2015年1月27日に米連邦取引委員会(FTC)は「Internet of Things -Privacy & Security in a Connected World-」と題するリポートで、IoTが人々の生活にさまざまな恩恵をもたらす可能性を認めつつも、「モノのインターネット」に潜むプライバシーとセキュリティのリスクについて指摘し、これらの問題に企業に真剣かつ具体的な取り組みを行うよう強く促しました。
リポートでは、iotはセキュリティリスクとプライバシーリスクを抱えているとしています。
セキュリティリスク
セキュリティリスクに関しては、従来のコンピュータおよびコンピュータネットワークに存在する危険性が、iotでは一層高まるとして、例えば、スマートテレビのセキュリティの脆弱性によって、アカウント情報、パスワードやカード番号などの個人情報が容易に他者に盗まれる危険性が生じるとしています。
2つ目に、iotデバイスは他のシステムへのDenial of Service attack(DoS攻撃)などを容易にし、それによってデバイス使用に伴う際の物理的な安全性を揺るがしかねないことを挙げています。侵入されたiotデバイスがさらに広汎なネットワークへの侵入の突破口となる危険性があります。
3つ目に、第三者がセキュリティの脆弱性を悪用し、機器をリモートでハッキングしたり、あるいは送受信データの窃盗、スパムメールの配信踏み台にされたりする可能性です。例えば、車の組み込みテレマティックスユニットに侵入し、車両を制御をしたり、泥棒がリモートにスマートメーターからエネルギーの使用状況に関するデータにアクセスし、住宅所有者が家から離れているかどうかを判断するということも起きえます。
プライバシーリスク
Iotのもう一つのリスクが利用者の個人情報、例えば、地理位置情報、金融口座番号、健康情報などの機密性の高い情報がデバイスを通して膨大な数収集されてしまう可能性があり、それによって、(1) センサーやモニター・テクノロジーの発達にともなって大量かつ正確な個人的情報が蓄積されるという問題、(2)個人に不利益を与えるような個人情報の目的外使用(例えば、フィットネスや医療のために利用されるはずのデバイスから得られた個人情報が横流しされ、企業の採用選考に用いられたり、保険会社の保険料の計算に用いられたり)(3) 悪意による攻撃といったリスクの発生です。
リスクへの対応
リポートでは、iotの可能性のためには、消費者の信用が不可欠であるとして、そのための対応を企業に求めています。
(1)セキュリティーを後付けするのではなく、最初から機器に組み込む
(2)パートナー企業による消費者データの取り扱い方を入念に調べる。
(3)承認されていないユーザーがネットワークに保管されている個人情報にアクセスできないよう措置を講じる。
(4)予想される製品寿命の間、ネット接続機器の監視と修正パッチの適用を続ける。
(5)社内にセキュリティー問題に関する責任者を置かねばならない
(6)企業に収集するデータを制限し、一定の時間が経過した後にそれを廃棄する
(7)消費者は企業がどの情報を収集するか、また何のために収集するかを知らされるべき
(8)収集を拒否する機会が与えられるべき
(9)データ収集、保存の最小化
(10)システムの透明性の確保、また予期せぬ情報漏えいや目的外使用が発生した場合の消費者に対する適切・迅速な情報開示
FTCリポートへの評価
こうしたFTCのリポートに対しては、非現実的だとか、費用対効果の分析がない、ビッグデータに関するリポートに似た内容で目新しいものではないといった冷めた見方もあります。さらには、iot企業のイノベーションが阻害されるのではないかという心配する声もあるようです。
一方で、システムが幅広く設置される前に、企業の説明責任と透明性の一層の向上がなされなければならないとする意見もあります。
(TechCrunch Japan http://jp.techcrunch.com/2015/01/13/20150108ftc-iot-privacy-warning/より)
(FTCリポートhttp://www.ftc.gov/system/files/documents/reports/federal-trade-commission-staff-report-november-2013-workshop-entitled-internet-things-privacy/150127iotrpt.pdf)。
(ウォール・ストリート・ジャーナル・ジャパン株式会社http://jp.wsj.com/articles/SB12736489134639783367304580426402615288726 より)