The 28th Annual Conference of the Japanese Society for Artificial Intelligence, 2014
- 1 -
匿
化 実社会
利用 向
技術課題
Technical Problem of Anonymity for Real Society Application
中
裕志
*1Hiroshi Nakagawa
*1
東京大学
The University of Tokyo
This document describes several technical problems which we are possibly to face when personal data anonymity would actually be applied to real society.
1.
め
ビッ ータ わ ーソ ータ 活用 2013年6
政府指針 打 出 前 JR 東日本 集
顧客 Suica ータ ,日立 経由 他業者 提供
対 対意見 噴出 いう騒動 起
状況 政府 ーソ ータ 関 検討会 行わ ,
技術検討ワーキン WG報告[ 藤2013] 以 報告書 略記 年12 10日 公表
報告書 技術的 高い 容 , 示
方向性 対 IT業界 , ーソ ータ 含 ビッ
ータ 扱うビ 萎縮 対論 あ い
一方, ーソ ータ 関連 法制度 関 ,日本
不十分 あ ,EU 情報 用 情報
輸入 禁止 い いう状況 考慮 , 改善
法整備 喫緊 課題 いえ
本論文 , 報告 念頭 い ,匿 化 現実社会 使う あ 技術課題,制度設計 い 述
2.
匿名化 おけ 基本概念
個人 ータ 発生源 あ 人 ータ源 個人, ーソ ータ 何 手段 多数 個人 集 , 使 事業 行う人や組織 ータ事業者 ータ事業者
別 人や組織 自 集 ータ 渡 場合, 手 ータ 領者
個人 ータ 集 い , ータ源 個人 , ータ事 業者 示 ータ利用 許諾 関 文書 意 ば,許
諾文 範囲 ータ事業者 ータ利用 ,許
諾文 想定 利用法 網羅的 記述
困難 あ
集 個人 ータ 通常以 要素
I. 個人ID 氏
II.疑似ID 性別, 所,年齢,国籍,
III. 他 ータ
IV. セン 情報:III. 他 情報 う ,人種,宗
教,病 , 入 他人 知 い情報 セン 情報 いう ,実 定義 難 い い 5節 触
従来,個人情報保護法 , う 個人 特定 個人
情報 , 個人ID 意味 い ,
ータ源 個人 特定 う 情報 II 疑似 ID 個人情 報 見 ,III 以外 情報 ,滞在場所,通 勤経路,購買履歴 集積 個人 特定 可能性 あ ,疑似 ID 見 ,当然個人情報
以 考察 , 記 I.II.III.(IV.) 個人 識別
情報 解釈
報告書 主張 ひ 識別 特定 以 う 精密
定義 あ
特定 , あ 情報 誰 情報 あ 分
識別 , あ 情報 誰 一人 情報 あ 分
定義 匿 化 処理範囲 明確化 ,技術的 検討
や 灎 大 前進 あ
3.
完全 匿名化
不可能性
記 報告書 あ 規制改革会議 要
請 ータ源 個人 意 ーソ ータ 転
売 含 自由 使え 匿 化 基準作 あ ,報告書 ,比較的簡単 知 い k-匿 化 基本 置 ,規制改革会議 要求 沿え う 完 全 匿 化 不可能 あ 以 少 詳 説明
k-匿名化:個人ID 消去 い 仮 化 うえ ,疑似 ID
情報 一部 消去あ い 精度 落 例えば, 所 記述
番地 削除 結果 疑似 ID あ 人 k
人以 存在 う ータ ー 変更 k-匿 化 報
告書 念頭 , ータ ー k-匿 化
ば, ータ源 個人 疑似 ID 一意的 識別 い
当然,匿 化 い い外部 ータ ー 外部情
報 突 併 個人 特定 い
,実質的 所,年齢,性別 少数 情報 疑似 ID 固定 い わ い 例えば, ータ業者A
ータ ー 疑似ID k-匿 化 い ,個人 特定
識別 購買履歴 含 い う 一方
別 ータ業者 購買履歴 ,行動履歴 通勤 乗降
駅 ータ ー 持 い , ータ業
者 ータ ー ータ業者 入手 ば,購買履歴 個人 一意 識別 , 個人 行動履歴 知
,突 合わ 使う外部 ータ ー 予
見 い以 ,識別 防 ータ業者 疑似ID以外
連絡先:中 裕志,東京大学,文京 本郷 , , a agawa@ y a
The 28th Annual Conference of the Japanese Society for Artificial Intelligence, 2014
- 2 -
全情報 合わ k-匿 化 ば い , う
ータ ー 精度 悪化 , ータ 価値 激減
k-匿 化 実質的 不可能 いう
個人情報 保護 目的 , ータ 領者 別 ータ 領者 提供 い 匿 性 担保
ば い 匿 化 い場合 提供 い
法制化 必要 あ 報告書 , 以 記 米国
FTC3要件 ー 検討 い
FTC3 要件
1. タ事業者 タ 非識別化 確保
合理的 措置 講 あ .
「. タ事業者 , タ 非識別化 形態 保
及 利用 , タ 再識別化 試 い
,公 約束 あ .
」. タ事業者 非識別化 タ 他 事業者 提
供 場合 , 提供事業者 あ
う 他 第 者 あ う , 事業者
タ 再識別化 試 契約 禁 .
※個人 識別可能 タ , 説明 非識別化
措置 講 タ 双方 保 及 利用
場合 , タ 別々 保管 あ .
注意 い , 要件 い
タ 領者 タ事業者 ,他 タ 領者
タ 移管 認 い あ . , 記
k-匿 化 説明 述 う , タ 領者= タ事業
者 使う外部 タベ 予見
. , う 危険性 存在
事前 把握 い. 状況 い , タ源
個人 意 思わ .
場合 可能 ,いわゆ 統計 タ あ
. ,あ 集合中 個人 別人 識別 ,
いわ や実世界 個人 特定
い う 統計 タ 明確 定義 え 必要 あ
.実際,統計法 外部 タベ 突 合わ
勘案 以 う 匿 タ 規定 い .
統計法第 「 条 1「 法律 い 匿 タ
,一般 利用 供 目的 調査票情報 特
定 個人又 法人 他 団体 識別 他 情報 照合
識別 含 . い う 加 い
う.
条文中 識別 い う 加 関 匿
タ 作 提供 係 ン い ,
1) 識別情報 削除,「) 匿 タ 再ソ 配列
並 え ,」) 識別情報 ッ ボ ム
ン ,4) 識別情報 ン ン
,5) ン ン ,6) ワッ ン ,7) 誤差
入
処理 列挙 い ,匿 化 基準 い ,
調査票情報 特性 統計調査 異 ,各
統計調査 い 一律 匿 化 基準 設定
困 あ . ,提供機関 ,匿 化 統計調
査 特性 勘案 ,一橋大学 匿 標本
タ 試行的提供 事例及 諸外国 統計機関
様 提供 事例等 参考 匿 化 基準 値,
例え , 値 件以 い等 定 .
, 処理 タ事業者
委 い . ,匿 化 基準 い 々自身
説明責任 果 提示 い.
4.
ケースバ ケース
匿名化
展望
報告書 3節 述 う ,一般的 ータ 対 完
全 匿 化 い , 時 ,個別 ータ ー
個別応用 匿 化 可能性 あ ,検討
い ,報告書 体策, 体例 提示
い い ,以 検討
3章 議論 ,個人情報 疑似ID う ,
突 合わ 外部 ータ ー 予見不可能性 k-匿 化
妨 い , 条件 回避 個別 ー 匿 化
可能性 あ ,匿 化 要件
a 疑似ID 所,年齢,性別 型的 無
b 外部可知 不可知: III 以外 情報 集
ータ ー 格納 い 外部 第 者
知 う 否
,外部可知 不可知 い 説明 外部不可知 場合 例 示
例 :病院 あ 検査 ,通常病院関係者以外 外部不可知
例 :在宅 ,センサー 計測 心拍数
健康情報 無線 LAN 担当病院 送信
, 居家族 ば外部不可知 , ータ
値自体 本人 知 い あ え
例 :カー 購買履歴 カー 会社以外 外部不可知 ば, 療情報 病 ,健康状態 センサー ータ, 財産,金融資産状況 , ータ 集者 あ 病院,金融機
関 以外 知 い ,第 者 外部不可知 あ
一方,滞在 置情報,行動履歴, ンビ 購買履歴
物理的 動 伴う 他人 観察 外部可知
あ 観灎 例えば,Suica 行動履歴 特定
人物 目 い ーカー 可知 あ ,公
共 場所や店舗 設置 監視カ 映像 写 い う 第 者 可知 あ
記a. b. 組 合わ 表 示 各 ー
表 場合分
III 以外 情報 疑似ID無 疑似ID 外部不可知 不可知 & 疑ID無 不可知 & 疑ID
外部可知 可知 & 疑ID無 可知 & 疑ID
以 表 各 ー い 検討
外部不可知 & 疑ID無: ータ ー 格納 い
否 知 , 疑似 ID い ,仮 ータ
公開 本人特定 究 困難 あ k-匿 化
い 特定 い ,本人 ータ
自体 万人周知 一意的 あ 場合,例えば 億
宝石 購入 外部可知 あ 場合 , ッ
ー ン う 既存 手法 不可知化
外部不可知 & 疑ID : ータ ー 格納 無 知 い い ,識別,特定 手 疑似 ID
あ 場合 ,疑似 ID 識別,特定
ば い , 疑似 ID 人 k人以 い う 疑似
The 28th Annual Conference of the Japanese Society for Artificial Intelligence, 2014
- 3 -
外部可知 & 疑ID無: ータ ー 格納 知
, ータ 集事象 外部 観察 , ータ 入 手 ば,疑似 ID 無 わ , ータ 観察
日時 本人特定 可能 あ , ータ自体
k-匿 化 ば い い いう 難 い
,長期 わ 集 ータ 大
, ータ自体 個別性 高 k-匿 化 困難
,k-匿 化 ータ 精度 大幅 落
ば い , う ータ 価値自体 大 う ,個人 ID 仮 化 , 仮 化
1日単 頻繁 え 力 あ , 一
個人 行動履歴 ,や ータ 価値
う
外部可知 & 疑ID : 場合 ,格納 い ータ
疑似ID 連結 ータ 対 k-匿 化 施 ,
前記 外部可知 & 疑ID無 場合 ータ 価
値 う
以
● ータ ー 個人 ータ 格納 い 外部可知 場合 ,外部 ータ 集 い 観察あ い 他
ータ ー 突 合わ ,識別 い 特定 可
能 ,疑似ID ータ自体 併 k-匿 化 ば
い い , ータ 価値 大 減少 ,完全
匿 化手法 い
● ータ ー 個人 ータ 格納 い 不可知 場合 ,疑似ID ば k-匿 化 不要,疑似 ID あ
ば疑似ID 対象 k-匿 化 効
● 集 全 ーソ ータ サン ン ータ
ー 作 方法 あ 場合,個人毎 サン ン う 分 い , ータ ー あ 人情報 格納
い ,確率的 不可知 可知 あ ,
ー 全性 確率 作 評価 必要 あ ,今
課題 あ
療情報, 情報,個人 センサー 集 健康情 報,カー ッ 通販 購入,個人 金融資産状況
,通常 外部観察 い ,匿 化 活用
う あ 一方,行動履歴 ,匿 化 困難 あ ,活 用 難 い ,一見,重要度 う 行動履歴 ータ
え 活用 い いう矛盾 結論 え ,
外部不可知 ータ いう ,元来 個人 物理的あ い
法制度的 ー 場面 集 ,
ー いう意味 初 堅 い 一方,行動履歴
ー情報 堅 い い ,常識 沿
結論 い
5.
センシテ ブ情報
III 他 ータ う ,個人 他人 知
不都合 ータ セン 情報 いう , 不都合 何 精密 定義 い い ,セン 情報 定義
明白 い 加え ,何 セン 情報 個人
異 節 問題 扱う
● セン 情報:
誰 他人 知 い情報 セン
情報 情報,病気 生体情報 い 健康情報,
財産,債務,学業成績,親族 あ ,何 選ぶ
社会常識 い 逆 言えば, 定義 社会常
識程度 定性 あ
,EU 滞在場所 情報 セン 情報 超え
氏 個 人 I D 見 Data Protection
Directive 昨年 欧 議会 可決 い 日本 ,滞
在場所,移動履歴 個人ID セン 情報
議論 進 い い状況 あ 情報 個人ID
準 考え い
●状況依存セン 情報
記 滞在場所や移動履歴 セン 情報 う
個人 異 例えば, ーカー行灏 い 人
,相手 知 い情報 ,セン 情報
あ う ,他人 わ い人 あ ばセン
情報 い 議論 簡単 EU う
個人 ID う ひ 策 あ ,滞在場所
や行動履歴 ビ 役立 情報 , ば活用
い あ
購買履歴 個人 い 状況依存 あ えば,薬剤 購
入 場合 セン 情報 う
宗教,政治信条, 人関係,親類関係 状況依存性 高い
人関係 ,本人 , 人 累 ぶ可能性
あ ,セン 情報 や い えば,あ 売
込 業者 自分 前 人 売 込 ,
人関係 悪 可能性 あ
う 状況依存 セン 情報 一 扱い 困難 あ セン 情報 あ 1) 外部不可知 あ ,2)
ッ ー ン 個人 特定 い状態
,3) 疑似ID 存在 い, い k-匿 化 い
, ータ事業者 第 者 再識別や特定 い いう条件
提供 危険性 い , 以外 場合 ,第
者提供 ータ 集時 本人 意 必要 あ う ,
ータ 集時 , ータ 利用方法 列挙
不可能 あ 一方, ータ源 個人 , 集
ータ セン 情報 ,あ い セン
情報 気 い うい 事態 対応 い
述
6. k-
匿名化が誘発
濡
衣
,以 表 ータ ー 例 い 考え う
表2 滞在場所 タベ 例
前 年
齢
性 所 N M日P時 所
在
一郎 35 男 文 京 本 郷 K消費者金融店舗
次郎 30 男 文 京 湯 島 T大学
子 33 男 文 京 弥 生 T大学
列 人 , 匿 化 い.
「,」,4 列 ,疑似ID , ~5 列 総合 ,就
活や婚活中 人 , 右列 所在地 消費者金融
記載 い 芳 い. , 前 A,B,
( 仮 化 ,疑似ID 情報 粗い 変更 表 」
う 改変 . う 疑似 佐D 」 人
,」-匿 化 実現 ,消費者金融 行 人
特定 い. ,疑似ID 」 人 別
い 消費者金融 行 い い残 2人 消費者金融
行 疑わ . k-匿 化 誘発 濡
The 28th Annual Conference of the Japanese Society for Artificial Intelligence, 2014
- 4 -
表 3-匿 化 タベ
仮 年齢 性別 所 N M日P時 所在
A 30代 男 文京 K消費者金融店舗
B 30代 男 文京 T大学
C 30代 男 文京 T大学
第 方法 ,k-匿 化 k 大 あ .
例え ,表2,3 う 例 ,k=30 あ ,消費者
金融店舗 出入 あ ,わ わ 他
29 疑う労力 骨折 あ いう心理 働 あ
う.[中 2013] , 観灎 分析
い . ,k 大 , タ 精度
価値 .
第 方法 ,k-匿 化 い あ .疑似ID
変化 ,一致 人 増や 操作 い ,通
常 消費者金融店舗 出入 人 人 識別 .
,濡 衣 疑わ 人 い い. ,他
タベ 突 合わ 本人 特定 や .
濡 衣 無実 罪 いう側面 強い ,7節 述 自己 情報 ン ー 権 問題 扱う 適当 あ う
7.
自己情報コントロール権
以 考察 ,k-匿 化 う 識別 曖昧 入
狙 匿 化 ,実社会 応用場面
い 分 .
表1 外部 可知 & 疑ID ,外部 可知 & 疑
ID無 場合 , 流出 返
い ム,健康情報 当 . タ処理 病院
収集 組織内 限定 ,他 タ事業者 提供
禁 あ . 療情報 い , 現状
ベ 情報管理 考え .他 療機関や研究所
協力 際 , タ 領者 あ 組織
他 組織 提供 禁 あ .
表 場合分 う ,k-匿 化 効 作用 可能
性 ,外部 可知 & 疑ID 場合 あ ,
ソ タ 利活用 い k-匿 化
い.行動履歴や購買履歴 的価値 高い
タ ,外部可知 & 疑ID あ ,k-匿 化 本質
的 馴染 い.
状況 現実的方策 考え う.
個人 ID 消去 い 仮 化 . 仮 変
更 繁 行う . 基礎的方策 ,簡単
識別や特定 ,必須 あ .
疑似ID タベ 内 含 い ォ
.疑似ID 必要 場合 ,
タベ 分 別 タベ ,
仮 化 い 個人ID 対応 暗号
化 管理 厳 化 .疑似ID 存在
,個人 特定 度 高い.
自己情報 ン : 記 方策 ,III. 他
情報 集積 完全 匿 化 い. 場合
タ源 あ 個人 自己 情報 利用 方
開示要求 閲覧 , 消去要求
実際 消去 確認 要 .
自己情報 開示 消去 権利 2013年12 欧 議会
可決 EU Data Protection Directive Proposal for a
directive Recital 16 改 案 記載 ,日本 法制
度 EU ベ 必要 改革 .EU 対比
, 自己情報 ン 権 以 観灎
要 あ .
わ ,規制改革会議 要請 見 ,個人 タ
利用 あ , タ源 個人 意 え
自由 使え 思わ い う , 必
い. , 意 内容 無制限 個人 タ利用
可能 書 ,多 人々 意 得
恐 あ .[Schornberger2013] 9章 , ッ タ
利用法 収集 前 予 列挙 い ,利用法
指定 意 得 実効性 い 述 い .
様 タ提供先 意時灎 列挙 い あ う.
, タ源 個人 安心 意 う
,個人 ID 消去や仮 化 加え, 記 自己情報
ン 権 開示 消去 実施 タ公開前
確実 行え 保証 効 あ う.私見
あ ,k-匿 化 ,k 5以 数 ,
タ源 個人 安心 え う 疑問 あ .
,自己情報 ン ほう 直観的 理解 得
や い 思わ .
濡 衣 問題 ,自己情報 ン 権 あ ,
疑い 晴 原理的 可能 ,大
軽減 あ う.
以 考 察 , ン
[Cavoukian 2010] 考え方 採用 ,自己情報 ン
権 実効的 実装 組 込 ム設計時
あ う. ,複雑 改変
タベ 個人 タ 追跡 行う , 可能 近
い あ .
8.
おわ
個人情報 技術的,法制度的扱い い ,欧米,
日本 い 急速 変化 い . 述
提言 方向性 示 い 期待 い.
参考文献
[ 藤2013] 藤一郎,他: 技術検討WG報告書, ソ
タ 関 検討会,2013.http://www.kantei.
go.jp /jp/singi/it2/pd/dai5/siryou2-1.pdf
[Schörnberger 2013] V. Mayer-Schörnberger, K,Cukier: BIG DATA A Revolution That Will Transform How We Live,
Work, and Think,邦訳野 ッ タ 体.Houghton
Miffin Harcourt Publishing Company.2013
[中 2013] 中 裕志,角 灏耶: 滞在場所 k-匿 化
濡 衣. 情報処理学会.第62電子化知的財産 社会基盤研 究発表会(EIP研究会) Vol.2013-EIP-62, No.12.2013
[板倉 2014] 板倉陽一郎,他: 完全 匿 化 幻想 超え
.SCIS 2014 3D1-4 IEICE. 2014.
[Fun 2008] B.C.M.Fun, K.Wang, R.Che, P.S.Yu: Privacy-Preserving Data Publishing: A Survey of Recent Development, ACM Computing Surveys, Vol. 42, No. 4, Article 14, 2010.
