2024.12.16
レポート
PETs/プライバシーテックの可能性
パーソナルデータ利活用の今後の展望
池田・染谷法律事務所 弁護士 今村 敏氏
プライバシーテック協会 事務局長 竹之内 隆夫氏
KDDI株式会社 経営戦略本部 Data&AIセンター センター長 木村 塁氏
一般財団法人日本情報経済社会推進協会 電子情報利活用研究部 主幹 恩田 さくら
はじめに
私たちの暮らしは、すでにさまざまなデータの利活用を前提に成り立っています。パーソナルデータを利活用しサービスを提供する事業者や団体にとって、利用者のプライバシー保護は大変重要なポイントです。
匿名化や仮名化、秘密計算、差分プライバシーなど、個人情報保護・プライバシー保護に関わる技術は日々進化しています。これらの技術はPETs(Privacy-Enhancing Technologies:プライバシー強化技術)やプライバシーテックと呼ばれ、近年OECDや各国政府からガイドライン等が公表されています。また、パーソナルデータに関わるガバナンスやリスクマネジメントなど、プライバシー保護のための組織活動を技術的に支援する取り組みも増えています。
今回は技術の力で課題を解決する側面に焦点を当て、技術・事業・法律の観点から3名の専門家にお集まりいただき、「PETs/プライバシーテックの可能性とパーソナルデータ利活用の今後の展望」として座談会形式でお話を伺いました。
プライバシーテック協会で事務局長を務める竹之内隆夫氏は長年、日本電気株式会社でプライバシー保護技術の研究開発を行い、株式会社デジタルガレージとLINE株式会社(現LINEヤフー株式会社)を経て現在は株式会社Acompanyに在籍し、「プライバシーDX」というプライバシーテックの活用支援や技術の社会実装の活動をされています。KDDI株式会社 経営戦略本部 Data&AIセンター センター長の木村塁氏は電気通信事業の実務に携わり、最先端のプライバシーテックを応用する現場にいらっしゃいます。池田・染谷法律事務所 弁護士の今村敏氏は総務省総合通信基盤局で政策立案に携わった経験を生かし、パーソナルデータの利活用を伴う事業を実施する企業を支援されています。それぞれの立場から見えるPETsやプライバシーテックの現在地について、座談会を通じて読者の皆さんと共有したいと思います。
PETs/プライバシーテックの主要な技術
恩田:本日はお集まりいただきありがとうございます。はじめに竹之内さんからPETsやプライバシーテックの主要な技術についてご紹介ください。
竹之内:データ利活用にあたっては、個人に関する情報も含まれるのでプライバシー保護が不可欠であり、そのための技術として開発が始まったのがプライバシー保護技術です。いろいろな企業がここに研究開発投資を行って、発達してきました。主な技術について一つずつ説明したいと思います(図1)。
①匿名化・仮名化:個人特定は氏名などを削除しただけでは防げません。属性の組み合わせから特定できる恐れがあるので、それを回避するためにデータを加工する技術です。
②秘密計算:データを開示せずに暗号化したまま処理ができる技術です。
③差分プライバシー:複数の集計結果の組み合わせから個人が特定される恐れがあるため、あえて集計結果にノイズを入れてその特定を防ぐ技術です。
④合成データ:元データをそのまま機械学習に使うのではなく、元データに似せた別のデータを生成し、特徴を維持した別のデータを作る技術です。
⑤連合学習:機械学習の分析時に元データを中央に集めるという発想ではなく、それぞれの組織が持っているデータで最初に学習させ、その結果を中央のサーバーに集めて機械学習する技術です。
他にもいろいろありますが、各国が出しているPETsのガイドラインでは大体このような技術が紹介されています。
秘密計算は、実は日本独自の用語で、データを秘匿しながら処理できる技術の総称です。通常の暗号技術では処理するためには元データへの復号が必要だったのですが、秘密計算はそういった生データに戻さなくていいところが特長です。秘密計算にもいくつかの方式があります(図2)。
秘密計算は大きく分けるとハードウェア型とソフトウェア型があります。
ハードウェア型はTEE(Trusted Execution Environment)を使った方式で、これはハードウェアのチップの中に鍵があるイメージです。その鍵でデータを保護しながら外から見えない形で処理します。
ソフトウェア型には主に秘密分散を使った方式と準同型暗号を使った方式があります。秘密分散は元のデータを複数の断片に分割し、断片1個1個からは元データが推測できませんが断片を組み合わせると元データに戻せるという技術です。秘密分散した状態は秘匿状態であり、このまま計算できる点が特長です。準同型暗号も暗号化状態のまま計算できる特殊な暗号の技術です。普通の暗号では復号が必要ですが、準同型暗号は暗号化したまま計算ができます。
差分プライバシーも少し難しいので説明したいと思います(図3)。複数の集計結果から個人が特定できてしまうケースがあるのですが、それを防ぐためにデータを追加する技術がこれに当たります。例えば特定疾患の患者が何人かいたとき、最初は10人だったのが、ある日の集計結果として11人に増えたとします。そうすると、その日に増えた人の疾患が分かってしまいます。この推測を防ぐため、集計結果の人数にある程度小さなノイズを入れて差分を作り、漏えいしないようにするのが差分プライバシー技術です。
恩田:これらの技術を使った企業としての具体的な取り組みについて、木村さんからご紹介いただければと思います。
木村:KDDIでは、中期経営戦略(2022-2025年度)における事業戦略「サテライトグロース戦略」(図4)として、事業を衛星のように立ち上げていく取り組みを推進しています。
その中で、事業間でデータのコラボレーションを進めるデータコラボレーション構想(図5)を掲げているところです。
グループ会社間でのデータ連携が基本ではありますが、最近では提携先企業の皆さまとデータクリーンルームを使いながらデータを連携し合い、新たな示唆を得る試みをしています。自社だけでは分からない示唆も得られ、提携先企業のデータを統合することによって新たな価値が生まれます。特にマーケティング分野では成果が顕著です。例えば株式会社AbemaTVとのパートナーシップはユーザーから同意を取得してデータ連携を行った事例ですが、先方には顧客の視聴履歴データがあり、われわれには属性データがあります。データを連携させると「どんな属性にどんなコンテンツが刺さるのか」が分かり、その逆についても統計的に分析ができる。こういった示唆はデータを事業者間でつなげて初めて得られるものです。
連携において重要なのはデータクリーンルーム(図6)です。これまでも二社間のデータ連携は行われてきましたが、旧来の場合だとA社からB社にデータを渡したらB社のデータベースがリッチになる、データが蓄積されるという形で進められていました。しかしデータクリーンルームを使えば、どちらかのデータベースをリッチにすることなく、ルーム内でA社B社のデータを安全に結合させて統計的な示唆を得られます。データの蓄積は顧客像の解像度が高まる可能性も増え、プライバシーのリスクにつながりやすいです。これを防ぎながらデータ分析の結果としての示唆が得られるのがデータクリーンルームの目指すところだと思っています。一般的に、分析官がデータ分析をするためにデータそのものを触り、加工したり結合したりする業務が発生しますが、その業務自体にリスクがあると考えて、なるべく人を関わらせない仕組みを作り、暗号化された状態で計算して統計化したアウトプットだけが得られるように秘密計算を使っています。これはまさにPETsを活用している部分です。
先ほど出てきた連合学習も実用化に向けて準備を進めています。連合学習を使って、複数社が保有するデータから学習結果だけをうまく組み合わせながらモデリングをすることにも取り組んでいます。こういったモデルを作るところをデータクリーンルームと連合学習で進めることによって、特定の個人を識別することなく、プライバシーを守りながらきちんとモデル機械学習活用まで実行できるのが大きなポイントだと思っています。
データクリーンルームはいわばPETsの塊です。お客さまのプライバシーを守り、信頼いただきながら二社のデータを組み合わせて価値を出すために、さまざまな技術を取り入れているところです。
恩田:こういったPETsやプライバシーテックの利用に関する法的な側面について、今村先生はどのようにお考えですか。
今村:正直に申し上げて、PETsやプライバシーテックを考えたとき「法律はまだ十分対応できていないのかな」というところが共通認識ではないかと思います。法律が現状の後追いになってしまうのは構造的に仕方がないことなので、現在のルールの中でまずどう落とし込んでいくのかを考え、不具合が出る部分については改正で対応し、その両輪の中で法律は少しずつバージョンアップしていっているのだと思います。
冒頭、竹之内さんから技術の概要について説明がありましたが、PETsやプライバシーテックに関してはまさに技術の最先端の話ですので法律ではまだまだ未対応な部分が当然存在します。個人情報保護を考える上では、データのライフサイクルで考えましょうというのが基本であり「取得・利用」「保管・管理」「第三者提供」等のそれぞれにおいて、どういうルールとなっているか整理すると分かりやすいです(図7)。PETsやプライバシーテックとの関係でいうと、現行法では整理がほとんどされていないものの、多少は現行のルールに当てはめることができるものもあると考えられています。大きな枠組みとして関係してくるのは個人情報該当性の議論(そもそも個人情報なのか、匿名加工情報なのか、仮名加工情報なのか、統計情報なのか)です。その他は、安全管理措置としてどう位置付けていくのかという議論で取り扱われることが多いという印象です。また、漏えいとの関係で、漏えい報告がいらないという例外的なガイドラインの解釈として「高度な暗号化」というキーワードがありますが、PETsやプライバシーテックの技術がそこに入るかどうかという議論もあります。
このように法律は、最先端の技術にそのままマッチするルールメイクには必ずしもなっていませんが、そのことを個人情報保護法は想定し、より現状に即した法体制構築を目指すべく、いわゆる「3年ごと見直し」を要求します。2024年6月に公表された中間整理案には「プライバシー強化技術(PETs)」というキーワードが入り、文書の最後には、PETsの位置づけについて、ステークホルダーの意見やパブリックコメントの結果を踏まえて引き続き検討すると書かれています1。PETsやプライバシーテックのステークホルダーが、改正の議論の中でいかにその必要性や重要性を伝えていくかが重要です。中間整理での主な論点である「こどもの個人情報保護」「本人同意を要しないデータ利活用の在り方」という文脈でもPETsやプライバシーテックの技術は有効に使える場合があるのではないかと思いますし、事業者の方々、特に技術側に精通した方が正しくそのことを伝え、法改正等のルールメイクにおいても議論をしていく必要があると思います。
竹之内:OECD・アメリカ・イギリスなど各国ではPETsに関するガイドライン化が進められており、PETsの適用推進にも積極的に取り組んでいます。例えば、秘密計算技術は以前から日本企業の技術が国際的にも競争力をもっていると言われているので、日本国内でもPETsやプライバシーテックの議論や検討が進めばいいと考えます。
ガバナンスやリスクマネジメントの解決策
恩田:プライバシー保護のための組織の活動、ガバナンスやリスクマネジメントを補助するようなツールや技術も最近は注目されています。
竹之内:プライバシーを保護しながらデータを活用し、よりよいサービスを提供するために企業がまず行うべきこととして、現在企業がどういったデータを収集・利活用しているのかを整理しますが、これがデータマッピングと呼ばれる活動にあたります。データマッピング自体は多くの企業がExcelなどを使って実践していると思いますが、今は管理ツールのように使いやすいアプリが幾つかの企業から提供されています。
さらに、ビジネスの専門家だと法律観点や消費者観点からのリスクが見えてこないということもあり得ます。潜在的なプライバシーリスクを評価するプライバシー影響評価(PIA:Privacy Impact Assessment)という手法もあります。
情報取得時の同意がどこまで取られているかなどを適切に管理・確認するのであれば、Excelより専用の同意管理ツールを使う方が便利な場合もあります。こういった、適切なデータ活用を補助するツールは、日本を含め海外でも提供が進んでいます。
木村:われわれの組織でもいわゆるPIAを導入しています。データマッピングや本人同意の確認は各グループ企業で行い、KDDIとしてガバナンスをかけてきちんとチェックするフローで運用中です。また、現場ではチェックの効率性も重要だと思っています。昔ながらのExcel等でのメタデータ管理手法だと、データの利活用システムとの連携が弱くなり、活用時の再チェックが避けられません。このケースは大丈夫なのか、そもそも当該Excelがどこにあるのか、このデータとこのデータを組み合わせたらどうなるのかなど、見直し作業はとても煩雑です。そうすると利活用のスピード感が落ちたり、あまりにも手順が複雑すぎて活用を諦めてしまったりします。
せっかくお客さまから預かったデータを活かせないとなると、提供サービスとしても価値を損なってしまうので、預かったデータは常に利用者に対して最大限の価値を提供できるように準備しなければと考えています。その中でわれわれが注力している活動の一つに、同意管理の仕組み作りがあります。 2018年に自社技術で同意管理機能(PPM:Privacy Policy Manager)を構築して自社での運用を開始し、2022年からは他の法人のお客さまへも提供を始めました(図8)。
これまでは、あるデータテーブルを使うにはこの同意文書の内容を見なければいけない、別のデータテーブルを使おうとするとまた別の同意文書の内容を見なければいけないという状況で、手順が煩雑なためデータ利活用の生産性が落ちていました。この障害をなくし、適切な同意項目をお客さま自身で一元管理できるコントローラリビティを提供するのがPPMの主眼です。
どんどんバージョンが上がっていく同意文書はWordで管理していた企業も多かったと思います。ここでPPMを使えば「どのバージョンでどこまでの同意を取れたか」をシステムで管理でき、新たにPIAが必要な部分もチェックしやすくなります。
同意の記録管理を一元化すると、必要なフィルターをかけてデータを利活用する、同意をいただいているお客さまだけデータを利活用するなども容易です。PPMはデータ利活用時の効率性向上と同時に安全性を高めてプライバシー侵害や情報漏えいを防げるのがメリットであり、われわれの社内でも活用しつつ他の法人のお客さまにもぜひこのメリットを享受いただきたいと思って提供しています。
恩田:こういったプライバシーガバナンスやリスクマネジメントは民間の自主的な取り組みによるものが多いように思いますが、法的な位置づけはどのようになるでしょうか。
今村:日本にはルールとして個人情報保護法がありますが、もう一つ重要な概念としてプライバシー保護があります。個人情報保護法は事業者が守るべき最低限のルールが定められているものであり、利用者のプライバシー保護のためには、事業者のさらなる配慮が求められるという構図になっています。
しかも「守るべきプライバシーの範囲」は一般的に拡大していると言われています(図9)。パーソナルデータに関する技術が進んだ結果、結果として使い方によってはそれを侵す技術にもなり得るからです。そこで事業者による法律範囲外の任意的な取り組みとして重要になってきているのがデータマッピングやPIAであり、これらを全部包含する概念がプライバシーガバナンスだと考えています。
先ほどご説明いただいた同意管理ツールなどはプライバシーガバナンスを技術面から後押しして、企業全体の価値を高めていくものです。さらにピンポイントで個人が「何に同意したのか」を管理できるまでになれば、企業が個人に対する説明責任を尽くすツールになり得ます。社会から、パーソナルデータを利活用するサービスや技術の受容性を高めるという目的においても、PETsやプライバシーテックは効果的にワークすると理解しています。
医療分野などで発展してきたELSI(Ethical, Legal and Social Issues/倫理的・法的・社会的課題)という概念があり、法律面だけでなく、ソーシャルとエシカルの部分から社会との接点を検討することが重要だと示している枠組みがあります(図10)。PETsやプライバシーテックにも重ねて考えることができると思います。大多数の一般消費者からすると、おそらくPETsやプライバシーテックについて、まだよく分からないので不安といった認識なのではないでしょうか。今は、ソーシャルとの関係からPETsやプライバシーテックについて丁寧に説明し、理解を得ていくことが重要なステージなのかなと思います。
また、プライバシー保護の実現には、人材・技術・ガバナンスの3要素が欠かせません(図11)。PETsやプライバシーテックは技術であり、場合によってはガバナンスをさらに高めるものとしてもワークします。人材教育に直接関係するものはまだないかもしれませんが、各従業員のプライバシー意識を高める技術が出てくれば広い意味でPETsやプライバシーテックに当てはまるでしょう。技術がさらに進化して3要素を牽引し、プライバシー保護を実現する未来を期待しています。
プライバシー保護の実現にむけて
恩田:これまでのPETsやプライバシーテックの議論を踏まえて、今後どのようなことが必要かお聞かせください。
竹之内:DX全般で言えることですが、技術者だけが頑張ってもダメで、むしろ技術畑ではない人の方が相当な工数をかけることが重要と考えています。データクリーンルームの活用でも、データを連携したビジネスを考える方が技術より難しい。とはいえ技術を知らないとビジネスの検討も進みません。
より良い結果を得るために、技術を知っている人は新規事業担当者などの専門外の人へ、PETsやプライバシーテックについて分かりやすく説明する努力をもっとすべきだと感じています。どちらも一緒に取り組むという意味で、総力戦だと思います。海外のビッグテックはそれを実現していると感じています。
また、グローバルのトレンドにも注目する必要があります。例えば、先ほど述べた秘密計算方式のうちTEEという技術が近年驚異的に伸びました。昔は秘密計算というと「遅い」という印象がありましたが、今はTEE方式であればAIの処理も高速で可能です。2024年6月にAppleがTEEを使った生成AIの処理を始めると発表して潮流の変化は決定的になりました。この遅れをどう日本が取り戻すかという点に、危機感を感じています。この分野において、ガバナンス・ルール・人材・技術・法律など全部を合わせた総力戦が日本には必要だと思っています。
今村:現実にはいろいろなことが起こっていて、「データ分析・解析のためにデータセンターでものすごい計算を行っている」という世界だけではもうなくて、グローバルのテック企業においては、スマートフォンのような端末レイヤーである程度処理し、秘匿化されたデータだけをテック企業が取り扱うような形になっていて、消費者に対してはプライバシー保護に配慮していると上手に説明をしている気がします。
海外では企業がPETsやプライバシーテックを使いながら情報を守っていることを武器にして、それをブランド価値・マーケティング価値として表しています。日本の企業はやはりまだうまくできていない印象です。
クライアントプライバシーを安全に守りつつデータで価値を出していく取り組みについて、きちんと説明する企業が増えていくと消費者の見方も変わります。そうすると消費者もプライバシー情報やセキュリティを守ってくれる企業に対して、データを預けよう、サービスを使おうとなってくると思います。好循環が生まれれば技術的な取り組みも盛り上がり、国際的な競争力も増すと思います。
竹之内:今の観点は非常に重要で、一般消費者はプライバシーを守ってくれる企業かどうかを非常に気にしているんですよね。「同じサービスだったら、よりプライバシーを守ってくれるところがいい」と評価しています。2
今村:そのデータ連携においてやはり同意がベースになりますが、その同意自体をお客さまがきちんと見ているのかというところは課題です。同意してデータをコピーされて自分のデータがどんどん流通してしまうのではなく、PETsやプライバシーテックによって必ずしも同意のみに依存しないデータ連携による価値創出の手法がもう少し広まる方が健全なのかなと、個人として思うところはあります。
木村:グローバルではずっと「同意疲れ」というのが言われていて、チェックはしていても何にチェックをしているのか消費者は何も理解していないことがあります。単に同意云々で、事業者側がデータを使うやり方には限界が来ています。そうではない方法で、消費者の理解をどう得ていくのか、その一つの解決策としてPETsやプライバシーテックがあり得ると思います。そこをうまく社会に認めてもらうことが重要だと思います。
竹之内:昔はプライバシー保護というと企業からするとコストの感覚で、最低限は守るがそれ以上はやらなくていい、コストをいかに抑えてプライバシーを守るかという視点が強かったかと思います。先ほど今村先生がブランドとおっしゃったとおり、プライバシーを守ることによって利益が上がるという欧米企業の発想を参照しつつ、そういう世界をもっと広げられたらと思っています。
今村:社内でデータを使うときも、至るところでPETsやプライバシーテックを使える部分がありそうです。現在はデータを扱える人や場所を限定したり、監視カメラを設置したりと組織的、物理的な対応をすることがありますが、PETsやプライバシーテックを使って安全にデータを活用できるケースが広がってくる可能性があります。そうすると、PETsやプライバシーテックの見方も変わってくるのではないかと思いました。
木村:今までは機密性の高いデータについて、セキュリティルームを構築して一部の人しか触れられない管理体制にしていたものが、PETsやプライバシーテックを使うことで分析する人は生データに必ずしも触れずに済むし、より多くの人がそのデータを使って何らかの分析結果を出せるようになるかもしれません。
竹之内:物理的な安全管理措置だけではなく、PETsやプライバシーテックに対応したガイドラインや法制度があると変わっていくかなと思っています。一つ例を挙げると、秘密分散は個人情報保護法における「高度な暗号化」にあたらないという判断をされています。技術面から見ると暗号化したまま処理できるなど従来よりも安全とも考えられますが、法的な対応がないことで導入が進まない面もあります。技術の進展に合わせた法制度の適切な改正議論が必要だと思いますし、民間の技術の専門家の知見も必要なので、今後、官民で連携して国内でも検討が進めばと思います。
木村:PETsやプライバシーテックについては、技術を選定したときに他の企業や、社会に対して説明して理解していただけるかが重要だと思っています。技術的には差分プライバシーの方が、安全性が高く数学的に証明されていたとしても、k-匿名化の方が社会的に説明しやすいからそちらを使わざるを得ないというジレンマもあります。最終的にわれわれとしては、特に法律の壁のあるところは法律上説明できる方を選ぶという形です。技術的にはこちらの方がいいのに、と思いながら選んでいる場合もあるので、そこは変えたいですね。
今村:最近ガイドライン等でもやっと「k-匿名化」「ハッシュ化」などの技術ワードが載るようになりました。技術の出口が国内にない状態になってしまうと、能力を持つ人たちが海外に出ていき、自国の技術力低下につながってしまいます。しっかりと技術の出口を作っていくというのは重要になりますね。
恩田:皆さん今日は本当に貴重なお話をありがとうございました。