2023/2/7
プライバシー強化技術は、データ活用への不安を払拭できるか
有限責任監査法人トーマツ | NewsPicks Brand Design
NewsPicks Brand Design / Senior Editor
インターネットによって人や物の動き、決済が情報化され、さまざまなデータ活用が可能になった。今それを妨げているのは、プライバシーやセキュリティなどの「安全や安心にかかわる問題」だ。
オンラインのサービスからどんなデータが収集され、どこでどう使われるのか。よく知らない企業や赤の他人に個人情報を渡すことへの不信感が、ビジネスや社会のDXにブレーキをかけている。
そこで今、注目されているのが、個人のプライバシーや企業が持つ機密情報を保護したままデータの共有や分析を可能にする「PETs(プライバシー強化技術)」というテクノロジー群だ。
暗号技術やデータ処理の仕組みによってプライバシーを強化し、安全に共有できるようになれば、さまざまな領域で新しいサービスの可能性も見えてくる。
DXの課題を乗り越えるための方策を、NewStories代表の太田直樹氏、有限責任監査法人トーマツの早竹裕士氏、岸純也氏が語る。
INDEX
- DXを阻むプライバシーの壁
- 「PETs」でなにができるのか
- ユースケースが信頼を生む
- データはもっと活用できる
DXを阻むプライバシーの壁
──太田さんは官民双方の立場からデジタル化やデータ活用に携わってこられました。プライバシーやDXの現状をどう見ていますか。
太田直樹 そうですね。私の経歴を説明するのに、情報銀行を法制化するのを諦めたときの会にいたというとわかりやすいかもしれません。
2015年から総務省の仕事に携わり、デジタル戦略や個人データを流通させる仕組みを検討しましたが、国が法制化するよりも民間でルールをつくったほうがよいだろうということになった。その背景にもプライバシーの問題がありました。
今日のテーマであるPETsは変化の速いテクノロジーの話ですが、プライバシーやセキュリティは国や業界のルールの話でもあるので、もう少し時間軸が長い。この10年を見ると、私はふたつの転機があったと思います。
10年前にはビッグデータの時代だと言われて多くの企業がデータの利活用に取り組んでいました。
しかし、日本では2013年に交通系ICカードの利用者の匿名加工データが外部に販売されたことで大炎上しました。法令違反ではなかったけれど、社会的に大問題になったことで、それ以来多くの企業が萎縮してしまったんです。
もうひとつは、グローバルの潮流です。2018年にEUがGDPR(General Data Protection Regulation:一般データ保護規則)という法律を施行し、日本はどう対応するのか、アメリカや中国はどうなのかと大騒ぎになりました。
ヨーロッパではデータは個人のものだという考えが非常に強いのですが、アメリカでは基本的にプライバシーを「個人が自分で守るもの」と考えています。州法では定められているものの、国レベルでは個人情報保護法がないんですよね。
このように、国によってもルールがまったく異なるなかで、少しずつ議論を進めてきた。今はようやく何か新しいことができるタイミングなのかもしれません。
早竹裕士 私は金融部門でデータの利活用を進めていますが、金融機関は顧客保護や市場の公正性確保の観点から、もっともデータの利活用に慎重な業界です。
企業からの相談に対して「この使い方はOK」「こんな手続きや契約が必要」と、リスク管理の見地からアドバイスをしているのが現状です。
データをうまく活用できれば、事業者側にも利用者側にも互いにメリットがあるサービスをつくれるはずですが、企業も情報漏洩や社会的な批判を浴びるリスクを恐れて守りに入ってしまう。
だから私たちも、最初は消費者のリスクを守るための施策から始め、社会正義や法令遵守のためのデータ利活用から手を付けて、少しずつできることを増やしてきました。
たとえば金融機関がマネーロンダリングや不正送金の検知を高度化させるために機械学習を活用しようとしても、学習に使えるデータが全然足りていません。プライバシーの問題だけでなく、企業間で機密情報をシェアすることが難しいんです。
そこに「連合学習」という技術を導入すると、個人情報や機密情報を明かさなくてもウェイトやバイアスといった学習結果のパラメータをやり取りするだけで学習が進むので、使えるデータが格段に増えます。
個人が特定できないように仕組みで担保しながら、商取引や機械学習に必要なエッセンスだけを活用する。こういった技術の総称がPETsです。
海外と比べるとまだまだ後れていますが、日本でもNICT(情報通信研究機構)がPETsを使った不正送金検知技術を民間に移転したり、メガバンクがローンのデフォルト予測の実証実験をしたりと、少しずつ事例が出てきました。
「PETs」でなにができるのか
──ほかにはどんな例がありますか。
岸 純也 私はデータ分析全般を担うチームに所属していますが、ブロックチェーンを使った暗号資産取引では「ゼロ知識証明」という技術が注目されています。
少しテクニカルな話になりますが、ブロックチェーン上で行われている通常の取引では、参加者全員がデータを共有することで、改ざんが行われていないことを監視します。さらに、権利の移転や契約などの情報を格納し、証明できることから、暗号資産や決済としてのビジネス利用が検討されました。
ただ、このやり方では機密性の高い情報がすべての参加者に丸見えになってしまうため、企業をまたいだ連携ができないという問題がありました。その欠点に対処できる暗号技術として注目されたのが、ゼロ知識証明です。
すでにこの技術を活用したブロックチェーンが稼働していて、これからのweb3の時代においてはさまざまな企業間、個人間の取引に広まっていくと考えています。
──わかりやすい活用法はありますか。
岸 たとえば新規の取引先と取引を開始するために、売主が買主に一定以上の支払い能力があることを知りたいとします。
そのときに、ゼロ知識証明を使うと、買主は収入や資産の正確な金額を明かすことなく、支払い能力に関して売主が要求する一定の条件を満たしていることだけを証明することができます。
早竹 最近は暗号資産のように譲渡・売買を目的とするNFTだけでなく、個人のアイデンティティや信用力を証明するための「ソウルバウンドトークン(譲渡できないトークン)」という考え方も出てきています。
ゼロ知識証明を使えば、個人情報が格納された箱があるとしても、その中身を全部見せる必要はありません。ユーザーは必要な証明だけを提供し、企業側は不要なデータを保持しないことで、互いのリスクを減らせます。
太田 データをすべて共有するのは、個人にとっても企業にとっても、ものすごくハードルが高いんですよね。
ビジネスには守秘義務もありますし、データをつくるために相応のコストがかかっているので、「タダで提供します」というわけにもいかない。
それに、デジタルで提供した個人データはいくらでもコピーされてしまうので、一度拡散したら消せなくなってしまうことに対する警戒心も根強い。
そういったハードルを技術的にクリアして、プライバシーを明かさなくても意味のあるプロダクトをつくれるのはおもしろいですよね。
岸 そうですね。ほかにもデータにわざとノイズを加え、ほかのデータと掛け合わせても個人を特定できない形でデータを分析する差分プライバシーという技術や、暗号化したままデータを分析する秘密計算という技術が使われています。秘密計算には、準同型暗号や秘密分散などいくつか種類があります。
GDPRのような法規制をクリアするには別の観点が必要ですが、企業や個人が安心して使える程度には、プライバシー強化技術が成熟してきたと思いますね。
米国の大手IT企業は、スマートフォンの機能としてプライバシーコントロール機能を強く打ち出し、公式サイトで差分プライバシーなどの技術を製品のどこで活用しているかを具体的に解説しています。
同社のスマートフォンは他社と比べて高価ですが、こうした啓発によって製品への信頼を高め、他社ブランドと差別化している。これは成功例のひとつです。
ユースケースが信頼を生む
──素朴な疑問なんですが、一般のエンジニアはPETsのような技術をサービスに組み込めるでしょうか。かなり専門性が高いように感じたのですが。
岸 プログラミング技術に加えて暗号理論などの知識が必要になることもあり、自社でゼロから実装するには高い専門性が必要です。
一方で、最近はPETsの技術を提供するスタートアップも出てきていて、高度な実装力がなくても画面上で操作できるようなサービスや、オープンソースのライブラリも増えています。
実装のハードルはかなり下がっています。ただ、暗号理論の細かいところを詰めていくと、「本当に大丈夫なのか」「誰が保証してくれるのか」といった疑問に答えることが、課題として残っているかもしれません。
──AIも同じでしたが、技術の中身がわからないために敬遠してしまうこともありそうです。この先どうすれば広まっていくでしょうか。
太田 やはり、個人がデータを提供するには信頼関係が必要で、医療データにせよマイナンバーにせよ、国へのトラストが低すぎてうまくいかなかったところがあります。
そのハードルを下げるのは、「技術があるから」ではないと思うんですよね。
ヨーロッパでも日本でも、自分のデータはできるだけ渡したくないという心理がある一方で、「いいユースケースがあれば提供する」という人が大半です。
現に、サービスをパーソナライズしてくれる動画配信サイトやECサイト、検索サイトには自分の嗜好や購買行動のデータを提供しています。金融機関などがプロダクトレベルでイノベーションに取り組み、より幅広い領域で成功例が増えれば、PETsの普及も進むのではないでしょうか。
早竹 太田さんのおっしゃるとおりで、たとえばヘルスケアと保険のデータを掛け合わせることで、健康状態が良好であればより安い保険に入れたり、自分の経済活動に必要な企業に必要なだけのデータを提供してパーソナライズされたサービスを受けられたりするならば、利便性を感じてもらいやすくなりますよね。
太田 それに、社会的にも格差が拡大し、パンデミックや天災のような有事に支援の手が必要な人たちがいます。
もしもデータベースが整備されていれば、コロナ禍で中小企業に持続化給付金を出すときにも、支援が必要な人を最速で特定して、最適な対応ができましたよね。
さまざまなデータをつなぎ合わせれば、今困っている人をかなりの精度で推定できます。これも、連合学習の利便性を示しやすい領域だと思います。
データはもっと活用できる
早竹 なるほど。購買力のある富裕層やテクノロジーに明るい人だけを対象にするのではなく、弱者を適切にフォローすることも、データ活用の価値を実感しやすいユースケースですね。
社会幸福や利他的な視点からサービスを設計できると、裾野が広がります。困っている人たちに支援の手を差し伸べるサービスは、もっと検討の余地があると思いました。
太田 それに、PETsにせよデータ活用の新しい仕組みにせよ、一歩踏み込んで挑戦するときに百発百中というわけにはいきません。
乱暴な意見かもしれないけれど、リスクを取って新しい事例をつくることは、大企業よりもスタートアップのほうが向いているんです。
一方で、スタートアップはデータを持っていませんから、大企業や行政と組まないとサービスを広げられません。データ活用を第三者的にウォッチするようなガバナンスの仕組みも、大企業のほうに知見があります。
近年ではスタートアップの出口がIPOだけではなくなり、大企業とのM&Aのような形も増えています。両者がうまく協力し合い、失敗を許容する風土や場をつくることができれば、おもしろいサービスを仕掛ける人が増えるでしょう。
早竹 失敗できる場所は、仮想空間でもいいからほしいですね。今はまだ、サービスを提供する企業と利用者の双方が、個人データを扱うこと自体を危ない、怖いと感じています。
現実の世界と離れた特区で自由に分析できるデータセットがあれば、プライバシーを保護したまま積極的に利活用するためのチャレンジができる。
われわれは専門家としてPETsのような新しい技術を根気強く啓蒙し、ビジネスとしての成功事例を増やしていきたいと思います。
編集・執筆:宇野浩志
撮影:後藤 渉
デザイン:小鈴キリカ
撮影:後藤 渉
デザイン:小鈴キリカ
有限責任監査法人トーマツ | NewsPicks Brand Design
