情報プライバシー

情報プライバシー（じょうほうプライバシー、英語: information privacy）とは、データの収集および拡散、テクノロジー、プライバシーに対する一般の期待ならびにそれらを取り巻く法的問題および政治的問題の間に存する関係をいう^[1]。データプライバシー（英語: data privacy）^[2]またはデータ保護（英語: data protection）とも呼ばれる。

情報プライバシーには困難が伴うが、その理由は、個人のプライバシーに関する意向および個人特定情報の保護とデータの利活用とを両立しようとするところにある^[3]。コンピュータセキュリティ、データセキュリティ（英語版）および情報セキュリティ分野の全てで、この問題に対処するためにソフトウェア、ハードウェアおよび人的資源が投入されている。

規制の枠組み

各国の法規等

→「情報プライバシー法」および「プライバシー法（英語版）」も参照

• 一般データ保護規則（GDPR）（欧州連合）^[4]
  • データ保護指令（英語版）（欧州連合）
• 個人情報保護法 (ブラジル)（英語版）
• カリフォルニア州消費者プライバシー法（英語版）（CCPA）
• プライバシー法 (カナダ)（英語版）
• 1988年プライバシー法（英語版）（オーストラリア）
• 個人情報保護法案2019（英語版）（インド）
• 中国サイバーセキュリティ法（CCSL）（中国）
• 2012年データ保護法（英語版）（ガーナ）
• 2012年個人データ保護法（英語版）（シンガポール）^[5]
• 共和国法第10173号：2012年データプライバシー法（フィリピン）^[6]
• ロシアにおけるデータ保護（プライバシー）法令（英語版）
• 2018年データ保護法（英語版）（英国）
• 個人データ保護法（PDPL）（バーレーン）

各国の規制当局

→「情報コミッショナー（英語版）」および「各国のデータ保護当局（英語版）」も参照

• 欧州連合および欧州自由貿易連合の国家データ保護当局
• オーストラリア情報委員会事務局（オーストラリア）
• プライバシーコミッショナー（ニュージーランド）
• 情報学と自由のための全国委員会（CNIL、フランス）
• データ保護と情報の自由のための連邦委員会（ドイツ）
• 個人データプライバシーコミッショナーオフィス（香港）
• データ保護コミッショナー（アイルランド）
• データ保護監督官庁（マン島）
• 国家プライバシー委員会（フィリピン）
• 個人データ保護委員会（シンガポール）
• 個人データ保護局（トルコ）（KVKK、トルコ）
• 連邦データ保護および情報コミッショナー（スイス）
• 情報コミッショナーオフィス（ICO、英国）
• スペインのデータ保護機関（AEPD、スペイン）

情報の種類

プライバシーに関して懸念にさらされる個人情報には種々のものがある。

教育関係

2012年の英国では、英国教育大臣のマイケル・ゴーヴが、国立瞳孔データベース（英語版）について「豊富なデータセット」であると述べ、民間企業を含めてよりオープンにアクセスできるようにすることでその価値を「最大化」できると説明した。The Register（英語版）誌のケリー・ファイブアッシュは、これにより「試験結果、出席、教師の評価、さらには特徴を含む子供の学校生活」が利用される可能性があると述べた。そこでは、データは伝達される前に政府によって匿名化されるのではなく、第三者機関が自ら公表する情報の匿名化に責任を負うことになる。例として、ゴーヴはかつて「性的搾取に関する分析」についてのデータの利用を請求し、過去には却下されていたが、改正されたプライバシー規制の下ではこれも認められるようになる可能性がある^[7]。

金融関係

→詳細は「銀行秘密」を参照

個人の金融取引に関する情報（資産の総額、株式またはファンドの保有ポジション、未払いの債務、購入履歴などに関する情報を含む。）は機微性を有することがある。もし犯罪者によって口座情報やクレジットカード番号などの情報にアクセスされた場合、当該個人は詐欺やなりすましの被害者になる可能性がある。購入履歴に関する情報により、当該個人が訪れた場所、接触した人物、使用した製品、活動内容、習慣または服用している薬など、その人の行動歴の多くが明らかにされうる。場合によっては、企業はこの情報を使用して、個人的な好みに合わせてカスタマイズされた広告（ターゲティング広告）を行うことが可能である^[7]。

インターネット関係

→詳細は「インターネットにおけるプライバシー（英語版）」を参照

近年、インターネット上で自己についてどのような情報を明らかにするかや、誰に当該情報へのアクセスを許すかを制御する能力は大きな懸案となっている。具体的には、電子メールを同意なしに第三者が保存または読み取ることや、第三者が他人のWebサイトのアクセス履歴を追跡することが問題となる。さらに、アクセスしたWebサイトによるユーザーに関する個人特定情報の収集、保存および共有も問題となる。

各種の検索エンジンの出現とデータマイニングの使用により、個人に関するデータを多様な情報源から収集して組み合わせることが非常に容易になった^[8][9][10]。アメリカの連邦取引委員会は、情報実務に関して電子市場において広く受け入れられている公正な慣行に関するガイドライン集を公正情報実務諸原則（英語版）として提供している。

個人情報の過剰な曝露を避けるためには、電子メールの暗号化が有効である。Webページの閲覧等のインターネット上の活動は「匿名化」によって追跡困難な形で行うことができる。匿名化システムが信頼できない場合は、オープンソースのいわゆるMix network（英語版）（ I2PやTorなど）が利用可能である。 VPN（仮想プライベートネットワーク）もインターネット上の活動を保護する匿名化装置の一種である。これには、他者がWebトラフィックを表示またはマイニングできないように、Webトラフィックを難読化および暗号化することが含まれる^[11]。

インターネット上の情報流通量が増加するにつれ、電子メールだけでなく、ソーシャルネットワーキングサービスにおいて新たなプライバシーの懸念が生じるようになった。写真における人物のタグ付けや重要情報の暴露（自ら意図的になされる場合も他人により意図せずなされる場合もある）が行われるようになり、このような状態を指して参加型監視環境（英語版）と呼ばれるようになった。位置情報が意図せず公表されてしまうこともある。例えば、特定の店舗を背景に写真を投稿してしまう場合などである。情報をインターネット上に公表する場合には注意を払う必要があるが、情報の公開範囲の設定幅は各ソーシャルネットワーキングサービスによって異なる^[12]。セキュリティ設定が弱く、またどのような情報を公表状態とするかが精査されていない場合、検索によって全くばらばらの情報が収集され照らし合わされることによって個人がプロファイリングされてしまうことがある。最悪の場合はネットストーカー（英語版）の被害に遭ったり^[13]、信用を失うリスクを生じることとなる^[14]。

位置情報関係

モバイルデバイスの位置追跡機能（位置情報サービス）が進歩するにつれて、ユーザーのプライバシーに関連する問題が発生する。位置データは、現在収集されている最も機密性の高いデータの1つ^[15]。個人のモビリティトレースのみを知っている個人について推測できる潜在的に機密性の高い専門家および個人情報のリストが、最近、電子フロンティア財団によって公開された^[16]。これらには、競合他社の営業部隊の動き、特定の教会への出席、モーテルや中絶クリニックでの個人の存在が含まれる。モンジョイらによる最近のMIT研究^[17][18]は、モビリティデータベースの150万人の95％を一意に識別するには、4つの時空間ポイント（おおよその場所と時間）で十分であることを示した。この調査では、データセットの解像度が低い場合でも、これらの制約が保持されることがさらに示されている。したがって、粗いデータセットやぼやけたデータセットでさえ、匿名性はほとんどない。

医療関係

人々は、情報が彼らの健康について明らかにすることができるものの機密性と機密性のために、彼らの医療記録が他人に明らかにされることを望まないかも知れない。たとえば、保険の適用範囲や雇用に影響を与える可能性があることを懸念している場合がある。あるいは、自分自身に当惑をもたらすような医学的または心理的状態や治療について他人に知られたくないからかも知れない。医療データを明らかにすることで、私生活に関するその他の詳細も明らかになる可能性がある^[19]。医療プライバシーには、3つの主要なカテゴリがある。情報（個人情報の管理の程度）、身体的（他者への身体的アクセスの程度）、心理的（医師が患者の文化的信念、内面の考え、価値観、感情、宗教的慣習を尊重し、患者が個人的な決定を下せるようにする程度）^[20]。多くの文化や国の医師や精神科医には、機密保持を含む医師と患者の関係に関する基準がある。場合によっては、医師と患者の特権が法的に保護されている。これらの慣行は、患者の尊厳を保護し、患者が正しい治療を受けるために必要な完全で正確な情報を自由に開示できるようにするために実施されている^[21]。米国の個人の健康情報のプライバシーを管理に関する法律を表示するには、HIPAA（英語版）およびHITECH Act（英語版）を参照。オーストラリアの法律は、 1988年オーストラリアのプライバシー法および州ベースの健康記録法。

政治関係

選挙方法が古代に誕生した時から、政治的プライバシーが懸念されてきた。秘密投票は、政治的見解が有権者以外の誰にも知られないようにするための最も単純で最も普及している手段。これは現代の民主主義ではほぼ普遍的であり市民権の基本的権利と見なされている。実際、他のプライバシーの権利が存在しない場合でも、このタイプのプライバシーは非常に頻繁に存在する。残念ながら、デジタル投票機を使用すると、不正投票やプライバシー侵害の形態がいくつか発生する可能性がある^[22]。

合法性

一般的なプライバシーの権利、特にデータのプライバシーの法的保護は、世界中で大きく異なる^[23]。

プライバシーとデータ保護に関連する法律と規制は絶えず変化しており、法律の変更に遅れがでないようにデータのプライバシーとセキュリティ規制への準拠を継続的に再評価することが重要であると考えられている^[24]。学界内では、倫理委員会は、研究における被験者のプライバシーと機密性の両方を確保するために適切な措置が講じられていることを保証するように機能する^[25]。

プライバシーの懸念は、個人を特定できる情報またはその他の機密情報が収集、保存、使用され、最終的に破棄または削除される場合は常に、デジタル形式またはその他の方法で存在する。不適切または存在しない開示管理は、プライバシー問題の根本的な原因となる可能性がある。動的同意（英語版）を含むインフォームド・コンセントメカニズムは、個人を特定できる情報のさまざまな使用法をデータ主体に伝達する上で重要である。データプライバシーの問題は、次のようなさまざまなソースからの情報に応じて発生する可能性がある^[26]。

• 医療記録
• 刑事司法（英語版）の調査と手続き
• 金融機関と取引
• 遺伝物質などの生物学的特性
• 居住地と地理的記録
• プライバシー侵害（英語版）
• ロケーションベースのサービスとジオロケーション（英語版）
• 永続的なCookieを使用したWebサーフィンの動作（英語版）またはユーザー設定
• 学術研究

情報システムにおけるプライバシーの保護

プライバシールールが異なる異種の情報システムが相互接続され、情報が共有されるため、ポリシー・アプライアンス（英語版）は、ますます多くのプライバシーポリシールール（および法律）を調整、実施、および監視する必要があり、商用ITシステムのプライバシー保護に対処するテクノロジーには、通信と施行の2つのカテゴリがある。

ポリシーコミュニケーション

• P3P –プライバシー設定のためのプラットフォーム。 P3Pは、プライバシー慣行を伝達し、それらを個人の好みと比較するための標準。

ポリシーの施行

• XACML - Extensible Access Control Markup Languageとそのプライバシープロファイルは、ソフトウェアシステムがエンタープライズITシステムでポリシーを実施するために使用できる機械可読言語でプライバシーポリシーを表現するための標準である。
• EPAL（英語版） - Enterprise Privacy Authorization LanguageはXACMLに非常に似ているが、まだ標準ではない。
• WS-Privacy -「Webサービスプライバシー」は、 Webサービスでプライバシーポリシーを伝達するための仕様。たとえば、プライバシーポリシー情報をWebサービスメッセージのSOAPエンベロープに埋め込む方法を指定できる。

インターネット上のプライバシーの保護

インターネットでは、多くのユーザーが自分自身に関する多くの情報を提供している。接続が暗号化されていない場合（HTTPSなし）、暗号化されていない電子メールは、電子メールサーバーの管理者、およびインターネットサービスプロバイダーなどによって読み取ることができる。その接続のネットワークトラフィックを盗聴する当事者は、内容を知ることができる。同じことが、Webブラウジング（英語版）、インスタントメッセージングなど、インターネット上で生成されるあらゆる種類のトラフィックに当てはまる。離れすぎて個人情報を与えないようにするためには、電子メールを暗号化することができ、ウェブページの閲覧だけでなく、他のオンライン活動を経てトレースレスを行うことができる。アノニマスプロキシ（英語版）、またはオープンソースの分散アノニマイザ、いわゆるによりミックスネットワーク（英語版）。よく知られているオープンソースのミックスネットには、I2P –アノニマスネットワークとTorが含まれる。

個別化によるプライバシーの向上

コンピュータのプライバシーは、個別化（英語版）によって改善できる。現在、セキュリティメッセージは「平均的なユーザー」向けに設計されている。つまり、すべてのユーザーに同じメッセージを送信する。研究者は、ユーザーの個人差と性格特性に基づいて作成された個別のメッセージとセキュリティの「ナッジ」を使用して、コンピュータのセキュリティとプライバシーに対する各個人のコンプライアンスをさらに向上させることができると考えている^[27]。