博士の資料より

皆の未来に役立つ空間情報科学を求め、
博士たちは6人の研究者に会いにいきました。

File.03 個人の情報を守る技術

モハヤ誰ノ情報カ「ワカラヌ」

私が開発しているのは、個人のプライバシー情報を保護する装置「ワカラヌ」。現在、アナグラで得られる人の位置情報を、安全に利用するための方法を検討している。そんな時、国のプロジェクトで位置情報の匿名化を研究している人たちがいると聞き、早速、詳しい話を聞きに行った。

2011年某日 神奈川県内某所にて

位置情報から見えてくるもの
博士
先生方は、「情報大航海プロジェクト」(*注)で、利用者の位置情報をさまざまな日常シーンで役立てる新たなサービスの実証実験を行われたとお聞きします。位置情報はどのように役立つとお考えでしょう。多くの人の情報が集まることで、何が分かるのでしょう?
小林
私達は、経済産業省の「情報大航海プロジェクト」において、利用者の位置情報について、プライバシーに配慮した安全な活用手法を開発して、実証実験によりサービスの有効性を検証しました。最近の携帯電話は、位置情報を取得できるものが一般的になっています。GPS機能搭載型はもちろん搭載していない携帯電話でも、どの基地局エリアに属するかで、大まかな位置を知ることができます。実証実験ではそうした情報を個々人ではなく統計的に知ることで、エリアごとに人々がどのように移動し、滞留しているのかが分かりました。利用者のプライバシーに触れる位置情報は要りません。
このようなマクロな移動情報は、例えば、人々が滞留せずスムーズに避難できる安全な都市設計に活かすことができます。また災害時に、どのように避難・誘導し、救援するかの元情報として活用できます。
博士
なるほど。防災や安心安全な町づくりに役立ちそうだ。
小林
さらに、日常の生活の中でも有効に活用できます。利用者の位置情報や携帯電話でのWebアクセス情報には、行動エリアや生活パターン、よく行くお店などの情報が含まれています。当然プライバシーに触れる情報もあるわけですが、後で述べる安全な利用の仕組みを考案して、プライバシーを守りながら位置情報を価値の高いサービスに役立てる方法を試みました。この実験では、参加者の同意を得てGPSの位置情報をお預かりし、行動パターンや嗜好を分析して最適な情報を提供しました。例えば、甘いものが好きと登録した人が自由が丘駅に降り立ったら、「○○スイーツからのお知らせ」が届きます。利用者の普段の行動パターンと、今いる場所によって、これから向かいそうな方向などを推測できます。位置情報を連続的にトレースすることで、よく滞留する場所はその方にとって意味のある場所であり、その場所から次にどこに行く可能性が高いのか、などの情報が見えてくるのです。
*注
情報大航海プロジェクト/次世代の検索技術や解析技術を開発し、関連する制度の枠組み検討を目的とした国家プロジェクト。産官学が参加して、平成19年度より3年間行われた。
プライバシー情報を守る
博士
実証実験で位置情報のプライバシーに配慮されたのはどのあたりでしょうか?
小林
利用者にとって自分の住所や勤務地などの情報は、必要が無ければ非公開にしたい情報だと思います。またどこに行くか教えることによって、レストランや買い物情報を知りたい場合と、逆にあまりトレースされたくない場合もあるでしょう。利用者によってその情報のプライバシー性を高く感じたりする場合もあるかと思います。
博士
では、どうやって守ったらいいのでしょう?
小林
実証実験で取り組んだのは、例えば、利用者がレストラン案内のサービスを受ける場合、自身の位置情報をどの程度こまかく出すかを選択できる仕組みです。現在いる場所の情報を教えたくない場合は、自分の位置情報を粗く表現してサービスに伝えると、どこに居るか特定されにくくなります。その代わり徒歩圏外のお店や、普段の動線から外れたお店が推薦される可能性が出てきます。逆にピンポイントの位置を教えれば、すぐ近くのお店が紹介されるわけです。
博士
情報の開示と得られるサービスは、トレードオフなんですね。
小林
そこで実証実験の中で、「段階的オプトイン」という仕組みを開発しました。これを使うと、自分の情報をいつ・どこで・どの程度開示するか、本人が決めることができます。例えば、繁華街にいる間は濃密な情報が欲しいから最大レベルの開示にして、そこから出てしまったら最低レベルに、と選択できるのです。実験参加者はレベルを上げ下げしながら、丁度良いバランスを探していましたね。あたかも利用者が、自らの行動状況に合わせて、周辺情報を探索する「情報レーダー」の精度を上げ下げするようなイメージ、と考えていただくといいでしょう。
本人が推定されないための工夫
博士
開示レベルの上げ下げとは、具体的にどんなことをしているのでしょうか?
佐治
実証実験では、個人のさまざまな情報をプラットフォーム事業者にいったん預けて、そこからサービス事業者に渡す形態を想定しました。プラットフォーム事業者がサービス事業者に情報を渡す際には、渡す情報の種類や渡す相手に応じて、情報を適切に加工できることが必要です。開示レベルを下げるには、本人やその特徴が推定されないように加工して出す方法があります。その際、個別性のある情報をぼやかしてより一般的なデータに変換したり、関連する情報を分離して渡すなどの方法がとられるのですが、これがまさに「匿名性」を高める技術なのです。

fig.01 位置情報のセキュアな流通システムの考え方
博士
匿名性を高める方法を、もう少し具体的に教えていただけますか。
佐治
年齢が明記されている会員リストがあるとします。例えば、そこに24歳の人が1人しかいなければ、ある24歳の知人がその会員だと分かった瞬間に、その人が特定されてしまいますよね。でもリストの記載を10歳区切りにして、20代が3人、としか見えなくなれば、3人のうち誰なのか分からなくなります。このように、同じような属性の人がk人以上いる状態を、「k-匿名性」を満たすといい、そのようにデータを加工することを「k-匿名化」とよんでいます。この場合は、3-匿名性が満たされるように匿名化処理が行われたということです。
博士
では位置情報の場合は、どう考えればいいのでしょうか?
佐治
いくつかやり方があります。例えば、位置が住所で表されている場合には、町丁目の○○町までを残して丁目を消すことで、他の人が含まれる範囲まで広げることができます。実証実験では位置情報を緯度経度で表していたので、その位置を含むエリアを徐々に大きくしていきました。エリアが大きくなるにつれて、多くの人が含まれるようになりますので、匿名性が高まります。実際には円ではなく、地図上のグリッド(四角い格子)に沿って規則的に広げていきました。

fig.02 位置情報のk - 匿名化
属性が推定されないための工夫
博士
そうやってリスクをコントロールできるなら安心ですね。
佐治
ただし、それだけではまだ十分とはいえないんですね。例えば、リスト上で先の3人とも、最寄り駅が目黒なら、本人は特定できなくても、少なくも目黒に住んでいることは分かってしまいますよね。これは、最寄り駅という属性にバリエーション(多様性)がないことから生じます。そこで考案されたのが属性にl(エル)種類以上の多様性があるかの指標「l-多様性」です。ある属性がl-多様性を満たすようにデータを加工することを、「l-多様化」とよんでいます。
博士
多様性の問題を位置情報で考えるとどうなりますか?
佐治
位置情報が最寄り駅だけなら、最寄り駅のl-多様化をすれば済むのですが、例えば、自宅、勤務地、「よく行く場所」のように複数の位置情報を含むデータセットがある場合には話が難しくなります。「よく行く場所」を隠したいとします。自宅と勤務地のエリアに自分1人の情報しかなければ、自ずと第3の場所も特定されてしまいます。そこで、同じ自宅エリア、かつ同じ勤務地エリアの人が2人いるところまでエリアを広げれば、「よく行く場所」に多様性が生まれます。その場所を知られるリスクが半分に減りますよね。もちろん、そのもう1人の人も「よく行く場所」が同じだったりするとダメなんですけどね。

fig.03 位置情報のl - 多様化
博士
なるほど。では、kやlの数値は増えれば増えるほどいいのでしょうか?
佐治
もちろん安全性が高まるという点ではいいのですが、精度が下がりますから、情報の質が落ちていきます。これはバランスの問題ですね。適正値の指標はなく、ケースバイケースで決める部分です。ですから実験で検証することが大事になるわけです。
プライバシー情報は増えてゆく
博士
位置情報以外にも、守るべき情報は増えていくのでしょうか?
佐治
間違いなく増えていくでしょうね。そうした情報は単独でも使えますが、組み合わせることで、また違ったものが見えてきます。例えば、単体の購買記録がカード履歴になると趣味や嗜好が見えてくる、つまりプライバシー性が高くなります。同様に、単体の位置情報よりも履歴から動線にした情報の方が、プライバシー性が高い。さらにやっかいなのは、複数の情報源から異なる種類の情報、例えば購買履歴とWebの閲覧履歴など、を突き合わせることで、より機微な趣味・嗜好が見えてくる可能性があるのです。

fig.04 プライバシー情報の活用と保護の考え方
博士
今後必要になってくるものはなんでしょうか?
小林
情報大航海プロジェクトでは、個人の持っているさまざまな情報を自分自身でコントロールする仕組みの重要性が議論されました。ただし利用者自身で全ての情報を管理することは現実的に困難だと思われます。
佐治
利用者から見て、どのサービス事業者にどこまでの情報を提供しているのかを少しでもコントロールしやすくするためにも、たとえば、信用できるプラットフォーム事業者に情報をいったん預けて、サービスに入る時には必要な情報のみをサービス事業者に開示する、そんな仕組みづくりが大切になります。そして、今後は、プラットフォーム事業者やサービス事業者の信用度を客観的に評価する、第三者の格付け機関のようなものも必要になってくるでしょう。
博士
そのような仕組みがないと、どうしようもないですね。「ワカラヌ」の進むべき道が見えてきました。
位置情報のセキュアな流通システムの考え方 位置情報のセキュアな流通システムの考え方

利用者は、渡す情報がどの程度守るべき情報か(プライバシーレベル)、渡す先のサービス事業者にどの程度信頼が置けるか(信頼レベル)の2軸で、自らの情報開示のレベルを選ぶことができる。さらに3段階の強度で匿名化処理を選ぶことができ、情報を預かったプラットフォーム事業者は、必要に応じて情報を匿名化し、3段階のいずれかの形式の情報をサービス事業者に渡す。(上図の場合は、匿名性高の情報を渡すイメージ)

位置情報のK - 匿名化 位置情報のk - 匿名化

位置情報を複数人(図中では3人)が含まれるエリアまで広げ、ぼやかすことで、利用者の位置が特定されないようにする

位置情報のI - 多様化 位置情報のl - 多様化

位置情報をぼやかして他の人の情報を混合させることで、位置情報のデータセットのパターンを多様化する。これにより、自宅と勤務地を知っている人が、利用者が知られたくない場所(図中では「よく行く場所」)を特定されないようにする

プライバシー情報の活用と保護の考え方 プライバシー情報の活用と保護の考え方

単体よりも履歴化した情報の方が、多くのことが見えてくるため、利用価値が高い。またプライバシー性も高い情報となる

小林功
小林 功(こばやし いさお) 1958年生まれ。83年神戸大学理学部修士課程修了。2001年より株式会社NTTドコモの法人ビジネスに従事。現在、NTTドコモ法人事業部ソリューションビジネス部に所属。モバイルソリューション設計開発を担当。ユーザーの日常生活のコンテキストや行動に寄り添う次世代型モバイルサービスのためのシステム開発や、位置情報のプライバシー性や匿名性に関する研究開発等を行う。主な研究プロジェクトに、「ネットワーク統合制御システム標準化等推進事業」(2010年/総務省)、情報大航海プロジェクト(2007-09年/経済産業省)等。
佐治信之
佐治 信之(さじ のぶゆき) 1957年生まれ。82年東京工業大学理工学研究科情報科学専攻修士課程修了。同年日本電気株式会社入社、プロジェクトマネージャー、開発部長等を経て、現在公共・医療ソリューション開発本部統括マネージャー。プログラミング言語処理系、分散オブジェクトミドルウェア、Eコマースサイト、ビジネスグリッドコンピューティング、情報大航海プロジェクト、ソフトウェアファクトリ等の開発に従事。他に、高信頼Webサービス通信技術の標準化や分散ミドルウェアの相互接続実証実験・普及推進活動等。
▲ページトップ
トップに戻る