Embed Size (px)
Citation preview
次世代認証技術とプライバシー保護東京大学大学院情報理工学系研究科
ソーシャルICT研究センター 次世代認証技術講座
特任准教授 山口利恵
* 個人認証とは、相手が正当なユーザであるのか確認する行為* 個人認証にはトークンが必要(満塩さんスライド内認証ガイドライン参照)
* 技術の特徴として、知識・所持・身体行動的特徴に大別され、それぞれが一長一短。
* 登録したデータの改変が可能なものと不可能なものがある
現状の認証技術
具体例 長所 短所
知識 知っていること Something Known
・PIN ・パスワード
・コストがかからない
・忘却・盗難 ・推測
所持 持っていること Something Possessed
・ハードウェア (ICカード、乱数表) ・ソフトウェア
・忘却しない ・セキュリティ強度が向上
・所持品の配布 ・所持品を読み取る等の装置・盗難・紛失
身体・行動的特徴 ユーザ本人の特徴 Something unique about your appearance or person
・バイオメトリクス ・忘却や紛失の心配が無い
・心理的な抵抗 (プライバシー) ・読み取る装置が必要 ・改変が困難
2
既存手法紹介(所持・オンライン認証)
1. ワンタイムパスワード導入例:国内外銀行、社内LANログイン等
2. ICカード導入例:国外銀行、等
3. SMS導入例:国外銀行、等
3
http://www.mizuhobank.co.jp/direct/info/onetime0803.html
http://www.gemalto.com/emv/online_security.html
http://www.shubhalaxmifinance.com.np/smsBankingAtm.php
既存手法紹介(身体的特徴)
1. 生体認証(静脈)国内銀行等
2. 生体認証(指紋)海外銀行
4
http://www.nikkeibp.co.jp/archives/333/333755.html
http://news.thomasnet.com/companystory/Brazilian-‐Bank-‐CAIXA-‐Deploys-‐Lumidigm-‐Fingerprint-‐Sensors-‐in-‐ATMs-‐853214
* 個人認証とは、相手が正当なユーザであるのか確認する行為* 個人認証にはトークンが必要(認証ガイドライン参照)
* 技術の特徴として、知識・所持・身体行動的特徴に大別され、それぞれが一長一短。* 登録したデータの改変が可能なものと不可能なものがある⇒ 改変が可能な場合には、プライバシーの考慮が必須である
現状の認証技術
具体例 長所 短所
知識 知っていること Something Known
・PIN ・パスワード
・コストがかからない
・忘却・盗難 ・推測
所持 持っていること Something Possessed
・ハードウェア (ICカード、乱数表) ・ソフトウェア
・忘却しない ・セキュリティ強度が向上
・所持品の配布 ・所持品を読み取る等の装置・盗難・紛失
身体・行動的特徴 ユーザ本人の特徴 Something unique about your appearance or person
・バイオメトリクス ・忘却や紛失の心配が無い
・心理的な抵抗 (プライバシー) ・読み取る装置が必要 ・改変が困難
5
* バイオメトリクス・生体認証とは、「生物個体が持つ特性により個人を認証する技術」* 本人の生物学的特徴を読み取り、登録してあるものと照合して個人を認証する手法のため、* 紛失や盗難の脅威が少なく* ユーザの提示手法も比較的簡単
* 生体認証に使われる身体的特徴とは* 普遍性: 誰でも持っている特徴* 唯一性: 万人不同 本人以外は同じ特徴をもたない* 永続性: 終生不変 時間の経過と共に変化しない
バイオメトリクスとは
6
音声(声紋)虹彩手書署名キーストローク
指紋
耳介、DNA、におい・・・
身体的特徴を応用 行動的特徴を応用
網膜静脈顔 掌形
バイオメトリクスの長所と短所
* 長所* ユーザの忘却、紛失の心配が無い* 普遍性* 一意性を見つけやすい
* 短所* 心理的な抵抗、読み取る装置が必要* セキュリティ 要件の整備が必要* 偽造対策* 本人拒否率、他人受入率 だけでない基準が必要(例:ウルフ)* 据え置きではないシステムの要件は?
* プライバシの問題* 変更が利かない(普遍性のある)* 匿名が担保できない* IDとデータが紐付いた途端一気に情報漏洩が生じる
7
* 生体情報そのものを保存しない技術が複数存在する* キャンセラブル・バイオメトリクス* バイオメトリック暗号 等
* 生体認証を特殊な暗号化を行い、利用した鍵が漏洩しない限りその情報は個人を特定できない。
生体情報を変換する技術
88
センサー
変換
サーバ クライアント 事前に登録
元の情報に復元できない形に変換
010111010111010101101010011011
暗号化 生体情報
010111010111010101101010011011
暗号化 生体情報
010111010111010101101010011011
010111010111010101101010011011
照合
OK/NG OK/NG
バイオメトリック暗号
暗号をとかないまま照合
* 生体情報の変換技術にはいろいろなレベルがある* 本人を特定するのに近い情報からまったく本人に結びつかない情報
生体情報は個人情報か?
9
010111010111010101101010011011
生体情報そのもの
生体情報から変換した情報
個人に限りなく近い情報
全く個人に結びつかない情報 最低k人以上同じ情報
* 生体情報の変換技術にはいろいろなレベルがある* 本人を特定するのに近い情報からまったく本人に結びつかない情報
* 全く個人に結びつかない情報というのは、他にも同じ情報の人がいるということ
生体情報は個人情報か?
10
010111010111010101101010011011
生体情報そのもの
生体情報から変換した情報
個人に限りなく近い情報
全く個人に結びつかない情報 (複数人のデータが同じになる)
最低k人以上同じ情報 (生体認証としては役にたたない)
* 生体情報の変換技術にはいろいろなレベルがある* 本人を特定するのに近い情報からまったく本人に結びつかない情報
* 全く個人に結びつかない情報というのは、他にも同じ情報の人がいるということ
生体情報は個人情報か?
11
010111010111010101101010011011
生体情報そのもの
生体情報から変換した情報
個人に限りなく近い情報
全く個人に結びつかない情報 (複数人のデータが同じになる)
最低k人以上同じ情報 (生体認証としては役にたたない)
認証情報はこのレベル以上の必要性がある
* 生体認証は、個人特定を目指しているので、個人が特定されてしまう
* 生体認証を変換しプライバシーを保つ技術は、鍵と生体情報の両方が漏洩しないを仮定して、プライバシーを保っている
* 鍵が扱いやすくなっていればよりよいので、現状は鍵を如何に小さくするか、如何に扱いやすくするのか、という検討を行っている
* 例)鍵が耐タンパー性のあるICカードに入っている* 鍵が漏洩しないような技術の検討が必要* コストや利便性を如何に考えるか
生体認証と個人特定
12
* もちろん、認証の情報は公開されない仮定があるわけであるが。。。。
* トランザクションの数回が公開される のと、 一生変えられない情報には違いがある
* 1人であると特定されたときの影響が違う ⇒ 漏洩した情報のコンテキスト依存
* 高度な処理の匿名データとなったとしても、どのような情報なのであろうか* 検討が必要(Ground Truth の研究が行われている)
生体認証と他の情報の違い
13
* ユーザは、一生変えることができないため、ユーザの全ての行動がリンクできる可能性がある* 静脈を提供した場合、静脈の情報を起点としてリンクがとれてしまう
* 一般に公開されないとしても、A銀行の人がわかってしまうかも
生体情報が漏洩した場合
14
静脈
A店
B銀行
10月15日 楽器 55500円 10月20日 楽譜 2500円 10月30日 CD 2500円
10月15日 引き出し 60000円 10月20日 引き出し 10000円
C社ビル管理
10月1日 9:30 通過 18:52 通過 10月1日 9:30 通過 18:52 通過
* センサーごとに取得方法も違うため、特定して紐づけることが困難な可能性がある
* 一生変えられない情報が漏洩したとしても、全てのリンクがとれると限らない
* それぞれの精度が高いとは限らない
現実的には
15
静脈
A銀行
B国入国審査
機械も取得方法も違う
個人情報保護法
16
* 個人情報の保護に関する法律* 第2条第1項* この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
* 保護法における個人情報が本当に個人情報か?* 個人に関する情報(パーソナル情報)のうち、どこまでが「個人情報」なのか* 本当に氏名と生年月日が個人情報?* もし、仮に名刺情報が漏洩したとしても実害があるのか* 個人に紐づく秘匿情報のほうが問題では?
プライバシーとは?
17
* 名前がないデータであれば匿名データですか?* 情報そのものの特性だけでなく、データ構造に依存* 氏名等、特定の個人を識別できる情報* 上記情報と紐付いている情報* 上記情報と紐付いていない情報
* どういう情報であれば、プライバシーに関わらない情報?
プライバシー 個人情報
パーソナル情報・個人に関する情報
* 認証技術とプライバシーは、そもそも相反する問題* 本人をより確実に特定したい VS. 本人の情報を公開しない* 各サービスに対し、適切なコストや利便性の考慮も大事 四角をどうバランスするか
⇒ 認証技術の場合は、必ずつきまとう問題なので、 どのあたりがリーズナブルかの検討が必要
認証技術とプライバシー
本人特定
プライバシー
コスト
利便性
次世代個人認証技術講座
* 設置場所* 東京大学大学院情報理工学系研究科ソーシャルICT研究センター内に設置* 別発表参照* 三菱UFJニコス株式会社による寄付
* 期間* 平成25年4月1日から平成30年3月31日 5年間
* 研究の目的* 近年のインターネットの普及により、時間や場所の制限なく利用できる電子商取引の利用は依然として拡大し続けている。これに伴い、インターネット上での電子決済を安全安心に行うための個人認証技術の重要性も急速に高まっている。本寄付講座は、産官学の密な連携によるオープンスパイラル型研究を通じて、様々な社会インフラに適用できる真に有用な個人認証技術を確立する事を研究の目的とする。
19
講座の検討事項
* パスワード方式に依存しているため安全性が確保できない→ パスワードに代わる電子決済を安全・安心に行うための 個人認証技術の研究・開発
安全かつユーザ負担の少なく、かつ流行る方式を目指す
* 現在オンライン商取引でおきている不正・なりすまし等の被害を少しでも減らしたい
→ 被害の抜本的な原因の追及を
日本は消費者保護に重点をおいているため、ユーザの負担としづらく、銀行やカード会社が負担をしなければならない、ということを前提に。
20
みなさま、是非、御協力いただければ幸いです
21
22
個人情報保護法
23
* 個人情報の保護に関する法律* 第2条第1項* この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)をいう。
* 保護法における個人情報が本当に個人情報か?* 個人に関する情報(パーソナル情報)のうち、どこまでが「個人情報」なのか* 本当に氏名と生年月日が個人情報?* もし、仮に名刺情報が漏洩したとしても実害があるのか* 個人に紐づく秘匿情報のほうが問題では?
プライバシーとは?
24
* 名前がないデータであれば匿名データですか?* 情報そのものの特性だけでなく、データ構造に依存* 氏名等、特定の個人を識別できる情報* 上記情報と紐付いている情報* 上記情報と紐付いていない情報
* どういう情報であれば、プライバシーに関わらない情報?
プライバシー 個人情報
パーソナル情報・個人に関する情報
「匿名化」と個人情報
25
* パーソナルデータがどのような処理によって個人情報を削除できるのか
* いわゆる「匿名データ」は技術的に3種類に分類できる※「実名データ」「匿名データ」「統計データ」という名称は技術用語ではない
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
出展:NTT高橋克巳作成の資料
①実名データ(個人情報)
26
* 氏名等により個人を 識別できる情報
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
②−1 連結可能匿名データ
27
* 他の情報と容易に統合が可能。場合によっては、仮名データとして活用。
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
位置情報 趣味
34.72, 135.36 野球
35.90, 139.71 サッカー
氏名 生年月日
鈴木よしえ 1978.9.10
松井りんご 1942.10. 7
②-1 個人と連結可能な匿名データ
②−2 いわゆる匿名データ
28
* 他の情報と容易に統合が可能。場合によっては、仮名データとして活用。
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
位置情報 趣味
34.72, 135.36 野球
35.90, 139.71 サッカー
氏名 生年月日
鈴木よしえ 1978.9.10
松井りんご 1942.10. 7
②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動
34.72, 135.36 野球
35.90, 139.71 サッカー
②−3 高度な匿名データ
29
* 特定の個人が識別できないレベルまで匿名化したデータ * 作成には専門知識が必要
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
位置情報 趣味
34.72, 135.36 野球
35.90, 139.71 サッカー
氏名 生年月日
鈴木よしえ 1978.9.10
松井りんご 1942.10. 7
②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動
34.72, 135.36 野球
35.90, 139.71 サッカー
②-3 高度な処理の匿名データ位置情報 趣味
兵庫県 球技
埼玉県 球技
③統計データ
30
* 統計処理データ * 作成には専門知識が必要
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
位置情報 趣味
34.72, 135.36 野球
35.90, 139.71 サッカー
氏名 生年月日
鈴木よしえ 1978.9.10
松井りんご 1942.10. 7
②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動
34.72, 135.36 野球
35.90, 139.71 サッカー
②-3 高度な処理の匿名データ位置情報 趣味
兵庫県 球技
埼玉県 球技
東京 埼玉
野球 33 8
サッカー 27 32
③統計データ
生体データとの整理
31
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
位置情報 趣味
34.72, 135.36 野球
35.90, 139.71 サッカー
氏名 生年月日
鈴木よしえ 1978.9.10
松井りんご 1942.10. 7
②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動
34.72, 135.36 野球
35.90, 139.71 サッカー
②-3 高度な処理の匿名データ位置情報 趣味
兵庫県 球技
埼玉県 球技
東京 埼玉
野球 33 8
サッカー 27 32
③統計データ
生体データ (何かのはずみで 本人特定できる)
生体データとの整理
32
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
位置情報 趣味
34.72, 135.36 野球
35.90, 139.71 サッカー
氏名 生年月日
鈴木よしえ 1978.9.10
松井りんご 1942.10. 7
②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動
34.72, 135.36 野球
35.90, 139.71 サッカー
②-3 高度な処理の匿名データ位置情報 趣味
兵庫県 球技
埼玉県 球技
東京 埼玉
野球 33 8
サッカー 27 32
③統計データ
生体データ (何かのはずみで 本人特定できる)
高度な生体情報管理は 手法によって整理が違う
生体データとの整理
33
①実名データ
③統計データ
②匿名 データ
1.個人と連結可能 なもの
個人情報と される範囲
3.高度な 匿名処理が されたもの
2.識別情報 が取り除か れたもの
氏名 生年月日 位置情報 行動
鈴木よしえ 1978.9.10 34.72, 135.36 野球
松井りんご 1942.10. 7 35.90, 139.71 サッカー
①実名データ
位置情報 趣味
34.72, 135.36 野球
35.90, 139.71 サッカー
氏名 生年月日
鈴木よしえ 1978.9.10
松井りんご 1942.10. 7
②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動
34.72, 135.36 野球
35.90, 139.71 サッカー
②-3 高度な処理の匿名データ位置情報 趣味
兵庫県 球技
埼玉県 球技
東京 埼玉
野球 33 8
サッカー 27 32
③統計データ
生体データ (何かのはずみで 本人特定できる)
高度な生体情報管理は 手法によって整理が違う
この情報では認証できない
34
リモート認証におけるバイオメトリクス認証の課題
35
* バイオメトリクス認証における脅威の一覧を整理すると、リモート認証では脅威が多い(下記の吹き出し参照)* 米国において:* NISTガイダンスの策定メンバーからの見解によると、現状の技術では、生体認証情報が秘匿データであるか否かの判断が難しい(生体反応やデバイスの信頼性などの判断が困難)
* SP800-63においても、認証トークンの「ロック解除」には活用するのは奨励
データ収集 信号処理 マッチング
登録 データ
特徴量抽出 インターネット
サーバ ユーザ端末
OK/NG 生体認証なりすまし
ネットワーク盗聴、リプレイ攻撃
登録データへの攻撃、管理者の不正
海外の動向と日本のレベル
* 従来バイオメトリクス技術は、「安全保障」において活用。* 治安対策、犯罪捜査* 入国管理
* 特に途上国では、住民登録制度がなかったため、国家への帰属を証明する手段の確保として活用。* インドのAADHAAR(多目的アイデンテティカード)* 米国等、先進国は国防の観点から導入。
* 途上国のような全ての社会システムへの導入に対してはプライバシー保護の観点から難しい。
⇒ 認証精度向上を目指す研究や技術開発が多かった (最近は、PayPalの例があるなど、違いがみえる)
• 日本は、研究・技術開発としては世界トップレベル。• 認証精度向上以外にもATMやシステムアクセス管理などへの応用があるんど、融合領域の研究も盛ん。
• 一方、個々の研究レベルは非常に高いが、国の支援が散発的であり、他国と比較すると多数の研究者がまとまって研究できる設備や環境に乏しい。
36
日本と欧州のプライバシー意識の違い
37
} IPAセキュリティセンターは、2010年に「elDに関するリスクの認知と受容の調査」 を行い、日本と欧州における個人情報の感覚の違いを調査
} 「オンラインで提供できる情報」を聞いたところ、日欧の違いが読み取れる
欧州 日本 「オンラインで提供できる情報」に関する意識
プライバシー侵害事例:ミログAppLog
38
} 2011年7月、日本のベンチャー企業であるミログ社は、Android(アンドロイド)端末にインストールされたアプリケーションのリストや起動履歴を収集、活用する事業を展開していた。 } 具体的には、ユーザーのアプリケーション情報を基にしたターゲティン
グ広告やリワード広告、統計処理したアプリケーション情報を使ったコンサルティング事業などを手掛けていた。
} だが2011年秋頃から、こうしたアプリ情報の収集が「プライバシーの侵害に当たるのでは」という指摘が相次いでいた。アプリケーション起動履歴などを収集する「app.tv」「AppLog」といった同社が提供するサービスについて、「ユーザーへの十分な説明なく情報を収集している」とし てネットを中心に批判が噴出した。
} ミログは一部のサービスを終了・停止すると共に、内容の全面的な見直しを検討したが今回、「事業環境を総合的に判断した結果」(ミログ)として2012年4月、会社の解散、清算を決定したという。
プライバシー侵害事例: Netflix社のDVDレンタル履歴
39
} 2006年、米国の大手DVDレンタル会社であるNetflix社は、匿名化されたDVDレンタル履歴を公開し、リコメンデーションのためのアルゴリズムを競わせるコンテスト(Netflix Prize)を行った。 } 約50万ユーザ、1億件分のレイティングデータから個人を識別できる
情報を削除 } NarayananとShmaikovは、これらの公開データと the Internet
Movie Database(映画のレビューサイト)のデータを突き合わせること で、二人の個人が識別できたと発表した。
} このような動きを受け、 Netflixは米国連邦取引委員会(FTC)の調査や法律家による訴訟を受けることになり、計画されていた Netflix Prizeの続編は中止に追い込まれた。
出典)L.Sweeney, k-anonymity: a model for protecting privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 10(5), 2002
プライバシー侵害事例: マサチューセッツ医療データ
• 2002年Sweeneyの研究 • マサチューセッツ州が公開した匿名化処理した医療データから州知事の情報を特定
– 医療データから氏名を削除して公開
– 既に公開・販売されている投票者名簿とをマッチングしたところ、知事と同じ生年月日のレコードが6人、うち3人が男で、郵便番号から1人に特定可能
40
安全性指標:k 匿名性} 開示データからの個人識別を防ぐための匿名化モデル
} [Sweeney 02] k-Anonymity: A Model for Protecting Privacy
} 準識別情報について、共通の組み合わせを持つレコードが少なくともk個以上存在する時、開示データはk 匿名性をみたすと言う
} k 匿名化 } 属性の一般化や秘匿などにより、k 匿名性をみたすように、共通の準識別
情報の組み合わせを持つ複数のレコード集合を構成すること
郵便番号 年齢 №
1800005 1800012 1800003 1810015 1810015 1810013 1800003 1800021 1800001 1800099
39 32 37 40 46 43 50 52 60 66
1 2 3 4 5 6 7 8 9 10
郵便番号 年齢 №
18000** 18000** 18000**
3* 3* 3*
1 2 3
18100** 18100** 18100**
4* 4* 4*
4 5 6
18000** 18000** 18000** 18000**
50以上
50以上
50以上
50以上
7 8 9 10
性別
男
男
男
男
男
男
男
女
女
女
性別
男
男
男
女
女
女
男
男
男
男
趣味
アニメ
アニメ
アニメ
映画
アニメ
ドラマ
映画
ドラマ
ドラマ
時代劇
趣味
アニメ
アニメ
アニメ
映画
アニメ
ドラマ
映画
ドラマ
ドラマ
時代劇
3
3
4
3-匿名性(郵便番号・性別・年齢)
: )
: (
: ) : )
41
3匿名化
ここでは、 郵便番号・性別・年齢 に注目
42
位置情報とそのほかの履歴の違い
ものの購入 既に曖昧化してある 細かいと必ず特
定される 何時何分何秒北緯 西経
リンゴを買おう
私は2009年1月23日4:30に稚内市ーー番地
にいます
} 同じ履歴情報でも、情報の特性によって、後で統合しやすいものとしにくいものがある、 } 収集したデータが移動履歴情報であれば、組み合わせの際に、個人特
定の可能性がある } より簡単に個人を特定できる情報となる可能性を持つ
k匿名性の限界} k匿名性の限界
} k匿名化(*)については安全 } k匿名性という概念は、情報を統計情報とするという点で、価値がある。 } ただし、アプリケーションは限定的となる。
} k匿名性の持つ危険性 } 準識別子の選択や組み合わせによって、匿名性が犯される危険性を持つ。
} k匿名性した情報では、二次利用者にとって、必要な情報すべてが存在しているかどうかがまだわかっていない } 匿名化しすぎている可能性も。
} 正しく匿名化しているかどうかが、第三者の検証が必須 } 自己評価ではない、方法が必要
} ガイドラインや制度での実現の限界 } ガイドラインや制度で、匿名化しない準識別子を限定的にすることや情
報の組み合わせを行わないことを定めることで実現することも考えられるが、技術的に守られることが保証されていない。
43
収集データ情報提供者 匿名化データ
匿名化 匿名化 匿名化情報利用者
「ものさし」としての基準が必要
匿名化基準の必要性 実現方法の選定
匿名化データをどのように実現するのか
匿名化基準と実現方法の違い
評価・認 正しく匿名化データを作成したのか確認
} 母集団一意性を満たすために技術基準が必要
} 匿名化データをどのように実現するのか } 例として、k 匿名化があげられるが、
実現のためには、議論は今から
} 実現するためには、安全性の整理も必須
匿名化したあとのデータの性質についての基準
上の基準を満たすためにどのような技術を利用すべきかを考える
評価・認証
44
ユーザとの同意
ユーザとの同意(例:スマホアプリ)
46
} スマホアプリの同意については、適切な方法が難しい } 現状では、Androidについてはサービス事業者による過剰な
パーミッション要求が散見され、ユーザが判断できない } 同意の方法が不適切なため、問題になるアプリも
実行時確認型(iOS)
インストール時確認型(Android)
IPA注意喚起より http://www.ipa.go.jp/security/ txt/2012/09outline.html
ユーザ(利用者)への適切な匿名化手法の提示
47
} 現状では、「適切に処理しています」と、プライバシーポリシーに記載があるだけ
} 今後は、各社がどれだけ責任をもってやっているのかを提示する方が良い
昔の日本って?
48
} 情報は基本縦割り } 日本は、情報がリンクをとれるイメージがない
まとめ
問題解決にむけて
} 各データ種別ごとに、有用な情報の定義を } 移動体(携帯電話・プローブ情報システム)、買い物データ、
健康データなど、それぞれごとに解析を行い、匿名性と有用性トレードオフの整理が必要。 } 場合によっては、識別情報の削除だけで、匿名化を満たし、二次利
用には優れている可能性がある。
→ 分野ごとに適したプライバシ手法があるのでは?
} 情報の定義ができたとして、誰が実現してそれを保証していくのか
} 安全性検証を負荷した技術の組み合わせ } ただし、重くならないよう、ほどほどに実現。
50
51
高いセキュリティレベルおよび利便性を保持し,プライバシを守る技術
どういう情報が必要だろうか?
この技術を利用しよう
• 必要な情報のみを必要な時に保持し,不必要な情報を保持しないといった柔軟な運用が可能な技術の構築
匿名化技術
情報隔離技術
アクセス コントロール
情報分散技術
