第3章 課題分析
3.4.1 課題:ユーザ背景情報の扱い方
第 3 章 課 題 分 析
47
3.4 課題,考察事項
本章の3.2.1項で述べた解決課題を,図3.9を参照して述べる.パーソナル情報 などをPPSに集約し,ユーザ背景情報やコミュニティ状況をチェックし,その結果 を匿名度調整や開示情報調整に反映させ,調整された開示情報をプロバイダに提供し サービスコンテンツを受けるという一連の流れのなかで,(2)~(3)においてど のようにチェックし,どのように匿名化処理や開示処理に反映させるかが課題である.
以下,基本的な対処の考え方も含め,それらについて述べる.
第 3 章 課 題 分 析
48
図 3.18 ユーザ背景情報の考え方 属性もR´よりRに段階的に増やしていくことが考えられる[59].
しかし,もしプロバイダにユーザに関する何らかの背景情報がある場合,希望匿名 度 L を確保できなくまり,意図しない情報開示につながる恐れがある.つまり,プロ バイダに背景情報として属性M(属性の集合)があれば開示された属性R´と合わせ ることで実質M+R´の属性を開示したと同じことになり実質的な匿名度がLより下 がったL-になる可能性がある(図3.17参照).
ここでユーザ背景情報の考え方で あるが,ユーザから預かるパーソナ ル情報(ユーザDB)はセキュアな PPSで管理されるため,外部に漏 れることはないが,その要素の出所 よりDBの断片情報,あるいは断片 に繋がる何らかの情報としていろい ろなルートやタイミングで漏れ,結 果プロバイダに渡ることが予想され る.PCやスマホより漏れたり,会 社のサイトや個人のブログ,ツイッ タより漏れたり,SNSや風評,関 連プロバイダからの横流しとか,で
ある.この様子を図3.18に示す. 図 3.19 プライバシ保護の2ステップ
第 3 章 課 題 分 析
49
そのように漏れたDBの断片がプロバイダにたまたまあったとき,問題が発生 する.開示情報と背景情報が合わさって紐付けされ,Lが損なわれる可能性があ る.
そもそも,プライバシ保護とは,実空間の本人と,仮想空間のプライバシ情報 が結びつかないことであり,仮想空間でIDとプライバシが結びつき,且つ実空 間でそのIDと実本人が結びつく,という2段階のステップを踏まない限りプラ イバシは保護される.プロバイダの背景情報は実空間での手がかりを与えLを損 なう可能性がある.Lで決まる開示属性は仮想空間上のみで計算されるので,も し実空間に背景情報があり,それと紐付けされるとLが保証されない可能性がで てくる.本研究の意図は,背景情報と開示情報とを合わせてもトータルにLを確 保することであり,そのためには,事前に背景情報を探知し開示情報と合わせて もLを保証ができるプロバイダかどうかを確認することが必要となる.図3.19 は,この考え方に基づく.
例えば図3.20に示す事例において,左上の表はある6人グループのDBであ るが,ユーザを Alice として,希望匿名度L=2(S=3)1 のとき,プロバイダ に何の背景情報も無ければ(血液型:A 型)は開示できる(他に3パターン,全
図 3.20 紐付けの様子
1 6人集団ではLの各レベルL=0,1,2,3に相当するSの値は,S=0,1,2,
3,4人としている.
第 3 章 課 題 分 析
50
4パターンが開示可能).しかし,仮にプロバイダに背景情報として(初渡航:
Yes)があれば,(血液型:A)の開示は不可能となり,(血液型:A)を開 示してサービスを受けたいとき,このプロバイダは利用できない.なぜなら,そ れら両属性が紐付けされるとS=1となりL=2(S=3)が確保できないから である.つまり,背景情報と開示情報が紐付けられてもS=3を確保できるのは,元 のDBで二つの属性の組合せがS=3が確保している時に限る.
もちろん,図3.20に示すように,紐付けされないかぎり,(血液型:A)の開 示のみでS=3は損なわれないが,いつなんどき,紐付け情報によってS=3は 保証されなくなる可能性があり,本研究においては,プロバイダに開示前すでに
(初渡航:Yes)が背景情報として有る場合,(血液型:A)の開示は,S=3に おいては開示不可能属性と考える.
このような事態を避けるには,情報を開示する前にそのプロバイダの背景情報を探 り,その結果によって適切な対応措置をとる必要がある.例えば,背景情報があって 希望匿名度を守れない恐れがあるプロバイダからのサービスは控える,あるいは,希 望匿名度を変更して再試行するなどの措置である.
以上,課題:プロバイダのユーザ背景情報への対処,であり,これについて背景情 報の探索方法などを含め,提案手法の詳細を次章以降で述べる.