個人データの分散管理

2014.05.27

Updated by Koiti Hasida on May 27, 2014, 08:10 am JST

PDS

個人が本人のデータを蓄積・管理し、さらにそれを家族や友人や事業者と共有して活用するための仕組みをPDS （personal data store）と言う（storeの代わりにstorage、service、bank、vault、locker等が使われることもある）。この概念はさほど新しいものではなく、1970年に発表された星新一(1927～1997)の「声の網」にも見られる。ちなみに、星新一は「ショートショートの神様」と呼ばれているが、この作品は長編である。

「声の網」は、ネットワークで相互接続された多数のコンピュータが電話で人間からデータを収集し、そのデータを駆使して人間に気付かれないように社会を支配する、というディストピアを描いている。そこに登場する「情報銀行」というサービス事業者は、顧客の個人データをコンピュータに保管し、顧客はそのデータを必要なときに引き出して利用することができる。情報銀行は、妻に結婚記念日のプレゼントを買うべきことをリマインドしてくれたり、個人情報を分析して毎日の食事のメニューを顧客の好みや体調に合わせて選んでくれたりもする。

コンピュータたちはこのような個人情報の管理を通じて社会を影で支配するようになる。電話によるデータ収集は、通話の内容だけでなく、脳波などのバイタルデータにも及ぶ。コンピュータが人間の声色をまねて電話をかけ、人の弱みに漬け込んで電話のシステムを秘かに改造させることにより、電話器で盗聴したり、受話器から人間に薬剤を投与したりすることも可能である。警察のコンピュータと電話システムが連携して反乱分子の身元を洗い出し、社会的に抹殺したり記億を奪ったりすることもできるので、支配は盤石である。

ここで描かれている情報銀行は、上記の通り、元来は個人データを蓄積・保管することによって当該個人の生活や業務を支援してくれるはずのものであり、もちろん顧客の個人情報を無闇に漏らしてはいけないことになっている。しかし、おそらくシステムの設計のどこかにバグがあったため、人間の予想を越えて優秀なコンピュータたちがその不備を突いて個人データを人間に断りなく共有し悪用してしまったのである。

集中PDS

2045年あたりにコンピュータの知的能力が人間を越えて社会の様相が根本的に変わる ― シンギュラリティ（※1）― という話が一部で盛り上がっているが、私見ではあと30年ぐらいでそんなことが起こるは思えない。そうすると、情報システムおよび社会制度を入念に設計することにより、「声の網」のような問題が生じないような情報銀行が実現できるのではないか。実際、最近日本で提唱されている情報銀行（※2）は、名称は「声の網」のそれに因むものではないとのことだが、コンセプトはほぼ同じでり、システムと制度の適正な設計により安全で公正な個人データの活用を目指している。

情報銀行は、多数の個人のデータを事業者が集中管理するという意味において集中型のPDSである。ここで「事業者が集中管理する」というのは、本人の許可を必要とせず事業者の判断で各個人のデータを利用することが技術的に可能だということである。つまり、たとえ個人データの利用に本人の許可が必要である旨が法律や契約で定められていても、事業者の過失または悪意によりその定めが破られてデータが不正に利用されることがあり得る。そのような過失や悪意から個人の尊厳を守るには、厳格な社会的ルールとその正確な運用が必要である。

分散PDS

これに対し、前回の最後に触れたPLR (personal life repository; 個人生活録)は、各個人のデータを本人が管理するという意味において、分散型のPDSである。個人データを本人が管理するというのは、そのデータを利用するには技術的に本人の許可が必要だという意味である。たとえばそのデータがどこかの事業者のサーバに保管されていても、その事業者が過失や悪意により本人に無断でデータを利用することはできない。「分散」とは、データが個人ごとに分けて管理されているということである。

現在のPLRの実装は、下図のように、利用者の非公開データを暗号化してGoogle DriveやDropbox等の基本無料のパブリッククラウドストレージに保存し、利用者自身または利用者が指定した他者がそのデータを取得し復号して利用することを可能にするような、スマートフォン等のアプリである。GoogleやDropbox等のクラウド運営事業者に復号用の鍵を開示しない限り、データの内容が事業者に知られることはなく、ゆえに事業者の過失や悪意によるデータの不正利用はあり得ない。

集中PDSよりも分散PDSの方がはるかに安価かつ安全であり、また利便性も高い。

まず、集中管理の場合は多数の個人のデータを保管するコストと漏洩のリスクを事業者が負わなければならない。保管そのもののコストはあまり大きくないかも知れないが、大量の個人データが漏洩する事件は現実にしばしば生じており、場合によっては事業そのものが破綻しかねない。たとえばTargetという米国の小売チェーンで2013年の11月から12月にかけて約4,000万人のクレジットカードの情報が漏洩してクレジットカードが不正使用され、経営をゆるがしている（※3）。

分散PDSは、スマートフォンの個人向けアプリとして実現できるので運用コストはほぼゼロである。一度に漏洩するデータが高々１人分なのでセキュリティも高い。上記のように4,000万人分のデータが漏洩し得る集中管理よりも、大雑把に言えば4,000万倍も安全なわけだ。

また、各々の集中PDSによって個人データが流通する範囲が特定の事業者(のグループ)の中に限定されるのに対して、分散PDSは、複数の事業者(のグループ)の間で個人データを流通させることができるという意味で、利便性も高い。たとえばＴポイントカードの購買データはTSUTAYAやファミリーマートや無印良品やエクセルシオールカフェの間で流通しているが、その範囲をAmazonや楽天やセブン＆アイやAEONを含むあらゆる事業者に拡大するのはどう考えても無理だろう。個人データの利用について包括的同意(自分のデータの利用を案件ごとに個別に許可するのではなく、全部一括で承認すること)しかできないという意味でＴポイントやGoogleやYahoo!やマイナンバーの仕組はPDSとは言えないが、いずれにせよ、単一の集中管理の仕組の中であらゆる種類の個人データを流通させるのは明らかに不可能だ。したがって、個人データの一般的な流通・活用には分散PDSが必須である。

ビッグデータ

ただし、限られた範囲とは言え、集中管理によって個人データを比較的自由に（上記のような包括的同意に基づいて）事業者が利用することは、ビッグデータの活用のためにはある程度まで許容しても良かろう。多数の個人のデータを集めたビッグデータを分析することによって病気の治療法を解明したり天災の被害を低減させたりエネルギーの利用を効率化したりできれば社会全体に利益がもたらされるが、そのための個人データの利用に際して個別案件ごとに本人の承諾が必要だと、データの収集にコストがかかりすぎる恐れが大きい。プライバシを保護しつつこの問題を解決する方法については別の機会に述べよう。

※1）シンギュラリティの時代：人を超えゆく知性とともに
http://www.ai-gakkai.or.jp/vol28_no3/