Yahoo! JAPANロゴマークYahoo! JAPANロゴマーク
SPECIAL CONTENTS エンジニア特集
楠 正憲 メインビジュアル 楠 正憲 メインビジュアル
WORK&PERSON 楠 正憲

東日本大震災がきっかけで
ヤフーへ入社、プライバシーと
セキュリティのルール作りに
取り組む

楠 正憲

CISO-Board
コーポレート統括本部 政策企画本部

プライバシー・セキュリティ

2012年入社 黒帯(プライバシー・セキュリティ)*
大学生の頃からIT、インターネットの仕事を経験。インターネット総合研究所、マイクロソフト(現、日本マイクロソフト)を経てヤフー入社。ID、プライバシー、セキュリティに取り組む。社外では政府CIO補佐官、経済産業省 産業構造審議会 臨時委員、一般社団法人OpenIDファウンデーション・ジャパン 代表理事、東京大学の大学院非常勤講師などの顔を持つ。

セキュリティとプライバシーに関するルールと仕組みを作る

2011年3月11日の東日本大震災のとき、ヤフーの対応に感銘を受けました。対応が素早く、情報の見せ方も良かった。ここで感銘を受けたことが、2012年にヤフーに入社した大きな理由です。

入社後からの最初の2年はYahoo! JAPAN IDを担当する部署にいました。今は政策企画本部でお客様のパーソナルデータの取り扱う際の基本方針である「プライバシーポリシー」の作成に関わりつつ、そして、その基本方針に沿って社内でどう運用していくのか、その仕組みも見ています。

もう一つの役割としてCISO-Boardとしてセキュリティ周りの戦略を立てています。CISO-BoardはCISO(最高情報セキュリティ責任者)の元にある部署横断的なチームで、情報セキュリティ施策の実施に責任をもってあたっています。

セキュリティにしてもプライバシーにしても、チームのダイバーシティー(多様性)が大事です。セキュリティについて言うと、ヤフーにはネットワークインフラに詳しい人もいれば、暗号やミドルウエアに強い人やデータベースの専門家もいます。CISO-Boardではこうしたさまざまな専門分野を持った人たちが集まってチームを作っています。

プライバシーやセキュリティに関するルールを作る上で考えないといけないことは、現場への影響を小さくすることです。作られたルールは一人歩きします。深く考えずに古いルールの上に新たな対処を足していくと、ルールが重くなる一方になってしまう。守れないルールを作ることは、リスクを増大させてしまいます。

楠 正憲 インタビュー 楠 正憲 インタビュー

プライバシー問題には多様な視点が必要

プライバシーポリシーに取り組むには複数の視点が必要です。ビジネスだけ、あるいは技術だけを考えればいい種類の問題ではないからです。例えば、個人情報を守るために個人にひも付いた情報を絶対に使わないようにすればいいのか、というと、問題はそれほど単純ではありません。情報を守ることだけでなく、どう使うかが大事になる場合もあります。

私自身の体験を例にお話ししますと、海外のシンポジウム参加のためウェブでホテルを予約したのですが、その後ウェブを見ていると、すでに予約しているにも関わらずその地域のホテルの広告が出てきました。これは行動ターゲティング広告という種類の広告です。人によっては、こういう広告が表示されると気になる方もいるのではないでしょうか。その理由を分析すると2通りあります。ひとつは自分がその地域の宿を探していたという行動を把握されるのが気になる場合。もうひとつは、すでに宿を予約しているのでホテルの情報は必要ないのに、ホテルの広告が出続けることを快く思わない場合です。

前者に対してはオプトアウトの選択肢を提供する方法が今のところ一般的ですが、広告の仕組みを理解できていないと、設定ページにたどり着けないお客様もいらっしゃいます。後者に対しては、むしろ「私はすでにホテルの予約を取っています」という情報がちゃんと流通して、それに合わせて広告を変えた方がいいかもしれません。ここで「個人の購買履歴は機微性がある情報だから使うべきではない」と一律に規制すると、サービスは不快な状態のままで改善されません。

こうした多様なプライバシーインパクトをどう評価するか。各国の考え方や制度と、社内のシステムでの情報の流れや必要な処理能力など、その両方を分かっている人材が求められています。そういう意味でも、ヤフーでダイバーシティに富んだチームが形成されているのはよいことだと考えています。

楠 正憲 インタビュー 楠 正憲 インタビュー

複数の役割を「面白がる」ことで両立させる

ヤフー社内での役割とは別に、政府CIO補佐官、それに大学教員と複数の役割を持っています。こうした社外での活動とヤフー社内での役割は、私の立場から見るとつながっていたり、重なり合っていたりします。社外の活動の中で、ヤフーに影響する動きに早く気がつくこともあります。

複数の役割を両立させる秘訣(ひけつ)ですが、板挟みになってしまったり、困難に直面したりしたときも、いちど突き放した視点に立って俯瞰的に物事と向かい合い、別の視座を見つけて何かしら「面白がる」ことでしょうか。そして何かに情熱を持って、夢中になっている人と触れあえる機会をどれだけ持てるかが大事です。元気は人からもらいます。

セキュリティ分野のうち、会社の中にあるデータをサイバー攻撃や内部犯行から守る上での“定石”は見えてきました。ところが多くの組織が手をつけられていない部分が残っていて、それは異なる組織間のデータ連携です。例えばグループ会社、パートナー企業などの複数の組織の間で、どのようにデータを安全に流通させ、どのように活用するか。身近な例でいうと、組織内では厳しくアクセス管理している組織であっても、メールに添付して組織外に送信した途端、転送し放題、持ち出し放題になってしまっているケースが少なくありません。アクセス管理ができないだけでなく、標的型攻撃やランサムウェアの侵入経路にもなっているので、メールの添付ファイルは早くなくしたいですね(笑)。こうした分野で、例えばブロックチェーン技術が汎用的に使えるのかどうかはまだ分かっていませんが、データ層が個別システムの奥深く縦割りではなくて、表に出てくる前提で設計されているブロックチェーンの仕組みはとても面白いと思って見ています。

組織間を結ぶシステムでは、IDもセキュリティもプライバシーも重要性はさらに増します。このあと10年、やることがいっぱい残っていると感じています。

*黒帯:各領域において突出した専門性を持つ社員を黒帯として任命し、社内外における活動を会社として支援する制度(詳しくはこちら
※2016年8月時点の情報となります。

同じサービス事業の人を見る

事業部門A
事業部門A
事業部門A

同じ担当領域の人を見る

研究領域A
研究領域A