こんにちは。
米Facebookから5,000人余りの個人情報が不正流出し、選挙コンサルティング会社に利用されていた問題でFacebookが窮地に立たされています。
この問題を受けて米電気自動車(EV)大手テスラと米宇宙ベンチャーのスペースXは2018年3月23日、Facebookの公式ページを削除しました。これは不正流出を問題としたユーザーからTwitterで要請されてのことです。
一方、米連邦取引委員会(FTC)は2018年3月26日、Facebookに対する調査に入ったことを公表。同日には全米37州の司法長官がFacebookに情報流出の経緯を説明するよう求めるなど、圧力が一段と強まっています。
個人情報の取扱いについては、今年は大きな動きがあります。それは欧州連合(EU)で2018年5月25日から施行される「GDPR」です。
今回は、GDPRが及ぼす影響と、GDPRで注目を集めるブロックチェーン技術について考えてみます。
GDPRとは?
GDPR(General Data Protection Regulation:一般データ保護規則)は、2018年5月25日にEUで施行される、個人情報の取り扱いやプライバシー保護を厳格化する法令のことです。その内容は
個人情報漏えい時に72時間以内の報告義務を課す。
法令違反時には2000万ユーロ、もしくは前会計年度の年間取引高の4%のうち高額な方を罰金として科す。
というとても厳しいものです。(2000万ユーロは、1ユーロ=130円で換算すると26億円です。)
「でも、EUなので関係ないんじゃない?」
と油断してはなりません。GDPRはEU域外の事業者へも適用されるのです。(EU圏外でもEU住民の個人情報を含むデータを利用している場合は適用対象)
例えば、EU居住者が「はてな」のサービスを利用して個人情報を登録している時に、「はてな」が管理する個人情報が流出してしまうようなことがあると、この法令の適用対象になってしまいます。
このGDRP、制裁金がとても大きいため、万が一違反してしまったらダメージは計り知れませんが、個人情報を取り扱うにあたっての規定が「絶対無理」に思えるほど厳しいともいわれています。
しかしGDRPに対応している企業はまだ少なく、 対策を怠って賠償金を支払うことになる日本企業も出てくるのではないかと懸念されています。
「EUに子会社、支店、営業所を有している企業」
「日本からEUに商品やサービスを提供している企業」
「EUから個人データの処理について委託を受けている企業」
などではとくに注意が必要です。
GDPRで加速するブロックチェーン技術
企業が個人情報・顧客リストを保持することは、これまでとても重要視されてきました。
昔ながらの顧客名簿・顧客の管理という使い方はもちろん、今日では、FacebookやGoogleなどのIT大手のように、ユーザー情報を大量に集めて蓄積し、これを基にアルゴリズムを改良してサービスを運営し、利益を上げている企業もあります。
しかし、GDPRが施行されることで、もし万が一個人情報を流出してしまった場合に「信用を失う」ことに加え「高額な罰金」というリスクも加わることになりました。
信用を失ったうえに高額な制裁金まで課せられては、企業規模によっては再生不可能なダメージを追ってしまう可能性があります。これからの時代、企業にとって「個人情報」を保持することは、活用によるメリット以上のリスク要因となる危険をはらんでいるのです。
GDPRに似た取り組みはシンガポールなども検討しており、今まだはEUだけですが将来的には他の国々も採用していく可能性があります。
このような中で、今、仮想通貨などで使われる「ブロックチェーン」技術が注目を集めています。
ブロックチェーンは個人情報をどのように守るのか
「ブロックチェーン」は「分散型台帳技術」「分散型ネットワーク」ともいわれるように、インターネットを通じてつながった複数のコンピュータが同じデータを共有し、お互いのデータが正しいものかを常に監視し合う技術のことです。
つまり、ブロックチェーンはネットワーク上の全ての参加者に情報をばらまくいて管理する技術ともいえます。
「個人情報保護のために、情報をばらまくブロックチェーン技術をどう使うの?」
「いくら暗号化されるとはいえ、個人情報をブロックチェーンに載せるのはイヤだな」
こんな風に思われるかもしれませんがご安心ください。
ブロックチェーン技術は、ブロックチェーン上に個人情報を保存するのではなく、個人情報へのアクセス記録を分散して管理するのに利用されるのです。
実はこれは仮想通貨でも同様のことです。仮想通貨はブロックチェーンに価格などの価値が記録されているのではなく、どれだけの量がどこからどこへ取引されたのかという「取引記録」だけが記録されており、所持する仮想通貨の数量は各自の所有するe-walletに記録されています。
文章だけでは伝えづらいので、従来の仕組みと比較しながら図で説明してみます。
従来の仕組み
これまでは、銀行の口座開設やクレジットカードの発行、SNSアカウントの開設、病院の診察券発行、はては就職まで、本人確認のために様々なシーンで個人情報を企業に預ける必要がありました。(図❶)
預けた個人情報は企業側が主導権を持って管理し、利用者が自分の預けた個人情報を確認するには企業側に開示してもらう必要がありました。
また、利用者は、様々なサービスを利用するために、都度、各企業に個人情報を開示する必要がありました。
ブロックチェーンを活用した仕組み
「個人情報」の確認と「電子ID」の発行
ブロックチェーンを活用した仕組みでは、利用者はまず自分の個人情報を認定事業者に提出します(図①)。
認定事業者は、利用者の「個人情報」を確認し「電子ID」を発行。(図②)。その上で『個人情報のハッシュ値』を生成し、「電子ID」の発行証明としてブロックチェーン上に記録します。
各種サービスの利用
利用者が各種サービスなどを利用する際は「電子ID」を提示し、個人情報の提供に合意する署名を提出します(図③)。
企業は「電子ID」に紐付いた『個人情報のハッシュ値』をブロックチェーン上で照合することで、その情報が認証事業者による認証済みであることや利用者本人による申請であることを確認します。
このようにブロックチェーンを活用した仕組みでは、個人情報の管理の主体は利用者になり、企業は利用者から個人情報の使用許諾を得ることではじめて個人情報を利用できるようになります。これにより企業などが個人情報を占有するという状況が避けられるようになります。また、利用者はあらゆる場所から自分の個人情報へアクセスすることが可能になります。
さらに、利用者は「電子ID」を利用することで、これまでのように、都度、各企業に個人情報を開示するという手続きが不要になります。企業側にも本人確認手続きの簡略化というメリットがあります。
このようなブロックチェーンを活用した情報管理システムの開発には、現在、様々な企業が参入しており、独自仕様のブロックチェーン技術のシェア拡大を画策している状況。そのため統一した規格が定められるまでにはまだ時間が掛かりそうです。
とはいえ、今後、個人情報はGoogleやAmazonのような一部の大企業を除き、企業ではなく個人で管理する時代になってくると考えられます。
まとめ
EUで2018年5月25日から施行される「GDPR」では、個人情報がどのように管理されるかが問題になります。このような中で、ブロックチェーン技術は個人情報のアクセス記録を全て記録しトラッキングできるという面からも注目を集めています。
さらにブロックチェーン技術を使うことで、企業が個人情報を保有する必要がなくなり、個人情報を企業から個人の元へ取り戻す時代が訪れようとしています。2018年5月25日のGDPR施行は、ブロックチェーン技術の進化を加速する大きな要因となるような気がします。
GDPRが及ぼす影響と、GDPRで注目を集めるブロックチェーン技術についての考察は以上です。
コメント
法令違反時には200万ユーロ…の下りですが、2000万ユーロの間違いではありませんか?
第三の目さん、おしゃる通り2000万ユーロの間違いでした。ご指摘ありがとうございます。