New Technologies

2024.05.24(Fri)

秘匿すべきデータが活用できると社会はどう変わるのか。官民連携で普及を目指す「秘密計算」の仕組み

#セキュリティ #ヘルスケア #データ利活用 #イノベーション #金融
「秘密計算」という言葉をご存じでしょうか? 秘密計算とは、データを暗号化した状態で、そのデータの計算処理が行える技術のことです。データ自体はもちろん、その計算過程も保護されるため、パーソナルデータや企業の機密情報を漏らさず、誰にも見られないままデータを処理することが可能になります。

この秘密計算を活用することで、さまざまな問題の解決が期待できます。たとえば、ゲノムバンクの遺伝子データと病院の病歴を秘密計算し、個人情報を秘匿したままゲノムと病歴の相関関係を分析して次世代医療に活かすことや、サプライチェーンを構成する事業者間で機密情報を守りつつ秘密計算で需要予測を行い、生産性を確保するといったことも可能です。

日本でも内閣府が国家プロジェクトして発足させた戦略的イノベーション創造プログラム(以下、SIP)の取り組みの1つとして、「プライバシーなどを保護しつつデータ解析ができる秘密計算などの活用」というテーマで官民連携の研究開発が行われています。

この秘密計算では、なぜ暗号化した状態でも計算が可能なのでしょうか? そして、この秘密計算は社会をどのように変えていくのでしょうか? SIPの秘密計算プロジェクトに携わる、産業技術総合研究所(以下、産総研)の花岡悟一郎氏、NTT社会情報研究所の高橋克巳氏、NTT Comの櫻井陽一に話を聞きました。

目次


    視覚的な手法を通して学ぶ、秘密計算

    —初歩的な質問ですが、なぜ秘密計算は、データを暗号化しているにも関わらず、計算処理が可能になるのでしょうか?

    花岡悟一郎氏(以下、花岡氏):「データを隠したまま計算できる」と聞くと、何か騙されたような気分になるかもしれません。しかし、知られたくない情報を、知られないまま処理できるのが、秘密計算という技術です。

    秘密計算にはいろいろな流儀があり、SIPでは「秘密分散」という方式を使っています。秘密分散では、元のデータを分割し、単独では意味を持たない、「シェア」という断片に分けます。このシェアの状態で計算処理を行った後、データを再び1つに戻すと、計算結果を導き出せることが、秘密分散の最大のポイントです。

    花岡 悟一郎│国立研究開発法人 産業技術総合研究所 サイバーフィジカルセキュリティ研究センター 首席研究員
    秘密計算を含めた高機能暗号の研究開発に従事。戦略的イノベーション創造プログラム(SIP)第3期:「先進的量子技術基盤の社会課題への応用促進」においては、量子セキュリティ・ネットワーク担当のサブプログラムディレクターを務める。

    こう説明されても、あまりピンとこないかもしれません。そこで産総研では、大阪大学の協力のもと、視覚的な手法を用いて馴染みやすいユースケースを用いて秘密計算・秘密分散を解説した「PRIVATE MATCHING -視覚化された秘密計算-」という動画を作成しました。

    この動画では、ある女性アイドルが、男女3人ずつが出演する恋愛リアリティ番組のメンバーとしてオファーを受けたものの、出演の条件として「誰が誰を、マッチングの相手として選んだのかをわからないようにすること」を、番組のスタッフに対して要求します。しかし、女性はアイドルなので、自分がどのような男性が好みなのかが視聴者に知られることを、とても嫌がっています。

    そこで番組スタッフは、女性アイドルに対し、“好みを知られず”にマッチングを行う方法を提案します。まずモザイク状の模様が描かれた透過シートを用意し、相手側3人の名前が書かれた3つの封筒に入れます。そして出演者は意中の人の封筒からシートを取り出し、番組スタッフに提出するという方法です。

    この透過シートは、一見するとただのモザイク模様ですが、マッチングが成立した相手のシートに重ねた場合にのみ、ハートマークが浮き上がる仕様となっています。そのため、シートを重ね合わせれば、誰が誰を相手に選んだのかわからないにも関わらず、最終的なマッチング数が把握できます。

    この透過シートこそが、秘密分散における「シェア(※)を視覚的に表現したもの」です。シェアを使うことで、隠したい情報を隠したまま、計算を進めることが可能になります。

    (※)データを断片にして暗号化した状態のこと

    動画では恋愛リアリティ番組を題材に、女性3人、男性3人のプライベートなデータを隠したまま、マッチングしたカップルの組数だけを導き出す秘密計算がわかりやすく紹介されている

    「PRIVATE MATCHING -視覚化された秘密計算-」の解説編。動画内の恋愛リアリティ番組と照らし合わせながら、秘密計算の原理や安全性の根拠について、より詳しく解説されている

    機密情報を隠したままでも、計算はできる

    —秘密計算が、秘密のまま計算できる仕組みはわかりましたが、なぜわざわざ秘密のままで計算しなければいけないのでしょうか?

    花岡氏:実は秘密計算の基本理論には1980年代にスタートしており、決して新しい技術というわけではありません。それにも関わらず、なぜ現代で秘密計算が必要になっているかというと、秘匿すべきデータが大量に存在するからです。

     近年、IT全般が急速に進化・普及したことで、世の中にはさまざまなデータが溢れるようになりました。その中には、活用すれば社会の進展、ビジネスの活性化に役立つ、非常に有用なデータがたくさんあります。

    とはいえ、それらのデータを活用するためには、個人情報などのプライバシーに配慮する必要があります。このことが、データ活用の障壁になっています。

    活用の障壁になるのは、個人情報に限りません。たとえば、企業Aと企業Bの各自が所有するデータを組み合わせてデータを解析することで、人類にとって有用な情報が得られるとしても、企業間で事業の根幹となる機密情報を共有できないというケースが非常に増えてきています。

    それを解決するのが、秘密計算です。秘密計算は、お互いが守りたいデータを隠したまま、データ処理ができる技術です。さきほどのマッチングの例のように、双方が機密を明らかにすることなく、最終的な結果だけが得られます。

    秘密計算普及のカギは「ユースケース」と「安全性」

    —秘密計算は現状、どのようなステータスなのでしょうか?

    花岡氏:秘密計算は、データ活用の障壁となっているプライバシーの厳格化をクリアするための技術として、業界内でとても注目を集めています。最近では、NTTが秘密計算における世界最高の計算処理速度を記録するなど、我が国のテクノロジーも成熟してきており、すでに社会に実装できる状態になっています。

    日本はGAFAM(※)などの海外勢に比べ、まだまだ所有、活用できるデータが圧倒的に不足しています。その課題を解決する手段が、秘密計算によるデータ共有や活用領域の拡大だと考えています。

    ※GAFAM…世界的なIT企業5社をまとめた呼び方。Google/Amazon/Facebook(現Meta)/Apple/Microsoft

    SIPの第3期では、秘密計算の持つ有効性を、企業や団体のステークホルダーに周知し、普及させることが大きな目標です。

    —-秘密計算を広く周知し、普及するためのカギはどこにあるのでしょうか?

    花岡氏:秘密計算に対する世の中の理解を深め、使う方々のリテラシーを引き上げていくことが非常に重要になります。ある程度の知識を身につけ、提供する側と使う側、双方で対話を重ね、理解を深めることで、良いものを作っていく仕組みが欠かせません。

    では、どうすれば理解が深まるのか。ある調査によると、秘密計算がステークホルダーに使用されるためのカギとして最も多かった回答が、具体的な目的や得られる効果を提示するというものでした。「すごい技術だから、みんなで使い方を考えましょう」と、使う側に押しつけるやり方は、あまり効果が出ません。さまざまな分野のユースケースを細かく、わかりやすく見せることがいちばん効果的だということです。

    たとえばアメリカのボストンでは、秘密計算を用いて各個人の給与情報を隠したまま、人種や性別によって平均給与の違いを分析したユースケースがあります。ボストン近郊全体の約6分の1の企業が秘密計算を用いた統計分析に参加し、個人のプライバシーと社会の有益な統計分析の両立が示されています。

    一方で、同じボストンのチームが博物館関係者と共同で行った取り組みでは、使う側とのすり合わせがうまくいかず、何度も手戻りが出てしまった例もあります。そういう意味で、使う側の理解は重要で、いまできるベストはなにかを、膝を突き合わせて議論することが成功のポイントといえるでしょう。

    SIPの第3期では、どのようなルートで秘密計算を世の中に送り出し、たくさんのユースケースを生み出していくかが重要な活動となっています。そのため、櫻井さんにリーダーとして進めてもらっています。先日、使う側の医療分野の方々とお話しする機会があったのですが、みなさん秘密計算の導入に意欲的で、すごく勉強されていて、理解が深いことがわかって、非常に心強く思っています。

    櫻井陽一(以下、櫻井):秘密計算を普及させるカギは「高性能化」といった技術的な課題もありますが、私はむしろ「大事なデータが守れる、絶対に漏れない安全」な技術であることを、使用する側に伝えることが重要と考えます。

    どんなに優れた技術でも、隠すべき情報が何者かに暴かれないか、プラットフォーム事業者は信頼に値するのか、といった懸念があるようでは、普及は望めません。どういう情報を提示すれば安心感につながるのか、そのガイドラインの作成を花岡先生の指揮の下、取り組んでいます。

    櫻井 陽一│NTT Com スマートヘルスケア推進室 Chief Catalyst / Business Producer
    マイナンバー関連システムや地域医療関連システムをはじめとする公共・医療分野のシステム開発に従事。認証認可、秘密計算、匿名加工等のデータプライバシー対策関連の技術を軸とし、内閣府、デジタル庁等の国家プロジェクトに従事すると共に、析秘、SmartPRO、SDPF for Healthcare等のSmart Healthcare関連サービス開発を主導。保有資格はPMP、CISSP、NTTグループ認定セキュリティプリンシパル、JDLA認定E資格等。

    高橋克巳氏(以下、高橋氏):
    秘密計算を普及させるための議論においては、まずは適切に運用するために、新たな法整備が必要だという意見があります。しかし、個人的にはあまり良い考え方とは思いません。
    なぜなら、新しい法律や制度は、秘密計算により新しいデータ処理ができることが周知され、さらに秘密計算を活用した前例のないデータ流通の仕組みが生まれてこそ、初めて検討できるようになると思っているからです。
    まだ世の中には、個人のプライバシー、企業の営業機密を文字通り「完全」に守るデータ処理の仕組みはありません。それを作っていくのがSIPのミッションです。そのためには、花岡先生のお話にあったステークホルダーの相互理解を深める対話や、櫻井さんが進めている、安全な根拠を示すなどの取り組みを進めています。

    高橋 克巳│日本電信電話株式会社 NTT社会情報研究所 チーフ・セキュリティ・サイエンティスト 主席研究員 セキュリティマスタ
    情報セキュリティの研究者。とくにデータとAIのセキュリティ・プライバシーに関心を持ち、暗号(秘密計算)、統計(匿名化)等によるデータ保護の研究開発に従事。政府の検討会の委員も歴任し、セキュリティ、個人情報・プライバシー保護を議論。

    日本では医療・金融業界で導入が進みつつある

    —-日本ではどのような業界で、秘密計算のユースケースが進んでいるのでしょうか。

    櫻井:たとえば医療機関では、標準治療の質を表す指標である臨床評価指標(Quality Indicator:QI)を高める取り組み、金融機関では、クレジットカードの不正利用に関するデータを、各カード会社が互いに持ち寄り分析するプロジェクトなどを進めています。

    それ以外にもNTT Comの幅広い業種業態のお客さまに声がけしながら、より多くのユースケースを作り出す取り組みを進めています。現在、主に注力している領域は医療・金融ですが、より広い領域で秘密計算のユースケースを増やしていくことが必要と考えています。そのためには、取り組みの前段階として、秘密計算が効果を出すポテンシャルがあるかの見極めが重要です。

    —-NTT Comでは「析秘(セキヒ)」という秘密計算サービスを2021年よりスタートしていますが、反響はいかがですか。

    櫻井:おかげさまで、お声がけいただく業態は多岐にわたっています。証券会社、銀行、保険会社といった金融系、ポイントカードなどの会員サービスを提供する流通系、HEMS(※)などのデータ活用に取り組むハウスメーカー系、スマートメーターでデータを取得するインフラ系、データ分析が必須となる材料や化学メーカーなど、秘密計算に関する関心は非常に高いと感じています。

    ※HEMS…「ホーム エネルギー マネジメント システム(Home Energy Management System)」の略。住宅で使われるエネルギーを可視化し、管理するためのシステム

    —-秘密計算が受け入れられやすい業界はありますか?

    櫻井:秘密計算は、データの所有者たちに対する丁寧な説明、承諾が必須となるため、すべての業界に実装できるわけではありません。ですが、医師と患者間で信頼関係が築かれているケースの多い医療系には受け入れられやすい傾向にあります。医療系に限らず、分析の精度を高めるために自社のデータを守りつつ、他社のデータを活用したいと考える、データ分析を生業とするメーカーなどの企業にもフィットしやすいですね。

    秘密計算は、人間同士が支え合う社会に必要なテクノロジーである

    —-これからのSIPの取り組みを教えていただけますか。

    高橋氏:技術的には大きく3つのチャレンジがあると考えています。

    1つ目が処理できるデータの量を拡大する性能向上、2つ目がAIなどを活用した複雑な計算にアプローチする性能向上、3つ目が長期間にわたってデータを保護する信頼を築いていくことです。

    とくに「長期間にわたってデータを預けても大丈夫」という信頼は、現状、医療機関以外ではあまり確立されていません。たとえば、私たちが日常的に使うインターネットの履歴データは、さまざまなところに保管されています。もちろん関連各社は現在考え得る万全の体制でデータを管理していますが、この保管がプライバシー保護の観点から、本当に問題ないのかは、実はまだ誰にもわかっていません。

    データを長期間にわたり保護するためには暗号技術、セキュリティ技術だけでなく、幅広い角度から体制を整えて、社会に実装することが大切だと考えています。

    櫻井:秘密計算の2大要素は「何を守るか」「何を得るか」です。セキュリティを担保しつつ、使う側がなにを得たいかを明確化することで、芯を食ったユースケースが出てくると思います。

    たとえば、SNSや銀行口座の乗っ取りが横行したことで、2要素認証がごく当たり前に実装されるようになりました。これは、消費者の意識やリテラシーの向上、さまざまなリスクから守られる安心感の組み合わせによって、新たな技術がコモディティ化(一般化)した例です。

    秘密計算も同じことが言えます。これから使う側の意識を大きく変えていき、さらに技術を進展させていくことが、SIPが率先して取り組んでいくべきことだと思っています。

    花岡氏:SIPの第3期が描く理想のゴールは、あらゆる人々や企業が秘密計算を便利だと理解し、気軽に利用できる技術として確立させることです。それが実現できなかった場合、なにが足りないのかを考え、社会実装に持っていくのが第4期の活動になるでしょう。

    秘密計算の魅力は、人間同士の意思疎通がよりスムーズになるところ、お互いに気遣いができる、やさしい社会に導く可能性を持っているところにあります。

    本能的に人間は群れで生きる動物です。DNAには他者の役に立つことで幸福感を得る本能が刻み込まれているはずです。そんなお互いが助け合う仕組みを、データ共有分野で実現し、与える側も貰う側も、等しく幸福感を享受できる社会を目指したいです。