Transcript 統計法第2条12項
匿名化の実社会での利用に向 けての技術課題 中川裕志 発表の骨子 技術検討ワーキングWG報告[佐藤2013](以 下では「報告書」と略記する.)が同年12月10 日に公表 パーソナルデータに関連する法制度に関して は、日本は不十分であるとして、EUからはゲ ノム情報などの有用な情報の輸入を禁止さ れている 匿名化を現実社会で使うにあたっての技術 課題,制度設計について検討してみた 匿名化における基本概念 個人データのレコード構造 – 個人ID(氏名) – 疑似ID(性別、住所、年齢、国籍、など) – その他のデータ • センシティブ情報:その他の情報のうち、人種、宗教、病名、 収入など他人に知られたくない情報をセンシティブ情報とい う。 「特定」=「ある情報が誰の情報であるかが分か ること」 「識別」=「ある情報が誰か一人の情報であるこ とが分かること」 完全な匿名化の不可能性 • データ業者Aのデータベースは疑似IDがk-匿名化され ているが、個人の購買履歴も含まれていたとしよう。 • 一方別のデータ業者Bは購買履歴と、行動履歴(通勤 などの乗降駅)からなるデータベースを持っていたと する。 • すると、データ業者Aのデータベースをデータ業者B が入手すれば、購買履歴によって個人を一意に識別 でき、その個人の行動履歴を知ることができる。 突き合わせに使う外部データベースを予見しきれない 以上、データ業者は疑似ID以外の全情報も合わせて k-匿名化しなければならない。しかし、これによって データベースの精度は劣悪化 FTC3要件 1. データ事業者はそのデータの非識別化を確保するた めに合理的な措置を講ずるべき 2. データ事業者は、そのデータを非識別化された形態 で保有及び利用し、そのデータの再識別化を試みな いことを、公に約束すべき 3. データ事業者が非識別化されたデータを他の事業者 に提供する場合には、それがサービス提供事業者で あろうとその他の第三者であろうと、その事業者が データの再識別化を試みることを契約で禁止 • ※個人を識別可能なデータと、ここで説明した非識別 化のための措置を講じたデータの双方を保有及び利 用する場合には、これらのデータは別々に保管すべき • データ受領者=データ事業者が使う外部データ ベースを予見することがますます難しくなってくる。 かくして、どのような危険性が存在するかを事前 に把握しきれない. この状況においては、データ源の個人から同意をと ることは難しくなってくる 統計データだったらどうか? • 統計法第2条12項 この法律において「匿名デー タ」とは、一般の利用に供することを目的として 調査票情報を特定の個人又は法人その他の団 体の識別(他の情報との照合による識別を含 む。)ができないように加工したものをいう。 • この条文中の「識別ができないように加工」に 関して「匿名データの作成・提供に係るガイド ライン」において、 • – 1) 識別情報の削除、2) 匿名データの再ソート(配 列順の並べ替え)、3) 識別情報のトップ(ボトム)・ コーディング、4) 識別情報のグルーピング(リ コーディング)、5) リサンプリング、6) スワッピン グ 、7) 誤差の導入 • のような処理が列挙されているが、匿名化の 基準については、次のページのような記述 • 調査票情報の特性は統計調査ごとに異なる ことから、各統計調査について一律に匿名化 の基準を設定することは困難である。このた め、提供機関は、匿名化する統計調査ごとに その特性を勘案し、一橋大学における匿名標 本データの試行的提供の事例及び諸外国の 統計機関における同様の提供の事例等を参 考に匿名化の基準となる値、例えば、最小値 が2件以下とならない等を定める。 • 技術的なことは何も言ってくれていない 匿名化が有力なケースの分析 • a.疑似ID(住所、年齢、性別などの典型的な もの)の有無 • b.III.の「それ以外の情報」を収集しているこ とが外部の第三者から観察できるかどうか III.それ以外の情報 疑似ID無 疑似ID有 外部から観察不可能 -外観-擬ID -外観+擬ID 外部から観察可能 +外観-擬ID +外観+擬ID -外観-擬ID データ収集の有無も知られず、かつ疑似IDも ないとなると、仮にデータが公開されても本人 特定は困難である。 k-匿名化はしていなくても特定はできない。 識別できる唯一の可能性は、本人のデータ自体 が一意的である場合、例えば10億円の宝石を購 入したなど。この場合は、トップコーディングのよ うな既存の手法が有効である。 -外観+擬ID データ収集の有無は知られていないので、識 別さらには特定の手がかりは疑似IDだけ この場合は、疑似IDから識別特定されなけれ ばよい 同じ疑似IDの人がk人以上いるように疑似 IDの精度を落とすk-匿名化が効果的 +外観-擬ID データ収集事象を外部から観察できると、収集されたデータが入 手できれば、疑似IDの有無にかかわらず、データと観察日時など から本人特定が可能 データ自体をk-匿名化すればよいのではないかというとそれも難し い。 なぜなら、長期にわたって収集されたデータが大きくなると、データ 自体の個別性が高まりk-匿名化が困難になる。 つまり、k-匿名化によってデータの精度を大幅に落とさなければなら ないが、そうなるとデータの価値自体が大きく下がってしまう。 個人IDを仮名化し、その仮名化を1日単位など頻繁に取り替えるこ とは有力 同一の個人の行動履歴ではなくなるため、やはりデータの価値は下 がってしまう。 +外観+擬ID この場合は、収集したデータと疑似IDを連結 したデータに対してk-匿名化を施す 前記の+外観-擬IDの場合よりもさらにデー タの価値は下がってしまう。 以上をまとめると 外部からデータ収集していることを観察でき る場合は、k-匿名化はデータの価値をさげる ため、有力な匿名化手法ではない。 外部からデータ収集していることを観察でき ない場合は、疑似IDがなければk-匿名化は 不要、疑似IDがあれば疑似ID を対象にしたk匿名化が有力となる。 センシティブ情報 コアなセンシティブ情報: 誰にとっても他人に知られたくない情報をコアなセンシ ティブ情報とする。 ゲノム情報、病気などの生体情報ないし健康情報、財産、債務、 学業成績、親族などがあげられ 何を選ぶかは社会常識によるしかない。 逆に言えば、その定義には社会常識程度の安定性はある。 ところで、EUでは滞在場所の情報はセンシティブ情報を 超えて氏名と同じレベルの個人IDと見なすData Protection Directive が昨年の欧州議会で可決 日本では、滞在場所、移動履歴がどの個人IDなのかセン シティブ情報なのかの議論すら進んでいない 状況依存センシティブ情報 上記の滞在場所や移動履歴がセンシティブ情報 かどうかは個人ごとに異なる。 例えば、ストーカー行為を受けている人にとっては、相 手に知られたくない情報なので、センシティブ情報であ ろう。しかし、他人につきまとわれることのない人であ ればセンシティブ情報ではない。 議論を簡単にするためにはEUのように個人IDとし てしまうのもひとつの策 ただし、滞在場所や行動履歴はビジネスに役立つ情 報なので、できれば活用したいものである。 購買履歴も個人ないし状況依存 たとえば、薬剤の購入は場合によってはセンシティブ 情報になりうる。 k-匿名化が誘発する濡れ衣 名前 性別 住所 一郎 年 齢 35 男 文京区本郷XX 次郎 三子 四郎 30 33 39 男 男 男 文京区湯島YY 文京区弥生ZZ 文京区千駄木WW 仮名 年齢 性別 住所 A 30代 男 文京区 B C D 30代 30代 30代 男 男 男 文京区 文京区 文京区 N月M日P時の所 在 K消費者金融店 舗 T大学 T大学 Y病院 N月M日P時 の所在 K消費者金 融店舗 T大学 T大学 Y病院 自己情報コントロール権 個人IDを消去ないし仮名化すること。 さらに仮名の変更を頻繁に行うこと。 この基礎的方策により、簡単には識別や特定ができなくなるので、必須であ る。 疑似IDはデータベース内に含ませないことをデフォールトとする 疑似IDも必要な場合は、それだけをデータベースから分離して別のデータ ベースとして、 仮名化されている個人IDとの対応テーブルは暗号化などでさらに管理を厳 重化する。 疑似IDが存在しなければ、個人の特定は難度が高い。 自己情報コントロール権: 上記の方策でも、III.その他の情報が集積すると完全な匿名化は難しい。 その場合にはデータ源である個人が 自己の情報の利用され方を開示要求して閲覧できること、 消去要求でき実際の消去を確認できること が重要となる。 自己情報の開示と消去の権利は2013年12月に欧州 議会で可決されたEUのData Protection Directiveの Proposal for a directive Recital 16の改正案に記載され ている 日本の法制度をEUレベルにするなら必要な改革となる。 データ利用についても同意内容が重要だが [Schornberger2013]の9章: ビッグデータの利用法は収集の前には予め列挙できない こと, ゆえに利用法を指定しての同意取得は実効性がない データ源の個人に安心して同意してもらうためには、 個人IDの消去や仮名化に加え、上記の自己情報コン トロール権(開示と消去)の実施が確実に行えることを 保証することが有効