OECDからみたPrivacy-enhancing technologies ~PETs分類編~
こんにちは.
ペット飼うならネコ派の主婦ねこです!
データ活用に関するドキュメントに,いつもなんとなーく出てくる,プライバシー強化技術(PETs: Privacy-enhancing technologies)の文字.「PETsの活用が求められている~」だとか「PETsというディスラプティブな技術が登場し~」だとか,色々と言及される割には,何の役に立つのか,きちんと説明がされないままのことが多いですね.近年ではプライバシーテックとも呼ばれていますが,少なくとも20年以上前から研究されてはいるものの(※1),いまだに用途は模索中…というのが現実だと思います.
そんな中,2023年にOECDが”EMERGING PRIVACY ENHANCING TECHNOLOGIES”というレポートを公開しました.これは主に各国の政策立案者に対して,PETsがどのように利用できるかをよりよく理解するために,PETsの技術概要や各国の政策について紹介したものです.
https://www.oecd.org/publications/emerging-privacy-enhancing-technologies-bf121be4-en.htm
今回の記事では上記のレポートを見ながら,OECDがPETsをどのように解釈しているかを,PETsファンの主婦ねこさんが勝手な感想を交えながら見ていきます!
そもそもPETsとは
そもそもPETs(Privacy-enhancing technologies)とは,ざっくりいうと個人データのプライバシーを守りながら、データの収集、処理、分析、共有を可能にするデジタル技術やアプローチの総称です.OECDのレポートはこのPETsがプライバシーとデータ保護のために,どのように利用できるかを分析することを目的の一つとして書かれています.具体的にOECDレポートの第3章で紹介されている技術を見ていくことでOECDがどのような技術をPETsと呼んでいるのかがわかると思います.
PETsの分類
PETsの分類は第3章にカテゴリ分けされて紹介されていますので,カテゴリごとに,どういう技術が含まれるのか見ていきましょう.
Data Obfuscation tools(データ難読化ツール)
1つ目のカテゴリがData Obfuscation tools(データ難読化ツール)です.
仮名化(Pseudonymisation)や匿名化(Anonymisation)は元の個人データに加工し,個人を特定または識別できないように情報を落とす技術です.
差分プライバシ(Differential Privacy)は,個人データに摂動を加えてプライバシ保護を保護するときに,どれくらいの摂動を加えるとどの程度のプライバシが保護できるのかを評価するための"指標"です.(技術や手法を指す言葉ではないのが,ややこい.)
合成データ(Synthethc data)は個人データから,元の個人データの特徴を残しながら新しいデータを合成するための手法です.
ゼロ知識証明(Zero-knowledge proofs)は,秘密そのものを秘匿しながらその秘密を知っていることだけを証明する技術です.個人的には差分プライバシと同じカテゴリにあるのが超意外でした!
総じて,情報量を落として機微な情報を守る技術がここに分類されるのかなと思いました.ゼロ知識証明は例外ですが,情報を削ったり,摂動を加えたり,変更を加えたりすることで,プライバシを守る代わりに,分析の精度をある程度は犠牲にする技術群であるといえます.
利用用途としては,個人が企業や組織へデータを送るとき、企業や組織からデータを公開するときに使う技術がこのカテゴリに分類されると思うと,個人的には納得感あります.
Encrypted data processing tools(暗号化データ処理ツール)
2つ目がEncrypted data processing tools(暗号化データ処理ツール)で,暗号技術を活用した技術をここに分類しているようです.
準同型暗号(Homomorophic encryption)は暗号化したまま足し算や掛け算ができる特別な暗号方式です.
マルチパーティ計算(Multi-party computation)は,複数人がお互いの持っているデータを秘密にしながら,データの演算を可能にする技術群を指します.準同型暗号を使ったものも,そうでないものも色々あります.
これらの技術は,元データには変更を加えず暗号化を行うので,データ難読化と違い分析精度が落ちないのがよいところです.組織間でお互いの持つ個人データを開示することなく統合分析処理をする用途で使われることが期待されています.ただし実装コストがかかることが課題です.日本の個人情報保護法では暗号化したデータも個人データですので,これらの技術を使うことで個人情報保護法への対応方法が変わることはないのですが,強固な安全管理措置として活躍できる可能性を秘めています.
加えて,このカテゴリにはTEE(Trusted execution environments)が入ります.TEEとは,OSとは独立した隔離実行環境のことです.実行環境からプライバシを保護したまま,データ処理だけはしてもらうことことができる,と考えるとPETsといえます.OSから隔離するために暗号化を使うので,このカテゴリに分類されているのだと思うのですが,利用用途はマルチパーティ計算とは,ずいぶんと違う印象です.
Federated and Distributed analysis(連合分析/分散分析)
3つ目は個人データを1カ所に集めずに分散させて分析することでデータの機密性を保つ技術群です.連合学習(Federated learning)や分散分析(Distributed Analytics)がこちらのカテゴリに分類されています.
連合学習(Federated learning)は,複数の組織または個人がお互いが自分の持っている個人データで機械学習を行い,その学習結果だけを持ち寄ってより良い学習モデルをつくる技術で,注目度の高い技術だと思います.最近でもこんな記事が出ていました.
OECDのレポートでは「学習結果からプライバシ情報が漏えいすることがあるので,準同型暗号などと組み合わせることがあります」と書かれていますが,どちらかというと差分プライバシと組み合わせることが多い印象です.
Data accountability tools(データ説明責任ツール)
最後は,個人データの管理技術…といえるでしょうか.伝統的にはPETsとみなされることは今までなかったけれど,プライバシーを強化する技術として紹介されているカテゴリです.
Accountable systemは,データがどう使用され,誰と共有されたかといった履歴を制御したり追跡するシステムを指すそうです.ブロックチェーンなどの高い改ざん耐性を利用して,記録の普遍性を担保するシステムもここに含まれます.
閾値型秘密分散(Threshold secret sharing)は秘密情報を分散管理するもので,秘密情報をシェアと呼ばれるデータの断片に分割し,閾値以上のシェアを集めなければ秘密情報が復元できない技術です.エンタメ小説で活躍しそうな技術ですよね.
パーソナルデータストア(Personal data stores)は,個々人が自分の個人データをきめ細やかに制御するためのシステムを指します.情報銀行もその1つと見做されているようですが,OECDのレポートには,まだ大規模に成功しているプラットフォームはない,と書かれていますね.(ただしい.)
代わりに期待が高まっているのがPersonal Information Management Systemsです.これは具体的にはeIDAS規則で定義されている「デジタルIDウォレット(digital identity wallets)」を指しているようです.これは個々人が自分の個人データを自分自身で管理するための仕組みです.多くの人が日常的に,お財布(wallet)に運転免許証や保険証などの個人データを入れて,自分が好きなタイミングで好きな相手に見せて使っているかと思いますが,それをデジタルデータでやるための仕組み,だと思ってよいと思います.
このカテゴリは結構,雑多な感じですね^^;
勝手に図解してみる
各技術の利用イメージを勝手に図にしてみました.
各アイコンはDALL-E3を利用して作成しました
Data obfusucationは,企業や組織への個人データのインプットやアウトプット時に利用する技術,Encrypted data processing toolsは企業や組織の中に入った個人データの共同利用に使う技術,と考えると納得の分類かなと思います.Federated and Distributed analysisは組織間,個人と組織の両方の利用方法があるかと思うので利用範囲は広め.Data accountability toolsは細かい技術ごとに使う場所が分散してますね.
感想
データ保護(Data Protection)という言葉が入っていましたが,プライバシと一緒くたに議論されてしまっていたのが少し残念でした.PETsがデータ保護にどう役立つのか,とても興味があったのですが.
意外だったのが, デジタルIDウォレットがPETsとして紹介されていたところです.個人的にはゼロ知識証明技術を使った選択的開示技術などが大いに面白いと思っているので喜ばしいことです.
個別の技術に関する詳細は,また別の記事で,まとめてみようと思います.
参考情報
(※1) まさにPETsの名を冠したシンポジウムがあるのですが,今年は24回目なんだとか.長い歴史がありますねぇ.
※アイキャッチ画像のネコの画像はDALL-E3を利用して作成しています.
この記事が気に入ったらサポートをしてみませんか?