第15回スマートシティ推進における個人データの保護・活用

＜連載＞持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか

香野剛／Tsuyoshi Kono 米森健太／Kenta Yonemori

1. スマートシティの進展と「データ自己主権」の必要性

近年、まちづくりのキーワードとして「スマートシティ」という言葉が聞かれるようになり、政府が推進する「デジタル田園都市国家構想」においても、このスマートシティが、今後のまちのあるべき姿の一つとして謳われています^※1。

「スマートシティ」は、下図で示す３つの基本理念、5つの基本原則に基づき、ICT等の新技術や官民各種のデータを活用した市民一人一人に寄り添ったサービスの提供や、各種分野におけるマネジメント(計画、整備、管理・運営等)の高度化等により、都市や地域が抱える諸課題の解決を行い、また新たな価値を創出し続ける、持続可能な都市や地域であり、Society 5.0の先行的な実現の場、であると定義されています。

【図表】スマートシティに求められる３つの基本理念、５つの基本原則

出所：内閣府「スマートシティガイドブック」をもとに作成

都市化が進み、かつ人口減少社会に突入した日本では、都市運営をテクノロジーによって最適化、効率化していくことが求められ、ICTの進展によりスマートシティの実装化が現実味を帯びている近年において、この潮流はもはや不可逆であるといえます。

しかしながら、このスマートシティの取り組みを、テクノロジーを有する特定の企業の手に委ね、権力を集中させ、個々人のパーソナルデータを管理・支配させることで、我々は安心して暮らしていくことができるでしょうか。

内閣府「スマートシティガイドブック」^※2では、5つの基本原則の中で、「プライバシーの確保」や「セキュリティ、レジリエンシーの確保」を掲げ、市民のプライバシーを保護することを重要視していることが分かりますが、これらと合わせて重要になるのが、「データ自己主権」の考え方です。「データ自己主権」とは、民間と行政が持つ個人に紐づくデータを、「本人の意思＝自己主権」に基づき活用することで、サービスの個別最適化、住民にとってよりよいサービスを提供することを可能とする考え方です。この考え方を遵守することで、住民（＝ユーザー）が自身の意思に基づいて主体的に提供するデータを選択できるようになります。

以下では、スマートシティにおいて個人情報を保護するための取り組みと、個人情報を活用するための取り組みのそれぞれについて概説したうえで、具体的な事例を紹介します。

2. 個人情報を保護するための取り組み

総務省は、スマートシティにおける個人情報保護を含めたセキュリティ対策の指針として、「スマートシティセキュリティガイドライン」の取りまとめを行っており、最新のものとして第2.0版（令和3年6月）^※3が発出されています。ここでは、スマートシティの推進に必要な構成要素を提示する「スマートシティリファレンスアーキテクチャホワイトペーパー」（令和2年3月）で定義された9つの構成要素が、「ガバナンス」「サービス」「都市OS」「アセット」の4つに区分され、それぞれのカテゴリにおいて想定されるリスクやセキュリティの考え方がまとめられています。あわせて、スマートシティ特有のセキュリティ対策として、「適切なサプライチェーン管理」「インシデント対応時の連携」「データ連携時のセキュリティ」について触れられています。

「ガバナンス」「サービス」「都市OS」「アセット」の4つのカテゴリの代表的なセキュリティ上のリスクとセキュリティ対策のポイントは下図の通りです。

【図表】スマートシティセキュリティガイドラインで求める対応

出所：総務省「スマートシティセキュリティガイドライン（第2.0版）」及び「スマートシティセキュリティガイドブック」をもとに作成

3. 個人情報を活用するための取り組み

先に述べたとおり、スマートシティにおいて、サービスの利便性を高め、真の市民（利用者）中心主義を実現するためには、十分なセキュリティが確保されていることを前提に、データの保有者であり、利便性の高いサービスを利用したいと考える個人（本人）が、主体的にその活用を進めていくことが望まれます。

この実現のために、サイバー空間において、個人に関する情報の取得や利用などを、ユーザーの意思に基づいて行うために、「オプトイン（Opt-in）」「オプトアウト（Opt-out）」の仕組みを用意しておくことが重要です。オプトインとは、ユーザーが個人に関する情報の取得や利用について許諾する意思を示す行為、オプトアウトとは、オプトインとは反対に許諾しない意思を示す行為を指します。加えて、自身のどの情報をどのような主体に対して提供するかという選択権をあくまで本人に持たせることが、「データ自己主権」を実現するために重要な要素となります。

また、このようなサイバー空間で行う意思決定を含む諸活動が、本当にその本人が行ったものであるのか（本人性）、また、活動がその本人の意思によって行われたものであるのか（真正性）を明確にする必要があります。

すでにサイバー空間では数多くの民間サービスの利用が可能ですが、その際に、固有のIDやパスワードを生成し利用することが一般的です。この時、我々はID発行において氏名や、メールアドレス、電話番号、生年月日などを登録するケースがありますが、実は、この状態では、上述の本人性や真正性が保たれているとは言えません。

他方、行政サービスについて、オンラインで行政手続きを行いたい場合、我々は本人確認を行うために、「マイナンバーカードの電子証明書」もしくは「電子署名法の認定電子証明書」のいずれかを、「トラストアンカー」として用いる必要があります^※4。このうち、前者の「マイナンバーカードの電子証明書」については、政府がマイナンバーカードの普及と合わせて取り組んでいるものですが、後者の「電子署名法の認定電子証明書」として機能するのが、民間企業が開発する「FPoS（Fintech Platform over SIM）」という仕組みです。FPoSは、「本人性」と「真正性」の両方を提供でき、かつ法的な裏付けをもつデジタルIDを発行する仕組みであり、スマートフォンに秘密鍵と電子証明書を搭載する方法としては唯一、主務大臣により電子署名法に基づく認証局の認定を受けています。このデジタルIDにより、我々はスマートフォンの上で金融取引や個人情報を含む取引、重要な契約等を、安全・安心・便利に実現することが可能となっています。

4. 先進的な取り組み事例

岸田政権発足後、「デジタル田園都市国家構想」が推進され、令和3年度補正予算で「デジタル田園都市国家構想推進交付金」が措置され、計531団体が、デジタル実装に向けた取り組みを進めています^※5。

その中で、上述の仕組みを活用した事例として、群馬県前橋市の取り組みがあります。前橋市では、FPoSの機能を活用したデジタルIDとして「めぶくID^※6」を発行し、住民が、「本人性」と「真正性」を確保した状態で、民間・公共双方のサービスを活用できる環境づくりを進めています。すでに複数のサービスがこのめぶくIDを通じて利用可能であり、本人に最適化（パーソナライズ化）された生活情報がいつでも確認できる、ダッシュボードと合わせ、生活の利便性を高めています。

【図表】デジタル田園都市国家構想推進交付金を活用した群馬県前橋市の取り組み

出所：前橋市での取り組みに基づいて、デロイトトーマツ作成