個人情報はまとまることで利便性を増しますが、同時に漏えいなどの危険性も高まります。そこで研究されているのが、暗号化された状態で分散保存する「分散PDS(Decentralized Personal Data Store)」です。
今回の最新キーワードは、パーソナルデータの管理と利用を組織任せにせず、安全に自分自身で管理・利用できるようにする新しい情報管理手法「分散PDS(Decentralized Personal Data Store)」。
事業者が顧客個別に商品などのレコメンドや的を絞った情報提供をしてくれるのはうれしいものですが、一元的に集約された情報は大規模漏えいリスクが避けられず、また個人が自分の情報を利用することが困難です。
そこでパーソナルデータを集約せず、暗号化されて分散した状態で保管し、事業者側は個人が承諾した利用目的に限って利用でき、個人は自分自身での利用はもとより、他の人と安全に共有できるようにしようというのが分散PDSです。
これまでのパーソナルデータ管理システムの在り方に一石を投じるこの新しい仕組み、一体どんなものなのでしょうか。
分散PDSとは、例えばパーソナルデータをモバイルデバイスなどに搭載したアプリによって暗号化してDropboxやGoogleドライブなどのクラウドストレージに保管し、他の個人や組織と安全に共有できる、というような分散データ管理の仕組みのことを指す。
PDSの基本的な考え方自体は古くからあったのだが、2014年7月、次世代ヘルスケアB2Cサービスとして国内でシステム実運用がスタートした。そのシステムの中核となるアプリケーションを開発したのは東京大学大学院 情報理工学系研究科 ソーシャルICT研究センターの橋田浩一教授。今回は、橋田教授に分散PDSのあらましとメリットについてうかがった。
モバイルデバイスが広範に普及し、ウェアラブルデバイスや各種IoTデバイスが台頭してきた今日、パーソナルデータの収集がますます容易になってきた。企業ではパーソナルマーケティングのためにパーソナルデータを活用しようとし、行政は住民サービスの高度化、医療・福祉機関は個人のヘルスケア情報を用いたきめ細かいサービス提供を図るなど、ビジネス上も公益上もこれまでにも増して大きな役割がパーソナルデータに期待されるようになった。
一方で大規模な情報漏えい事件が相次ぎ、情報漏えいリスクや承諾した目的外の利用に対しての不安が高まっているのも確かだ。果たして事業者に自分のパーソナルデータを預けて良いものかと、これまでのデータ保護の仕組みに疑問を抱く人が増えている。パーソナルデータを収集して利用する事業者側でも、数々の情報漏えいリスクに対応するための人員やコストに苦心している現実もある。
プライバシーを保護しながらパーソナルデータを広く利用したいという矛盾を含んだ課題に関して、これまでは事業者の集中管理をどう上手く行うかが議論されてきた。しかし情報がどこかに集中する以上、大規模漏えいリスクは避けられない。そこで、いっそこれまでのような集中管理の方法は止めて、個人(あるいはその代理人)が本人の情報を自分で管理する分散管理にした方が良いのではないかと考えられたのが分散PDSだ。
図1は、パーソナルデータの管理と利用に関わる個人の不満と、事業者側の課題感を示している。事業者側がパーソナルデータを集中管理する従来の方法では、個人は情報管理の負担を免れる代わりに自分自身の情報を自由には利用できず、同意していない利用の仕方がされるのではないかという不安も抱えることになる。また事業者側では、顧客データをマーケティングに役立てたいと思うものの、ニーズ分析などの対象になるデータが自社が収集・管理している分だけに限られ、必ずしも正確な結果が期待できないことが1つの問題。また膨大な量に及ぶ顧客データ、しかも一歩間違えるとプライバシー侵害につながりかねない機微情報を含むデータを、収集・蓄積・管理する負担と、大規模情報漏えいリスクを抱えることになる。
それを個人に分散した管理の仕組みにしたらどうなるだろうか。結論を言えば図1の右側にあるようなメリットが生まれるというわけだが、以下に詳しく説明しよう。
「分散PDS」の一種として橋田教授が考案した「PLR(Personal Life Repository)」は、クラウドストレージなどのサービスを前提としており、簡単に言えばユーザー(個人)が暗号化したパーソナルデータをクラウドにアップロードし、その復号鍵はクラウド業者に開示せず、データを利用する他者(個人や事業者)との間でのみ共有する仕組みだ。本人の端末と共有先である他者のシステムだけがデータを利用できることになり、通信経路や保管情報がたとえ第三者に窃取されたとしても情報内容は保護される。もう少し詳しく解説してみよう。典型的には、次のような手順になる。
(1)ユーザーは本人のパーソナルデータをクラウドストレージに暗号化した状態でアップロードする。この時、自分の手元のデバイス(スマートフォンなど)のアプリで暗号化を行なう。
(2)暗号の解読に用いる暗号鍵はクラウドストレージ業者には開示せず、データを利用する他者との間で共有する。
(3)その他者はデータ主体である本人の同意に基づいてクラウドストレージにアクセスし、データを取得して、共有している暗号鍵で復号し利用する。
ここで本人が利用するアプリは図2に見るような構成をとる。このPLRサーバは、データの暗号化と復号およびクラウドストレージとの通信を司どる。PLRアプリは必ずしも暗号化と通信の詳細を意識して開発する必要はなく、シンプルなもので良い。暗号化や通信処理、複数のクラウドサービス等へのアクセスは、PLRサーバがシングルサインオン機能を備えることで簡素化しつつセキュリティが担保できる。
クラウドに保管されたデータは、本人の判断でPLRアプリによって削除・編集・追加することができる。一般的なスマホアプリを使う場合と同じく個人用メモのように利用できるわけだ。
なお、データには個人主導のDRM(Digital Rights Management)による保護を施して、個々のデータを共有先の他者が勝手に自動処理する、あるいは平文でファイルに書き出したり外部に送信したりしないといった、厳密なデータ利用条件を付与する仕組みも検討されている。
そのため、将来的にはハードウェアとソフトウェアの認証機能も必要とされる。このようなセキュリティ機能が組み込まれることにより、本人が課した利用条件に沿ったデータ利用しかできなくなる。
これを逆に言えば、開示されるデータはすべて何らかの形で利用可能なものばかりということになるわけだ。情報選別の必要がなくなり、利用しやすさは増すだろう。さらに、複数のクラウドサービスが利用できるところにも意味がある。サービス業者にうまく秘密分散すれば、さらに強固な情報漏えい防止策になるとともに、各事業者に不必要なデータを渡してしまうことも防げよう。
上記の(2)では、暗号鍵をどうやって安全に共有するかが課題だ。単純に共通鍵を通信で渡すのでは危険極まりない。ここには従来よりの公開鍵暗号方式(PKI)が適用できる。図3は、PLRを用いて情報交換する場合の模式図だが、この図の公開鍵や暗号化された「住所データ」等がクラウドストレージに置かれる。
なお、この図のように、本人が指定した相手との間で安全な情報共有を行うことは、従来の事業者による集中管理方式ではできなかったことだ。ユーザーが自分の情報を自分で利用できるのが、分散PDSの大きなメリットの1つでもある。
ちなみに、この暗号化通信の仕組みはSSL通信などを運用している企業のIT部門にはおなじみのものだ。技術者ならごぞんじの通り、実際には鍵データを含む「デジタル証明書」のやりとりが必要になる。その証明書の正当性を担保するのがデジタル署名になるが、署名をどの機関がするのかは課題の1つだ。今のところは自己署名証明書での運用を前提にしているが、やがてマイナンバーカードが普及するようになると、国が責任を持つ公的個人認証サービスも利用可能になるかもしれない。
Copyright © ITmedia, Inc. All Rights Reserved.