ビッグデータ活用の鍵を握る個人データ匿名化の日米比較：ビッグデータ利活用と問題解決のいま（3/3 ページ）

[笹原英司，ITmedia]

リスクベースの非識別化プロセスを支える技術と運用管理

　米国の健康医療分野では、データの二次利用の有用性とプライバシー保護のバランスを図る観点から、リスクベースアプローチによる非識別化手法を採用している。リスクベースの非識別化手法の手順を簡単に整理すると、以下のようになる。

1. 直接識別子と間接識別子の区別：データセットから「直接識別子」と直接識別子以外で個人を特定することができる「間接識別子（準識別子）」を抽出する
2. リスクしきい値の設定：データ共有のために許容できるプライバシーリスクを評価する
3. 起こり得る脅威のモデリング：攻撃が起きる確率を妥当な方法で見積もる
4. データの非識別化：一般化（フィールドの正確さを下げる）、秘とく（データセットの値をNULL値に置き換える）、サブサンプリング（ランダムに選んだサンプルだけ開示する）などの手法により、データセットを非識別化する
5. プロセスの文書化：非識別化するために実行したプロセスやアウトプット、エビデンスなどを文書化する

　データの非識別化手法として技術的には、ランダム化することによってセンシティブなデータを見えないようにする「摂動（Perturbation）」、データを秘密裏に分散させた上で演算処理を行う「マルチパーティ計算方式」の暗号化、計算処理上の負荷とノイズのある結果を加えながらセキュアなことを証明する「差分プライバシー（Differential Privacy）」、間接識別子（準識別子）がk個以上存在するようにすることで個人が特定されるリスクを低減する「k-匿名化（k-anonymity）」などが開発されてきたが、プライバシーを完全に保証できるレベルまでは至っていないのが実情だ。

　日本でも日立製作所がパーソナルデータを暗号化したまま匿名化する技術を発表（関連記事）し、富士通が匿名化された個人情報が特定されるリスクを自動評価する技術を発表（関連記事）するなど、匿名化技術の研究開発が進んでいる。

　ただし、リスクベースの匿名化プロセスを実行する現場から集積される経験・ノウハウをベストプラクティス化する取り組みや、それを生かしてイノベーション推進とプライバシー保護のバランスを図る政策運用の面では、日本は米国に後れを取っている。

---

　次回は日米欧比較の観点から、欧州連合（EU）におけるビッグデータ匿名化動向を取り上げる。

著者者紹介：笹原英司（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身、千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所などでビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook: https://www.facebook.com/esasahara

日本クラウドセキュリティアライアンス ビッグデータユーザーワーキンググループ：

http://www.cloudsecurityalliance.jp/bigdata_wg.html