2019年5⽉21⽇⽇本電信電話株式会社

NTTセキュアプラットフォーム研究所⾼橋克⺒

情報処理学会情報規格調査会2019年度情報技術標準化フォーラム⽇時:2019年5⽉21⽇(⽕)15:20〜17:00場所:機械振興会館地下3階研修1号室

データ利活用について－技術面から－

はじめに•データ利活⽤に関する技術⾯からの考察

• 「匿名化」や「情報銀⾏」などを適宜引⽤しながら

•パーソナルデータ・プライバシー保護寄り• 産業データや営業秘密に特有の問題もあるとは思いますが

•事業者からの観点• 個⼈を中⼼にした話が多いが今回は事業者視点で• 図が事業者（左）→個⼈（右）の左右反転です

•技術動向⽬線• 実⽤的な話は控えめ• 標準（ISO/IECJTC1）関係は可能な限り

🏢

事業者から見た個人のデータ活用

•事業者は個⼈にサービスを提供し、同時に業務に必要なデータを個⼈から取得•データを活⽤することにより価値が⽣まれ、付加価値として個⼈に還元•データ利活用の技術とは「本来業務」そのもの

💰💛価値

データ

サービス付加価値

事業者

👦個⼈

🏢

個人をより理解したい－事業者自身でさらに集める

•事業者がさらに多種のデータを取得• 事業者がデータを集める新機能を追加• 事業者が新サービスを追加してデータが集まる

•本来業務をデータを使ってどう変えたいかの洞察が重要である

💰💛価値

サービス付加価値

📱 🌏

👦

事業者個⼈

⾏動履歴 移動履歴

🚶データデータ

データ

🏢

個人をより理解したい－事業者自身でさらに集める(続)

•ここでの技術への期待をデータ取得時のプライバシー保護として切り出し説明する•本来業務と違うデータを集め出すのは、事業者にとって⼀つの賭けである• Googleと Appleのアプローチは注⽬に値する

💰💛価値

サービス付加価値

📱 🌏

👦

事業者個⼈

⾏動履歴 移動履歴

🚶データデータ

データ

🏢

個人をより理解したい－外部からデータを得る

•事業者が「外部の事業者」からデータを得る• 個⼈の「⾃社のサービス外」での振る舞いを知りたい

• ⾃社が把握していない個⼈を知りたい•本来業務をデータを使ってどう変えたいかの洞察がなおさら重要である

💰💛価値

サービス付加価値

👦

事業者個⼈

データ

🏢データ🏢データ外部事業者 外部事業者

🏢

個人をより理解したい－外部からデータを得る(続)

•ここでの技術への期待をデータ流通時のプライバシー保護として切り出し説明する•さらにデータ品質の確保も期待される

• データの正しさ、データの互換性、⼊⼿容易性

💰💛価値

サービス付加価値

👦

事業者個⼈

データ

🏢データ🏢データ外部事業者 外部事業者

🏢

セキュリティ

•個⼈データを扱うゆえ、セキュリティはデータ取得、データ流通を問わず必要とされる•セキュリティは⼀般論として任意の情報システムで必要であるが、近年暗号を中⼼としてデータ分析と密接に関連した技術の開発が進んでいるので、その動向を紹介する

💰💛価値

データ

サービス付加価値

事業者

👦個⼈

本日お話しすること1. データ取得時のプライバシー保護2. データ流通時のプライバシー保護3. データ品質の確保4. セキュリティ

•２.データ流通と４.セキュリティを中⼼に説明•３.１.も簡潔に触れる

データ流通時のプライバシー保護

+セキュリティ

データ流通時のプライバシー保護「匿名化アプローチ」x「情報銀⾏アプローチ」

+「セキュリティ」

内閣官房IT総合戦略室資料より

個⼈情報保護委員会資料より

+「セキュリティ」

「匿名化アプローチ」「情報銀行アプローチ」「セキュリティ」の図

🏢事業者

👦個⼈

🏢外部事業者

データ

匿名化データ

「匿名化アプローチ」

🏢👦事業者

個⼈

データ

データ🏢外部事業者「情報銀行アプローチ」

事業者が⾒えるのは「匿名化」データ

事業者が⾒えるのは個⼈（PDS）

PersonalDataStore

※正確には事業者とPDSの間に「情報銀⾏」があるものを情報銀⾏という

事業者

👦個⼈「セキュリティ」

事業者はできるだけ個⼈情報を⾒ない 🏢 データ🔒

「匿名化アプローチ」「情報銀行アプローチ」「セキュリティ」の概要

• 匿名化アプローチ• データを個⼈との関係を減じさせるよう加⼯するデータ処理アプローチ

• データが安全に加⼯されていることを善しとする• 情報銀⾏アプローチ

• データを本⼈に戻し本⼈関与の下で流通させるアーキテクチャアプローチ

• データに本⼈が関与できていることを善しとする• セキュリティ

• データは安全に管理し（暗号化し）必要時以外は⾒ない

※ データ流通時のプライバシー保護はこの３アプローチで考えるのがわかりやすい※ 匿名化・情報銀⾏はわが国でよく知られた名称なので⽤いたが、厳密にはこれらが包含する概念を代表させる意味合いで使っている

「匿名化アプローチ」「情報銀行アプローチ」「セキュリティ」

•匿名化アプローチ• データを個⼈との関係を減じさせるよう加⼯するデータ処理アプローチ

• データが安全に加⼯されていることを善しとする•情報銀⾏アプローチ

• データを本⼈に戻し本⼈関与の下で流通させるアーキテクチャアプローチ

• データに本⼈が関与できていることを善しとする•セキュリティ

• データは安全に管理し（暗号化し）必要時以外は⾒ない

匿名化アプローチ•データ流通時に、ある事業者がデータ活⽤を希望する事業者に対し、データを「安全に」加⼯してデータを提供する•「安全に加⼯」：

• データと個⼈の関係を減じる（個⼈がわからないようにする）

• ≒元の個⼈がプライバシーの⼼配をしなくていいようにする• 受け取る側も⼼配しなくていいようにする

• 「安全に」のグレードは各種あり、世界中に公開してもよいレベルから、場合によっては個⼈識別の可能性が否定できないものまである• 「匿名加⼯情報」は後者の⼀例

•アウトプット・プライバシーと呼ぶことがある

安全に加工のグレード

元データ 匿名化データ

統計データ

このデータだけで個⼈識別が可能

個⼈ごとのデータを表現するが、このデータだけでは個⼈識別できない

同じ要素を持つ複数⼈のデータを集計したもの

匿名化データの例１•仮名データ：

• 個⼈データから⽒名等、直接個⼈識別ができる項⽬を取り除いたもの

• 仮名化をもって「個⼈情報でない」と主張することは⼀般にできない• 住所と年齢と性別が残っていれば、参照データ（名簿）を持って来れば個⼈識別ができる

氏名 性別 年齢 住所 購入品

男 36 東京都中央区 ガム

男 22 東京都港区 ⽔

氏名 性別 年齢 住所

Ａ⽥ 男 22 東京都港区

Ｂ⼭ 男 45 東京都豊島区

仮名データ 参照データ（名簿）

マッチング

匿名化データの例２•匿名加⼯情報：

• 個⼈データを法定基準に基づき「個⼈が識別できないように」加⼯したもの

55 5 9

�%ID �HIB! =" �1 /R 0� J�$ J�MO

U15741 14142135 ●7 �* EPC�:K4#8G1005 40 ) ?5� 128,547�

U75502 17320508 ○6 ×( �FC�F.D>��11-1-1 28 ) 2N< 31,856�

U35273 22360679 □- �� 9�L3,8�1215 29 A ���� 28,122�

U95034 24494949 ●@ �D 9�L�Q.912-3-2 42 ) +'���;& 12,315,669�

��� ��� ��� ��� �� �� ��� ���

�%ID �HIB! =" �1 /R 0� J�$ J�MO

bad86 �N �N EPC�:K 40� ) ?5� 128,547�

2b085 �N �N �FC�F. 20� ) 2N< 31,856�

ae7cb �N �N 9�L3,8 20� A ���� 28,122�

f8e81 �N �N 9�L�Q. 40� ) *** ***�

��� ��� ��� ��� �� �� ��� ���

5 1

21

43

5 91 5

5

5

5

59

4

5

匿名化データの例３• k-匿名化：

• 保護対象属性を定め、その属性を使って⼀定⼈数（k値）未満に絞り込めないようにしたもの

• 技術的に「匿名性」を主張できる代表的なもの

3

3

4

k-����k=3��������

:):(

:):)

��3 0�# �� �L A@�

1001100210031004100510061007100810091010

1979.04.011986.12.101974.10.101991.05.052006.11.101990.02.062003.08.152000.09.301983.01.011994.07.07

&�D���A16��4(+�A1&�D-?�B16��4H��B1�/4�B�A16��4�$�C1�/4,��B1�/4���C1&�D:K�C1�/4�E�D1

342638226239123018

^fMUaM�;M…G7M��M.2M…UaMRSYMZcWM…"8M�;MJ*M�5M…9�MNPMRSYM…!�=MFC'�MTbdM…\XM_YM]f`gM…<OQMUaM�;M…WgdM��MI>M…UaM)M[efVM…

��3 0�# �� �L A@�

100110031009

1979.04.011974.10.101983.01.01

&�D&�D&�D

30�30�30�

^fMUaM�;M…UaMRSYMZcWM…WgdM��MI>M…

100210041006

1986.12.101991.05.051990.02.06

6��46��46��4

20�20�20�

G7M��M.2M…"8M�;MJ*M�5M…!�=MFC'�MTbdM…

1005100710081010

2006.11.102003.08.152000.09.301994.07.07

�/4�/4�/4�/4

%��%��%��%��

9�MNPMRSYM…\XM_YM]f`gM…<OQMUaM�;M…UaM)M[efVM…

�������� ����� ��� ��������������

32

匿名化データの例４•「⼗分な匿名化」：

• 全ての属性に対して k-匿名性が達成されている• 総務省「位置情報プライバシーレポート」で導⼊された概念で、技術⽤語として流通しているものではない

匿名化データのグレード

元データ 匿名化データ

統計データ

1.仮名化データ2.匿名加⼯情報

3.k-匿名化4.⼗分な匿名化

統計データの例•東京都の平均年収：6,155,600円•東京都武蔵野市の：7,215,600円•東京都武蔵野市緑町の：7,356,300円•東京都武蔵野市緑町3丁⽬：8,560,100円誰かお⾦持ちがいるのがわかる↑

•東京都武蔵野市緑町3-9-11：1,510,000円もはや統計とは呼べない↑

※ 数値は架空、詳細住所は存在するが住⼈はいないのでご安⼼ください

統計開示制御• SDC:StatisticalDisclosureControl•統計データから、個⼈（や組織）が含まれていることがわからないようにする• 個⼈識別、属性暴露

•統計データの⺟集団が不特定多数であれば、上記は起こらない、が基本的な考え• しかし前ページのようなことは起こりうる

•開⽰制御⽅法の例• 例１）⺟集団の選び⽅に偏りがなく、統計データの値（各セル）に関連する構成⼈数が⼗分に⼤きいことを確認する

• 例２）開⽰する統計データを実際とは違った値とする（データノイズを乗せる）

差分プライバシー•差分プライバシー：統計データにある個⼈が含まれているかどうかわからないようにする• 統計データにノイズを付加し、上記が達成されていることを評価できる⼿法

注⽬のフライハシーDifferentialPrivacyコンヒュータソフトウェア,Vol.29,No.4(2012)より

プライバシー保護技術関連のサーベイ論文・書籍

• 広いサーベイ/Mendes,R.,Vilela,J.P.:Privacy-preservingdatamining:methods,metrics,andapplications.IEEEAccess,5,pp.10562-10582(2017)

• マイニング /Privacy-PreservingDataMiningModelsandAlgorithms(AggarwalC.C.,YuP.S.),AdvancesinDatabaseSystems,vol 34.Springer(2008)

• 評価指標 /Fletcher,S.,Islam,M.Z.:Measuringinformationqualityforprivacypreservingdatamining,Int.J.Comput.TheoryEng.,vol.7,no.1,pp.21-28(2015)

• PPDP/Xu,Y.,Ma,T.,Tang,M.,Tian,W.:ASurveyofPrivacyPreservingDataPublishingUsingGeneralizationandSuppression,AppliedMathematics&InformationSciences,Vol.8,No.3(2014)

• 秘密計算 /SecureMultipartyComputationandSecretSharing(Cramer,R.,Damgrd,I.B.),CambridgeUniversityPress(2015)

• SDC/Hundepool,A.,Domingo-Ferrer,J.,Franconi,L.,Giessing,S.,Nordholt,E.S.,Spicer,K.,DeWolf,P.P:StatisticalDisclosureControl,JohnWiley&Sons(2012)

• 情報処理特集：安全なデータ活⽤を実現する秘密計算技術;情報処理学会,Vol.59No.10(2018)

• 電⼦情報通信学会⼩特集：個⼈データの活⽤とプライバシー保護;電⼦情報通信学会,Vol.98No.3(2015)

• 情報処理特集：パーソナルデータの利活⽤における技術および各国法制度の動向;情報処理学会,Vol.55No.12(2014)

• 情報処理特集：プライバシーを守ったITサービスの提供技術：情報処理学会,Vol.54No.11(2013)

• システム制御情報学会誌特集：プライバシー保護データマイニング;システム／制御／情報 第63巻第2号 (2019)

「匿名化アプローチ」「情報銀行アプローチ」「セキュリティ」

•匿名化アプローチ• データを個⼈との関係を減じさせるよう加⼯するデータ処理アプローチ

• データが安全に加⼯されていることを善しとする•情報銀⾏アプローチ

• データを本⼈に戻し本⼈関与の下で流通させるアーキテクチャアプローチ

• データに本⼈が関与できていることを善しとする•セキュリティ

• データは安全に管理し（暗号化し）必要時以外は⾒ない

情報銀行アプローチ• データを本⼈に戻し本⼈関与の下で流通させることで事業者は個⼈本⼈と直接やり取りできる• ⾃社の事業に活かし、直接付加価値を還元• 情報提供の細かい選択肢の提⽰（プライバシー保護も含む）

• データ流通時のプライバシー保護に対する、うまい制度的解決と⾒ることが可能

※厳密には「PDSアプローチ」もしくは「個⼈中⼼アプローチ」などと呼ぶのがより技術的に正確です

!"���

�

���

���!����

PersonalDataStore

情報銀行アプローチ(続)•そもそもの情報銀⾏は事業者と複数の個⼈の間に「情報銀⾏」機構を設けデータを束ねることにより、いくつかのメリットを享受（右図）• データの価値の向上• データのプライバシーの確保（アウトプットプライバシーは（束ねた）データに隠す）

!���

����

!�

���

���"����

!�

���

���

����"

!"���

�

���

���!����

「匿名化アプローチ」「情報銀行アプローチ」「セキュリティ」

•匿名化アプローチ• データを個⼈との関係を減じさせるよう加⼯するデータ処理アプローチ

• データが安全に加⼯されていることを善しとする•情報銀⾏アプローチ

• データを本⼈に戻し本⼈関与の下で流通させるアーキテクチャアプローチ

• データに本⼈が関与できていることを善しとする•セキュリティ

• データは安全に管理し（暗号化し）必要時以外は⾒ない

セキュリティ•セキュリティとはいわゆるデータのCIAを確保することである• CIA:機密性、完全性、可⽤性• 攻撃者にデータを使われないようにするためなので、当然データ利活⽤も制限してしまう可能性がある

暗号とデータ分析•暗号はセキュリティの技術担保を代表する•従来の暗号はデータ分析には向かず、データの送信ならびに保存のセキュリティの担保に⽤いられていた• 暗号を復号してデータ分析

• 21世紀になり、暗号⾃体の機能でデータ分析を⾏うことが現実的になった•その代表に完全準同型暗号、関数型暗号、秘密分散がある•データ分析を暗号の機構で⾏うものを秘密計算という

暗号とデータ分析 (続)•完全準同型暗号 (FullyHomomorphicEncryption)

• データを暗号化したまま任意の計算ができる• 秘密計算

• Enc (x),Enc (y)→ Enc (x+y)• 暗号データから暗号データを⾜した結果の暗号データを得る

• Enc (x1),Enc (x2)→ Enc (f(x1,x2))• 暗号データから暗号データの計算結果の暗号データを得る

•関数型暗号 (FunctionalEncryption)• 暗号化したデータに任意の判定を⾏い、その結果に基づき復号できる• 「データがある値以下の場合のみ復号する」

秘密計算•データを暗号化したまま計算できる技術(SecureComputation)

データ 計算結果

暗号化 結果だけを復号暗号化

したまま計算

秘密計算システム

暗号化したまま⾏える範囲

⼀般的な暗号 データの通信・保存 −秘密計算 データの通信・保存 データの計算

秘密計算の利点•計算結果以外は誰にも⾒えないデータ運⽤

• ⼤切なために流通できなかったデータの新しい統合分析が可能に

計算結果

暗号化したまま

計算秘密計算システム

Ａ社のデータ

Ｂ社のデータ

Ｃ社のデータ

個⼈情報、営業秘密…

システム側にデータが漏れない

A社B社C社間で互いにデータが開⽰されない

結果だけ⾒ることができる

秘密分散をベースにしたマルチパーティ計算(Secret Sharing and Secure Multi-Party Computation)

暗号化の仕組みとして秘密分散を採⽤：データを複数の「シェア」と呼ばれる断⽚に分割し、機密性を守る技術1. 個々のシェアからは情報が漏れない2. 幾つかのシェアが消失してもデータを復元できる

マルチパーティ計算：1. 複数のサーバが予め定められた⼿順に従って

データの演算と交換を⾏う2. データは常に秘密分散のシェアの状態で扱われる

暗号／秘密計算と Data Minimization•データプライバシー⽂脈のセキュリティにはデータの機密性、完全性、可⽤性だけでなく、データの最⼩化（DataMinimization）という考え⽅がある• データ処理に必要な時のみデータにアクセスする• ISO/IEC29100:2011Privacyframework

•秘密計算は DataMinimizationに貢献することができる

関連標準 ISO/IEC JTC1周辺• プライバシーフレームワーク

• ISO/IEC29100:2011Informationtechnology-- Securitytechniques-- Privacyframework

• ISO/IEC29101:2018Informationtechnology-- Securitytechniques-- Privacyarchitectureframework

• 匿名化関連• ISO/IEC20889:2018Privacyenhancingdatade-identificationterminologyand

classificationoftechniques• IDベース暗号（関数型暗号の前⾝）

• ISO/IEC18033-5:2015Informationtechnology-- Securitytechniques--Encryptionalgorithms-- Part5:Identity-basedciphers

• 準同型暗号• ISO/IEC18033-6:2019- Informationtechnologysecuritytechniques–

Encryptionalgorithms– Part6:Homomorphicencryption• 秘密分散（秘密計算のための）

• ISO/IEC19592-1:2016Informationtechnology– Securitytechniques– Secretsharing– Part1:General

• ISO/IEC19592-2:2017Informationtechnology– Securitytechniques– Secretsharing– Part2:Fundamentalmechanisms

参考プライバシー原則 ISO/IEC 29100:2011

1. 同意と選択 ConsentandChoice2. ⽬的の正当性と明確化 Purposelegitimacyandspecification3. 収集の制限 Collectionlimitation4. データ最⼩化 Dataminimization5. 利⽤、保管、公開の制限 Use,retentionanddisclosure

limitation6. 精度と品質 Accuracyandquality7. 公開性、透明性と通知 Openness,transparencyandand

notice8. 個⼈参加とアクセス Individualparticipationandaccess9. 説明責任 Accountability10. 情報セキュリティ Informationsecurity11. プライバシー・コンプライアンス PrivacyCompliance

ISO/IEC29100:2011Privacyframework（⽇本語訳）総務省「パーソナルデータの利⽤・流通に関する研究会報告書」

参考GDPRREGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)

定義 [GDPR Article 4. Definitions]• processing (O�):operationwhichisperformed onpersonaldata(?V&�%��9vWA)• collection (JM),recording(6�),organisation (rM),structuring(@_.),storage(sb),adaptationoralteration(LZ���3q),retrieval (<C),consultation(DR),use(~{),disclosurebytransmission(h^���4E),disseminationorotherwisemakingavailable (Ke),alignmentorcombination(Y����;B),restriction (X>),erasureordestruction(Q8���k2)

• restrictionofprocessing (O��X>):• P}���O��>f������?V&�%�z-���

• profiling ((*'� )+"):• F[V���`y�n0�����?V&�%�FigO�

• pseudonymisation (/x.):• additional (o1g�)St�~{� ��jf�&�%Hc�a�����������?V&�%�O�

• o1g�Stp��������jf�&�%Hc�a����������7Ng\Tg�Id�m|���

• personaldatabreach(?V&�%U5):• :lg���,u�destruction(k2),loss(]G),alteration (3q),unauthorised

disclosureoraccess (w=>�4E����!$#)

データ主体の権利 [GDPR Article 12-22. Rights of the data subject]• H12C1X>�OUE(���BQL6�3S)• H13-14C1X>�BQL6(��1XBQ)• H15C� #"�9W (&�$�VT�&�$�����1XBQ)• H16CMF�9W• H17C@5�9W��R����9W��• H18C?XD:� �9W• H19C1X>�JI(MF�@5�D:)• H20C&�$*�$'+%��9W• H21C;7?X��/4�9W(;7�W0�1X>�FN�W0����?X�G��)

• H22C=P.<8KGA����9W(),(��+-!�2�)

個人データ処理の基本原則[GDPR Article 5. Principles relating to processing of personal data]1.Md-�+����

a. lawfulness,fairnessandtransparency(x�f�NgfB�{�f):Md-�+��x��Ng�{��^�#�#�� ���

b. purposelimitation(�w�Lu):Md-�+��w$Lu��Z[#�#�� �������NF��4�69wKC��RwKC��w��zI��w����^��y_��w�xP���������#���

c. dataminimisation (-�+�Q`5):Md-�+��^���w�������p���\��=�f��!Luw��#�� ���

d. accuracy(g8f):Md-�+��g8�����#�Qc��#�� ����g8�-�+�sq��aD���vg#"'everyreasonablestep'�O� #�#�� ���

e. storagelimitation(@��m�eL):Md-�+��^���w����><$t��-�+Xo�U�$E� "HT�2S$#������

f. integrityandconfidentiality(:jfB�?�f):Md-�+��xi�*)/0,&$8���^�#�#������JL�3��^��G~w�lV}7n7�p��A]wkbw�Yr�����

2.;�W����• accountability(%('1+.0,&):;�W� (a)-(f)�h|��"�

処理のセキュリティ[GDPR Article 32. Security of processing]• <3221G������

• ?8�)0>:3>/=��� ��.;� • +5���"E!� ,!• 1G����(D6�'96�$F6*�%C6• ������A7-+5�������• )0>:3>/=�����������B#

• @+5���4&�����������

GDPR条⽂より抜粋⽇本語訳は個⼈情報保護委員会の⽇本語仮訳を参考に筆者が作成

データ流通時のプライバシー保護• 匿名化アプローチはⅣで、情報銀⾏アプローチはⅡで実績を積んできたところ• 両者は理屈上は組み合わせ可能で、暗号技術等の貢献で⾃由な組み合わせ制御ができることが望ましい• 全てⅠを⽬指す必要があるわけではない

��������

�������

��������

������

��

� �

データ品質の確保およびデータ取得時のプライバシー保護

データ品質の確保データの正しさ、データの互換性、入手容易性

•データの正しさ•データが様々な経路で流通しだすと正しさが問題に• よくない例）誤ったデータでの意思決定

•⼀般にデータのトレーサビリティがあり、完全性が担保できれば良さそう• ブロックチェーンで実装されたセキュリティ技術が活躍

•他⽅、事業者にとって他の事業者経由データや個⼈管理のデータを、どれを/どれだけ/どのような根拠で信⽤するかは考え所

データ品質の確保データの正しさ、データの互換性、入手容易性

•データの互換性・⼊⼿容易性•フォーマットやプロトコルを標準化しておくのが基本•新しく（IoT等で）集めだすデータは標準に乗るメリットが⼤きく、他⽅既にあるビッグデータの活⽤はここがネック• セキュリティ機構を⼊れようとするとなおさら⼤変

※データ品質の確保に関するJTC1の動向や考え⽅は、本⽇ご⽰唆いただけることを願っています

データ取得時のプライバシー保護• PIA：プライバシー影響評価

• PIAは広範な概念ですが、ここではリスク情報に関して簡単な説明する

•個⼈情報を取り扱う施策の実施にあたって、実施元が実施の可否を判断するためのリスク情報を、事前に分析・提⽰すること• 事前に⾏わないと意味がない

•リスク情報• 法制度への適合性• ⾵評（何となく気持ち悪いと思われてしまう）• リスク対応のコスト

PIAで検討する項目の例データの利⽤⽬的 利⽤⽬的は特定されているか

適切な⽬的であるかデータの性質 データの⼊⼿経緯あるいは意図

いつ/どこで/誰が/どのように/なんのためデータの量（⼈数）・項⽬は何か本当に必要なデータか

第三者への提供 第三者への提供を⾏うのか⾏う場合、どのようなスキームか

本⼈同意・委託・共同利⽤・匿名加⼯・統計・・・公表 結果を公表する場合の⽅法の妥当性

＃公表の⽅法を誤ると、プライバシーに配慮したことが伝わらないことがある

その他 問い合わせ窓⼝セキュリティの確保個⼈情報保護法以外の法令遵守企業倫理

まとめ•データ流通時のプライバシー保護

• 匿名化アプローチ、情報銀⾏アプローチ•セキュリティ

• 暗号とデータ分析•データ品質の確保

• データの正しさ、データの互換性、⼊⼿容易性•データ取得時のプライバシー保護

• PIA