ICHIRO BLOG引っ越しました

相変わらずIoT方面のセキュリティが狙われているという話が尽きません。

不審アクセス最多、1日3530件IoT標的も警察庁、19年1～6月（日本経済新聞 19/9/26）

サイバー攻撃とみられる不審なアクセスが2019年上半期（1～6月）に1日平均3530.8件検知され、18年の年間平均（2752.8件）を超えて過去最多の水準だったことが26日、警察庁の集計で分かった。日本経済新聞

上の警察庁の発表に関してはIoT関連だけの話ではないのですが、IoTデバイスがどんどん日常生活の中に普及する一方、仮にそうしたIoTデバイスにおいてセキュリティ面で何らか瑕疵が発見されてもそれを改善する術がないまま、結局はセキュリティの穴が開いた状態で使い続けられてしまう可能性が少なくない問題があります。警察庁やインターポールでサイバー犯罪捜査の指揮を手掛けた後にヤフーの執行役員に転出した中谷昇さんが、先般セキュリティ系のイベントで基調講演をされていましたが、国ごとにサイバー攻撃の被害報道や法規制に差があることで対策がなかなか進まない現状を指摘しています。

13年前に発見された脆弱性が、いまもアプリやIoT製品に潜んでいた（WIRED.jp 19/9/5）
ハッカーが密かに狙うオフィスプリンターのセキュリティ欠陥（TechCrunch Japan 19/8/10）
サイバー犯罪捜査のプロの目から見た今日のサイバーセキュリティ事情とは？（EnterpriseZine 吉村 哲樹 丸毛透 19/10/8）

セキュリティの不具合を改善できない理由としては、製品を製造販売した企業が事業をやめてしまっていて対応できないとか、エンドユーザー側がそうした事態を把握していないとか、他にも要因はいろいろありますが、一番大きい問題はそうしたセキュリティ面の問題を解消しなくても、IoTデバイスそのものの機能は利用できてしまうため、誰も積極的に対応しようとする動機が生じないというところでしょうか。

なので、安易になんでもかんでも家庭内にある家電をネットに接続してしまうような行為はそれだけでリスクがあるかもしれないという現実は認識しておくべきなんですが、ネットにつなげるだけでお得ですみたいな話が出てくると、消費者心理としてはなかなか抗えないものがあるかもしれません。で、まさにそうした「ネットにつなぐとお得」という施策を経済産業省も推進することにしたようです。

経産省も元気があるのはとても良いことなのですが、「消費者のデータ」を何に使うのか目的を明示して情報提供に合意してもらわないと、後から「データをかき集めてみたら、こんなことに使えそうなことが分かりました」という事態に発展して、そこから「それは個人に関する情報の収集の当初の目的外の利用になるので、各社使いたいなら全部の消費者に告知を出して承認を取ってください」というかなりげんなりな未来が起きてしまうかもしれません。

簡単な話、ある消費者が「帰宅したら、部屋の空調が作動してほどよい温度になる」というエアコン発の機能で情報を提供したとして、これが別の家電メーカーに知れて「あっ、この人はこの時間帯に帰宅する生活習慣（ルーチン）の人なんやな。きっと疲れて帰宅して自室の小汚いソファ見てげんなりしとるはずや。その時間にあわせてリビングやインテリアに合う商品のダイレクトメール送って売り込んだろ」という10年前から指摘される問題のある古典的な個人に関する情報の扱われ方になる危険性もないでもありません。

もちろん、匿名化の処理をされたデータ群を統計的に処理してクラスター分けすれば対応できなくもありませんが、その程度のデータであればコストをかけてわざわざ家電をIoT化して家庭の情報を吸い上げる必要も乏しく、つまりは「家電のIoT化が進めばこういう新しいデータ解析ができて市場にて需要が生まれる」という青写真は特にないけど必要そうだし未来っぽいからやってみようというノリなんだろうかと感じます。

データ提供した消費者に特典付与へ 家電など国内22企業参加（NHKニュース 19/9/24）

家電などの製品から得られる消費者のデータを活用して新たなサービスの開発につなげようと、家電メーカーや通信会社などが経済産業省の補助金を活用し、データを提供した消費者に割り引きなどの特典をつける取り組みを始めることになりました。
（中略）
ネットワークにつながるエアコンや空気清浄機、それに給湯器や健康器具などから得られる消費者のデータを活用して、生活の向上につながるアドバイスをしたり、防犯やお年寄りの見守りにつなげたりするなど新しいサービスを開発することを目指します。NHKニュース

ネットにつながる家電、つまりIoTデバイスのセキュリティ面について気を遣うというのはエンドユーザーにとってみれば限りなく動機が低いものの一つでしょうが、一方でネットにつなげるだけで何か特典があるというのはIoTデバイスを積極的に使うための動機として結構高いものになるのではないでしょうか。単に「家電の情報を提供したら、あなたにお得な情報がきます」というレベルなら「帰れ」という話ですが、多少でもポイントがついて見返りがあるのであれば生活に関する情報であっても売りたいという人は出るかもしれません。

具体的に「利用履歴を１か月以上提供した人にギフト券などを通じて最大１万5,000円の特典」と言われてしまうと、購入した家電にそうしたIoT機能が備わっていれば、余程の心配性の人でないかぎり気軽にほいほいとネット接続してしまいそうです。もちろん、利用履歴を取られるということはイコール個人情報の提供になるのではないかと疑うようなプラバシーフリークな人であればたかが1万5,000円程度の特典では心が揺るがないのでしょうが、問題は家電デバイスのIoT化を進め、ネットワークに繋ぎ、家庭内の個人に関する情報をかき集めて得られる情報に月額15,000円ものメリットのある仕組みに仕立て上げられるのか、です。かたや「世帯の携帯電話通信費が高すぎる」と官房長官の菅義偉さんが記者会見で喝破している通信費の中央値が月額1万円程度もいかないことを考えると、むしろトレードオフとして、通信キャリアが携帯電話通信費をタダにしてやるから消費者の家庭内情報のすべてを出してほしいというサービスにしたほうがよほど喜ばれることになります。

で、我らがプライバシーフリークの旗頭でもある高木浩光さんは当然のようにこの施策に対して厳しい見方をされておられます。

[[https://twitter.com/HiromitsuTakagi/status/1176515775349178369|OFF|OFF]]

この施策、乗っ取りなどのITセキュリティ的なリスクがある上に、わずかばかりの特典でプライバシーを切り売りすることになる可能性もあるうえ、単に生活に関する情報を吸い上げる程度ではさしたる価値は持たないということを充分に理解、納得した上で人々が参加するのであれば問題ないとは思います。ですが、そのあたりの危惧は事業を推進する側もよく分かっていてなかなか上手い誘い文句を発しているのが心憎いところです。

事業を取りまとめる社団法人「環境共創イニシアチブ」の中間康介さんは「ネットワークにつながる機器を持っていてもデータの提供にはリスクがあると心配して利用しない人も多い。まずは一度使ってもらってメリットを知ってほしい」と話していました。NHKニュース

もちろん、IoT機器を通じて個人に関する情報が提供されることのメリットは間違いなくあるのでしょう。ただ、それに見合うコストやリスクがどこまで適切に算定されているのか、また、日本の各社横断で情報が提供されたところで、それらを分析するためにはアメリカ系資本のクラウド会社へと最後は吸い出されていってしまうことを考えると、いくら下流を綺麗に整備したところで、上流がこれだと大変なんじゃないかと思うわけですね。

経産省が後ろ盾となって推進される今回のプロジェクト「LIFE UPプロモーション」ですが、すでに広報記事などがNHKニュース以外にも出回っており、それらの中では収集されるデータのことを「消費者のデータ」や「生活データ」「健康情報」などと称することで、プライバシーにかかわる情報であることをあまり意識させないようにしているあたりはなかなか“スマート”だなと感心します。これはこれでデータの利活用という点では面白そうですが、ただ、これも具体的に儲けるところへ事業をもっていこうとすると大量のデータ処理が必要になってAmazonやGoogleなどを使わざるを得なくなり、データを吸い上げられてしまうという結論になります。

スマートライフ進める経産省ＩｏＴ活用支援プロジェクトが始動（新建ハウジングDIGITAL 19/9/25）
KDDIが「LIFE UPプロモーション」に参加、IoT機器の契約で割り引きを実施（ケータイWatch 19/9/24）

蛇足ながら、経産省から補助金をもらい実際にLIFE UPプロモーションを展開する一般社団法人の環境共創イニシアチブを構成する関係者のリストがなかなか面白かったので皆さんも目を通しておくと後々参考になるのかもしれません。

一般社団法人環境共創イニシアチブ法人概要（環境共創イニシアチブ）

それにしても、「家電などの製品から得られる消費者のデータ」を集めるのは良いのですが、それはどのような目的での収集で、目的外利用にならないようにユーザーの承認を得るというのはなかなか大変なんじゃないかと思います。このあたりの制度設計はこれから出てくるとは思いますけれども、穏当で、かつ利便性のあるものであってほしいと願うのみです。