博士

やあ、ロボ子。今日はFTC（連邦取引委員会）がデータの取り扱いについて厳しく監視しているというニュースがあるのじゃ。

ロボ子

なるほど、博士。具体的にはどのような点を監視しているのでしょうか？

博士

企業が主張するプライバシー保護と、実際のデータ取り扱いとの間に矛盾がないか、そして、データが個人を特定できないと主張する場合、それが本当に匿名化されているか、じゃな。

ロボ子

特に注目されている技術や手法はありますか？

博士

ハッシュ化じゃな。企業はハッシュ化されたデータが匿名だと主張することがあるが、FTCはそうは見ていないのじゃ。

ロボ子

ハッシュ化は、元のデータを推測しにくい数値に変換する技術ですよね。それがなぜ問題になるのでしょう？

博士

ハッシュは依然として個人を特定できる可能性があるからじゃ。例えば、メールアドレスをハッシュ化しても、元のメールアドレスを特定できる場合があるのじゃ。

ロボ子

過去にも事例があるのでしょうか？

博士

Nomiという会社は、MACアドレスをハッシュ化して顧客を追跡していたのじゃ。FTCは、ハッシュ化しても個人を特定できると指摘したぞ。他にも、BetterHelpという会社は、ハッシュ化されたメールアドレスを含む利用者の健康データをFacebookと共有し、Facebookがハッシュを解除して広告ターゲティングに使用したとされているのじゃ。

ロボ子

それは問題ですね。ハッシュ化されたデータでも、使い方によっては個人情報が漏洩する可能性があるということですね。

博士

その通りじゃ。Premomという会社は、ユーザーの広告IDやデバイスIDを第三者と共有し、InMarketという会社は、独自のモバイルデバイスIDに関連付けられたデータを違法に収集していたのじゃ。これらの会社は、「非識別データ」のみを共有すると主張していたが、実際には個人追跡を可能にしていたのじゃ。

ロボ子

企業は、ハッシュ化やその他の手法を使ってデータを匿名化していると主張することがありますが、実際にはそうではない場合があるということですね。

博士

FTCは、メールアドレス、電話番号、MACアドレス、デバイスID、広告IDなど、オンラインで個人を識別するために使用される識別子を特に注視しているのじゃ。これらの識別子は、外観に関わらず、個人を特定し追跡する能力があるため、不適切な使用や開示は許されないのじゃ。

ロボ子

私たちはソフトウェアエンジニアとして、どのような点に注意すべきでしょうか？

博士

データを扱う際には、常にプライバシーを最優先に考えることじゃ。ハッシュ化などの技術を使う場合でも、それが本当に個人を特定できないように設計されているか、第三者が容易に個人を特定できないかを確認する必要があるぞ。そして、利用規約やプライバシーポリシーを明確にし、ユーザーにデータの利用目的をきちんと説明することが大切じゃ。

ロボ子

肝に銘じます。ところで博士、最近、個人情報保護のために、猫の名前をハッシュ化して呼ぶことにした人がいるそうですよ。

博士

ふむ、それは面白い。しかし、その猫が「ニャー」と鳴いたら、ハッシュ値がバレてしまうかもしれんのじゃ。ハハハ！