「なぜクラウド型音声認識サービスは情報漏えいのリスクがあるといえるのか。情報漏えいのリスクについて掘り下げて考えるとともに、クラウドサービスを利用する際の注意点とサービス選択時のポイントについて紹介する」
前回、Googleの音声認識をインターネット経由で利用できる「Voice Rep Pro(ボイスレップ プロ)」という製品についてレビューし、使用する際の注意点として機密情報を含む音声の利用は控えたいと述べた。理由は、情報漏えいのリスクがあるといえるからだ。
では、なぜインターネットを介した音声認識サービスでは情報漏えいのリスクがあるといえるのか。今回はクラウド型音声認識サービスにおける情報漏えいリスクについて、「Voice Rep Pro」を例に挙げ、考えてみたい。
【参考】テープ起こしに生かせる?音声認識製品・サービス、最新情報(2) ―Voice Rep Pro―
マイクに話し掛けることなどによって入力された音声データは、インターネットを介していったん音声認識サーバー(事業者側のシステム)に送られる。そして、サーバー側で認識処理を行ったのち、その音声認識結果であるテキストデータをユーザー側に送り返す、という流れだ。
■クラウドサービスでは、何らかの情報をサービス事業者に渡すことは避けられない
この動作から分かるように、クラウド型音声認識サービスでは「インターネットを介してデータがやりとりされている」ということを、まず意識したい。その間のセキュリティも気になるところであるが、音声認識を行うために音声データは事業者側のサーバーに送信されることになり、これによって利用者はデータをサービス事業者に渡すことになる。クラウド型のサービスは便利に利用できる反面、「何らかの情報をサービス事業者に渡すことは避けられない」のだ。
似たサービスにオンライン翻訳サービスがある。サービス概要は、翻訳したい文書をウェブページにコピー&ペーストすると、サービス事業者側の翻訳プログラムが自動的に翻訳するというもの。利用したことがある方も多いだろう。こちらの動作としてもクラウド型音声認識サービスと同様であるが、利用時のリスクとして、コピー&ペーストした翻訳元文書の内容を外部に送信してしまうことになり、その内容が機密情報に該当する場合、知らない間に情報漏えいしてしまうといったことが考えられる。パソコンに翻訳ソフトをインストールすることなく気軽に文章を翻訳できる代わりに、翻訳する元の「文章そのものを事業者に渡している」といえるのだ。
とはいえ、事業者側のサーバーにデータが送られても、処理後全て完全に削除されるのであれば、情報漏えいのリスクはないといえるかもしれない。では、クラウド型音声認識サービスでは、送信された音声データはどうなるのか? ここで意識的に確認したいものが利用規約である。
■サービスを利用する前に利用規約をきちんと確認すること
大抵どのサービスでも利用する前には利用規約に同意するかどうかを聞かれるが、サービスを利用するということは利用規約に同意するということだ。そのサービスがどのような動きをするか、情報をどう扱うかなど、利用者は事前に利用規約をきちんと確認するべきである。その上でサービスを利用するかどうか、どのような情報なら扱ってもいいか、利用者自身が判断すればいいだろう。
ただ、サービスによっては利用規約に情報の取り扱いが記載されていなかったり、確認しようと思っても容易に確認できる仕様になっていなかったり、といったものもある。そのような場合は利用しないほうが賢明だ。特によく分からない会社のサービスやアプリであれば安易な利用は避けたいところである。
先日、中国検索大手「百度(バイドゥ)」製の日本語入力ソフト「Baidu IME」が入力された文字情報をユーザーに断りなくサーバー送信していたことが明らかになり問題となったことは、まだ記憶に新しい。利用規約を一切見なくても利用を開始できたり、利用者の知らないところでデータ送信が行われていたりするものもあるので、十分に注意したい。併せてサービス利用時には、設定にはどのような内容があるか、また例えば情報送信が初期設定でオンになっているなど、その初期設定がどうなっているかも十分に確認したい。
先に触れたように、インターネットを介したサービスでは何らかの情報をサービス事業者に渡すことは避けられない。重要なデータを扱うのであればなおさら、利用するサービスについて利用者はしっかりと理解し、サービスを選択したほうがいい。
では、音声認識サービスの場合はどうか。例えば「Voice Rep Pro」であれば、前回に紹介したとおり本ソフトはGoogleの音声認識サービスを利用しているため、音声認識機能についてはGoogleの利用規約に従うこととなる。Googleの利用規約では、Googleのサービスを利用する場合、サービスの品質向上のために情報を収集し、保管し、Googleのプライバシーポリシーに従ってデータを利用する、ということである。
【参考】Google 利用規約
要するに、本ソフトで音声認識機能を利用すると、そのデータはGoogleの音声認識サーバーに送信され、Googleで保管され、必要に応じて利用される場合があるということだ。なお、これは「Voice Rep Pro」に限ったことではなく、インターネットを利用したクラウド型音声認識サービスでは大抵同様のことが記載されている。
これに関しては、以前このブログでも「音声認識を利用する際に知っておきたい注意点」として取り上げたことがあるので、こちらも参考にしてほしい。サービスを利用する上で注意したいのは、利用者としては収集されたデータがどのような内容でどう保管されているかは分からないが、情報を相手に渡していること、そして、何らかの情報が相手側で保管されていることは事実だということだ。
よって、収集されたデータがどのような内容で保管されているのかが分からない上、万一その情報が不正アクセス等で漏えいしたとしても、利用者はどうすることもできない。また、絶対に情報が漏えいすることはないと誰も断言できない。その可能性が否定できないことから、ここに情報漏えいのリスクが存在するといえる。現時点のクラウド型音声認識サービスでは、その仕様から情報漏えいのリスクが否定できないので、機密情報を扱うべきではないと結論付けてもいいだろう。
■クラウドサービスを利用する際の注意点とサービス選択時のポイント
現在、今回取り上げた音声認識サービスをはじめ、ウェブメールやスケジュール、オンラインデータ保管サービスなど、インターネットを利用した便利なサービスが数多く存在する。無料のものから有料のものまで、さまざまだ。また、今後も多くの便利なサービスが出てくることだろう。
ただ、これらの多くはクラウドサービスに該当するが、私たちは普段インターネット利用時にクラウドサービスとはあまり意識していない。しかし、先にも述べたが、クラウドサービスは便利に利用できる反面、何らかの情報をサービス事業者に渡すことは避けられない。個人情報や組織の機密情報などを扱う際には、利用規約等で情報の取り扱いや利用範囲などを十分に確認し、機密情報を不用意に外部に流さないように意識することが重要といえる。
極端にいえば、インターネットを利用しなければ被害に遭うリスクは激減するかもしれないが、今の世の中、それはもう不可能である。そういう世の中であるのだから、利用者自身がインターネットについて理解し、リスクを知った上でサービスを選択していく必要があるのだ。
そしてサービス選択時には、サービス事業者のセキュリティ対策レベルなども併せてチェックしておきたい。先に述べた情報の取り扱いや利用範囲などのほか、セキュリティや情報の保護に対してどのように考えて取り組んでいるのか、不正なアクセスに対して対策を講じているのか等、企業のセキュリティーポリシーやプライバシーポリシーも事前に確認したい事項である。
特にクラウド型データ保管サービスでは、自分のデータを相手にそのまま預けることになる。不正アクセスやデータ消失といった事例も過去に発生しているように、利用者としては預けるデータの性質を慎重に判断するとともに、契約するサービス事業者のセキュリティ対策レベルや保証の範囲などを利用規約等であらかじめよく確認することが大切となるだろう。
なお、「Voice Rep Pro」のGoogleの場合は、収集したデータはGoogleのプライバシーポリシーに従って利用するとあるが、そのプライバシーポリシーとして、Google が保持する情報への不正アクセスや不正な改変、開示または破壊からGoogle とそのユーザーを保護するよう努め、対策を講じている、ということが書かれている。
ただ、だから絶対に安全とは言えないところが現状である。例えば大手銀行など、しっかりとしたポリシーで対策を講じているところからも情報漏えいは実際に起こっている。結局、情報漏えいなども起きるときは起きてしまうのだ。
絶対に大丈夫だと言えないからこそ、利用者には、想定される脅威を自身が理解し、その上でどう利用していくか、どこのサービスを選択していくかという判断が求められる。その上でサービスを選択するポイントとしては、その企業(サービス)が信頼できるかどうかと、問題が発生したときにどのように対応できるか、ということではないだろうか。
今回の主なポイント
※クラウドサービスでは何らかの情報をサービス事業者に渡すことは避けられない
※まずは利用者自身がリスクについて理解し、利用の際には意識すること
※利用する前に利用規約等を十分に確認し、信頼できるサービスを選ぶこと
※そもそも漏れたら困る個人情報や機密情報等は不用意に扱わないこと