2024年7月29日9:30
プライバシーテック協会は、2024年7月24日に第1期賛助会員7社の加盟、および今後の方針について記者説明会を開催した。同協会では、。
KDDIやTOPPANエッジなどが賛助会員に
PETsのルールメイキングを推進
プライバシーテック協会は、プライバシーテックの社会実装を目指し、2022年8月にAcompany、EAGLYS、LayerXが設⽴したスタートアップを中心とする任意団体だ。プライバシーテックは、個人のプライバシーや組織のデータを保護するための技術の総称となり、PETs(Privacy Enhancing Technologies、プライバシー強化技術)とも呼ばれる。プライバシーテックの認知・認識獲得、実証実験・事業化推進のための環境整備、関連法の整理や新たなルールメイキングを目的として活動してきたそうだ。
このほど新たにJMDC、株式会社博報堂DYホールディングス、KDDI、電通、TOPPANエッジ、デロイト トーマツ リスクアドバイザリー、日本電気(入会承諾順)の7社が第1期賛助会員に加わった。また、プライバシーテック協会 特別会員として新たに一般財団法人日本情報経済社会推進協会(JIPDEC)と一般社団法人データ社会推進協議会(DSA)の2団体が加盟した。
プライバシーテックは黎明期であるため、情報整備が十分にされていない課題がある。課題の1つは認知度不足だ。世界的にもプライバシーテックの注目度が集まる一方で、個別の技術やユースケースは認知が不足している。また、プライバシーテックが主な対象とする個人データは個人情報保護法などで保護されている対象であるが、法律と技術の整備が十分に進んでいないため、社会実装のボトルテックとなっている。さらに、プライバシーテックに関する現行法の関連整理やルールメイキングを推進する必要があるとした。
同協会のこれまでの活動として、リアルでの勉強会とアドバイザリーボードの強化を実施。また、関連団体と連携し、政府関係者との意見交換を実施している。主催イベントの合計参加者数は289名。イベント主催や協力数は8回となっている。また、メディア掲載数は9回。例えば、「個人情報保護法3年ごと見直しのポイント」と題した勉強会を開催。また、経団連、新経連、IT連などと連名絵自民党や自民党や個人情報保護員会と意見交換した。
プライバシーテックに関しては、国内の成長に不可欠なデータ連携に有用であり、また、国内企業に優位性があるという。例えば、AIの時代では学習データが重要であり、海外のテック企業はデータを囲い込んでいる。また、日本は事業者間データ連携が成長に不可欠だという。国内企業の優位性として、秘密計算(MPC)は日本企業が強みを持ち、関連するISO規格の策定をNTTが主導している。また。ソリューション構築も世界を主導できる可能性があるとした。
これまでの活動として、安⼼・安全な技術としてプライバシーテックを社会に周知・啓発することは形になってきたため、今後はプライバシーテックに関する現行法の関連整理や新たなルールメイキングを推進することを挙げた。
海外の動向をみると、英国ではICOがプライバシーテックに関するガイドラインを公表。また、プライバシーテックがデータ保護法の順守を達成するためにどのように役立つかという点と、その利活用に言及した。
米国では、連邦法案(APRA2024)にPETsに関する言及がされている。また、事業者は同法案のデータ・セキュリティ要件を満たす、または上回る特定のPETsの導入を申請することができ、採択された事業者は、データ侵害に関連する私的訴権について、同法案のデータ・セキュリティ要件に準拠していることの反証可能な推定を受けることができるという。さらに、パイロットプログラムの参画企業については、継続的に監査し、対象事業者が対象データを保護するためにPETsの使用と導入を維持しているかどうかを判断し、不備が見つかれば是正指導やプログラムからの除外も可能だ。
経済開発機構(OECD)のIAP(Institutional Arrangement for Partnership)では、DFFT(Data Free Flow with Trust:信頼性のある自由なデータ流通)の実現に向けた議論が開始され、PETsに関する作業グループ(Working Group)が設⽴されている。また、政府関係者と専門家・ステークホルダーにて、PETsのユースケース整理や法制度関係のボトルネック整理・検討、ガイドライン検討等が進められる予定だという。
秘密計算に注力して普及活動を実施
現状の課題は同意の形骸化
なお、プライバシーテック協会では、プライバシーテックのうち、まず秘密計算に注力して普及活動を実施。秘密計算は、計算過程を秘匿化したまま処理する技術の総称だという。その方式は、ハードウェアを利用した方式である「TEE(Trusted Execution Environment)」、データを秘密分散のまま計算する方式である「MPC(Multi-Party Computation)」、直接演算可能な暗号方式である「HE(Homomorphic Encryption)」といった秘密計算手法がある。
現状は同意に基づかない適正な利⽤も議論されているが、技術的な安全性によっても「適正な利用」は促進できると考えている。同意取得の例外として、データの利用方法やその制度について今後議論を深める必要があるという。同協会絵は「本人から同委は十分か形で運用されていない」と指摘する。また、例外が認められる「データの利用方法」の考え方として、プライバシーテックを利用する場合についても考慮すべきだとした。これにより、安全性を確保するデータの利用方法を複数の事業範囲で創出できるとした。
課題として、個人の権利利益の保護措置として、本人からの同意の取得のみでは不十分となっている。プライバシーポリシーを読まずにサービス利用を開始する消費者も多く。同意が有効気に機能していないという。また、日常生活に不可欠なサービスの場合、同意したくないプライバシーポリシーでも同意せざるを得ない場面も存在する。一方で、事業者rとしては、ひとまず同意を種痘すれば適法にデータ利活用できるため、真の意味での個人の権利利益の保護を検討するインセンティブがない。
プライバシーテックの活用により、プライバシー保護を実現しつつ、効果的なデータ利活用ができるとした。しかし、現状では、プライバシーテックを利用した場合でも、第三者提供の同意取得が必要であるなどプライバシーテックを導入するインセンティブが限定的だ。同意の形骸化により、個人のプライバシーも保護されない実態を踏まえれば、プライバシーテックの導入を進め、プライバシー保護とデータ利活用の両方を達成する道を模索すべきタイミングであるとした。
医療、金融、移動データの利活用に余地あり
個人情報保護法の改正議論で規制の在り方模索
同協会では「医療データ、金融データ、移動データ領域で活用の余地があると考えております」と話す。秘密計算の特徴として、計算過程において、元データを保有する病院以外には、生データを把握することができない。また、最終結果は統計情報にするため、プライバシーリスクが極めて低いという。社会的な利用可能性として、例えば金融分野では金融データを業界全体で共有することで、マネーロンダリングを含めた不正利用の防止や、新たな金融サービスの創出が期待される。一方で、金融データは個人の経済活動を反映しており。プライバシー性があり、またそれ以外にも金商法などデータ利用に関する規制が存在していることから、利用が制限されている。
同協会では、プライバシーテック実用化に向けたアクション方針の基準作りやルールメイキングを通じて、秘密計算の社会実装をさらに進める。ガイドラインの策定では、秘密計算活用の基準を整備する。また、3年ごとに見直される個人情報保護法の改正議論において、秘密計算を前提とした安全性基準での個人データの保護と利活用における規制の在り⽅を模索する。さらに企業や団体との連携強化も進める。個人データ利活用はさまざまな業界や組織に関連する領域であるため、それぞれの視点を含めた社会実装を実現するためのフィールドを目指す。
