【ゼロ知識証明入門】第1章情報化社会とプライバシー

更新日: 2021/06/11
公開日: 2021/04/15

通知

　「ゼロ知識証明」とは、ある人が特定の事柄を証明したいときに、機密情報を明かさずに証明する技術の総称。次世代のプライバシー強化技術として注目されている技術である。その概要と国内での取り組みを紹介する初めての書籍『ゼロ知識証明入門』（翔泳社）が、デロイトトーマツのコンサルタントによる書き下ろしで出版された。本連載は、本書の内容を一部抜粋で連続で紹介する。今回は第一回目で、情報セキュリティのために必要なプライバシー強化技術の全体像を解説する。

通知

1-1 データ活用の可能性とリスク

　デジタル化の進展により、個人の行動の多くが電子情報として記録・保存されている。消費者が保有するコンピュータ、スマートフォンから何を閲覧したかがWebブラウザ等に記録され、どこにいたかの位置情報がスマートフォン内に記録されるとともに、何を買ったかの情報がショッピングサイトを運営している会社内のデータベースに保管される。これはほんの一部に過ぎず、他にも様々な情報が記録・保存されている。個人に関する情報が多く保存されるようになったことから、企業はそれらの情報を利用して、各ユーザーに最適化されたサービスを提供することで、より多くの消費行動を促し、より多くの収益を上げることができるようになった。個人情報の利用によるサービスの最適化には、次のような例がある。

映画を定額で見られるサービスを運営しているある会社は、同じ映画でもユーザーによって表示する広告を変えている。過去に恋愛映画を多く観ているユーザーに対しては恋愛シーンを切り取った広告を表示し、アクション映画を多く観ているユーザーには同じ映画のアクションシーンの広告を表示する。
あるSNS会社は企業からの広告を収益源にしている。広告主は専用の管理画面から年齢、性別、仕事内容、学歴などをもとに自分の広告を届ける対象アカウントを設定できる。
ある会社のWebサイトで欲しいものを検索すると、その人の年齢、性別、位置情報、過去の閲覧履歴などにより、その人に最適化されたものが勧められる。

　これらは個人情報の利用によりユーザーにより高い価値をもたらしている例である。それはユーザーにとっても企業にとっても価値があることである。
では、次の事例についてはどう感じるだろうか。

ある企業はスマートフォンの予測変換のアルゴリズムを改善するために、ユーザーがキーボードで入力した情報を企業のサーバに送らせているが、その中にはユーザーがWebサイトなどに入力したID、メールアドレス、パスワードなどの情報も含まれていた。
ある企業が利用客の信用力を調査するために個人情報を収集していたとこ
ろ、社内の者によってその情報が不正に外部に持ち出された。
ある企業はユーザーが自社Webサイトへログインするときに使用するID、パスワード情報をセキュリティが弱い方法で管理し、不正アクセスを受けてそれらが流出した。

　これらは、世間的には批判を浴びることがある事例である。個人情報漏えいの結果として、顧客から訴えられ、損害賠償請求が認められたことをニュースで耳にしたことがある人も多いだろう。

　NPO日本ネットワークセキュリティ協会の調査によれば、2018年1月1日から12月31日にかけて、約561万人分の個人情報が漏えいし、これに関する想定損害賠償総額は約2,684億円にのぼる（図表1-1）。

　個人情報の漏えいは、自分の情報が流出した個人に対して、それらの情報が悪用されることによる直接・間接の被害を与える一方で、企業に対しても、損害賠償金の支払いによる直接の負担や、ブランドイメージの毀損による営業上の損失という間接の負担をもたらす。企業は、顧客のために個人情報を保護することはもちろん、企業自身のためにも、個人情報を保護する必要性がある。

図表 1-1 2018年個人情報漏えいインシデント概要データ【速報】[クリックして拡大]

　個人情報の流出原因としては、不正アクセスに限らず、個人情報が記載されている書類の紛失、メールの誤送信や、従業員による不正な持ち出し・転売等の原因がある。これらへの対応策として、個人情報を保有することを前提として内部統制を強化することが考えられる。書類は可能な限り電子化して書類の紛失を防いだり、メール送信前に確認ポップアップを表示したり、書類の社外への持ち出しを厳しく制限したりするなどの対応がある。

　その一方で、そもそも必要以上の個人情報を持たないという対応策も、個人情報漏えいを防ぐために有効と考えられる。第4章で述べる所得証明の例では、デジタル署名とゼロ知識証明を活用することにより、氏名、生年月日、住所、所得等を記載した公的証明書そのものの提出を求める代わりに、公的証明書に対してその保有者が特定の演算を行った結果の提出を求めることで、その個人の所得が一定以上であることが証明できる。これにより、企業は必要以上に個人情報を受け取ることを回避しつつ、ビジネス目的を達成できる。

　このように、機微な情報を集めることなくデータ活用を可能にする技術として注目されているのが「ゼロ知識証明」を含むプライバシー強化技術である。プライバシー強化技術を活用することで、企業は不要なセンシティブ情報を受け取らずに機械学習やデータ分析を行うことができるため、個人情報漏えいによるビジネスリスクを回避することが可能になる。また、従来はプライバシー保護が課題となり機械学習やデータ分析が行えなかった領域に対しても、プライバシー強化技術を用いてプライバシーを保護したまま機械学習やデータ分析を行うことで、新たなビジネスを生み出すことが可能になっている。

次のページ
1-2 プライバシー強化技術

この記事は参考になりましたか？

印刷用を表示

関連リンク: 次世代プライバシー強化技術「ゼロ知識証明」、なぜ今注目されているのかをデロイトトーマツに訊く

ゼロ知識証明入門：連載一覧
翔泳社の本：『ゼロ知識証明入門』連載記事一覧: 【ゼロ知識証明入門】第6章ゼロ知識証明の現状と未来

【ゼロ知識証明入門】第4章ビジネスへの応用（後編）

【ゼロ知識証明入門】第4章ビジネスへの応用（前編）

もっと読む

この記事の著者: 清藤武暢（セイトウタケノブ）

有限責任監査法人トーマツリスクアドバイザリー事業本部
ファイナンシャルインダストリ―　マネジャー日本銀行にて新たな情報技術（暗号技術や機械学習等）に関する調査・研究業務に従事した後、有限責任監査法人トーマツ入社。金融サービスにおける暗号技術（秘匿計算やゼロ知識証明等）の利活用にかかる研究やアセット開発...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事; 岸純也（キシジュンヤ）

有限責任監査法人トーマツデロイトアナリティクス暗号技術や統計分析、機械学習等に関する研究開発に従事。
暗号技術・ブロックチェーンに関連したサービス開発や、暗号資産取引分析システムの開発、デリバティブの公正価値評価、定量的リスク評価に関する数理統計分析を行なった経験を有する。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事