プライバシーテック協会の活動紹介(2024年12月)〜 安全なデータ連携・利活用に向けた法制度整備や認知向上の活動 〜
プライバシーテック協会の事務局長を務めている竹之内です。
当協会はプライバシーテックの普及促進に向けた法制度整備の活動などを行っております。
本記事では、当協会のこれまでの活動について紹介致します。
なお、これまでの活動紹介としては以下の記事も参考もしてください。
概要
プライバシーテックとは、プライバシーを保護してデータを活用できる技術であり、プライバシー強化技術やPETs(Privacy Enhancing Technologies)とも呼ばれている。特に法制度の分野ではPETsと呼ぶことが多いため、本記事ではPETsと記載する。
PETsを用いることで、安全・安心なデータ活用を実現することができるため、特に海外ではPETsの普及に向けた法制度やガイドラインの整備の議論が進みつつある。
そこでプライバシーテック協会では、日本でもこのような議論を進めるため、関係者と連携して活動を推進している。
本記事では、当協会のこれまでの活動の紹介を兼ねて、以下のような内容について記載する。
なぜPETs重要なのか?(データ活用の課題とPETsによる解決)
なぜPETsの法制度整備が重要なのか?
海外や日本におけるPETsの法制度議論の動向議論
プライバシーテック協会のこれまでの活動内容
1. データ活用の期待と課題
AIの普及に伴いデータが益々重要となっていくなか、いわゆるGAFAMに代表されるグローバルの大企業は戦略的にデータを収集して規模化し、企業価値を向上させている。
さらに今後DX(デジタルトランス・フォーメーション)が進むことで様々な業種でデータが重要となっていく事業環境で、多くの企業にとっての今後の成長戦略は、企業・組織間でのデータ連携であると言われている(例:経団連, ”データ利活用・連携による新たな価値創造に向けて”) 。
データ連携が進めば、例えば、複数の金融機関が連携した不正送金の検知や、病院が持つカルテデータと自治体が持つ要介護度情報とを結合した要介護度に応じた医療状況の分析による施策検討など、新サービスや社会課題解決にも役に立てることが期待できる。
しかし、プライバシー侵害の懸念や価値の源泉であるデータを出したくないという理由のため、データ連携は進んでいない。このようなデータ連携を広めていくには、データを出さずに連携するという、一見矛盾するような要件をみたす必要がある。
2. PETsによる安全なデータ活用への期待
このような、データを出さずに連携出来る技術として期待できるのが、PETsである。
PETsには下記の図のように様々あるが、例えば秘密計算は、データを暗号化したまま処理できる技術である。これを用いれば、複数の企業が持つデータを暗号化して、暗号化データを処理基盤に送信し、処理基盤上では暗号化したままデータを突合して分析・学習し、その分析結果や学習結果だけを復号して出力することができる。つまり、元のデータを出さずに突合した分析結果や学習モデルだけを出力できる。
また、差分プライバシーを用いることで、分析結果や学習モデルから、元データや学習データの復元を困難にすることも出来る。
他にも連合学習、合成データなどもあり、これらを用いることでデータを安全に連携・利活用が可能となる。
3. PETsの普及に向けた課題
このように、PETsによってデータ連携・利活用の促進が期待できるが、残念ながら導入は容易ではないと言われている。その理由は様々あるが、その一つが、PETsと法制度の関係整理が不十分であるという点である。技術と法制度との関係が不明確であると、PETsの導入による法的なメリットが不明確であるため、明確になるまで導入を見送るなど、結果として「導入しない」という判断となる傾向にある。
そのため、特に海外ではこの1〜2年で技術と法制度に関する議論が進んでいる。また、日本では、個人情報保護法のいわゆる3年ごと見直しのタイミングでもあり、改正に向けた議論が進められている。以降に海外と日本における議論状況を記載する。
4. PETsの法制度の海外の状況
海外では、PETsと法制度の関係についてガイダンスやレポートが発行されたり、PETs導入の促進政策が進められている。これは、PETsは個人の権利利益を保持したデータ活用が出来る技術ではあるが、技術そのものが複雑で難しいため、技術整理や法制度との関係を示すことで導入を促進する意図がある。また、法的な関係を整理するには、ユースケースや具体的な技術に応じての判断が必要となるため、規制のサンドボックス制度も有効と考えられている。
以下に、ここ数年の海外の状況の一例を示す。
英国
米国
シンガポール
OECD(Organisation for Economic Co-operation and Development:経済協力開発機構)
UN(United Nations:国際連合)
CIPL(Centre for Information Policy Leadership:情報政策リーダーシップセンター)
なお、付録に示した通り、日本と他国とは規制当局の活動体系や規模が異なるため、他国が行っているから日本も行うべきという単純な主張は必ずしも望ましいとは言えないだろう。他国の状況はあくまで参考として、日本としてどのような活動を行っていくべきかを、官民で連携して議論していくべきであると考える。
5. PETsの法制度の日本の状況
日本の個人情報保護委員会等もPETsに関する活動をしている。以下に、日本の取り組みの一例を示す。
個人情報保護委員会は、EU・英国・米国・カナダにおけるPETsの法制度に関する調査を行い、調査結果を公開
暗号技術の評価を行い「政府推奨暗号リスト」を作成しているCRYPTRECは、PETsに該当する高機能暗号(秘密計算など)に関する技術ガイドラインを公表
このような日本の状況に対して、政治家や有識者や経済団体からは、PETsの利用促進に向けた要望が出ている状況である。詳細は付録に記載するが、以下に概要を記載する。
自民党:個人情報保護制度はPETsの開発と実装の妨げになってはならないという趣旨の提言
JIPDEC:PETsに関する安全性基準等のガイドラインの整備や法制度の検討を要望
新経連:PETsを用いた場合における、第三者提供を許容するなどの規制緩和の検討を要望
経団連:PETsの社会実装の促進に向けた運用体制や基準の検討、法制度の在り方の検討を要望
有識者(産総研 高木氏):個人データを統計量に集計する利用に対してする第三者提供の制限は過剰であると意見。特に秘密計算は複数の事業者が保有する個人データを突合して統計量に集計する際に有効であり、そのための法的統制が必要
日本企業はPETsに関して比較的強い分野と言える。例えば、PETsの一つである秘密計算については、過去から日本の大企業が長年研究をしてきている分野であり、日本企業が国際標準化をリードしている。
6. プライバシーテック協会の活動状況
上記で示した通り、PETsは個人の権利利益を保護したデータ活用を促進できる技術として期待され、特に海外では導入促進施策が検討されている。
当協会は、日本も海外同様にPETsの導入が正しく進むよう、有識者や関係団体とも連携して活動を推進している。
以降に、当協会がこれまでに行ってきた活動を簡単に紹介する。
活動1:技術認知のための勉強会等の開催
PETsの導入が遅れている理由には技術自体が知られていないという課題もあると考え、プライバシーテック協会では、設立当初から継続的に勉強会を開いている。興味があれば、是非参加して頂きたい。また、会員企業は過去の勉強会についての動画や資料の閲覧も可能である。
なお、2024年11月には設立2周年の節目を記念し、著名な講演者をお招きしたイベントを開催した。有料にもかかわらず約80名分のチケットが完売するなど大盛況であり、この分野の期待が大きいことがわかる。
活動2:賛助会員・特別会員の募集と加入
当協会は2022年8月の設立時はプライバシーテックに関するスタートアップ3社(Acompany、EAGLYS、LayerX)にて活動していたが、法制度に関する議論などを活発化するためには、より多くの企業とが連携して活動していくべきと判断し、同様な考えをもつ企業・団体を募集した。結果、2024年7月には、7企業と2団体が新たに加盟している。
なお、2024年11月現在、第2期の賛助会員を募集しており、興味のある企業・団体があれば是非連絡を頂きたい。
活動3:個人情報委員会への具体的な要望
個人情報保護保護委員会が出している「いわゆる3年ごと見直しに係る 検討の中間整理」にて、PETsについて言及されているが、議論はこれからである。そこでプライバシーテック協会から意見を出している。
以下に協会から出している提言から幾つか抜粋し、簡単に解説する。
複数組織の個人データの統計的集計の同意不要とPETs適用
複数の企業・組織が保有する個人データを、突合して統計量を得る処理について、その途中処理については、一定の要件を満たす PETs を用いる場合には、第三者提供の同意を不要とする法改正をするべきであると提言している。
PETsのうち秘密計算は、特に複数の事業者が保有する個人データを突合して統計情報を出力する場合において、個人の権利利益を保護しつたままの利活用ができる技術であり、今回の改正で論点になっている「本人同意によらない方法での第三者提供や利活用」に資する技術と考えている。
しかし、PETsには様々存在し、正しく使わなければ有効なプライバシー保護にもならない恐れもある。技術を整理し、その技術がどのような法的なメリットがあるのかなどを整理し、法的な統制をすることで、PETsの利用が促進され、個人の権利利益を保護したデータ活用が進んでいくと考えている。
組織間の個人データ突合分析における PETs と現行法との関係整理
先ほど解説した提言にも関係するが、PETsを用いて複数の事業者が保有する個人データを突合して統計情報を出力する事例が注目されている(付録にその例を記載する)。しかし、この事例においてPETsと法制度の関係が不明確であるため、PETsは法的なメリットが無いと解釈し、PETsを利用しない事例も検討されているとの声が一部企業から出ている。
プライバシーテック協会としては、個人の権利利益を保護したデータ活用を推進することが望ましいと考えている。また、もし違法性のある不適切な方式が広まるような事がないように、官民が連携して業界団体としても活動をしていきたいと考えている。
PETs と安全管理措置「高度な暗号化」との関係整備
7. まとめと今後の活動
PETs(プライバシーテック)は、個人の権利利益を保護しつつデータ活用を促進できる技術であると期待され、特に海外では導入促進に向けた施策が検討されている。
プライバシーテック協会は、国内でも技術導入が正しく進むように、有識者や官民で連携し、望ましい施策を検討する活動を進めている。
是非、多くの企業や団体と連携し、活動を推進していければ幸いである。
付録:団体や有識者のPETsに関する意見
個人情報保護法のいわゆる3年ごとの見直しに関して、自由民主党が提言をしていたり、個人情報委員会からのヒアリングに対してPETsに関する意見が出されている。以下に一部を抜粋する。
自由民主党
「生成AIも含め、データを取り扱う技術が急速に発展した一方で、個人データを安全に扱うためのプライバシー強化技術(PETs)も登場してきた。例えば、秘密計算は、個人情報を秘匿したまま統計処理を行うことができる。このような新技術は、ビジネスと制度の対立関係を解消し、我が国の国⺠生活や経済社会の発展に大きく貢献する可能性のある、まさにディスラプティブな技術であって、個人情報保護制度は、その開発と実装の妨げになってはならない。」
“デジタル・ニッポン2024 - 新たな価値を創造するデータ戦略への視座 -“, https://storage2.jimin.jp/pdf/news/policy/208287_2.pdf,
一般社団法人 新経済連盟
「秘密計算等のプライバシー強化技術を活用し、データが秘匿化されて処理される場合など、プライバシー侵害のリスクが低減されている場合には、例えば匿名加工情報に準ずるものとして第三者提供を許容するなど、提供行為に関する規制緩和を含めて検討してはどうか」
“個人情報保護法の見直しについて”, 第264回個人情報保護委員会, https://www.ppc.go.jp/files/pdf/231215_shiryou-1-1.pdf
一般財団法人 日本情報経済社会推進用協会(JIPDEC)
「プライバシー強化技術(Privacy Enhancing Technologies:PETs)の利用が国内外で見られるが、その安全性等を記載したガイドが無いため、各企業において、その適用を考え、時には安全性を過重に重視し、サービスが行えない等のケースもみられる。PETsに関する安全性基準等のガイドラインの整備を進め、併せて必要に応じて法律面の対応も検討してはどうか。」
“ヒアリング資料”, 第262回個人情報保護委員会, https://www.ppc.go.jp/files/pdf/231129_shiryou-1.pdf
一般社団法人 日本経済団体連合会
「秘密計算等のプライバシー強化技術による個人の権利利益の保護は実効性の高い施策であり、社会実装の促進に向けた運用体制や基準の検討、法制度の在り方も検討すべき」
“個人情報保護法の3年ごと見直しに対する意見”, 第270回個人情報保護委員会, https://www.ppc.go.jp/files/pdf/240131_shiryou-2.pdf
有識者 産業技術総合研究所 高木主任研究員
「民間部門において、個人データを統計量に集計する利用に対して、第三者提供の制限が過剰な規制となっている。」「秘密計算を用いたデータマッチングがデータ保護原則の観点で問題とならない用途は、一つには、統計量に集計する前段階として複数の事業者が保有する個人データを突合する場合である。秘密計算をPETsとして有効に利用するには、そのような用途に限って用いられることを保証する何らかの法的統制が必要である。 」
個人情報保護法3年ごと見直し令和6年に対する意見”, 第289回個人情報保護委員会, https://www.ppc.go.jp/files/pdf/240612_shiryou-1-2.pdf
付録:日本の個人情報保護委員会の活動規模の海外比較
日本の個人情報保護委員会(PPC)と海外の規制当局との活動規模(活動人数と活動予算)を比較するため、一例として英国ICOと比較した結果を示す。
日本 PPC(※1)
活動人数:約220名
活動予算:約34億円
英国 ICO(※2)
活動人数:約1100名
活動予算:約8730万ポンド(≒約170億円)
行っている活動内容などの様々な条件が異なるため、単純な比較は出来ないが、この数字の上では活動規模はざっと1/5程度である。そのため、単純に英国ICOがPETsのガイダンスを出しているから、日本のPPCも(単独で)PETsを調査しPETsに関するガイダンスを出すべきという主張は適切ではないと考えている。
海外動向は海外動向として踏まえたうえで、日本としてPETsを推進していくにはどのような形が望ましいかを議論し、官民が適切に連携して活動していくのが望ましいと考えている。少なくとも、PETs導入に向けた推進施策として何もしないという選択肢は適切ではなく、官民での連携し、グローバル競争力の観点でもPETs導入の施策を検討していければと思う。
なお、英国のICOでは、Data Protection Feeという、企業が負担する手数料制度のようなものが導入されており、日本とは活動予算の体系が異なる。(具体的は、上記の年間レポートを見ると、ICOの「Data Protection Fee」による収入は約6620万ポンド(≒約130億円)(※2)であり、ICOの活動予算の大部分を占める)。
※1: 日本の個人情報保護委員会の2023年度(令和5年度)の予算要求の資料のp.1に”5年度予算案 3,425 (単位:百万円)“とあり、p.4に“令和5年度末定員 221 名”と記載がある
※2: 英国ICOの年間レポート(2023年4月〜2024年3月)のp.48に、“Our expenditure for the year totalled £87.3m “や”Data protection fees £66.2m”と記載があり、p.84に”As of 31 March 2024, the ICO had 1,091 permanent staff”と記載がある。
付録:国内におけるPETsを用いた企業間データ連携の事例
PETsを用いることで、複数の企業が保有する個人データを同意無しで突合・集計し、統計情報を出力することで、社会課題の解決を目指した実証実験が注目されている。
プレスリリース「JAL、JALカード、ドコモが、顧客体験価値向上と社会課題の解決に向けて、「秘匿クロス統計技術」を用いた企業横断でのデータ活用の実証実験を開始」
この実証実験では、以下の3つのステップで処理が行われており、秘密計算を用いた集計(秘匿照合集計)や差分プライバシーといったPETsが用いられている。
非識別化処理 (入力データの個人識別性を除去する)
集計処理 (秘匿照合集計を用いてクロス集計表を作成する)
秘匿処理 (暗号状態のまま差分プライバシーに基づいて集計結果 のプライバシーを保護する)
以下のシンポジウムにて、関連する資料が閲覧可能である。