より安全に個人情報を管理するには?ブロックチェーン活用事例を紹介

より安全に個人情報を管理するには?ブロックチェーン活用事例を紹介

はじめに

大量の個人情報を抱えている企業にとって、情報漏えいや不正利用への対策は重要なテーマとなっています。個人情報の漏えいは国内外で発生しているほか、個人情報が本人の意思とは関係ないところで利用されているケースもあります。

課題解決のためには、個人情報が中央集権的に管理されている現状を見直す必要があるかもしれません。個人情報を扱うためのより安全な方法が国内外で模索されるなか、新たな個人情報管理システムの基盤としてブロックチェーン(分散型台帳)が活用されています。

本記事では、個人情報の管理や共有におけるブロックチェーンの活用事例を紹介していきましょう。

個人情報の管理は企業にとって重要なテーマ

そもそも個人情報とは?

個人情報の定義は国や標準規格によって異なりますが、日本の「個人情報保護法」における個人情報とは、特定の個人を識別できる情報のことです。

具体的には、氏名や生年月日、顔写真、DNAや顔、虹彩や声紋、指紋や静脈、パスポート番号や基礎年金番号、免許証番号、マイナンバー、各種保険証などが該当します。

参考までに、個人情報保護法において個人情報が定義されている条文を引用しておきますが、個人情報の定義を詳説することは本記事の主題ではないので、興味のある方のみご覧ください。

(定義)
第二条 この法律において「個人情報」とは、生存する個人に関する情報であって、次の各号のいずれかに該当するものをいう。
一 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しくは電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によっては認識することができない方式をいう。次項第二号において同じ。)で作られる記録をいう。第十八条第二項において同じ。)に記載され、若しくは記録され、又は音声、動作その他の方法を用いて表された一切の事項(個人識別符号を除く。)をいう。以下同じ。)により特定の個人を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)

二 個人識別符号が含まれるもの

2 この法律において「個人識別符号」とは、次の各号のいずれかに該当する文字、番号、記号その他の符号のうち、政令で定めるものをいう。
一 特定の個人の身体の一部の特徴を電子計算機の用に供するために変換した文字、番号、記号その他の符号であって、当該特定の個人を識別することができるもの

二 個人に提供される役務の利用若しくは個人に販売される商品の購入に関し割り当てられ、又は個人に発行されるカードその他の書類に記載され、若しくは電磁的方式により記録された文字、番号、記号その他の符号であって、その利用者若しくは購入者又は発行を受ける者ごとに異なるものとなるように割り当てられ、又は記載され、若しくは記録されることにより、特定の利用者若しくは購入者又は発行を受ける者を識別することができるもの

出典:https://elaws.e-gov.go.jp/search/elawsSearch/elaws_search/lsg0500/detail?lawId=415AC0000000057

個人情報の安全で適切な管理が課題

流通するデータ量が増えるなか、企業にとってはデータや個人情報をどのように安全に管理するのかが重要な課題になっています。個人情報の漏えいや不正利用は国内外で頻繁に発生しているのが現状です。

例えば、2016年の米大統領選挙では最大8,700万人分のFacebook上のプロフィールが、イギリスの政治コンサルティング会社「Cambridge Analytica」によって不正に収集・利用され、Facebookのアカウント削除を呼び掛ける「#DeleteFacebook」という社会運動に発展しました。

その他にも、2017年にはアメリカの大手信用情報機関「Equifax」がハッキングされ、1.4億人分の個人情報が流出する被害が発生しています。氏名や生年月日、電話番号のほかにも、クレジットカード番号や運転免許証の番号なども含まれていました。

また、個人情報に関する法規制は、それぞれの国と地域で定められており、個人情報を収集する事業者は国と地域ごとの法規制に従わなければなりません。

例えば、EUでは「GDPR」(EU一般データ保護規則)と呼ばれる個人情報保護の枠組みが策定されています。GDPRでは、EUを含む欧州経済領域(EEA)域内で取得した個人データを、EEA域外に移転することができません。違反行為に対しては、高額な制裁金が課されるリスクがあるので、情報の適切な管理も企業にとって課題となっています。

個人情報管理にブロックチェーンは使えるのか?

「個人情報の管理にブロックチェーンが使える」と聞くと、誰でもデータを閲覧できるのでは?という懸念や、各国の法規制に対応するのが困難ではないか?という疑問が出てくるのではないでしょうか。

たしかに、BitcoinやEthereumのようなパブリックチェーンや、グローバルなコンソーシアムで運用されるパーミッション型のブロックチェーンに、個人情報をそのまま記録するのは現実的ではありません。

一方で、ブロックチェーンを基盤とすることで、改ざん困難な形で情報を記録・共有できる分散型のネットワークを構築できます。したがって、ブロックチェーンの使い方としては、分散型の公開鍵基盤(本人確認の検証に必要な暗号鍵の共有)や、個人情報が共有された証跡(誰にどんな情報が共有されたのか)といったアプローチが考えられるのです。

個人情報×ブロックチェーンの事例紹介

それでは個人情報の管理にブロックチェーンが活用されている事例を紹介していきましょう。

Microsoftの分散型ID(DID:Decentralized Identifier)アプリや、韓国・釜山市で導入されたDIDプラットフォーム、企業間での顧客情報の連携にブロックチェーンを活用する取り組みなど、様々な事例が存在します。

Microsoft による学生証アプリ(デモ)

Microsoftは2018年にDIDに関するホワイトペーパーを公表し、DIDのオープンエコシステムと相互運用性を確立するための組織「Decentralized Identity Foundation」(DIF)にも加盟するなど、積極的にDIDの研究開発を行っている企業です。

2020年5月、MicrosoftはDIDを活用した学生証アプリのデモと、DIDアプリを開発するためのAzureサービスを公開しています。デモアプリでは、第三者が個人情報を中央集権的に管理しなくても、アプリの利用者が学生であることを証明できる機能が実装されました。

この仕組みではまず、大学側が電子署名付きのデジタル学生証(=Verifiable Credentials:検証可能な証明書)を発行し、学生は対応するスマホアプリで学生証を管理します。

署名検証用の公開鍵は、ブロックチェーン(分散型台帳技術)ベースの公開鍵基盤に登録され、誰でも参照可能です。そして、学生は学生証に付与された電子署名を企業に検証してもらうことで、自分が大学生であることを証明できます。

Issuer DID
https://didproject.azurewebsites.net/docs/verifiable-credentials.html

個人情報は学生が持つスマホのローカルストレージに保存される上、アプリ側で学生証の閲覧権限を持つ第三者を取捨選択することも可能です。したがって、個人情報が企業に集中管理されることはありません。

デモアプリの仕組みやデモの様子は以下の記事で解説していますので、興味のある方はぜひご覧ください。

DIDベースの本人確認アプリ(韓国・釜山市)

韓国第2位の人口規模を誇る釜山市(約340万人)は2020年6月から、本人確認が必要なサービスにDIDアプリを導入し、個人情報を市民のスマホのみで管理できるプラットフォームを立ち上げました。2020年6月末現在では、利用できるサービスは一部の行政サービスに限られますが、将来的には役所内の店舗向けの支払い機能なども追加される予定です。

このプラットフォーム上では電子署名の検証で本人確認が完結するため、従来は対面で身分証を提示する必要があった行政サービスを、市民が非対面・非接触で利用できるようになります。ローンチに際しては、個人情報の分散管理によって不正流出・利用のリスクを減らせるだけでなく、新型コロナウイルス感染症の対策にも貢献できると期待されているようです。

仕組み自体は前述したMicrosoftのデモアプリと似ていますが、行政が主体となって取り組んでいる点は要注目です。釜山市は2019年から、規制改革のためにブロックチェーン特区(Regulation-Free Blockchain Zone)として指定されているので、今回のDIDプラットフォームの立ち上げもその一環だと言えるでしょう。

なお、韓国では他にもDIDの研究開発が活発に行われており、LGグループ傘下の電気通信業者大手「LG U+」や現代自動車グループ傘下のクレジットカード会社「Hyundai Card」などがコンソーシアムのメンバーとして活動しています。

個人情報の企業間連携

ここまで紹介した事例では中央集権的な個人情報管理から、個人が情報を管理・制御する分散型の仕組みへと移行するものでした。その他のアプローチとして、ブロックチェーンを基盤として活用することで、異なる企業同士の抱える顧客情報を連携する方法が研究されています。

2020年6月、企業間の情報連携を推進するコンソーシアム「NEXCHAIN」が設立されました。コンソーシアム設立の前段として、引っ越しに必要な手続きをワンストップかつオンラインで行えるサービスが、以下の8社によって検討されています。

  • 積水ハウス株式会社
  • KDDI株式会社
  • 株式会社日立製作所
  • 損害保険ジャパン日本興亜株式会社
  • 東京海上ホールディングス株式会社
  • 三井住友海上火災保険株式会社
  • 大阪ガス株式会社
  • 東邦ガス株式会社

この仕組みでは、通信会社の持つ本人確認情報を起点に、内見や不動産賃貸契約、住所変更やインフラサービスの契約がシームレスに行われます。情報提供に関するやり取りの記録は、情報連携の証跡としてブロックチェーンに記録されるため、顧客情報の利用歴を効率的に検証できるのです。

https://www.hitachi.co.jp/products/it/magazine/hitac/document/2020/03/2003b.pdf

NEXCHAINでは引っ越し手続きのほかに、冠婚葬祭といったライフイベントの際に必要な各種手続きをワンストップで行えるサービスなどが検討されています。

まとめ

本記事では個人情報の管理におけるブロックチェーンの活用事例を紹介しました。個人情報管理の分散化や企業間の情報連携にブロックチェーンを活用することで、情報漏えいや情報の不正利用リスクを削減できると期待されています。

中央集権的に管理されている個人情報が分散管理へと移行するには、システムや運用の確立だけでなく、法規制の整備や消費者(個人)への普及が必要であるため、まだまだ時間が必要かもしれません。

一方で、最後に紹介した事例(個人情報の企業間連携)のように、様々なサービスをシームレスに繋げる情報連携の基盤が実用化されれば、業務フローの効率化や顧客体験が向上する新サービスの登場が期待できるのではないでしょうか。

記録された情報がすべて公開されると思われがちなブロックチェーンですが、個人情報の管理においても使える可能性を秘めているのです。

参考資料
個人情報保護法 ハンドブック
フェイスブックのデータ不正共有疑惑「8700万人に影響」
Equifaxの情報漏えいが米国の消費者にとって史上最悪である理由
Want To Regain Control Of Your Data? Blockchain’s Permission Management Is A Step In The Right Direction
What are Verifiable Credentials?
South Korea’s Busan city launches decentralized identity platform for public services
異業種データの相互補完やサービス連携で、経済の発展と社会課題の解決を目指す 企業間情報連携推進コンソーシアム「NEXCHAIN(ネクスチェーン)」会員企業の募集を開始
ブロックチェーンを活用した 「企業間情報連携基盤」

【お役立ち資料】BaaSレポート公開中

CTA-IMAGE BaaS(Blockchain as a Service)を提供する各社(Microsoft、IBM、Amazon、Oracle、Alibaba)の動向をまとめました。BaaSを選ぶときのポイントもまとめていますので、ぜひご活用ください。

活用事例カテゴリの最新記事