スマートホームIoTデータプライバシーガイドライン

一般社団法人 電子情報技術産業協会（JEITA）のスマートホーム部会は、住まいに関するIoTデータを活用した多様なサービス開発が行われる中、消費者に配慮したデータ活用の在り方について、消費者のIoTデータを取り扱う事業者が実施すべきプライバシー対策を取りまとめ、「スマートホームIoTデータ プライバシーガイドライン」として策定しました。

ガイドライン発行の背景・目的

　IoT家電やネットワークに接続された住宅設備に代表されるように、現在数多くのIoT機器が製造され、様々な分野でIoTデータが活用されている。
　こうしたIoTデータの中には、個人情報保護法の定める個人情報に該当するものが存在し、IoTデータが個人情報または個人関連情報に該当する場合には、事業者は個人情報保護法を遵守した上で当該IoTデータを取り扱うことが当然の前提となる。
　一方で、個人情報保護法の義務の対象とならないIoTデータに対しては、個人情報保護法のルールは適用されない。しかしながら、このようなIoTデータに対しても、利用者のプライバシー保護の観点で事業者が講ずべき措置が多数ある。
　プライバシーの感じ方は、個々人により、また時代によって移り変わっていくため、個人情報には該当しないIoTデータ全てを対象とした取り扱いルールを業界として定めていくことで、消費者の皆様に安心してIoTデータをお預けいただき、信頼される市場形成を目指すものである。

個人情報と、スマートホーム IoTデータ

スマートホームIoTデータプライバシーガイドライン　エグゼクティブサマリ

　宅内外のあらゆる家電機器・住設機器・サービス等が生活データを中心に連携するスマートホームでは、利用者ニーズにあったサービスの高度化や社会課題の解決が期待されている。一方で、個人の生活領域に関連する膨大なデータが収集・利活用されるため、データの漏洩や不適切な取り扱いがあった場合には、利用者のプライバシーが侵害されることとなる。このため、事業者はプライバシーに関わるリスクを事前に予測して、その対策を取ることが不可欠となる。万が一、重大なプライバシー侵害を引き起こした場合には、損害賠償請求を受けることや、差止請求によって事業からの撤退を余儀なくされるというケースもあり得る。
　データが個人情報に該当する場合には、事業者は個人情報保護法を遵守した上で当該データを取り扱うことが当然の前提となる。しかしながら、家電機器や住設機器などから収集されるデータは個人情報には該当しない場合もあり、この場合には個人情報保護法のルールは適用されない。このようなIoTデータに対しても、利用者のプライバシー保護の観点で事業者が講ずべき措置が多数ある。
　本ガイドラインでは、スマートホームで取り扱われる生活データの分類やスマートホーム向けサービスでのデータの利活用に関する考察を踏まえ、スマートホーム関連事業者に求められるルールを提示していく。ルールは以下の三つの要素から構成される。

① どのようなデータを、どのように取得して、どのような目的に利用するか、データのライフサイクルにわたって説明する際の記載項目および粒度に関するルール
② どのような場合に利用者からの同意取得を考慮する必要があるか、どのような方法で同意を取得するべきかに関するルール
③ 利用者自身が、データの開示や訂正・追加・削除、利用停止などのコントロールができる機能の提供に関するルール

　本ガイドラインで提示するルールは、利用者に提示するべきプライバシーポリシーの作成時や、機器・サービス仕様の作成時などに活用できる。
　また、プライバシー保護への取り組みは現場レベルの対策に留まらず、事業者全体として対策の実効性を確保するためにも、経営者やサプライチェーン全体を含めたガバナンスレベルでの対応も必要である。このため、プライバシーガバナンスの重要性や、プライバシーリスク評価の取り組みについても紹介する。