プライバシー保護入門―法制度と数理的基礎

プライバシー保護の話はよく聞くのだが、本書ができるきっかけとなったエピソードとして2013年の6月にJR東日本がSuicaの利用履歴を他社に個人情報削除をしたうえで転売することが公になった時、問題視する声が続出し、途絶えたという話があった(以下:Suica事件)。個人情報保護法上の処理を行ったものの、プライバシーに知らされる、再転売が行われるといった危険性について指摘されているのだが、そもそもビッグデータを根本から否定することも事足りるものである。本書ではその騒動のほかに、諸外国でプライバシー保護はどのようになっているのか、そしてプライバシー保護はこれからどうあるべきかを取り上げている。

1章「序」
先述のSuica事件をはじめ、ベネッセの個人データ漏えい事件なども本章では取り上げているが、その中でも本章では個人情報保護とプライバシー保護の違いについてダミーデータ除去、あるいは個人データ削除といった観点から論じている。特にSuica事件は個人情報保護の観点からその情報を削除してもプライバシー保護にはならないというジレンマがまざまざと出ており、本章でも重点を置いて取り上げている。

2章「法制度と技術に関する基礎概念」
個人情報は「個人情報保護法」によって制度化されている、最近ではマイナンバーも出てきたことから「特定個人情報」と言った概念も存在する。しかしその個人情報保護法ではどこまでが個人情報として扱われるのか、他にも法的な観点以外でどこが個人情報にあたるのか、そのことについて取り上げている。

3章「米国、EU、日本のプライバシー保護制度の現状」
プライバシー保護の在り方は国それぞれで異なる。しかしプライバシー保護に関する国際的な在り方もあるのだが、国際的なあり方以上のことはそれぞれの国によって異なる。それがそれぞれの法律に明記されているのだが、どこが異なっているのか取り上げている。

4章「パーソナル・データ・エコシステム」
個人情報を守る、プライバシーを守ることを考えるとビッグデータの概念そのものを否定することとなる。実際にその対立は冒頭にあった「Suica事件」もあるのだが、ほかにも類似したことが諸外国で起こったことを取り上げている。

5章「リンク攻撃と拡大した疑似ID」
リンク攻撃というとインターネットのホームページにあるリンク先を攻撃すると言ったことを連想するのだが、本章ではあくまで個人情報における「リンク」の攻撃に関してである。どのような攻撃なのかというとマイナンバーと言った個人IDに紐づいた情報を特定し、それを識別し、搾取や操作(削除も含む)をするようなことを指す。それとともに、疑似IDと呼ばれるなりすましの温床といえるようなデータも出てきている。これは公的な情報というよりもオンラインショッピングで発覚したものだが、これが公的サービスに発展しないとも限らない話である。

6章「k-匿名化をめぐる技術」
「k-匿名化(k-anonymization)」とは、

「疑似IDを変形して個人データのレコードを該当する当該個人以外のk-1人に紛れさせ、個人の一意絞り込みを阻止する方法である。つまり、k-匿名化されたデータベースにおいては、疑似IDの組み合わせ(年齢、郵便番号、性別など)の値が同一の人は少なくともk人存在することが保証されており、リンク攻撃されてもk人以下には絞り込めない。したがって、疑似IDと個人IDの両方を持つ攻撃者であっても個人識別は1/k人の確率でしかできない」(p.135より)

とある。簡単に言えば「なりすまし」を容易に行うために、前章にて取り上げた疑似IDを応用してつくられた技術のことを指している。しかしなぜその技術が生まれたのか、そしてその対策にはどのようなものがあるのか、そのことについて取り上げている。

7章「差分プライバシー」
本章で取り上げる「差分プライバシー」とは、なりすましとは違いプライバシー保護に使われる技術で、

「データベース中の個人データの含まれるレコードン愛用を攻撃者から保護しつつ、データベース全体に対する統計的解析を可能とする仕組み」(p.177より)

とある。元はアメリカで提案され、使われているのだが、果たしてその概念とは何かを取り上げているのが本章である。ただ本章はそのメカニズムを数学的に取り上げられているため、数学が苦手な方はついていくことは難しい。

8章「質問監査」
セキュリティの際に「秘密の質問」が出てくることがある。その質問は個人的な趣味・嗜好・家族など本人が知りえないような方法をあらかじめ質問・回答とすることによってセキュリティリスクを減らそうとする概念である。しかしそれは複数のものになったとしてもセキュリティ上かえって危険を及ぼすと本章では指摘している。

9章「秘密計算」
計算というと、バーコードや数字などの暗号化する際に使われる「チェックディジット」を連想するのだが、本章ではそうではなく、個人情報・プライバシー情報の匿名化をする際に使われる技術の一つを表している。個人情報に紐づけされるIDなどの情報を計算により暗号化(マスキング)することを表している。

プライバシー保護は個人情報と同じように見えて共通する部分もあれば、全く異なる部分もある。またSuica事件のように個人情報保護はできていてもプライバシー情報を連結することによって個人情報漏洩になってしまうという概念も存在するため、プライバシー保護を学ぶことは一枚岩ではいかないし、ビッグデータ活用の大きな障害になってしまっている。もちろん企業としてそれらの保護をする必要はあるものの、それらの概念を知っておく必要がある。本書はその入り口にあたる一冊である。