ウェブサービスを立ち上げようとしている人にとって、避けては通れないことの一つに、サービスのセキュリティやプライバシーポリシーなどへの配慮が挙げられます。ビジネスとしてサービスを運営し、規模を拡大していこうと考えているのであれば、なおさらこれらのことは重要になってきます。ここを曖昧にしたままサービスをリリースし、大きくしていくと、どこかのタイミングで問題が発生し、炎上や訴訟などのトラブルにまで、発展してしまうことが大いに考えられます。

第4回目の開催となるTokyo Startup Schoolは、「スタートアップが気をつけるべきプライバシーとセキュリティ」というテーマで開催しました。せっかく作り出したサービスを、ユーザに心地よく使ってもらうために必要最低限な、セキュリティとプライバシーポリシーについて、専門家の方々をゲストの方をお招きして教えていただきました。（前回のスクールの様子はこちらからご覧ください。）

ゲストにお越しいただいたのは、ウェブサービスの利用規約、プライバシーポリシーに関するセミナーを数多く行ってらっしゃる弁護士の雨宮さん。経営、マーケティング、セキュリティコンサルを提供する株式会社エヴォルツィオの高橋伸和氏。一般社団法人 OpenIDファウンデーション･ジャパン事務局長の山中進吾氏の3名の方にお越しいただきました。

1時間目：セキュリティ、プライバシーについて法的にスタートアップが気をつけること

まずは雨宮さんに、そもそもプライバシー、セキュリティとはなんなのか。プライバシーやセキュリティの法的規制にはどのようなものがあるのか、ということについて簡単に解説していただきました。

「プライバシー」と「セキュリティ」の違い

まず基本的な理解として、「プライバシー」は「自己に関する情報をコントロールする権利」（情報プライバシー権）とされており、憲法に基づく権利なのですが、その範囲は曖昧なものとなっています。「セキュリティー」は情報を守るための「手段」となります。

「プライバシー」と「個人情報」の違い

プライバシーと個人情報にも違いがあります。「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。）（第2条第1項）となります。実は個人情報保護法で決められている範囲は狭く、プライバシーとして個人が管理したいと考える対象の範囲のほうが広く、ここの齟齬でもめてしまうことが多いです。

「ライフログ」と「個人情報」の違い

「ライブログ」とは、蓄積された個人の生活の履歴のことを指します。ウェブサイトの閲覧履歴、検索履歴、位置情報、サイトに書き込んだコメントなどなどです。それ単独で、個人を識別できない場合は個人情報にはあたりませんが、情報が大量に蓄積されることにより、個人が識別できるようになってしまうと個人情報となることもあります。

「ライフログ」と「プライバシー」の関係

「ライフログ」が蓄積すると、個人の嗜好が推測できてしまいます。あまり他人には知られたくないなと思うような情報が知られてしまうとなったとき、たとえ、個人が識別できなくても、プライバシー権侵害にはなってしまう可能性があります。これがライフログの怖いところです。

プライバシー、セキュリティに関する法的規制

プライバシーや、セキュリティに関する法的規制は現在では、「個人情報保護法」、憲法上の「プライバシー権」「知る権利」、電気通信事業法「検閲の禁止」、提言および自主規制などがあげられます。個人情報保護法を理解するためには、「定義の正確な理解」、「目的外使用の禁止」、「第三者提供の禁止」、「安全管理措置」、「保有個人データの取扱い」といったのポイントがあります。

法的な規制を守るだけではユーザの反発を受けることも

法的な規制は最低限のレベルです。「個人情報保護法」で保護される「個人情報」は範囲が狭すぎますし、「プライバシー」が規定する範囲はあいまいです。「法的」な規制を形式的に守るだけでは、ユーザーの反発を受けることが起こりえます。それを回避するためには、どんな人がサービスを利用するのか、想像力をはたらかせて、その人たちが後から知って「いやだな」「気持ち悪い」と思うかもいしれないようなことであれば、予めちゃんと明示して同意を得ておきましょう。ユーザーテストを行うことが必須になるでしょう。

ウェブサービスを運営する上では、「個人情報」だけに限らず、「人に関する情報」、 「プライバシー」に対する配慮する姿勢をみせることが不可欠になってくることが考えられます。その上で、その情報を守るためにセキュリティ対策を行い、情報の保護することがサービスへの信頼につながってくる、ということなどをお話いただきました。

2時間目：知識をつけ、ユーザの立場にたってプライバシー、セキュリティを考える

続いて、高橋氏によるセキュリティとプライバシーのお話を伺いました。せっかく立ち上げたサービスがプライバシーやセキュリティの問題で運営をやめることになってしまったりしてはとても残念なので、そうならないように知識をつけ、対応しようというメッセージから2時間目はスタート。

情報セキュリティインシデントに関する調査報告書によると、昨年上半期だけで「807件」のインシデント件数（情報管理やシステム運用に関して保安上の脅威となる現象や事案）があり、「208万5566人」の人々の情報が漏洩し、「573億1642万円」もの損害賠償総額が想定されているそうです。何かしらのトラブルが起こる可能性は充分にあり、トラブルが発生したときに備えてセキュリティやプライバシーに対しての知識は必要だと、高橋氏はおっしゃいました。

大企業ではプライバシー委員会を作ってユーザプライバシーの保護をアピールしたり、CSO（Chief Security Officer）といった役割を設け、対応を実施したり、多くのリソースを割いています。ただ、起業直後に同じように対応することは難しいため、スタートアップの経営者には「最低限の知識を身につけること」、「専門家に相談すること」、「少しだけ記事を気にすること」などから始めてほしいとのことでした。（プライバシーに関しては先程の雨宮さんの内容と、こちらの記事をご参考ください。）

プライバシーはセクハラに似たところがあります。というのは、何をもってセクハラとするかが個人の感覚によって異なるように、プライバシーが侵害されているかどうかも、人によって感覚が異なってくるものだからです。そのため、利用規約が大事になってきます。予め同意をとっておき、嫌だったら使わなければいいよね、という状態を作っておかなければいけません。セキュリティについても、ユーザの立場になって考えるクセをつけることが大事です。知識をつけ、外部の専門家に相談しながら対策していってください。

最後に、「プライバシー・セキュリティについてベンチャーが考える50のこと」というチェック項目の一部を共有して、高橋氏の講義は終了しました。

クリックすると拡大します。

3時間目：パネルディスカッション

最後は、OpenIDファウンデーション・ジャパンの山中進吾氏を交え、パネルディスカッションを行いました。パネルディスカッションに入る前に山中氏によるセキュリティやプライバシーに関してお話していただきました。

みなさんは車にブレーキがついている理由はご存知ですか？ブレーキは止まるためではなく、速く走るためのものなのです。ブレーキがなくてはスピードを上げていくことはできませんから。セキュリティやプライバシー対策は、いわばブレーキなんです。 企業の成長やイノベーションのためには、性能の良いブレーキを整備することが重要です。

そもそも、利用規約という日本語ではなく、「サービス定義」という単語が適切なのではないか、とも山本氏はおっしゃいました。「Terms of Use」というより、「Terms of Service」なのではないかと。このほかにも、セキュリティ対策やプライバシー保護は「おもてなし」の一部であり、この対策をしっかりと行なっていくことも、User Experience（UX）のためには大切なこと、ユーザに対する思いやりの心を持ってほしいといったメッセージもいただきました。

パネルディスカッションでは、専門家から見て、スタートアップの人たちへのアドバイスとして、ある程度サービスを作りこんでローンチ前に相談を受けることが多いので、もう少し早い段階で相談してほしい、という話などが行われました。利用過程でユーザがどう感じるかに対して、イメージが不足しているのでは？となる疑問に感じることが多いため、サービスを作っていく段階でユーザテストを行うことを推奨しているとのことでした。

今回のスクールを通じて、プライバシー、セキュリティに対して意識を高め、最低限の知識をつけて、対応を行うこと。それがサービスのユーザの安心感を高めることにつながり、UX的にも重要なことであるというメッセージが会場の参加者に向けて投げかけられていました。

最後に、いつもの通りMeetupイベントを開催し、第4回のTokyo Startup Schoolも無事終了いたしました。ご来場くださったみなさま、ゲストとして登壇してくださったお三方に感謝いたします。今回開催したセキュリティ、プライバシーに関するイベントは引き続き、何かしらのかたちで行なっていく予定です。また情報があり次第、お伝えしていきます。