第15回 スマートシティ推進における個人データの保護・活用 ブックマークが追加されました
近年、まちづくりのキーワードとして「スマートシティ」という言葉が聞かれるようになり、政府が推進する「デジタル田園都市国家構想」においても、このスマートシティが、今後のまちのあるべき姿の一つとして謳われています※1。
「スマートシティ」は、下図で示す3つの基本理念、5つの基本原則に基づき、ICT等の新技術や官民各種のデータを活用した市民一人一人に寄り添ったサービスの提供や、各種分野におけるマネジメント(計画、整備、管理・運営等)の高度化等により、都市や地域が抱える諸課題の解決を行い、また新たな価値を創出し続ける、持続可能な都市や地域であり、Society 5.0の先行的な実現の場、であると定義されています。
【図表】スマートシティに求められる3つの基本理念、5つの基本原則
出所:内閣府「スマートシティガイドブック」をもとに作成
都市化が進み、かつ人口減少社会に突入した日本では、都市運営をテクノロジーによって最適化、効率化していくことが求められ、ICTの進展によりスマートシティの実装化が現実味を帯びている近年において、この潮流はもはや不可逆であるといえます。
しかしながら、このスマートシティの取り組みを、テクノロジーを有する特定の企業の手に委ね、権力を集中させ、個々人のパーソナルデータを管理・支配させることで、我々は安心して暮らしていくことができるでしょうか。
内閣府「スマートシティガイドブック」※2では、5つの基本原則の中で、「プライバシーの確保」や「セキュリティ、レジリエンシーの確保」を掲げ、市民のプライバシーを保護することを重要視していることが分かりますが、これらと合わせて重要になるのが、「データ自己主権」の考え方です。「データ自己主権」とは、民間と行政が持つ個人に紐づくデータを、「本人の意思=自己主権」に基づき活用することで、サービスの個別最適化、住民にとってよりよいサービスを提供することを可能とする考え方です。この考え方を遵守することで、住民(=ユーザー)が自身の意思に基づいて主体的に提供するデータを選択できるようになります。
以下では、スマートシティにおいて個人情報を保護するための取り組みと、個人情報を活用するための取り組みのそれぞれについて概説したうえで、具体的な事例を紹介します。
総務省は、スマートシティにおける個人情報保護を含めたセキュリティ対策の指針として、「スマートシティセキュリティガイドライン」の取りまとめを行っており、最新のものとして第2.0版(令和3年6月)※3が発出されています。ここでは、スマートシティの推進に必要な構成要素を提示する「スマートシティリファレンスアーキテクチャホワイトペーパー」(令和2年3月)で定義された9つの構成要素が、「ガバナンス」「サービス」「都市OS」「アセット」の4つに区分され、それぞれのカテゴリにおいて想定されるリスクやセキュリティの考え方がまとめられています。あわせて、スマートシティ特有のセキュリティ対策として、「適切なサプライチェーン管理」「インシデント対応時の連携」「データ連携時のセキュリティ」について触れられています。
「ガバナンス」「サービス」「都市OS」「アセット」の4つのカテゴリの代表的なセキュリティ上のリスクとセキュリティ対策のポイントは下図の通りです。
【図表】スマートシティセキュリティガイドラインで求める対応
出所:総務省「スマートシティセキュリティガイドライン(第2.0版)」及び「スマートシティセキュリティガイドブック」をもとに作成
先に述べたとおり、スマートシティにおいて、サービスの利便性を高め、真の市民(利用者)中心主義を実現するためには、十分なセキュリティが確保されていることを前提に、データの保有者であり、利便性の高いサービスを利用したいと考える個人(本人)が、主体的にその活用を進めていくことが望まれます。
この実現のために、サイバー空間において、個人に関する情報の取得や利用などを、ユーザーの意思に基づいて行うために、「オプトイン(Opt-in)」「オプトアウト(Opt-out)」の仕組みを用意しておくことが重要です。オプトインとは、ユーザーが個人に関する情報の取得や利用について許諾する意思を示す行為、オプトアウトとは、オプトインとは反対に許諾しない意思を示す行為を指します。加えて、自身のどの情報をどのような主体に対して提供するかという選択権をあくまで本人に持たせることが、「データ自己主権」を実現するために重要な要素となります。
また、このようなサイバー空間で行う意思決定を含む諸活動が、本当にその本人が行ったものであるのか(本人性)、また、活動がその本人の意思によって行われたものであるのか(真正性)を明確にする必要があります。
すでにサイバー空間では数多くの民間サービスの利用が可能ですが、その際に、固有のIDやパスワードを生成し利用することが一般的です。この時、我々はID発行において氏名や、メールアドレス、電話番号、生年月日などを登録するケースがありますが、実は、この状態では、上述の本人性や真正性が保たれているとは言えません。
他方、行政サービスについて、オンラインで行政手続きを行いたい場合、我々は本人確認を行うために、「マイナンバーカードの電子証明書」もしくは「電子署名法の認定電子証明書」のいずれかを、「トラストアンカー」として用いる必要があります※4。このうち、前者の「マイナンバーカードの電子証明書」については、政府がマイナンバーカードの普及と合わせて取り組んでいるものですが、後者の「電子署名法の認定電子証明書」として機能するのが、民間企業が開発する「FPoS(Fintech Platform over SIM)」という仕組みです。FPoSは、「本人性」と「真正性」の両方を提供でき、かつ法的な裏付けをもつデジタルIDを発行する仕組みであり、スマートフォンに秘密鍵と電子証明書を搭載する方法としては唯一、主務大臣により電子署名法に基づく認証局の認定を受けています。このデジタルIDにより、我々はスマートフォンの上で金融取引や個人情報を含む取引、重要な契約等を、安全・安心・便利に実現することが可能となっています。
岸田政権発足後、「デジタル田園都市国家構想」が推進され、令和3年度補正予算で「デジタル田園都市国家構想推進交付金」が措置され、計531団体が、デジタル実装に向けた取り組みを進めています※5。
その中で、上述の仕組みを活用した事例として、群馬県前橋市の取り組みがあります。前橋市では、FPoSの機能を活用したデジタルIDとして「めぶくID※6」を発行し、住民が、「本人性」と「真正性」を確保した状態で、民間・公共双方のサービスを活用できる環境づくりを進めています。すでに複数のサービスがこのめぶくIDを通じて利用可能であり、本人に最適化(パーソナライズ化)された生活情報がいつでも確認できる、ダッシュボードと合わせ、生活の利便性を高めています。
【図表】デジタル田園都市国家構想推進交付金を活用した群馬県前橋市の取り組み
出所:前橋市での取り組みに基づいて、デロイト トーマツ作成
ここまで、スマートシティの実現における「データ自己主権」の必要性、個人情報を保護するための取り組み、あるいは活用するための取り組みを、事例を含めて概説してきました。
既に社会実装が進められていることは特筆すべきであり、デジタル空間における取引やデータ利活用が進展する現代において、住民と行政、事業者など、「まち」を舞台に活動する様々な主体が互いに信頼関係を構築して、安心・安全な暮らしを実現していくために不可欠な要素であると考えます。
※1 デジタル田園都市国家構想総合戦略(令和4年12月23日)
※2 内閣府「スマートシティガイドブック」
※3 内閣府「スマートシティセキュリティガイドライン(第2.0版)」
※4 2021年9月29日施行の総務省令の改正
※5 内閣府 地方創生推進室, デジタル庁
デジタル田園都市国家構想推進交付金(デジタル実装タイプ TYPE2/3)の採択結果について(令和4年6月)
※6 まえばしID【資料】「まえばしIDの構想について」(前橋市)
・第1回 Cyber Everywhereの時代に求められる対応(GREAT RESET IN Cyber Security)
・第2回 ESGにおけるサイバーセキュリティ【ESG投資及びディスクロージャーとCyberについての考察(投資家等外部ステークホルダーからの要請)】
・第3回 サイバーインシデントに関する開示の国際動向【米国証券取引委員会(米国SEC)のサイバーセキュリティ開示の規則案への対応準備について】
・第5回 SAP移行とセキュリティ・バイ・デザイン対策【セキュリティ・バイ・デザインなき業務基盤にDXは成しえない】
・第6回 「投資」に値する効果的なサイバーセキュリティ対策【サイバーセキュリティ × データアナリティクス専門家の必要性】
・第7回 情報安全保障に関する提言【真偽不明な「情報」が満ち溢れる昨今のデジタル社会における「情報」に関する問題点と必要なリスク対策とは?】
・第8回 クラウドセキュリティ態勢とガバナンス強化【情報セキュリティガバナンス態勢強化に向けたアプローチ】
・第9回 転換期を迎えている“サイバーセキュリティに関する委託先管理”の概念・捉え方【適切な委託先選定、委託先モニタリングを通じた委託先管理】
・第10回 サイバーリスクの高まりに対する内部監査の役割【DXに伴うサイバーリスクの高まりにおいて、内部監査の役割重要度が増大】
・第11回 デジタル時代におけるIT-BCP必要性の高まり【IT-BCP整備のポイント】
・第12回 断絶の時代をリードするシフトレフト〜ビジネスにアジリティをもたらすDevSecOps〜
・第13回 地方公共団体DXに伴うサイバーリスクの高まり【地方公共団体におけるセキュリティ対策】
・第14回 地方公共団体のGovCloudの移行後の必要なセキュリティ対策【基幹業務のクラウド化に伴う必要なセキュリティ対策に関する考察】
デロイト トーマツ サイバー合同会社所属。大学時代に国立研究開発法人情報通信研究機構(NICT)と共同研究に従事。2005年より大手ITメーカーにてインフラ専門SEとして、大規模システムの提案から設計・構築・運用に至るまで経験。 2009年よりセキュリティ専門会社に入社し、サイバーセキュリティに関する製品開発や多数の大規模国家プロジェクトの研究員およびプロジェクトマネージャーを担当。同時に、緊急時のインシデントレスポンス対応も行う。また、国内外のセキュリティカンファレンスにて広く研究発表も行う。 2015年より研究所を率いて新たなコア技術の研究開発や、サイバー攻撃の分析に従事。開発したソリューションのデリバリーや緊急時のインシデントレスポンス、インシデント検証委員なども担当。総務大臣奨励賞を受賞。
パブリックセクターのプロフェッショナルとして、「持続可能な地域経営・まちづくり」をテーマに、官民連携による地域活性化、地域DXのプロジェクトに多数従事。地域活性化関連では、観光やまちづくりをテーマとしたビジネス、地域DX関連ではデロイト トーマツ グループ横断で取り組むスマートシティイニシアティブであるFuture of Citiesを推進。全国の拠点と連携し、構想策定からスキーム検討、実行支援までEnd to Endでプロジェクトに取り組む。公認会計士。