一般財団法人日本情報経済社会推進協会
電子情報利活用研究部　次長　松下　尚史

拙稿「プライバシー強化技術（PETs）と個人情報保護法～データ連携の制度的課題～」¹（以下、拙稿「PETsと個人情報保護法」）および「企業間データ連携が進まない構造的理由～技術的・制度的障壁とリスクベースドアプローチへの転換～」²において、PETsが複数事業者間のデータ連携を成立させるための基盤技術であること、そしてその制度的位置づけの整備が喫緊の課題であることを論じた。特に、拙稿「PETsと個人情報保護法」では、差分プライバシーにおける精度と保護水準のトレードオフ、秘密計算の処理オーバーヘッド、連合学習におけるパラメータを通じた間接的な情報漏えいリスクなど、PETsの技術的限界には留保を付している。

本稿は、それらとは異なる観点からもう一つの留保を加える。PETsの信頼性を支える暗号基盤そのものが、永続的な前提ではないという問題である。

PETsを構成する技術のすべてが暗号の計算困難性に依存しているわけではない。たとえば、Shamir秘密分散に基づくプロトコルは情報理論的安全性を持ち、暗号アルゴリズムの強度に依存しない。しかし、秘密計算（MPC）のプロトコルの中には、Oblivious Transfer（OT）の実装、鍵交換、認証、通信路保護等において現行の公開鍵暗号（RSA、楕円曲線暗号等）を前提とするものがある³。連合学習においても、セキュアアグリゲーション、鍵共有、認証、通信路保護等の実装において、現行の公開鍵暗号に依拠する場合がある。差分プライバシー（DP）の機構自体は暗号に依存しないが、DPを組み込んだ実際のシステムでは、通信、認証、鍵管理、ログ管理等の部分で公開鍵暗号に依拠する場合がある。また、情報理論的安全性を持つプロトコルであっても、通信路の保護にTLS等の公開鍵暗号を用いるのが一般的であり、間接的な依存は広く存在する。

こうした暗号基盤に依存するPETsに限れば、「生データを開示しない連携」という実務上の期待は、少なくともその基盤にある暗号プリミティブ、鍵管理、認証、通信路保護等が想定どおり機能することに依存している。十分大規模で誤り訂正された量子コンピュータが実現すれば、Shor のアルゴリズム（1994 年に Peter Shor が提案したアルゴリズム）によって素因数分解問題や離散対数問題が多項式時間で解けるようになり、現行の RSA・楕円曲線暗号は理論的に解読可能となる。したがって、暗号解読に十分な能力を持つ量子コンピュータの実用化が進めば、暗号基盤に依存する PETs の前提が揺らぐ可能性がある。

• 1. 「プライバシー強化技術（PETs）と個人情報保護法～データ連携の制度的課題～」
• 2. 「企業間データ連携が進まない構造的理由～技術的・制度的障壁とリスクベースドアプローチへの転換～」
• 3. 秘密計算（MPC）のプロトコルの暗号基盤への依存度は、プロトコルの設計によって異なる。Oblivious Transfer（OT）を用いるプロトコルでは、初期 OT、鍵交換、認証、通信路保護等において公開鍵暗号に依存する場合がある。一方、Shamir秘密分散に基づくプロトコル（BGWプロトコル等）は情報理論的安全性を持ち、プロトコル自体は暗号の計算困難性に依存しない。ただし、後者であっても通信路の暗号化（TLS等）には現行の公開鍵暗号を使用するのが一般的であり、間接的な依存は存在しうる。なお、本脚注の整理は MPC プロトコルの暗号基盤への依存構造に関する一般的な技術的整理であり、個別の安全性はプロトコル仕様、実装方式、脅威モデルに応じて確認する必要がある。個別のプロトコル仕様については、Yaoのgarbled circuitの原論文（Yao, A.C., "How to generate and exchange secrets," （Proceedings of the 27th IEEE Symposium on Foundations of Computer Science, pp.162–167, 1986）、BGWプロトコルの原論文（Ben-Or, M., Goldwasser, S. and Wigderson, A., "Completeness theorems for non-cryptographic fault-tolerant distributed computation," （Proceedings of the 20th ACM Symposium on Theory of Computing, pp.1–10, 1988）等を参照されたい。
• Yao, A.C., "How to generate and exchange secrets," （Proceedings of the 27th IEEE Symposium on Foundations of Computer Science, pp.162–167, 1986）別ウインドウで開く
• Ben-Or, M., Goldwasser, S. and Wigderson, A., "Completeness theorems for non-cryptographic fault-tolerant distributed computation," （Proceedings of the 20th ACM Symposium on Theory of Computing, pp.1–10, 1988）別ウインドウで開く

米国国立標準技術研究所（NIST）は2024年8月、耐量子暗号（Post-Quantum Cryptography: PQC）の最初の3標準を最終版として正式に公表した⁴。FIPS 203（ML-KEM：鍵カプセル化メカニズム）、FIPS 204（ML-DSA：デジタル署名）、FIPS 205（SLH-DSA：ハッシュベースデジタル署名）の三つである。2025年3月には、ML-KEMとは異なる数学的基盤（符号理論ベース）に基づくバックアップアルゴリズムとしてHQC（Hamming Quasi-Cyclic）が選定され⁵、2027年の標準化が予定されている。

NISTはこれらの標準化と並行して、NIST IR 8547の初期公開ドラフトにおいて、量子コンピュータに対して脆弱なアルゴリズムの非推奨化（deprecation）と標準からの除去（disallowment）に向けた移行タイムライン案を示している。同ドラフトでは、2035 年以降の量子脆弱な公開鍵暗号の扱いを含め、耐量子暗号への移行を進める方向性が示されている⁶。

量子コンピュータが現行の公開鍵暗号を実際に解読できるようになる時期は、専門家の間でも大きく見解が分かれている。Global Risk Instituteの2025年報告書は、暗号解読に十分な能力を持つ量子コンピュータ、すなわち Cryptographically Relevant Quantum Computer（CRQC）が 10 年以内に出現する可能性を 28〜49%、15 年以内に出現する可能性を 51〜70%とする専門家調査の結果を示している⁷。米国国家安全保障局（NSA）も、その時期の予測は困難としつつ、国家安全保障システムの保護のために今すぐ行動を起こす必要があるとしている。いずれにせよ、量子コンピュータの実現時期には不確実性がある一方で、標準化機関や各国政府による移行検討はすでに具体化している。

欧州でもドイツ連邦情報セキュリティ庁（BSI）やフランス国家情報システムセキュリティ庁（ANSSI）が独自のPQC移行ガイダンスを公表しており、移行期には、現行暗号と耐量子暗号を併用するハイブリッド方式が実務上の選択肢として示されている。特に英国国家サイバーセキュリティセンター（NCSC）は、2028 年までに移行計画の策定、2031 年までに優先度の高いシステムの移行、2035 年までに全体的な移行完了を目指す段階的タイムラインを示している⁸。民間でも、Google Chromeが2023年8月のChrome 116 からハイブリッド鍵交換（X25519＋Kyber768）の試験的導入を開始し、その後、NIST 標準化を受けて Chrome 131 で X25519MLKEM768（ML-KEM-768 との組み合わせ）に切り替えたほか、Apple社がiMessageに耐量子暗号を組み込むなど、主要プラットフォームでの実装は始まっている⁹。

• 4. NIST, "NIST Releases First 3 Finalized Post-Quantum Encryption Standards," （August 13, 2024）　 FIPS 203（ML-KEM）、FIPS 204（ML-DSA）、FIPS 205（SLH-DSA）の3標準が最終化された。別ウインドウで開く
• 5. NIST, “NIST Selects HQC as Fifth Algorithm for Post-Quantum Encryption” （March 11, 2025）別ウインドウで開く
• 6. NISTの移行タイムライン案については、NIST IR 8547 "Transition to Post-Quantum Cryptography Standards"（2024年11月公表の初期公開ドラフト）を参照。同ドラフトは、量子コンピュータに対して脆弱な既存の暗号標準と、それらから移行すべき耐量子暗号標準を整理し、業界・標準化団体・関係機関における移行検討を促すことを目的としている。パブリックコメントは2025年1月10日に締め切られ、2026年5月時点で最終版は未公表。 別ウインドウで開く
• 7. Global Risk Institute, "Quantum Threat Timeline Report 2025" 　同報告書は、暗号解読に十分な能力を持つ量子コンピュータ（Cryptographically Relevant Quantum Computer：CRQC）が 10 年以内に出現する可能性を 28〜49%、15 年以内に出現する可能性を 51〜70%とする専門家調査の結果を示している。米国 NSA は "CNSA Suite 2.0 and Quantum Computing FAQ"（2024 年 12 月 Ver.2.1）において、CRQC の出現時期は予測困難としつつも、国家安全保障システム保護のために今行動を起こす必要があるとしている。
• Global Risk Institute, "Quantum Threat Timeline Report 2025"別ウインドウで開く
• NSA "CNSA Suite 2.0 and Quantum Computing FAQ"（2024 年 12 月 Ver.2.1）別ウインドウで開く
• 8. NCSC, “Timelines for migration to post-quantum cryptography,” March 2025, https://www.ncsc.gov.uk/guidance/pqc-migration-timelines. 同ガイダンスは、2028 年までに移行目標の設定と初期計画の策定、2031 年までに優先度の高いシステムの移行、2035 年までにシステム・サービス・製品全体の PQC 移行完了を目指す段階的マイルストーンを示している。BSI, “Quantum Technologies and Quantum-Safe Cryptography,” https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Quantentechnologien-und-Post-Quanten-Kryptografie/quantentechnologien-und-post-quanten-kryptografie_node.html、ANSSI, “ANSSI views on the Post-Quantum Cryptography transition,” https://messervices.cyber.gouv.fr/guides/en-anssi-views-post-quantum-cryptography-transition も参照。BSI および ANSSI も、PQC 移行に関するガイダンスにおいて、移行期におけるハイブリッド方式の活用を含む段階的対応の必要性を示している。
• 9. 民間での実装事例：Google ChromeはChrome 116（2023年8月）よりX25519＋Kyber768のハイブリッド鍵交換の試験的導入を開始し、その後、NIST 標準化を受けて Chrome 131（2024 年 11 月）で X25519MLKEM768（ML-KEM-768 との組み合わせ）に切り替えた。Apple社は2024年2月にiMessageへの耐量子暗号（PQ3）の導入を発表。Zoom Video Communications社は2024年5月にビデオ会議への耐量子暗号の導入を発表した。NEC「耐量子計算機暗号に関連する動向2025」（2025年3月）参照。別ウインドウで開く

日本においては、CRYPTREC（暗号技術検討会及び関連委員会）が耐量子暗号への対応を進めている。2025年3月に「CRYPTREC暗号技術ガイドライン（耐量子計算機暗号）2024年度版」が取りまとめられ、同年 4 月に公開された。同ガイドラインでは、NISTが標準化したFIPS 203・204・205が取り上げられており、これらを対象とした安全性評価および実装性能評価も進められている¹⁰。

政府レベルでは、2025年6月に「政府機関等における耐量子計算機暗号（PQC）利用に関する関係府省庁連絡会議」の第1回会議が開催され、同年11月に中間とりまとめが公表された¹¹。同文書は、移行目標について「量子計算機により公開鍵暗号の安全性が低下・危殆化する時期を現時点で予測することは困難である」としつつも、米国・EU・英国・カナダ等が2035年までを目標としていることを踏まえ、「我が国も2035年を目標として耐量子計算機暗号（PQC）への移行」を進める方針を示し、2026年度中に具体的な移行工程表（ロードマップ）を策定するとしている。特に機微な情報や保護期間が長期にわたる情報については、HNDL（Harvest Now, Decrypt Later）攻撃¹²のリスクを踏まえ、2035年を目標としつつも、より早期の移行を検討することの重要性にも言及されている。

金融分野では、金融庁が2024年7月から「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」を開催し、同年11月に報告書を公表している¹³。

日本でも、まず政府機関等を対象として、2035 年を目標とする PQC 移行方針が示され、米国・英国・欧州主要国等と同じ時間軸で検討が進められつつある。一方で、CRYPTREC 暗号リストへの反映や具体的な移行工程表（ロードマップ）の策定は今後の課題であり、民間事業者が実装や移行判断の拠り所とできる詳細な制度的基準は、なお整備途上にある。この点では、拙稿「PETsと個人情報保護法」で指摘した、PETsの制度的位置づけがなお整備途上にあるという課題とも重なる。

• 10. CRYPTREC「CRYPTREC暗号技術ガイドライン（耐量子計算機暗号）2024年度版」（2025 年 3 月取りまとめ、同年 4 月公開）。同ガイドラインは、NIST が標準化した FIPS 203・204・205 を含む耐量子計算機暗号の動向を整理している。また、政府機関等における PQC 移行に関する中間とりまとめでは、CRYPTREC において FIPS 203・204・205 を対象とした安全性評価および実装性能評価が進められていることが示されている。別ウインドウで開く
• 11. 国家サイバー統括室「政府機関等における耐量子計算機暗号（PQC）への移行について（中間とりまとめ）」（令和7年11月）。なお、関係府省庁連絡会議の設置と第1回会議の資料については、国家サイバー統括室「政府機関等における暗号利用のルール及び耐量子計算機暗号（PQC）の概要等について」（令和7年7月31日）を参照。
• 国家サイバー統括室「政府機関等における耐量子計算機暗号（PQC）への移行について（中間とりまとめ）」（令和7年11月）別ウインドウで開く
• 国家サイバー統括室「政府機関等における暗号利用のルール及び耐量子計算機暗号（PQC）の概要等について」（令和7年7月31日）別ウインドウで開く
• 12. HNDL攻撃とは、現時点では解読できない暗号化データを傍受・蓄積しておき、将来、量子コンピュータが実用化された段階で復号するという脅威シナリオを指す。詳細は前掲のNSA "CNSA Suite 2.0 and Quantum Computing FAQ" 等を参照。
• 13. 金融庁「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会 報告書」（令和6年11月26日）。別ウインドウで開く

耐量子暗号への移行は、暗号を使用するあらゆるシステムに関わる課題であるが、PETsにはその技術特性に起因する固有の論点がある。

第 1 章で述べたとおり、PETs の量子コンピュータによる影響は、暗号基盤への依存の有無や、どの暗号プリミティブに依存しているかによって異なる。そこで本節では、主要な PETs 技術群ごとに、耐量子暗号への移行がどのような影響を及ぼし得るかを整理する。

ここで注目すべきは、NISTが標準化したML-KEM・ML-DSAが、格子（lattice）問題系の数学的困難性を安全性の基盤としている点である¹⁴。PETsの一つである完全準同型暗号（FHE）も、代表的な実装の多くが Ring-LWE などの格子問題系の数学的困難性を基盤としている¹⁵。すなわちFHEは、NIST が標準化した耐量子暗号と完全に同一の方式ではないものの、格子問題系という点で比較的親和的な技術群と位置づけられる。耐量子暗号への移行がPETsにとって一律に負担となるわけではなく、技術の選択によっては移行と整合的な設計が可能である。ただし、FHE の耐量子性や実装上の安全性は、スキーム、パラメータ、実装方式、サイドチャネル対策等に応じて個別に評価する必要がある。

一方で、第1章で述べたとおり、Oblivious Transfer（OT）ベースの秘密計算プロトコルでは、初期 OT、鍵交換、認証、通信路保護等において現行の公開鍵暗号に依存するものがある。そのため、耐量子暗号への移行に伴い、暗号プリミティブの置き換えに加え、プロトコル全体の安全性を改めて確認する必要が生じうる。単純な差し替えで安全性が維持されるとは限らず、脅威モデル、実装方式、通信路、認証方式を含めて再検証が求められることもある。

つまり、PETsの耐量子暗号への対応は、「どの技術を・どのような構成で使っているか」によって、必要な対応の範囲と難度が大きく異なる。この技術選択の判断自体が、今後のPETsの設計における重要な考慮事項になる。したがって、PETs を制度上ひとまとまりの安全措置として扱う場合であっても、実装方式ごとの暗号依存性、移行容易性、長期機密性への影響を区別して評価する必要がある。

• 14. 格子暗号（Lattice-based Cryptography）とは、高次元の格子（空間上に規則的に配置された点の集合）における数学的問題の計算困難性を安全性の基盤とする暗号方式の総称である。代表的な問題として、最短ベクトル問題（SVP: Shortest Vector Problem）、Learning with Errors（LWE）問題、その変種である Ring-LWE、Module-LWE、Module-SIS等がある。これらの問題は、現在知られている量子アルゴリズムによっても効率的に解けないと考えられており、NISTが標準化したML-KEM（FIPS 203）およびML-DSA（FIPS 204）も、こうした格子問題系の数学的困難性を安全性の基盤としている。NISTのPQC標準化プロジェクトページも参照。 別ウインドウで開く
• 15. 完全準同型暗号（FHE）の代表的な実装であるBFV、BGV、CKKSの各スキームは、Ring-LWE（Ring Learning with Errors）問題またはその変種を安全性の基盤としている。これはML-KEM・ML-DSAが利用する格子問題系の数学的困難性と同じ系統に属する。このため、FHEは量子コンピュータに対しても一定の耐性を持つと考えられているが、NIST が標準化した PQC と同一の方式ではなく、耐量子性の評価は FHE スキーム、パラメータ、実装方式ごとに個別に行われる必要がある。FHE の標準的整理については、HomomorphicEncryption.org, “Homomorphic Encryption Standard,” Version 1.1, を参照。各スキームの原論文として、BFV については Fan, J. and Vercauteren, F., “Somewhat Practical Fully Homomorphic Encryption” （2012）、BGV については Brakerski, Z., Gentry, C. and Vaikuntanathan, V., “(Leveled) Fully Homomorphic Encryption without Bootstrapping,”（ACM Transactions on Computation Theory, 2014,）h、CKKS については Cheon, J.H., Kim, A., Kim, M. and Song, Y., “Homomorphic Encryption for Arithmetic of Approximate Numbers ”（2016）を参照。
• HomomorphicEncryption.org, “Homomorphic Encryption Standard,” Version 1.1,別ウインドウで開く
• Fan, J. and Vercauteren, F., “Somewhat Practical Fully Homomorphic Encryption” （2012）別ウインドウで開く
• Brakerski, Z., Gentry, C. and Vaikuntanathan, V., “(Leveled) Fully Homomorphic Encryption without Bootstrapping,”（ACM Transactions on Computation Theory, 2014,）h別ウインドウで開く
• Cheon, J.H., Kim, A., Kim, M. and Song, Y., “Homomorphic Encryption for Arithmetic of Approximate Numbers ”（2016）別ウインドウで開く

暗号プリミティブの置き換えが必要な場合、もう一つの実務的課題が生じる。耐量子暗号のアルゴリズムは、現行の公開鍵暗号と比較して鍵や署名のサイズが大きくなる傾向がある。ML-KEMの公開鍵に相当する encapsulation keyは800〜1,568バイトであり、従来のX25519（32バイト）と比較すると25〜49倍に達する。デジタル署名のML-DSAでは、最も小さいパラメータセットであるML-DSA-44であっても、現行のEd25519と比較して鍵・署名・証明書サイズが大きくなることが指摘されている¹⁶。

こうしたサイズの増大はプロトコルメッセージの通信量に直接影響する。秘密計算では参加者間で大量のプロトコルメッセージが交換されるため、この影響は無視できない。拙稿「PETsと個人情報保護法」（2-2）でも指摘したとおり、秘密計算の処理オーバーヘッドはすでに実務上の課題であり、暗号基盤の移行がこれをさらに深刻化させるおそれがある。

ただし、鍵交換（KEM）については、すでに商用段階での移行が進みつつある。Google Chrome や OpenSSL など、主要ブラウザ・暗号ライブラリの一部では、ML-KEM を用いたハイブリッド実装の導入が進められている。Amazon の研究者らによる実証実験では、高帯域・安定ネットワーク環境における耐量子 TLS 1.3 の Time-to-Last-Byte、すなわちデータ転送完了までの時間の増加は 5%未満にとどまったと報告されている¹⁷。もっとも、この結果はネットワーク環境や実装条件に依存し、低速ネットワークではハンドシェイク時間の増加がより大きくなることも報告されているため、一般化には留意が必要である。課題がより大きいのはデジタル署名の側であり、PETsのプロトコル設計においてもこの非対称性を踏まえた検討が求められる。

• 16. ML-KEMの公開鍵サイズはパラメータセットにより800〜1,568バイト（FIPS 203）。X25519の公開鍵は32バイトであるため、約25〜49倍の増大となる。ML-DSAの鍵・署名サイズについてはFIPS 204を参照。なお、実務上の影響に関する補足的な整理として、Kubernetes公式ブログ "Post-Quantum Cryptography in Kubernetes"（2025年7月）も参照した。別ウインドウで開く
• 17. 耐量子 TLS の実装上の影響については、Kampanakis et al., “The impact of data-heavy, post-quantum TLS 1.3 on the Time-To-Last-Byte of real-world connections”（NIST Fifth PQC Standardization Conference, 2024）が、高帯域・安定ネットワークにおける耐量子 TLS 1.3 の Time-to-Last-Byte の増加は 5%未満にとどまる一方、低帯域環境ではハンドシェイク時間の増加がより大きくなることを報告している。NIST の発表ページも参照。Google は Chrome 131 において Kyber から ML-KEM へ切り替える方針を示しており、Google Security Blog, “A new path for Kyber on the web” （September 2024）を参照。OpenSSL 3.5 での ML-KEM 対応については、OpenSSL Foundation, “The Features of 3.5: Hybrid ML-KEM” （April 2025）、および OpenSSL Library, “OpenSSL 3.5 Final Release - Live” （April 2025）を参照。ただし、これらの影響はネットワーク環境や実装条件に依存するため、一般化には留意が必要である。
• Kampanakis et al., “The impact of data-heavy, post-quantum TLS 1.3 on the Time-To-Last-Byte of real-world connections”（NIST Fifth PQC Standardization Conference, 2024）別ウインドウで開く
• NISTの発表ページ別ウインドウで開く
• Google Security Blog, “A new path for Kyber on the web” （September 2024）別ウインドウで開く
• OpenSSL Foundation, “The Features of 3.5: Hybrid ML-KEM” （April 2025）別ウインドウで開く
• OpenSSL Library, “OpenSSL 3.5 Final Release - Live” （April 2025）別ウインドウで開く

暗号アジリティ（Cryptographic Agility）とは、使用する暗号アルゴリズムや暗号プリミティブをシステム全体の再設計なしに差し替えられる設計上の能力を指す。NISTの移行ガイダンスにおいても、暗号アジリティの確保は、耐量子暗号への移行を進めるうえで重要な考慮事項とされている。

PETsの実装やデータ連携基盤において、暗号アルゴリズムがハードコードされている場合、移行時に大規模な改修が避けられない。3-1で述べたとおり、FHEのように格子問題を基盤とする技術は移行の影響が比較的小さい場合があるが、それ以外の技術については暗号プリミティブの差し替えや安全性の再検証が必要になる。暗号アジリティは、単に暗号アルゴリズム名を設定ファイル化することにとどまらず、鍵管理、証明書、認証方式、プロトコル交渉、監査ログ、サプライヤー依存、相互運用性、データ保存期間等を含めて設計する必要がある。今後新たにデータ連携基盤を設計する場合には、将来の暗号移行を見据えて、暗号プリミティブの差し替えが可能なアーキテクチャを採用しておくことが現実的な備えの一つである。

HNDL攻撃は、長期にわたって機密性が求められるデータにとって特に深刻な脅威である。NSAもこの脅威を認識し、早期移行を求める根拠の一つとしている¹⁸。

PETsで保護された状態でデータが連携される場合でも、通信路上を流れる暗号化されたプロトコルメッセージ、鍵交換に関する情報、ログ、監査証跡、中間出力等が傍受・蓄積される可能性はある。ただし、将来それらが復号または解析された場合に復元される情報の範囲は、プロトコルの設計に依存する。秘密計算の多くのプロトコルでは、通信路上に流れるのは暗号化されたシェアやプロトコルメッセージであり、元データそのものではない場合が多い。したがって、復号または解析されたとしても元データが直接復元されるとは限らない。

とはいえ、復元される情報の範囲がプロトコルに依存するということは、プロトコルの選択と設計にあたってこの脅威シナリオを考慮に入れる必要があることを意味する。長期にわたって機密性を維持すべきデータの連携においては、この点の検討がとりわけ重要になる。

• 18. 前掲のNSA, "CNSA Suite 2.0 and Quantum Computing FAQ" （December 2024. Harvest Now, Decrypt Later）の脅威モデルについても言及されている。

PETsはデータ連携の有効な技術的手段である。この評価は変わらない。しかし、その技術群の中には暗号の計算困難性に依存するものがあり、その暗号基盤は耐量子暗号への移行という形で更新を求められている。

一方で、完全準同型暗号のように、格子問題系という点で耐量子暗号と比較的親和的な技術も存在する。PETsへの影響は一律ではなく、技術の選択と設計によって対応の範囲は大きく異なる。

NISTは標準を確定し、NIST IR 8547の初期公開ドラフトにおいて移行タイムライン案を示した。欧州各国や英国もガイダンスを公表し、民間での実装も始まっている。日本でもCRYPTRECによる評価が進み、政府機関等については関係府省庁連絡会議の中間とりまとめにおいて、2035 年を目標とする移行方針が示された。一方で、具体的な工程表の策定は 2026 年度中の予定であり、民間事業者が参照できる詳細な制度的基準は依然として整備途上にある。

PETsの制度的位置づけの整備（拙稿「PETsと個人情報保護法」参照）を進めるにあたっては、暗号基盤の移行という時間軸を視野に入れておく必要がある。制度が整った時点で、暗号依存部分の技術的前提が更新を迫られていたという事態を避けるために、PETsの制度設計と暗号基盤の移行可能性は、並行して意識されるべき課題である。

技術的手段の有効性を適切に評価するには、その前提条件を継続的に検証することが欠かせない。PETs についても、技術名だけで安全性を評価するのではなく、どの技術を、どの構成で、どの期間、どのようなデータに用いるのかを踏まえて評価する必要がある。

本内容は、筆者自身の調査分析に基づく個人的見解で、JIPDECの公式見解を述べたものではありません。