報保護法,日本,May 2003.
個人情報の管理を強化
シュレッダーが飛ぶように売れている.
企業倫理: ICT技術によるプライバシー保護のサポート
ICT技術によるプライバシー保護
基本目標:
ユーザのプライバシーは守りたい.
とはいえ,さまざまなデータベースから有益な情報は取り出したい.
問題点:
計算機とインターネットを利用すると,攻撃者も様々な手段を講じることができる.(膨大なデータの収集,解析,etc.)
個人は同定できないが,情報の有益性は
保たれる程度に,データの削除等を行う.
単純なアプローチ
個人を同定できる属性値を削除・変換する.
(例)保険者番号
変換の例:データ値にノイズを付加,抽象化
病院従業員
医療関係者 非医療関係者
管理者
事務 経営者
医者
神経科医 外科医 ...
医療補助者
... 薬剤師 看護師 ...
研究者
...
単純なアプローチの問題点
複数の属性値の組から,個人を同定できる可能性がある.
(例)医療情報のプライバシー
氏名や保険者番号を取り除いたとしても,
人口の少ない地域では1920年生まれの男性は一人だけかもしれない.
⇒ その地域の選挙人名簿から,年齢,性別,郵
便番号を元に氏名が明らかになる.
⇒ その人の医療履歴が漏洩してしまう.
k秘匿化 隠蔽(suppression)と抽象化(generalization)
単独で個人(レコード)を特定可能な属性: 属性値を隠蔽(削除)
複数で個人(レコード)を特定可能な属性集合: 属性地を抽象化
少なくともk-1個の他のレコードとは同定不可能になるように抽象化する.
k:匿名性の度合い
匿名性⇔情報の有益性(トレードオフ)
k秘匿化を最適化するために,様々なアプリケー
ション分野で研究が盛んに行われている.
保険者番号 氏名 年齢 住所 来院日 ...
0980049 山田一郎 39 吹田市藤白台 2004/5/17 ... - - 吹田市
位置プライバシー
位置情報サービス
ユーザの位置情報に関連したサービス
現在位置に対応した地理情報の提供
電子ツアーガイド,レストラン検索など
位置情報を利用したクーポン配布サービス
電子クーポン
現在地に一番近いレストランは?
ユーザ位置情報の漏えいの可能性
位置情報の漏えい
プロバイダによるユーザの位置情報の蓄積・管理
プロバイダによる悪用
不正なアクセスによる情報漏えい
プライバシの侵害
ユーザの生活パターンの特定
職業,自宅の住所などの情報
サービス プロバイダ
近くのレストランが知りたい!!
位置情報
ユーザの周辺情報
位置プライバシー侵害の恐れ
サービス提供者(アプリケーション)が共謀することにより,ユーザの現在および過去の位置を第三者に知られる恐れがある.
位置プライバシーの侵害
Internet 病院
酒屋
八百屋
共謀
位置プライバシーの根本的な難しさ
位置依存サービス提供者
サービス向上や戦略決定のために,位置をトラッキングしたい.(位置トラッキングの研究も盛ん)
ユーザ 自分のプライバシーは知られたくない.
でも,質の高いサービスを受けたい.(わがまま)
単純にユーザの位置をぼやかしてサービスを要求すると,サービスの品質が低下する.
(解決法)
個人を同定されたくないユーザ: 正しい識別子をサービスアプリケーションに通知しない.
技術的解決法~単純な偽名~
匿名化のためのプロキシを設置
ユーザからのサービス要求を中継
偽名(擬似的な識別子)を用いてサービスアプリケーションにサービスを要求
Internet 病院
酒屋
八百屋
プロキシ 偽名
単純な偽名の問題点と解決法 毎回同じ偽名を用いると,ユーザの職場や自宅周辺でその偽名が多く使用されるなど,個人が判明する恐れがある.
(解決法)
何らかのアルゴリズムにより偽名のパターンを変更.
しかし,
サービス領域の並び等から判明する恐れあり.
⇒ダミーユーザの利用などによる解決
A
B
C A:0名,B:1名,C:1名
の状況の直後に,
A:1名,B:0名,C:0名
になるとB→Aの可能性大
最近の研究動向
位置プライバシーを保障するための研究が大流行(特にk秘匿性の保証)
多少,研究のための研究になりつつある.
=非現実的な想定,数学をこねくり回した理論.
実環境・実サービスを考慮した手法の開発が望まれる.
少しだけ,西尾研の研究紹介
従来手法:位置情報粒度低下手法 [Gedlik 05]
第三者サーバによりk人以上のユーザを含むエリアを送信
ユーザを1/k以上の確率で特定不可能
第三者サーバはすべてのユーザの位置情報を把握
第三者サーバが信頼できない可能性
ユーザ位置 サービス プロバイダ
レストラン情報 近くのレストランが知りたい!!
クエリ領域
レストラン情報 クエリ領域
第三者サーバ
ユーザ 他のユーザ
k=5
ユーザ位置 サービス プロバイダ
レストラン情報 近くのレストランが知りたい!!
クエリ領域
レストラン情報
第三者サーバ
k=5
プライバシ保護をしながら ユーザ位置に対応する情報が
自身の端末のみで得られる方法が必要
従来手法:位置情報粒度低下手法 [Gedlik 05]
第三者サーバによりk人以上のユーザを含むエリアを送信
ユーザを1/k以上の確率で特定不可能
第三者サーバはすべてのユーザの位置情報を把握
第三者サーバが信頼できない可能性
ダミーを用いたユーザ位置曖昧化
偽の位置情報であるダミーを使用
ユーザの位置情報を隠ぺい
要求したすべての位置情報に対する応答を要求
端末所有者以外は,ダミーとの区別不可能
A
B
サービス プロバイダ
ユーザ ダミー A B
近くのレストランが知りたい!!
レストラン情報 ( ) レストラン情報 ( ) レストラン情報 ( )
A
B
レストラン情報 ( )
海や山などの存在不可能な位置, 道の制限など実環境を ほとんど考慮していない.
ダミー生成の制約条件:プライバシエリア
すべてのダミー,ユーザを包含する凸多角形の面積
プライバシエリア大: 位置曖昧度大
プライバシエリア小: 位置曖昧度小
ユーザが設定したプライバシエリアに 合わせてダミーをグリッド上に配置
プライバシエリア
0
1
3
2
4
6
5
7
8
西尾研の研究(マイクロソフトとの共同研究)
ダミー生成の制約条件:到達可能性
ユーザが移動可能な範囲内にダミーを生成
ユーザの存在不可能な位置
海,川の上,立ち入り禁止区域など
ユーザの歩行スピードの限界
ユーザの到達可能距離以上移動をしたダミーはユーザ候
補から削除可能
現時点
移動可能範囲
三分後 現時点 三分後
ダミー 特定可能
西尾研の研究(マイクロソフトとの共同研究)
ダミー生成の制約条件:追跡可能性
短期間の連続したサービス利用における軌跡の予測
一度ユーザ位置が特定された場合の危険性
交差
移動可能範囲
ユーザ ダミー
ダミーとユーザの交差を発生
西尾研の研究(マイクロソフトとの共同研究)
本日の講義のまとめ
ユビキタス環境における安全なコンピュータ利用のために,さまざまな取り組みが進められている.
倫理教育
法整備
技術開発
講義スライド: http://www-nishio.ist.osaka-u.ac.jp/~hara/IT_Ethics_H25.pdf
今週の課題
(選択)
ユビキタス環境において,安全にコンピュータを利用するためには,倫理,法,技術のいずれが重要だと思うか? 理由も記述せよ.
位置プライバシーは今後本当に問題になると思うか? 理由も記述せよ.
(レポート提出締切・場所)
8月5日(月)14:30
情報科学研究科総合研究棟208前の提出BOX