次世代のデータ共有を可能にするプライバシー強化技術

差分プライバシー

差分プライバシーとは、データ分析を行う前に、分析にほとんど影響を与えない程度のノイズを分析対象のデータに加えることで、プライバシーを保護したままデータを分析する技術です。

差分プライバシーの簡単な例では、アンケートの回答にノイズを加えることにより、回答の値から真の値が推定される可能性を下げることができます。アンケート調査において、アンケートを回収した企業の職員はアンケート結果を閲覧可能になりますが、その場合においても、差分プライバシーを活用することでアンケート回答者のプライバシーを保護することができます。

アンケート回答への差分プライバシーの適用

Apple社の事例

Apple社のWebサイトには、プライバシー保護に関する取組みを紹介するページがあります。そのうち、差分プライバシーに関するドキュメント（注）によると、iOSのキーボード入力における絵文字の提案や、Safariブラウザのデータ収集に差分プライバシーを活用し、個人情報を保護したままインサイトを得て、サービス品質の向上を行なっています。Apple社は、差分プライバシーに加えて、収集したデータがどのIPから送られたかを保持しないことや、データを３ヶ月で削除するなどの対応を行うことにより、プライバシー保護を実現しています。

（注）出所： Apple – Differential Privacy（外部サイト）
https://www.apple.com/privacy/docs/Differential_Privacy_Overview.pdf [PDF]

統合分析

統合分析（Federated Analysis、フェデレーテッド分析）は、複数のデータベースやデバイスに分散しているデータを、一箇所に集めることなく各々が個別に分析し、分析結果のみを共有する技術です。統合分析は、複数の企業やデバイスにデータが分散している場合に、特に有効です。

統合分析の事例として、機械学習と組み合わせるFederated Learningという技術があります。この技術は、データが複数のデバイスに分散している場合でも機械学習を可能にします。スマートフォン、IoTデバイス、PC等にデータが分散している状況において、すべてのデータを中央に集めて機械学習を行う一般的な手法とは異なり、それぞれの端末の中で機械学習を行い、学習の差分だけを中央のサーバーにフィードバックした後、それを元に中央のモデルをアップデートし、各端末に再配信します。

この手法は、個人情報等の機密性が高い入力データをサーバーにアップロードせずにスマートフォンのキーボードの予測モデルをトレーニングするためにGoogle等で使用されています。

Federated Learning

準同型暗号

準同型暗号は、データを暗号化したまま計算が可能な暗号であり、データ分析を行う際に分析対象のデータを復号する必要がないため、復号する鍵を保有する者以外は誰も分析結果を参照できません。そのため、分析処理を外部のクラウドサービスなどに委託する際の漏洩リスクを軽減することができます。次の例において、暗号化・復号に使う鍵は組織Aしか保有していません。

2つの数値の足し算を秘密にしたまま計算処理を外部委託したいケースを仮定します。この場合、組織Aは2つの数値（例えば、297681と363895）を暗号化したまま組織Bに提供します。組織Bはその2つの数値を知ることはできませんが、暗号化したまま足し算の計算を行います。この際、組織Bは受け取った2つの数値も計算結果（661576）も知ることができません。組織Bは組織Aに計算結果を提供し、組織Aは鍵を使って計算結果を復号することで661576という結果を得て利用します。

準同型暗号

秘密分散

秘密分散は、データを断片化して乱数を加えて、一定数以上の断片が揃わないと復号できない状態で演算を行うことにより、特定の計算を安全に行う技術です。次の例において、組織Aと組織Bは、データをそれぞれ3個ずつ（合計6個）に分割しており、全てが揃わないと計算結果の暗号化を解除できないようにしています。機密データを預託するクラウド環境を複数（X、Y、Z）に分割することにより、仮にクラウド環境Xからデータが漏洩したとしても、他のクラウド環境（Y、Z）が保管する断片も入手しない限り意味があるデータを得られないため、計算を安全に外注することができます。

秘密分散

ゼロ知識証明

ゼロ知識証明は、ある人が他の人に特定の事柄を証明したいときに、証明したいこと以外の何の知識も伝えることなく当該事柄を証明する手法です。この技術を応用することで、利用者が個人情報を渡さずに特定の条件を満たすことを証明したり、第三者に委託した計算処理が正しく行われていることを確認したりすることができます。例として、2つの飲み物の味の違いを識別できることを証明したいとします。味の違いを識別する方法を教えれば証明できますが、これでは識別する方法に関する知識が漏れてしまいます。「味の違いを識別できること」以外の何の知識も伝えず、「味の違いを識別できること」を証明するには次のようにします。

ゼロ知識証明

プライバシー強化技術のまとめ

本記事では、5つのプライバシー強化技術をご紹介しました。差分プライバシーや統合分析はすでに世界的IT企業で活用されています。準同型暗号、秘密分散、ゼロ知識証明は、計算速度が遅いことなどが理由でまだ実用例は少ないものの、近年のコンピュータの計算速度の著しい向上や、計算アルゴリズムの改善により、計算速度が実用レベルに近づいてきています。プライバシー強化技術を活用して組織の枠組みを超えたデータ利活用を推進することが、企業の新しいビジネス機会創出につながる可能性を秘めています。

プライバシー強化技術の一覧

ページトップに戻る