OECDからみたPrivacy-enhancing technologies ～日本のPETs編～

こんにちは！
銀行はメガバンク派の主婦ねこです．

今回は，2023年にOECDが公開した”EMERGING PRIVACY ENHANCING TECHNOLOGIES”(※1)というレポートにおいて，日本がどのようにPETsを活用していると思われているかを見ていこうと思います．

OECDのレポートの表紙

https://www.oecd.org/publications/emerging-privacy-enhancing-technologies-bf121be4-en.htm

日本のPETs活用状況

OECDレポートの第4章では，各国がPETsをどのように政策に取り入れているか，PETsのイノベーションを起こすためにどのような施策を行っているかを紹介しています．今回は，第4章の中で日本がどのような取り組みを行っていると紹介されているかを見てみようと思います．

技術的安全管理措置としての暗号化

4.1.4節の「Data Security requirements」という節で，個人情報保護委員会のQAが紹介されていました．日本では個人データの漏えい等が発生した場合，個人情報保護委員会への報告と本人への通知が義務付けられています．この漏えいした個人データに「高度な暗号化等の秘匿化」が施されている場合は上記の義務が免除されるわけですが，くだんのQAはこの「高度な暗号化等の秘匿化」と判断されるのはどういう場合ですか？というもの．（OECDレポートではQ6-16番になっていますが, QAの方が改定されて今はQ6-19番になっています．）

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」に関するQ&A（※2）より抜粋

電子政府推奨暗号リスト(CRYPTOREC Code List)やISO/IEC 18033に掲載されている暗号技術が利用されている場合が「高度な暗号化等の秘匿化」を施している場合というのがざっくりとした答えです．これをもってOECDがEncrypted data processing toolsとする技術が適用される可能性があると述べています．

しかし，OECDがEncrypted data processing toolsとカテゴライズしていた準同型暗号，マルチパーティ計算は今のところ電子政府推奨暗号リストには入っていません(※3-1)．そのかわり，高機能暗号に関する調査WGがあり，そこでは準同型暗号，マルチパーティ計算，秘密分散，ゼロ知識証明に関する検討が行われています(※3-2)が具体的にどのアルゴリズムを利用すれば「高度な暗号化」と言えるかは定まっていないのが現状のようです．代わりにISO/IEC 18033(※4)には準同型暗号が含まれていそうですね．ISOはお金を払わないと中身を見せてくれないので詳細はわかりませんが．

情報銀行

もう一つ、4.1.4節の「Certification of trusted PETs」という説で，情報銀行の認定制度が挙げられていました．

情報銀行と言えば，今年に入って三菱UFJ信託の情報銀行「Dprime」がサービス終了したというニュースがありましたね．情報銀行はOECDレポートでいうところのパーソナルデータストアの一種ですが，OECDレポートの”まだ大規模に成功しているプラットフォームはない”という記述は残念ながら適切であったといえますね．

三菱UFJ信託銀、情報銀行サービス「Dprime」終了　「活用進まず」

感想

というわけでOECDレポートからは，日本ではあまり活発にPETsの活用をしているようには見えないかもしれないなと思いました．このレポートは2022年に各国に実施したアンケートをもとに記載しているとのことですので，色々と抜けもれがあるかもしれませんが．

いまだったら，行政機関等匿名加工情報制度を紹介してもらえていたかもしれませんね．

「行政機関等匿名加工情報」に関する提案の募集について ｜個人情報保護委員会

行政機関等が保有する個人情報の効果的な利活用が、新たな産業の創出、活力ある経済社会や豊かな国民生活の実現に資するものであることを踏まえ（中略）個人情報保護委員会が保有する個人情報を加工して作成する行政機関等匿名加工情報をその用に供して行う事業に関する提案を募集しております。

「行政機関等匿名加工情報」に関する提案の募集について ｜個人情報保護委員会　より抜粋

※ 国立大学や自治体からも同様の募集が出ています．

参考情報

(※1) OECDのレポートはこちらかダウンロードできます．
Emerging privacy-enhancing technologies: Current regulatory and policy approaches | en | OECD

https://www.oecd.org/publications/emerging-privacy-enhancing-technologies-bf121be4-en.htm

(※2) 個人情報保護委員会のQAはこちら．

ＦＡＱ ｜個人情報保護委員会

(※3-1)

CRYPTREC | CRYPTREC暗号リスト(電子政府推奨暗号リスト)

(※3-2)

CRYPTREC | 暗号技術ガイドライン

(※4) 「Read sample」で途中まで読めます．だいたいいつも言葉の定義(Terms and definitions)までは公開してくれています．

ISO/IEC 18033-1:2021

※アイキャッチ画像のネコの画像はDALL-E3を利用して作成しています．