Internet Week 2013 セキュリティセッション紹介第7回「ビッグデータ時代のプライバシー保護技術」

11月26日から11月29日にかけて、一般社団法人日本ネットワークインフォメーションセンター（JPNIC）主催の「Internet Week 2013 ～荒ぶるインターネットを乗りこなす～」が、秋葉原の富士ソフトアキバプラザで開催される。

「Internet Week」は、インターネットに関わる主にエンジニアを対象に、最新動向セッションとチュートリアルを織り交ぜ、計40近くものセッションが会期中に行われる、年1度の非商用イベントだ。

今回のテーマは「荒ぶるインターネットを乗りこなす」。「荒ぶる」とは何やら穏やかではないが、インターネットが、今までに増して利用され、パワフルとなる一方で、「セキュリティ」についてもかつてないほどに叫ばれるようになっている。こうした荒ぶるインターネットを乗りこなすことで、さらなる進化を許容し、価値の高いインターネットを実現していこうと、このテーマとしたということだ。

連載にて、このInternet Week 2013のセッションのうち、情報セキュリティに関する10セッションを選んで、そのセッションの見どころ・意義・背景などを、各セッションのコーディネーターに語ってもらっている。

7回目となる今回は、3日目の11月28日午後に行われるプログラム「ビッグデータ時代のプライバシー保護技術」について、インターネットセキュリティ専門家の佐藤友治氏にお話しいただいた。

――パーソナルに関わるデータが集約された「ビッグデータ」、または「オープンデータ」の利活用が注目されていますが、その中で、プライバシーを保護するための技術には、多くの人の興味がわくのではないでしょうか。

佐藤：はい。今、ビッグデータをマーケティングに活用したり、匿名化したりした上で第三者に提供しようという動きが活発化しています。

しかし、ビジネス面からのビッグデータの利活用とプライバシー保護の両立について、よく議論が起こります。例えば「Suica」の乗車履歴データを外部に販売していたJR東日本のように、実際に行動に踏み切る企業も登場しましたが、本人の同意なしに第三者に提供するその行為には大きな反発が巻き起こりました。また個人情報が含まれていないデータであっても属性情報などから個人を識別できてしまうという問題点も指摘されました。

――「パーソナルデータの利活用」と「プライバシー保護」という相反する概念を両立させるのは一筋縄でいかない、ということですね。

佐藤：そうなんです。パーソナルデータの利活用に関して、米国のグレーな個人情報保護法がネットビジネスで勝ち組になっているのに対して、欧州の個人情報保護法の改正は米国のビジネスの非関税参入障壁を作っているという人もいます。その一方で、パーソナルデータの利活用にこそ、明確なルール、制度が必要であるという主張をする人もいます。

実は今年の6月に日本でも、情報通信技術を利用した成長戦略の一環で、「世界最先端ＩＴ国家創造宣言」という閣議決定がなされたのですが、そこで革新的な新産業・新サービスの創出と全産業の成長を促進する社会の実現を目指すために、「オープンデータ・ビッグデータの活用の推進」がうたわれました。そこで個人情報やプライバシー保護に配慮したパーソナルデータ利活用のルールの方針を年内にも明確化する動きとなりました。

――日本でもそのような閣議決定がされた、ということは知りませんでした。

佐藤：しかし、やはり、いろいろな議論が錯綜しています。2005年には「個人情報保護法」が制定され、この法律は、個人情報の保護と利活用のための法律のはずでしたが、「個人情報の定義が曖昧ではないか」という指摘があがっています。その他にも、「同意（オプトイン）を必要としない第三者提供はしても良いのか」「匿名化は、定義可能か？」なども論点としてあがっています。

――実際、制度ではなく、技術的な見地からは、「匿名化」は定義可能なのでしょうか？

佐藤：匿名化というと、氏名、居住所のデータを直接見てもわからないよう何かに符号化して処理するイメージを持つ人が多いと思いますが、実際は「匿名化」を一義的に定義するのは難しいと思いますね。

また、一般的に匿名化技術にも限界があり、匿名化以外のプライバシー保護技術を検討する必要があります。

実際にパーソナルデータの利活用ビジネスを推進するには、技術と制度の組み合わせで同意（オプトイン）を必要としない第三者提供の道を探る必要がありますし、それも制度、ビジネス、技術、それぞれの観点を見据えた上での「程よい」着地点を探る必要があるのです。

――その中で、このセッションに参加すると、どのようなことが学べるのでしょうか？

佐藤：まず最初に、全体として「プライバシー保護に係る技術・ビジネス・制度の動向」をセコム株式会社IS研究所の松本様に概括していただきます。

次に、Internet Week 参加者に1番身近な技術であるWebに関し、既存のビッグデータ事業者によるWeb技術を使った匿名化された個人に係る情報の収集方法などを、ソフトバンクテレコム株式会社の吉井様にお話しいただきます。

ここで特に深く考えたいのは、SPDY Proxyの話です。SPDYはHTTP2.0としてGoogle社の主導で標準化が進んでいるプロトコルですが、これをProxy化すると、ユーザーが利用するインセンティブは非常に高くなる一方、プライバシー上の懸念は高まる可能性があると個人的には考えています。

TCPのハンドシェイクが一つになるだけでも、モバイルの高速化には魅力です。その分、ほぼすべてのHTTPトラフィック、HTTPSの場合、ドメインとソースIPまでの匿名化された大量の個人情報がProxy事業者に蓄積されます。普及すると、グローバルに、モバイルキャリアは土管になるリスクがあります。日本の電気通信事業法に則れば、Proxy事業者は通信事業者の登録が必要に思われますが、Google社が実施した場合、通信の構成要素を保護するでしょうか?この辺り、個人情報保護法だけでなく、電気通信事業法4条(通信の秘密)の議論も必要ではないかと思っています。

その後、東京大学の山口様に、ビッグデータのプライバシー保護に必要な匿名データについてお話しいただきます。匿名性を高めた個人情報の利活用は、プライバシーインパクトを抑えるのは、間違いないのですが「匿名化措置」を明確にする方向には、必ずしも向かっていません。完全匿名化があるとすると、それは使えないデータになる、というのも関係者の認識になりつつあるように思います。

そこで最後に、筑波大学コンピュータサイエンス専攻の佐久間様には、「ビッグデータのプライバシー保護技術」として、匿名化技術には限界があること、匿名化以外のプライバシー保護技術も検討する必要があるあたりをお話しいただく予定です。

――特にどのような方に聴きにきてほしいと考えていらっしゃいますか？

佐藤：技術面と制度面との関わりをバランスよく話す構成にしていますので、技術者だけでなく事業企画や法務、広報の方など、ネット上で、パーソナルデータを扱うさまざまな関係者にお聞きいただきたいです。

また、この時間の前のセッション「インターネット対応を迫られる法制度～著作権とプライバシー」とセットでお聞きになるとよいと思います。

●プログラム詳細

「S10 ビッグデータ時代のプライバシー保護技術」

- 開催日時:2013年11月28日(木)16:00～18:30
- 会場:富士ソフトアキバプラザ
- 料金:事前料金 5,000円／当日料金 7,000円
- https://internetweek.jp/program/s10/

16:00～16:15
1) プライバシー保護に係る技術・ビジネス・制度の動向
松本泰(セコム株式会社IS研究所)

16:15～16:55
2) ビッグデータビジネスと程よいWebプライバシー
吉井英樹(ソフトバンクテレコム株式会社)

17:00～17:40
3) ビッグデータと匿名化
山口利恵(東京大学)

17:40～18:20
4) ビッグデータのプライバシー保護技術
佐久間淳(筑波大学コンピュータサイエンス専攻准教授)

※特典:このセッションに申し込まれた方には、「Scan Tech Report (年間購読定価10,332円)」もしくは「情報セキュリティ総合情報メールマガジンScan(年間購読定価10,080円)」の無料プレゼントがあります。

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります。

Internet Week 2013
https://internetweek.jp/