ニュース

富士通研究所、パーソナルデータのプライバシーリスクを自動評価する技術を開発

 株式会社富士通研究所は19日、改正個人情報保護法により匿名加工したパーソナルデータの第三者提供が可能になることを踏まえ、匿名加工データから個人が特定されるリスクを自動評価する技術を業界で初めて開発したと発表した。

 2017年中に施行予定の改正個人情報保護法では、パーソナルデータに匿名加工を行うことで、本人の同意なく第三者提供が可能となる。一方で、匿名加工には様々な匿名化手法が存在し、分野やガイドラインによって使い分けが必要となる。

 たとえば、医療分野において、改正個人情報保護法に基づいてガイドラインが策定された場合、医療機関で保有する健診データなどを、匿名加工して研究機関や製薬会社などで活用するといったことも考えられる。そのため、富士通研究所では、k-匿名化という、同じ属性を持つ人が少なくともk人以上いるように情報を加工する技術を中心とする匿名化技術を開発し、医療分野などへの適用に向けて研究を進めてきた。

改正個人情報保護法における匿名加工情報の第三者による利活用イメージ

 パーソナルデータの提供元は、匿名加工を行うにあたり、業界ごとのガイドラインを満たしているか、匿名加工されたデータからプライバシーが漏えいしないかなどのリスクに備える必要がある。しかし、提供元が匿名加工データから個人を特定されるリスクを評価し対策することは容易ではなく、専門家による確認、評価に時間がかかることが課題となっていた。たとえば、医療機関が持つデータを、匿名化して医療研究に利用するケースにおいて、国外の医療機関ではデータが提供できるまで半年以上かかるケースも報告されているという。

一部の属性の組み合わせで個人を特定できる例

 富士通研究所では、データの分布に基づいて、最も個人を特定しやすい属性の組み合わせとその容易度(特定しやすさ)を、現実的な時間内で自動的に探索する技術を開発。これにより、リスク評価と対策を迅速に行うことができるとしている。

 個人を特定しやすい属性の組み合わせから優先的に評価すべき属性を抽出することで、効率的に探索する技術を開発。より少ない属性の組み合わせで特定できるデータベース上の行(レコード)は、それより多い属性の組み合わせでも特定できる性質を利用し、不要な探索を省略することで、効率的な探索を可能とした。

 また、データ中で最も個人を特定しやすい属性の組み合わせを分析し、その容易度を定量化して、個人の特定しやすさを比較できる技術を開発。これにより、優先的に匿名化すべき属性がすぐに分かるようになる。

 さらに、データが漏えいした際の想定損害賠償額の算出や、各種匿名化ガイドラインへの適合性を判定する技術も開発し、これにより、幅広くプライバシーリスクが評価でき、そのリスクに基づき適切な匿名加工を容易に行うことができるとしている。

開発技術の概要

 富士通研究所では、今回開発した技術を用いることで、14属性、1万人のデータに対しても、3分以内という現実的な時間内での自動リスク評価が可能になったと説明。今後、実環境で効果を検証し、2017年度をめどに実用化していく予定としている。