現状の認証技術 * 個人認証とは 相手が正当なユーザであるのか確認する行為 * 個人認証にはトークンが必要 ( 満塩さんスライド内認証ガイドライン参照 ) * 技術の特徴として 知識 所持 身体行動的特徴に大別され それぞれが一長一短 * 登録したデータの改変が可能なものと不可能なものがある 具体例

次世代認証技術とプライバシー保護

東京大学大学院情報理工学系研究科

 

ソーシャル

_{ICT研究センター}  

次世代認証技術講座

 

特任准教授

　山口利恵

*



個人認証とは

、

相手が正当なユーザであるのか確認する行為

*

 

個人認証にはトークンが必要（満塩さんスライド内認証ガイドライン参照）

*



技術の特徴として

、

知識・所持・身体行動的特徴に大別され

、

それぞれが一長

一短

。

*

 

登録したデータの改変が可能なものと不可能なものがある

現状の認証技術

具体例

長所

短所

知識

 

知っていること

 

Something  Known

・

_PIN  

・パスワード

・コストがかか

らない

・忘却・盗難

 

・推測

 

所持

 

持っていること

 

Something  Possessed

・ハードウェア

 

（

ICカード、乱数表）  

・ソフトウェア

・忘却しない

 

・セキュリティ

強度が向上

 

・所持品の配布

 

・所持品を読み取る等の装

置

・盗難・紛失

身体・行動的特徴

 

ユーザ本人の特徴

 

Something  unique  about  

your  appearance  or  

person  

・バイオメトリクス

・忘却や紛失

の心配が無

い

 

・心理的な抵抗

 

（プライバシー）

 

・読み取る装置が必要

 

・改変が困難

既存手法紹介（所持・オンライン認証）

1.



ワンタイムパスワード

導入例：国内外銀行

、

社内LANログイン等

2.



ICカード

導入例：国外銀行

、

等

3.



SMS

導入例：国外銀行

、

等

http://www.mizuhobank.co.jp/direct/info/onetime0803.html   http://www.gemalto.com/emv/online_security.html

既存手法紹介（身体的特徴）

1.



生体認証（静脈）

国内銀行等

2.



生体認証（指紋）

海外銀行

http://www.nikkeibp.co.jp/archives/333/333755.html http://news.thomasnet.com/ companystory/Brazilian-­‐Bank-­‐ CAIXA-­‐Deploys-­‐Lumidigm-­‐ Fingerprint-­‐Sensors-­‐in-­‐ ATMs-­‐853214

*

 

個人認証とは

、

相手が正当なユーザであるのか確認する行為

*

 

個人認証にはトークンが必要（認証ガイドライン参照）

*

 

技術の特徴として

、

知識・所持・身体行動的特徴に大別され

、

それぞれが一長一短

。

*

 

登録したデータの改変が可能なものと不可能なものがある

⇒　改変が可能な場合には

、

プライバシーの考慮が必須である

現状の認証技術

具体例

長所

短所

知識

 

知っていること

 

Something  Known

・

_PIN  

・パスワード

・コストがかか

らない

・忘却・盗難

 

・推測

 

所持

 

持っていること

 

Something  Possessed

・ハードウェア

 

（

ICカード、乱数表）  

・ソフトウェア

・忘却しない

 

・セキュリティ

強度が向上

 

・所持品の配布

 

・所持品を読み取る等の装

置

・盗難・紛失

身体・行動的特徴

 

ユーザ本人の特徴

 

・バイオメトリクス

・忘却や紛失

の心配が無

・心理的な抵抗

 

（プライバシー）

 

*



バイオメトリクス・生体認証とは

、

「生物個体が持つ特性に

より個人を認証する技術」

*

 

本人の生物学的特徴を読み取り

、

登録してあるものと照合し

て個人を認証する手法のため

、

*

 

紛失や盗難の脅威が少なく

*

 

ユーザの提示手法も比較的簡単

*



生体認証に使われる身体的特徴とは

*



普遍性：　誰でも持っている特徴

*



唯一性：　万人不同　本人以外は同じ特徴をもたない

*



永続性：　終生不変　時間の経過と共に変化しない

バイオメトリクスとは

音声（声紋）

虹彩

手書署名

ｷｰストローク

指紋

耳介、ＤＮＡ、におい・・・

身体的特徴を応用

行動的特徴を応用

網膜

静脈

顔

掌形

バイオメトリクスの長所と短所

*



長所

*

 

ユーザの忘却

、

紛失の心配が無い

*



普遍性

*

 

一意性を見つけやすい

*



短所

*

 

心理的な抵抗

、

読み取る装置が必要

*



セキュリティ  要件の整備が必要

*

 

偽造対策

*



本人拒否率

、

他人受入率

 

だけでない基準が必要（例：ウルフ）

*

 

据え置きではないシステムの要件は？

*

 

プライバシの問題

*

 

変更が利かない（普遍性のある）

*



匿名が担保できない

*

 

生体情報そのものを保存しない技術が複数存在する

*



キャンセラブル・バイオメトリクス

*

 

バイオメトリック暗号　　等

*



生体認証を特殊な暗号化を行い

、

利用した鍵が漏洩しない限りその

情報は個人を特定できない

。

生体情報を変換する技術

センサー

変換

サーバ

クライアント

事前に登録

元の情報に復元できない形に変換

０１０１１１０１０１

１１０１０１０１１０

１０１００１１０１１

暗号化

 

生体情報

０１０１１１０１０１

１１０１０１０１１０

１０１００１１０１１

暗号化

 

生体情報

０１０１１１０１０１

１１０１０１０１１０

１０１００１１０１１

０１０１１１０１０１

１１０１０１０１１０

１０１００１１０１１

照合

OK/NG

OK/NG

バイオメトリック暗号

暗号をとかないまま照合

*



生体情報の変換技術にはいろいろなレベルがある

*



本人を特定するのに近い情報からまったく本人に結びつか

ない情報

生体情報は個人情報か？

０１０１１１０１０１ １１０１０１０１１０ １０１００１１０１１

生体情報そのもの

生体情報から変換した情報

個人に限りなく近い情報

全く個人に結びつかない情報

 

最低ｋ人以上同じ情報

*



生体情報の変換技術にはいろいろなレベルがある

*

 

本人を特定するのに近い情報からまったく本人に結びつかない情

報

*



全く個人に結びつかない情報というのは

、

他にも同じ情報の

人がいるということ

生体情報は個人情報か？

０１０１１１０１０１ １１０１０１０１１０ １０１００１１０１１

生体情報そのもの

生体情報から変換した情報

個人に限りなく近い情報

全く個人に結びつかない情報

 

（複数人のデータが同じになる）

最低ｋ人以上同じ情報

 

（生体認証としては役にたたない）

*



生体情報の変換技術にはいろいろなレベルがある

*

 

本人を特定するのに近い情報からまったく本人に結びつかない情

報

*



全く個人に結びつかない情報というのは

、

他にも同じ情報の

人がいるということ

生体情報は個人情報か？

０１０１１１０１０１ １１０１０１０１１０ １０１００１１０１１

生体情報そのもの

生体情報から変換した情報

個人に限りなく近い情報

全く個人に結びつかない情報

 

（複数人のデータが同じになる）

最低ｋ人以上同じ情報

 

認証情報はこのレベル以上の必要性がある

*



生体認証は

、

個人特定を目指しているので

、

個人が特定

されてしまう

*



生体認証を変換しプライバシーを保つ技術は

、

鍵と生体

情報の両方が漏洩しないを仮定して

、

プライバシーを

保っている

*



鍵が扱いやすくなっていればよりよいので

、

現状は鍵を如

何に小さくするか

、

如何に扱いやすくするのか

、

という検

討を行っている

*



例)鍵が耐タンパー性のあるICカードに入っている

*



鍵が漏洩しないような技術の検討が必要

*



コストや利便性を如何に考えるか

生体認証と個人特定

*



もちろん

、

認証の情報は公開されない仮定があるわけである

が。。。

。

*



　トランザクションの数回が公開される

　　のと

、

　

一生変えられない情報

には違いがある

*

 

1人であると特定されたときの影響が違う

　⇒　漏洩した情報のコンテキスト依存

*



高度な処理の匿名データとなったとしても

、

どのような情報

なのであろうか

*

 

検討が必要（Ground  Truth  の研究が行われている）

生体認証と他の情報の違い

*



ユーザは

、

一生変えることができないため

、

ユーザの全ての

行動がリンクできる可能性がある

*

 

静脈を提供した場合

、

静脈の情報を起点としてリンクがとれてし

まう

*



一般に公開されないとしても

、

A銀行の人がわかってしまうか

も

生体情報が漏洩した場合

静脈

A店

B銀行

10月15日　楽器　55500円  

10月20日　楽譜　  2500円  

10月30日　CD　          2500円  

10月15日　引き出し　60000円  

10月20日　引き出し　10000円  

C社ビル管理

10月1日  9：30　通過  

　　　　　

18：52    通過  

10月1日  9：30　通過  

　　　　　

_{18：52    通過}  

*



センサーごとに取得方法も違うため

、

特定して紐づける

ことが困難な可能性がある

*



一生変えられない情報が漏洩したとしても

、

全てのリンク

がとれると限らない

*



それぞれの精度が高いとは限らない

現実的には

静脈

A銀行

B国入国審査

機械も取得

方法も違う

個人情報保護法

*



個人情報の保護に関する法律

*



第２条第１項

*



この法律において「個人情報」とは

、

生存する個人に関す

る情報であって

、

当該情報に含まれる氏名

、

生年月日その

他の記述等により特定の個人を識別することができるもの

（他の情報と容易に照合することができ

、

それにより特定

の個人を識別することができることとなるものを含む

。

）

をいう

。

*



保護法における個人情報が本当に個人情報か？

*



個人に関する情報（パーソナル情報）のうち

、

どこまでが

「個人情報」なのか

*



本当に氏名と生年月日が個人情報？

*

 

もし

、

仮に名刺情報が漏洩したとしても実害があるのか

*

 

個人に紐づく秘匿情報のほうが問題では？

プライバシーとは？

*



名前がないデータであれば匿名データですか？

*



情報そのものの特性だけでなく

、

データ構造に依存

*



氏名等

、

特定の個人を識別できる情報

*

 

上記情報と紐付いている情報

*



上記情報と紐付いていない情報

*



どういう情報であれば

、

プライバシーに関わらない情報？

プライバシー

個人情報

パーソナル情報・個人に関する情報

*



認証技術とプライバシーは

、

そもそも相反する問題

*



本人をより

確実に特定

したい  VS.  本人の情報を

公開しない

*



各サービスに対し

、

適切なコストや利便性の考慮も大事

　　四角をどうバランスするか

⇒　認証技術の場合は

、

必ずつきまとう問題なので

、

     どのあたりがリーズナブルかの検討が必要

認証技術とプライバシー

本人特定

コスト

利便性

次世代個人認証技術講座

*



設置場所

*

 

東京大学大学院情報理工学系研究科

ソーシャルICT研究センター内に設置

*

 

別発表参照

*



三菱

UFJ

ニコス株式会社による寄付

*

 

期間

*



平成25年4月1日から平成30年3月31日　５年間

*



研究の目的

*

 

近年のインターネットの普及により

、

時間や場所の制限なく利用

できる電子商取引の利用は依然として拡大し続けている

。

これに

伴い

、

インターネット上での電子決済を安全安心に行うための個

人認証技術の重要性も急速に高まっている

。

本寄付講座は

、

産官

学の密な連携によるオープンスパイラル型研究を通じて

、

様々な

社会インフラに適用できる真に有用な個人認証技術を確立する事

講座の検討事項

*



パスワード方式に依存しているため安全性が確保できない

→　パスワードに代わる電子決済を安全・安心に行うための

　　  

個人認証技術の研究・開発

     安全かつユーザ負担の少なく

、

かつ流行る方式を目指す

*



現在オンライン商取引でおきている不正・なりすまし等の被

害を少しでも減らしたい

→　

被害の抜本的な原因の追及を

日本は消費者保護に重点をおいているため

、

ユーザの負担

としづらく

、

銀行やカード会社が負担をしなければならな

い

、

ということを前提に

。

みなさま

、

是非

、

御協力

いただければ幸いです

個人情報保護法

*



個人情報の保護に関する法律

*



第２条第１項

*



この法律において「個人情報」とは

、

生存する個人に関す

る情報であって

、

当該情報に含まれる氏名

、

生年月日その

他の記述等により特定の個人を識別することができるもの

（他の情報と容易に照合することができ

、

それにより特定

の個人を識別することができることとなるものを含む

。

）

をいう

。

*



保護法における個人情報が本当に個人情報か？

*



個人に関する情報（パーソナル情報）のうち

、

どこまでが

「個人情報」なのか

*



本当に氏名と生年月日が個人情報？

*

 

もし

、

仮に名刺情報が漏洩したとしても実害があるのか

プライバシーとは？

*



名前がないデータであれば匿名データですか？

*



情報そのものの特性だけでなく

、

データ構造に依存

*



氏名等

、

特定の個人を識別できる情報

*

 

上記情報と紐付いている情報

*



上記情報と紐付いていない情報

*



どういう情報であれば

、

プライバシーに関わらない情報？

プライバシー

個人情報

パーソナル情報・個人に関する情報

「匿名化」と個人情報

*



パーソナルデータがどのような処理によって個人情報を

削除できるのか

*



いわゆる「匿名データ」は技術的に３種類に分類できる

※「実名データ」「匿名データ」「統計データ」という名称は技術用語ではな

い

①実名デー

タ

③統計デー

タ

②匿名　データ

1.個人と連結

可能

 

なもの

個人情報と

 

される範囲

３

_.高度な  

匿名処理が

 

されたもの

 

２

_{.識別情報}  

が取り除か

 

れたもの

①実名データ（個人情報）

*



氏名等により個人を

 

識別できる情報

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

②−１　連結可能匿名データ

*



他の情報と容易に統

合が可能。場合に

よっては、仮名デー

タとして活用。

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

位置情報

趣味

34.72,  135.36

野球

35.90,  139.71

サッカー

氏名

生年月日

鈴木よしえ 1978.9.10 松井りんご 1942.10.  7

②-1 個人と連結可能な匿名データ

②−２　いわゆる匿名データ

*



他の情報と容易に統

合が可能。場合に

よっては、仮名デー

タとして活用。

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

位置情報

趣味

34.72,  135.36

野球

35.90,  139.71

サッカー

氏名

生年月日

鈴木よしえ 1978.9.10 松井りんご 1942.10.  7

②-1 個人と連結可能な匿名データ

②-2 いわゆる匿名データ

位置情報 行動 34.72,  135.36 野球 35.90,  139.71 サッカー

②−３　高度な匿名データ

*



特定の個人が識別で

きないレベルまで匿名

化したデータ

 

*



作成には専門知識が

必要

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

位置情報

趣味

34.72,  135.36

野球

35.90,  139.71

サッカー

氏名

生年月日

鈴木よしえ 1978.9.10 松井りんご 1942.10.  7

②-1 個人と連結可能な匿名データ

②-2 いわゆる匿名データ

位置情報 行動 34.72,  135.36 野球 35.90,  139.71 サッカー

②-3 高度な処理の匿名データ

位置情報 趣味 兵庫県 球技

③統計データ

30

*



統計処理データ

 

*



作成には専門知識

が必要

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

位置情報

趣味

34.72,  135.36

野球

35.90,  139.71

サッカー

氏名

生年月日

鈴木よしえ 1978.9.10 松井りんご 1942.10.  7

②-1 個人と連結可能な匿名データ

②-2 いわゆる匿名データ

位置情報 行動 34.72,  135.36 野球 35.90,  139.71 サッカー

②-3 高度な処理の匿名データ

位置情報 趣味 兵庫県 球技 埼玉県 球技

東京

埼玉

野球

33

8

③統計データ

生体データとの整理

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

位置情報

趣味

34.72,  135.36

野球

35.90,  139.71

サッカー

氏名

生年月日

鈴木よしえ 1978.9.10 松井りんご 1942.10.  7

②-1 個人と連結可能な匿名データ

②-2 いわゆる匿名データ

位置情報 行動 34.72,  135.36 野球 35.90,  139.71 サッカー

②-3 高度な処理の匿名データ

位置情報 趣味 兵庫県 球技 埼玉県 球技

③統計データ

生体データ

 

（何かのはずみで

 

本人特定できる）

生体データとの整理

32

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

位置情報

趣味

34.72,  135.36

野球

35.90,  139.71

サッカー

氏名

生年月日

鈴木よしえ 1978.9.10 松井りんご 1942.10.  7

②-1 個人と連結可能な匿名データ

②-2 いわゆる匿名データ

位置情報 行動 34.72,  135.36 野球 35.90,  139.71 サッカー

②-3 高度な処理の匿名データ

位置情報 趣味 兵庫県 球技 埼玉県 球技

東京

埼玉

野球

33

8

③統計データ

生体データ

 

（何かのはずみで

 

本人特定できる）

高度な生体情報管理は

 

手法によって整理が違う

生体データとの整理

①実名

データ

③統計

データ

②匿名　データ

1.個人と連 結可能   なもの

個人情報と

 

される範囲

３.高度な   匿名処理が   されたもの   ２.識別情報   が取り除か   れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72,  135.36 野球 松井りんご 1942.10.  7 35.90,  139.71 サッカー

①実名データ

位置情報

趣味

34.72,  135.36

野球

35.90,  139.71

サッカー

氏名

生年月日

鈴木よしえ 1978.9.10 松井りんご 1942.10.  7

②-1 個人と連結可能な匿名データ

②-2 いわゆる匿名データ

位置情報 行動 34.72,  135.36 野球 35.90,  139.71 サッカー

②-3 高度な処理の匿名データ

位置情報 趣味 兵庫県 球技 埼玉県 球技

③統計データ

生体データ

 

（何かのはずみで

 

本人特定できる）

高度な生体情報管理は

 

手法によって整理が違う

リモート認証におけるバイオメトリクス認証の課題

*



バイオメトリクス認証における脅威の一覧を整理すると

、

リ

モート認証では脅威が多い（下記の吹き出し参照）

*



米国において：

*

 

NISTガイダンスの策定メンバーからの見解によると

、

現状の技術

では

、

生体認証情報が秘匿データであるか否かの判断が難しい

（生体反応やデバイスの信頼性などの判断が困難）

*



SP８００－６３においても

、

認証トークンの「ロック解除」には

活用するのは奨励

データ収集

信号処理

マッチング

登録

 

データ

特徴量抽出

_イン

ター

ネット

サーバ

ユーザ端末

OK/NG

生体認証

ネットワーク盗聴、

リプレイ攻撃

海外の動向と日本のレベル

*

 

従来バイオメトリクス技術は

、

「安全保障」において活用

。

*



治安対策

、

犯罪捜査

*

 

入国管理

*



特に途上国では

、

住民登録制度がなかったため

、

国家への帰属を証

明する手段の確保として活用

。

*

 

インドのＡＡＤＨＡＡＲ（多目的アイデンテティカード）

*

 

米国等

、

先進国は国防の観点から導入

。

*

 

途上国のような全ての社会システムへの導入に対してはプライバ

シー保護の観点から難しい

。

⇒　認証精度向上を目指す研究や技術開発が多かった

　　　　（最近は

、

ＰａｙＰａｌの例があるなど

、

違いがみえる）

•

 

日本は

、

研究・技術開発としては世界トップレベル

。

•

 

認証精度向上以外にもＡＴＭやシステムアクセス管理などへの応用

があるんど

、

融合領域の研究も盛ん

。

•

 

一方

、

個々の研究レベルは非常に高いが

、

国の支援が散発的であり

、

他国と比較すると多数の研究者がまとまって研究できる設備や環境

に乏しい

。

日本と欧州のプライバシー意識の違い

}

 

IPAセキュリティセンターは、

2010年に「elDに関するリ

スクの認知と受容の調

査」 を行い、日本と欧州

における個人情報の感覚

の違いを調査

}

 

「オンラインで提供できる

情報」を聞いたところ、日

欧の違いが読み取れる

欧州

日本

「オンラインで提供できる情報」に関する意識

プライバシー侵害事例：ミログ

AppLog

}

 

2011年7月、日本のベンチャー企業であるミログ社は、Android（ア

ンドロイド）端末にインストールされたアプリケーションのリストや起

動履歴を収集、活用する事業を展開していた。

}

 

具体的には

、

ユーザーのアプリケーション情報を基にしたターゲティン

グ広告やリワード広告

、

統計処理したアプリケーション情報を使ったコ

ンサルティング事業などを手掛けていた

。

}

 

だが

2011年秋頃から、こうしたアプリ情報の収集が「プライバシー

の侵害に当たるのでは」という指摘が相次いでいた。アプリケー

ション起動履歴などを収集する「

_{app.tv」「AppLog」といった同社が提}

供するサービスについて、「ユーザーへの十分な説明なく情報を収

集している」とし てネットを中心に批判が噴出した。

}

 

ミログは一部のサービスを終了・停止すると共に、内容の全面的な

見直しを検討したが今回、「事業環境を総合的に判断した結果」（ミ

ログ）として

_{2012年4月、会社の解散、清算を決定したという。}

プライバシー侵害事例：

Netflix社のDVDレンタル履歴

}

 

2006年、米国の大手DVDレンタル会社であるNetflix社は、匿

名化された

DVDレンタル履歴を公開し、リコメンデーションの

ためのアルゴリズムを競わせるコンテスト

_{(Netflix Prize)を}

行った。

}

 

約

50

万ユーザ

、

1

億件分のレイティングデータから個人を識別できる

情報を削除

}

 

NarayananとShmaikovは、これらの公開データと the Internet

Movie Database(映画のレビューサイト)のデータを突き合わせ

ること で、二人の個人が識別できたと発表した。

}

 

このような動きを受け、

Netflixは米国連邦取引委員会(FTC)

の調査や法律家による訴訟を受けることになり、計画されて

いた

_{Netflix Prizeの続編は中止に追い込まれた。}

プライバシー侵害事例：

マサチューセッツ医療データ

•  2002年Sweeneyの研究

•  マサチューセッツ州が公開した匿名化処理した医療データから州知事の情報を特定

–  医療データから氏名を削除して公開

–  既に公開・販売されている投票者名簿とをマッチングしたところ、知事と同じ生年月日のレコ

ードが

6人、うち3人が男で、郵便番号から1人に特定可能

40

安全性指標：

_k

匿名性

}

 

開示データからの個人識別を防ぐための匿名化モデル

}  [Sweeney 02] k-Anonymity: A Model for Protecting Privacy

}

 

準識別情報について

、

共通の組み合わせを持つレコードが少なくとも

k

個以

上存在する時

、

開示データは

k

匿名性をみたすと言う

}

 

k 匿名化

}

 

属性の一般化や秘匿などにより

、

k

匿名性をみたすように

、

共通の

準識別

情報

の組み合わせを持つ複数のレコード集合を構成すること

郵便番号 年齢 №

1800005

1800012

1800003

1810015

1810015

1810013

1800003

1800021

39

32

37

40

46

43

50

52

1

2

3

4

5

6

7

8

郵便番号 年齢 №

18000**

18000**

18000**

3*

3*

3*

1

2

3

18100**

18100**

18100**

4*

4*

4*

4

5

6

18000**

18000**

50

以上

50

以上

7

8

性別

男

男

男

男

男

女

女

女

性別

男

男

男

女

女

女

男

男

趣味

アニメ

アニメ

アニメ

映画

アニメ

ドラマ

映画

ドラマ

趣味

アニメ

アニメ

アニメ

映画

アニメ

ドラマ

映画

ドラマ

3

3

3-匿名性（郵便番号・性別・年齢）

: )

: (

: )

: )

3匿名化

ここでは、

郵便番号・性別・年齢

に注目

位置情報とそのほかの履歴の違い

ものの購入

_{既に曖昧化してある}

細かいと必ず特

定される

何時何分何秒

北緯　西経

リンゴを買おう

私は

2009年1月

23日4：30に稚

内市ーー番地

にいます

}

 

同じ履歴情報でも、情報の特性によって、後で統合しやすいものと

しにくいものがある、

}

 

収集したデータが移動履歴情報であれば

、

組み合わせの際に

、

個人特

定の可能性がある

}

 

より簡単に個人を特定できる情報となる可能性を持つ

k

匿名性の限界

}

 

k匿名性の限界

}

 

k匿名化

(*)

については安全

}

 

k匿名性という概念は、情報を統計情報とするという点で、価値がある。

}

 

ただし、アプリケーションは限定的となる。

}

 

k匿名性の持つ危険性

}

 

準識別子の選択や組み合わせによって、匿名性が犯される危険性を持つ。

}

 

k匿名性した情報では

、

二次利用者にとって

、

必要な情報すべてが存

在しているかどうかがまだわかっていない

}

 

匿名化

しすぎ

ている可能性も。

}

 

正しく匿名化しているかどうかが

、

第三者の検証

が必須

}

 

自己評価ではない、方法が必要

}

 

ガイドラインや制度での実現の限界

}

 

ガイドラインや制度で

、

匿名化しない準識別子を限定的にすることや情

報の組み合わせを行わないことを定めることで実現することも考えられ

るが

、

技術的に守られることが保証されていない

。

収集データ

情報提供者

_{匿名化データ}

匿名化

匿名化

匿名化

情報利用者

「ものさし」としての

基準

が必要

匿名化基準の必要性

実現方法の選定

匿名化データをどのように

実現

するのか

匿名化基準と実現方法の違い

評価・認

正しく匿名化データを作成したのか

確認

}

 

母集団一意性を満たすために技術

基準

が必要

}

 

匿名化データをどのように

実現

するのか

}

 

例として、

k

匿名化があげられるが、

実現のためには

、

議論は今から

}

 

実現するためには

、

安全性の整理も必須

匿名化したあとのデータ

の性質についての基準

上の基準を満たすためにどのよう

な技術を利用すべきかを考える

評価・認証

ユーザとの同意（例：スマホアプリ）

}

 

スマホアプリの同意については、適切な方法が難しい

}

 

現状では

、

Android

についてはサービス事業者による過剰な

パーミッション要求が散見され

、

ユーザが判断できない

}

 

同意の方法が不適切なため

、

問題になるアプリも

実行時確認型




（

iOS）

インストール時確認型

(Android)

IPA注意喚起より

http://www.ipa.go.jp/security/

txt/2012/09outline.html

ユーザ（利用者）への適切な匿名化手法の提示

}

 

現状では、「適切に処理しています」と、プライバシーポリ

シーに記載があるだけ

}

 

今後は、各社がどれだけ責任をもってやっているのかを

昔の日本って？

}

 

情報は基本縦割り

問題解決にむけて

}

 

各データ種別ごとに、有用な情報の定義を

}

 

移動体（携帯電話・プローブ情報システム）

、

買い物データ

、

健康データなど

、

それぞれごとに解析を行い

、

匿名性と有用

性トレードオフの整理が必要

。

}

 

場合によっては、識別情報の削除だけで、匿名化を満たし、二次利

用には優れている可能性がある。

→　分野ごとに適した

プライバシ手法

があるのでは？

}

 

情報の定義ができたとして、誰が実現してそれを保証し

ていくのか

}

 

安全性検証を負荷した技術の組み合わせ

}

 

ただし

、

重くならないよう

、

ほどほど

に実現

。

高いセキュリティレベルおよび利便性

を保持し

，

プライバシを守る技術

どういう情報が必

要だろうか？

この技術を利用しよう

•

  必要な情報のみを必要な時に

保持し

，

不必要な情報を保持し

ないといった

柔軟な運用

が可能

匿名化技術

情報隔離技術

アクセス

コントロール

情報分散技術