パーソナルデータに関する検討会の答申をどう読むか -完璧な匿名化は存在しない(1)
テーマ1:「パーソナルデータ検討会の答申をどう読むか」
2014.02.10
Updated by 特集:プライバシーとパーソナルデータ編集部 on February 10, 2014, 10:00 am JST
Follow us on
各種会員カードやクレジットカード、SNS、スマートフォンアプリやwebサービスによって、いついかなる時も常に新たなパーソナルデータが生成されている。消費者としては、利便性を享受しつつも、不安を感じることもあるのが、正直なところだろう。
一方、事業者の側も、現行の個人情報保護法と主務大臣制による縦割りのガイドラインの現行制度に、リスク判断の困難さを感じる方も多いのではないだろうか。
米調査会社IDCが1月27日(現地)に発表したレポートによると、2013年には世界のスマートフォン出荷台数が初めて10億台を突破したという。今後はスマートデバイスの台頭はもとより、ウェアラブルやセンサーネット等からも、膨大なセンサーデータが生まれてくる。今後しばらく、プライバシーの問題は避けて通れない課題である。
2013年末、内閣官房の「パーソナルデータに関する検討会」は、個人情報やプライバシーに関連する法制度の改正や新法制定を視野にいれた答申を出した。本企画は、こうしたパーソナルデータや個人情報を巡る最新動向と課題の整理を目的とする。
そのかわきりに、同検討会に設置された、技術検討ワーキンググループ(以下技術WG)のメンバーであった、NTTセキュアプラットフォーム研究所プロジェクトマネージャ高橋克巳氏に、検討会の目的や、主要なテーマとなった「匿名化」についてうかがった。(聞き手:JIPDEC)
ビッグデータ「活用」のためのパーソナルデータに関する議論が求められた
──なぜ、今パーソナルデータの議論なのですか。
NTTセキュアプラットフォーム研究所
高橋克巳氏
高橋氏(以下敬称略) 政府の成長戦略が前提になっています。昨年6月に発表されたアベノミクスの第三の矢の一つ「世界最先端IT国家創造宣言」の冒頭で、「オープンデータ・ビッグデータ活用の推進」が位置づけられたことに起因します。
ビッグデータにはいわゆるパーソナルデータの安全な活用がかなり含まれるため、円滑にパーソナルデータを扱えるようにするために検討を始めた、という経緯です。工程表の中でも2013年中に検討が終了すると書いてあります。
──高橋さんはそのなかでどのような役割を担われたのですか?
高橋 私は「パーソナルデータに関する検討会」(以下親会)の下に設置された技術WGのメンバーでした。情報セキュリティやプライバシー保護技術の研究開発に関わってきた経験から、パーソナルデータを技術的な観点から議論しました。
──技術WGはどういったことを検討したのでしょうか。
高橋 詳細は報告書(後述)をご覧いただきたいのですが、親会からリクエストを受けて検討したのは「匿名化データの定義」と「立法を視野に入れた検討」の2点です。匿名化技術についてこのWGでは技術的な観点から純粋に議論出来たと思っています。
一方で、議論を重ねながら感じたことは、世の中にはこのような技術に関する基礎的な議論がまだ不足しているということです。多くの技術者が集まってそのことが確認できたというのも、大きな成果だと感じています。
===
ビッグデータ標準の世界では完全な匿名化はない?
──匿名化について技術的な観点から教えていただけますか?
高橋 「匿名化」に対する世の中の認識には、個人情報が「誰であるかわからないデータ」になるというものがあると思います。しかし実際には、データから選んだ属性を〈削除〉や〈加工〉する技術ととらえるのが誤解を生みにくい考え方だと思います。〈削除〉により直接個人が特定されることを防ぎ、〈加工〉によって間接的に個人が絞り込まれることを防ぎます。
〈削除〉の場合、これは取り立てて難しい問題ではありません。たとえば、データベースから名前のデータが全て消えている、という分かりやすいものです。
〈加工〉の場合、例えば、住所・年齢・生年月日などをどう取り扱うか、という問題ですが、四捨五入などでデータを曖昧にするなどのかたちで「誰であるか」をわかりにくくします。
ただし、技術的に考えると、こうした〈削除〉や〈加工〉によって「匿名化」されたデータが作成できたと一概には言えません。それらは個人情報の加工技術でしかありませんし、それらの処理を行ったことだけで、匿名化されたことを担保することはできないのです。
──「完全に匿名化されない」というのは、なかなか難しいですね。
高橋 たとえば、「住所・年齢・年収・ある商品購入の有無」というデータについて考えてみましょう。住所・年齢・年収があいまいになってさえいれば、商品購入の有無は(それが極端に少ない数でない限り)出しても差し支えないデータになる―つまり、匿名性は保たれる―ということがこれまで考えられていました。
しかしそれがビッグデータだと、連続した位置情報で構成される移動履歴や、購入品1年分の履歴が揃ってしまいます。それぞれの点のデータでは「その人であったかどうか」分からないことが、全体を合わせることで見ると、その人が、どこの誰だか分かってしまう。つまり特定されるリスクが高くなります。
──データを組み合わせることで、個人が特定されてしまうわけですね。
高橋 そのように考えると、匿名化したデータを作る時に、何を〈削除〉し、どこまでの属性を〈加工〉すれば安全にデータを活用できるか、ということが自明ではないということが分かります。
技術WGでは、匿名化されたデータも他のデータと合わせることで、個人が分かってしまう場合もあるかもしれない、という基本的な事項を確認しました。実際には匿名化の手法ごとに多様な情報が作られるため、匿名・非匿名という仕分けは不適当であるという議論もしました。
そこで、匿名性の解像度をあげよう、ということになりました。
(完璧な匿名化は存在しない(2)に続く)
【参照資料】
技術検討ワーキンググループ報告書
情報通信技術の発展により、生活のあらゆる場面で我々の行動を記録した「パーソナルデータ」をさまざまな事業者が自動的に取得し、蓄積する時代となっています。利用者のプライバシーの確保と、パーソナルデータの特性を生かした「利用者にメリットがある」「公益に資する」有用なアプリケーション・サービスの提供を両立するためのヒントを探ります。(本特集はWirelessWire News編集部と一般財団法人日本情報経済社会推進協会(JIPDEC)の共同企画です)
