英国のデータ保護機関である情報コミッショナーオフィス(ICO)はこのほど、IoT製品メーカーが適切なデータ保護を行えるようにするためのガイダンスを公表しました。昨今、IoT製品が大量の個人情報を収集・処理していることを受け、それらの製品のメーカーや開発者に対して、製品利用者のプライバシー保護を優先するよう呼びかけるものです。
例えば、個人情報の利用について、一部のIoT製品は位置情報を取り扱う場合があり、これはユーザーの生活に関する情報を含む可能性があるため、機密性を持つ個人情報にあたるとしています。取り扱う場合はGDPRへの準拠が求められており、▽サービスを提供するために必要な位置情報のみを収集すること▽位置情報を処理することで生じるリスクやリスク軽減のために実施できる対策などを特定すること、などに留意する必要があると述べました。
さらに、個人情報利用の透明性を確保するためには、ユーザーに▽個人情報を利用する理由▽利用する個人情報の種類▽取り扱いに係る法的根拠▽利用する個人情報がサービスにどう影響するか▽個人情報保存の有無と期間▽他の組織との共有の有無▽データ保護の権利行使、といった項目について明記する必要があるとしています。また、個人情報を収集する際には必ずプライバシー情報を提供する必要があり、同意を求めるリクエストのチェックボックスとは区別して記載するよう求めました。ユーザーが理解できるよう明確で平易な言葉を用い、簡潔でアクセスしやすいように記述することについても言及しています。
このほか本ガイダンスでは、家庭でIoT製品が利用される場合のGDPR適用や必要となるリスク管理、子どもがIoT製品を利用する可能性がある場合などについても説明がなされています。