人間拡張技術の進歩によって、私たちは身体や知能を拡張することが可能になりました。しかし、この先端技術には倫理的なリスクが存在します。特にプライバシーとセキュリティの問題は、昔から論争の中心にあり、人間拡張技術に携わる人たちにとって避けては通れないテーマでした。
リスクを完全に排除することは出来ません。一方、リスクを把握し、そのリスクの許容範囲を理解した上で、その恩恵を享受しながら上手く使いこなせる人や企業が、昔も今も生き残ってきました。人間拡張のプロダクト開発にかかわる方は、プロダクトの企画段階から、この技術に内在するリスクを知り、そのリスクを配慮したプロダクト設計に取り組んで頂きたいと思います。
今回は、人間拡張技術の論争となっている『リスク』とそのリスクを低減するために順守すべき『規制・ガイドライン』、『プロダクト設計の手順』を主要な点に絞ってご紹介します。
プライバシーとセキュリティに関連するリスク
セキュリティの脆弱性
人間拡張技術を活用したプロダクトが、オンライン接続やデジタルシステムと統合される場合、セキュリティの脆弱性が発生する可能性があります。悪意のある第三者が、人間拡張領域のプロダクトや関連するシステムに侵入し、個人のデータを制御したり、不正に操作するリスクが生じます。
個人のプライバシー侵害
人間拡張技術は人に密接に関わる技術です。そのため、プロダクトを使用するユーザーの「身体や脳などの生体データ」「行動データ」を収集し、第三者に共有されたりする可能性があります。これらはユーザーに関する貴重な情報を含んでおり、個人の行動や状態をリアルタイムで追跡・監視することも出来てしまいます。これらのデータが不適切な目的で使用されると、個人の利益や尊厳が損なわれる懸念が大いにあります。
人間拡張技術を活用したプロダクトの企画・開発においては、ユーザーに安心してプロダクトを利用してもらうために、これらのリスクをしっかり排除して臨みましょう。
プライバシーとセキュリティに関連する規制・ガイドライン
2023年現在、国内外でプライバシーやセキュリティを守るための法律やガイドラインが制定されています。これらは安心・安全なプロダクト作りに必要なだけでなく、順守していなければ、開発に手戻りが発生する可能性があるので、事前に目を通しておくことをお勧めします。
個人情報保護法
個人情報の適切な保護と管理を目的とした法律で、生体データに含まれる個人情報の取り扱いに関しても、この法律に基づいて適切な対策を講じる必要があります。
・ガイドライン
・自己点検チェックリスト
プライバシー影響評価(PIA)
個人情報の収集を伴う情報システムの企画、構築、改修にあたり、情報提供者のプライバシーへの影響を「事前」に評価し、情報システムの構築・運用を適正に行うことを促すことを目的に作られています。
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための組織の枠組みを示しています。この規格に基づいて、情報セキュリティポリシーの策定やリスク評価、適切なセキュリティ対策を講じます。
・公式サイト
医療情報システムの安全管理に関するガイドライン
医療情報システムにおけるセキュリティ対策に関するガイドラインです。医療関連の生体データを取り扱うシステムにおいて、セキュリティリスクの評価や適切な対策の実施が求められています。
・公式サイト(厚生労働省)
また海外向けのプロダクトを開発する際は、各地域に沿った規制やガイドラインを確認してください。
欧州一般データ保護規制(GDPR)
欧州連合(EU)における個人データの保護とプライバシーに関する基準を規定した法律です。EU加盟国の市民データを取り扱う場合、プロダクト開発をしている組織の拠点に関係なく、GDPRの規定に従う必要があります。生体データの取り扱いにも適用されます。GDPRに違反すると、莫大な金銭の罰則を科せられる可能性があります。
・関連サイト(個人情報保護委員会)
医療データ保護に関するHIPAA
アメリカ合衆国において、医療関連のデータ保護に関しては、ヒッパー法(Health Insurance Portability and Accountability Act)が重要な規制です。ヒッパー法は医療情報のプライバシーとセキュリティに関する基準を設定しており、個人の医療データの保護と適切な取り扱いを求めています。
・関連サイト(厚生労働省)
NISTガイドライン
アメリカ国立標準技術研究所(NIST)は、情報セキュリティに関する包括的なガイドラインを提供しています。特に下記の「NIST SP 800-53」や「NIST SP 800-66」などは、医療データや個人情報のセキュリティに関連する重要なガイドラインです。
・NIST SP 800-53
・NIST SP 800-66
リスクを抑えるためのプロダクト設計
人間拡張のプロダクト開発に取り組まれようとする方は、プロダクトのUXやデータの取り扱いなどを企画される際に、下記の観点を参考になさってみてください。
1.関連する規制やガイドラインを確認する
まずは、この記事で取り上げている規制やガイドラインをご覧ください。
2.個人データの収集を最小限にする設計とする
個人情報や生体データを活用したプロダクトを設計する際は、不必要なデータの収集を避けて、プライバシーに関わるデータを厳密に選別します。
3.透明性の担保とユーザーコントロールを組み込む
ユーザーがプロダクトを利用する前に、ユーザーに対して、データの収集、データの利用目的や方法、第三者への提供に関する情報を明示し、透明性を担保します。また、ユーザーが個人データの収集や使用について、明示的な設定やコントロールを行える機能を設け、自己決定権を尊重します。
例えば、データの削除やアクセス権限の管理、広告のカスタマイズの設定など、ユーザーが自身のデータに対して適切な制御を行えるようなオプションを提供します。
4.プライバシー保護をデフォルトにする
デザインや設計の段階で、プライバシーを最大限に保護する機能やポリシーをデフォルトで採用します。ユーザーが特別な設定や手続きを行わなくても、基本的なプライバシーが確保されるような仕組みを導入します。
5.データを匿名化する
収集したデータを匿名化・擬似化することで、個別のユーザーを特定できないようにします。個人を特定できない状態でデータを処理することで、プライバシーの保護を強化します。
6.セキュリティ対策を強化する
ユーザーのデータを適切に保護するために、強力なセキュリティ対策を実施します。データの転送や保存時に暗号化を行ったり、強固な認証手段を使用したり、アクセス制御や監視システムを導入したりすることで、不正なアクセスや漏洩のリスクを最小限に抑えます。
上記に加え、サプライチェーンにおけるパートナーやサードパーティー等と提携したり、情報を共有したりする場合は、プライバシーポリシーやセキュリティ対策についての共通の基準を明示し、双方の合意事項を確立しておきましょう。
リスクを抑えるためのオペレーション設計
プロダクト開発の過程だけでなく、プロダクトをリリースした後のオペレーションもしっかりと構築しておきたいところです。
1.社内体制の構築
プロダクトに纏わるセキュリティ状況を定期的に評価したり、インシデントを早期に検知する仕組みと適切な対応策を準備しておきます。スタッフへ適切なセキュリティ対策と、セキュリティ意識を向上させる教育を実施します。
2.ユーザーへの教育とサポート
・ユーザーがプロダクトを適切に理解し、安全に使用するためのガイドやトレーニングプログラムを提供します。
・ユーザーの心理的安全性を確保するためにも、ユーザーサポートチームを設け、プライバシーやセキュリティに関する問い合わせや報告を受け付け、迅速かつ適切に対応します。
・ユーザーの意見や要望を収集し、プロダクトの改善や新機能の開発に反映します。
今回は、プロダクト開発側の視点から倫理問題を切り取って解説しました。しかし、プロダクトを開発する側だけでなく、人間拡張にまつわるプロダクトが普及した社会を見据えて、プロダクトを使う側も、プライバシーやセキュリティに対するリテラシーを高めておく必要があるでしょう。
人間拡張専門メディア『HumanAugmentationLabo』では、人間拡張のプロダクト開発をする上で企画のヒントになるような情報を提供しています。人間拡張についてより深く知りたい方は、こちらのホワイトペーパーもご覧頂けたらと思います。
