E2303 - 図書館構築システム上の利用者データへのリスク評価ガイド

カレントアウェアネス-E

No.398 2020.09.17

 

 E2303

図書館構築システム上の利用者データへのリスク評価ガイド

成田市立図書館・米田渉(よねだわたる)

 

   米国の電子図書館連合(DLF)が2020年5月21日に“A Practical Guide to Performing a Library User Data Risk Assessment in Library-Built Systems”を公開した。これは,図書館が構築したシステムが収集する利用者データへのリスクを理解するための定義,収集データのリスク評価に関するガイドである。

   今回まとめられたリスク評価は,ベンダーが提供する図書館システムではなく,図書館が構築するシステムにおける利用者データについてのリスク評価を対象としている。図書館が独自にオープンソースのソフトウェア等を活用して導入するものも含めている。

   プライバシー保護のためには,図書館が利用者について収集したデータを特定し,どのように管理しているかを把握し,そのリスクを特定し,適切なリスク軽減策を選択するリスク評価が必要である。

   個人情報(Personally identifiable information:PII)を米国国立標準技術研究所(NIST)は,個人を直接識別するデータと,個人の行動履歴と定義している。この定義は,米国では,多くの主要なプライバシーに関する規制で基礎的なものとなっている。図書館における個人を直接識別するデータの例としては,「氏名」「住所」「メールアドレス」「利用登録カード番号」「電話番号」「生年月日」を挙げている。個人の行動履歴の例としては,「レファレンス質問事項」「貸出履歴」「ウェブサイト閲覧履歴」「データベースへのアクセスと検索履歴」「コンピュータ/無線LANへの接続履歴」を挙げている。

   また,図書館構築システムにおける利用者データについては,個人とそのデータを保持する組織に対する影響をもとに,以下のように高中低の3段階リスクに分けられている。

   高リスクのデータは,「氏名」「住所」「メールアドレス」「運転免許証番号」「社会保障番号」「貸出履歴」「氏名等の直接的な識別子に紐づいた属性データ」である。これらは,運用上または図書館活動のために絶対に必要な場合にのみ収集すべきで,保存方法やアクセス,保持ポリシーの面で厳しく規制する必要がある。

   中リスクのデータは,本名とSNSでの表示名等のように,他のデータと組み合わせることで個人が特定される可能性があるデータが該当する。データとしては,貸出データや統計データも含まれる。「性別」「年齢」「郵便番号」などの直接的には個人を特定できない識別子でも複数データを組み合わせると個人特定は可能で,匿名化されたデータから再識別されることもある。

   低リスクのデータとしては,非個人データで,「ゲート通過数」「ウェブサイト閲覧履歴」「資料の貸出回数」「集会室等部屋の使用回数」「レファレンス受付数」を例示している。

   次に,リスクと脅威を分析している。悪意のある不正アクセスによるもの,技術的なミス,再識別,運用管理,時間経過に伴う複合的な課題に分けて,表形式で分析,それぞれの対処法を示している。

   さらに,リスクの軽減の手法を以下のように挙げている。

  1. データの収集や,使用,保存管理に関するポリシーを作成し,公開すること。
  2. PIIは,「万が一に備えて」収集されるべきではなく,必要性のあるものだけとし,収集するデータを最小化すること。
  3. 収集するデータ項目を開示し,インフォームドコンセントを得ること。一般的に言えば,同意を要するオプトイン方式が提供されるべきである。また,例えば,子どもの場合は保護者からの同意を求めるなど,適切な対応が必要である。
  4. データを安全に収集・保管すること。
  5. 第三者に提供するデータに十分な注意を払うこと。再識別のリスクだけでなく,特定の小集団の特性を推測されるリスクの認識も必要である。
  6. 不要になったデータを破棄すること。PIIの保有期間が長ければ長いほど漏えいリスクは高まる。ディスク上の「削除」は,ファイル復元ソフトで復元できる場合があり,本当の削除ではない。
  7. プライバシー保護対応の優先順位を設定すること。例えば,貸出中の資料の貸出先を記録することは必要だが,その記録を用いて貸出履歴からリコメンドを受ける利点よりもPIIが保存されているリスクを重大視する利用者もいることだろう。
  8. 既存のシステムの改修の際に当初設計されていたPII保護の改善を検討すること。新規構築の際よりも困難だが,PIIの入出力部分や保存方法を改善することでPII保護機能を向上できる場合もある。

   そして,リスクを評価し,軽減するために,利用者データのプライバシーとセキュリティに関する意思決定を行う上では,自館のシステムがどのような利用者データを収集しているかをまとめておくことが必要である。また,本報告書とあわせて,利用者データを収集するシステム一覧と,リスク評価のためのチェック項目をマトリックスにしたものがスプレッドシートで提供されている。

Ref:
DLF Privacy and Ethics in Technology Working Group. A Practical Guide to Performing a Library User Data Risk Assessment in Library-Built Systems. OSF. 2020, 28p.
http://doi.org/10.17605/OSF.IO/V2C3M
“Privacy and Ethics in Technology”. DLF.
https://wiki.diglib.org/Privacy_and_Ethics_in_Technology