Palantir社へプライバシー擁護団体から発行された質問状/Intelによるコンフィデンシャルコンピューティングのユースケース
LayerX Labs Newsletter for Biz (2021/05/12-05/18) Issue #107
今週の注目トピック
Takahiro Hatajima(@th_sat)より
Palantir社に対して、プライバシー擁護団体から発行された英国民保険サービスとの協業についての質問状について紹介します。
あわせて、Intelによるコンフィデンシャルコンピューティングのユースケースについて紹介しています。
Section1: PickUp
●Palantir社、英国民保険サービスとの協業についてプライバシー擁護団体から質問状
英国プライバシー団体が、Palantir社に対して、英国の国民保健サービス(NHS)との協力関係に関する情報公開を求めて、質問状を公開した。同団体は、「予測分析と匿名化手法の詳細を公開監査に利用できるようにする必要がある」旨を主張し、透明性を求める意見を述べており、本稿ではこの経緯と質問状の概要を紹介したい。
ことの発端は、4月中旬にさかのぼるという。同社がNHSとの協業を通じて、同社のソフトウェアFoundryを用いて、新型コロナウイルスのパンデミックにかかる公衆衛生上における危機対応として、患者データを分析することが明らかになった。患者データは、どの病院において人工呼吸器・病床・医療スタッフが必要とされているかを予測するために用いられる。
NHSは、Palantir社だけでなく、同じ目的でAmazonおよびMicrosoftとも協力を仰いでいるが、Palantir社との協業については、プライバシー擁護団体が患者データが悪用される可能性があると疑問視している。
質問状に記された質問項目の概要は、以下のとおりである。
Foundryシステムに入力された情報が、Gothamなど他のPalantir製品の学習システムにどのように通知されるか?
この作業でPalantirによって処理されるデータの種類は何か?
Palantirは、オンライン処方システム・患者記録・一般開業医のファイルなど、NHSが保持する記録へアクセスするか?
医師と患者の守秘義務が尊重されることを保証するために実施されている合意は何か?
Palantirは、システムに取り込まれるデータの機密性をどのように確保しているか?
Palantirはデータ保護インパクトアセスメント(DPIA)を実施したか?公開しないのか?
Palantirは、(匿名化手法が機能しないことを示唆する広範な調査を考慮して)個人データが効果的に匿名化されることをどのように保証するか?
Palantir社については、「国防総省に使われている」「ビンラディン逮捕に繋がった」などのトピックが目立って報道されることが多いため、警察捜査のインテリジェンスのイメージ先行しがちだ。だが、インテリジェンス分野で用いられるのは「Gotham」というプロダクトであって、「Foundry」は事業会社におけるデータ活用プラットフォームとして金融・製造・物流など警察捜査以外の事業会社で利用されている。
なお、患者データの分析のためにPalantir社と協業している政府機関は、英国NHSだけでない。たとえば、米国疾病コントロールセンター(CDC)の名前もあがっている。米国CDCとPalantir社は、コロナウイルスの拡散パターン把握を通じた医療機関の準備を目的として協力しているとされる。米国CDCとの取り組みにおいて、Palantir社は、個人を特定できるような患者データの取り扱いを意図的に避けた上で、代わりに匿名化された記録の分析に頼ろうとしているとのことだ。
新型コロナウイルスの感染拡大への懸念が広まる中にあって、患者データの取り扱いと公益の両立をどのようにはかっていくか、米英両政府およびPalantir社の動向に注目したい。(文責・畑島)
●コンフィデンシャルコンピューティングのユースケース(Intel)
コンフィデンシャル・コンピューティングとは、機密データを組み合わせて分析し、そこから新たなインサイトを生み出すことを可能にするセキュアなプラットフォームであり、企業が使用中のデータ(In use)を安全に保つことに重点を置いた、業界最先端の取り組みである。
これまでのデータセキュリティは、データの保存状態(At rest)と通信状態(In transition)の保護に重点が置かれていたが、組織内における部署横断的なコラボレーションや企業間のコラボレーションは、企業に深刻なリスクをもたらす可能性があった。
コンフィデンシャルコンピューティング領域でインテルの取り組んでいるIntel® SGXは、さらに一歩進んで、処理中(In use)のデータの保護を可能にする。
コンフィデンシャルコンピューティングにより、データのプライバシーやセキュリティを損なうことなく、データ連携のメリットを享受することができる。
インテルは、業界のリーダーと協力して、金融、医療、公共部門などの幅広い業界でコンフィデンシャル・コンピューティングを導入している。
インテルから発表されたコンフィデンシャルコンピューティングのユースケースではヘルスケアや医療、金融、行政における活用事例、及びコンフィデンシャルコンピューティング領域における先端企業の取り組みを紹介している。
ヘルスケア・医療領域における活用事例
Federated Learning(連合学習)は、医療機関が協力して治療モデルを大幅に改善することを可能にする。
一例として、放射線科医が脳のMRIスキャンから腫瘍を検出したり、位置を特定したりするのをサポートするディープラーニングモデルを学習するために、必要なデータを提供する。
Federated Learningにより、世界中の放射線科医の専門知識を1つのAIモデルに取り込むことができるようになり、臨床医への計り知れないサポート、そして患者に迅速な診断と治療を提供できるようになった。
ヘルスケア・医療領域においてはその他にも、保険における不正検知やワクチン開発、感染病の接触者追跡などタイムリーな事例が紹介されている。
Intel SGXを活用したプライバシーに配慮した接触者追跡システムについての論文(Confidential Computing for Privacy-Preserving Contact Tracing)
IntellectEU社のIntel SGXを用いた保険領域の不正検知ソリューション(Intel Helps IntellectEU Fight Insurance Fraud with ClaimShare)
金融領域における活用事例
銀行や証券会社などの金融機関においてもコンフィデンシャルコンピューティングの活用が進んでいる。
例えば、取引データを共有するガバナンスネットワークを構築することで、マネーロンダリング防止の取り組みを共同で行うことができる。
データを中央のノードにアップロードすると、AIアルゴリズムがリスクベースの評価を行い、取引履歴データを競合他社に共有することなく、マネーロンダリングリスクの高い取引を特定することができる。
そのほかにも、下記のような事例が紹介されている。
融資判断
決済における不正検知
ECサイトにおける不正検知
クレジットスコア(信用スコア)の追跡と算出
新規融資の可否を判断するために、クレジット発行会社は顧客の銀行にクレジット履歴を確認することがある。
しかし銀行は、プライバシーやビジネス上の理由から、顧客のクレジット履歴を公開したくない場合がある。また顧客が複数の銀行口座を持っている場合には、それら全てを確認する必要がある。
現在、この問題はすべての関係者から信頼されている第三者のクレジットスコア機関によって解決されている。
このようなアプローチは、共通の信頼できる当事者が存在する必要があり、通常は追加の料金が発生し、新たな脆弱性が生じるため、必ずしも最適とは言えない。
コンフィデンシャルコンピューティングにより、クレジット履歴データ自体にアクセスすることなく、クレジットスコアのみを得ることが可能となる。
参照:Enabling Strong Database Integrity using Trusted Execution Environments
さらにより具体的にニューラルネットワークベースの信用スコアリングアルゴリズムをIntel SGXで実施している論文も発表されている。
参照:Confidential Attestation: Efficient in-Enclave Verification of Privacy Policy Compliance
AI・データ分析領域における事例
金融や銀行などの規制の厳しい業界でも、サーバーレスでクラウドファーストのアーキテクチャを採用する企業が増えている。
このような企業が機密性が高く制限されたデータを社内で共有・配布し、あらゆる種類のデータセットに基づいて安全に分析を実施するためのソリューションとしてeperi Cloud Data Protection Solutionが紹介されている。
eperiはIntel SGXを活用することで、クラウド上のデータを常に保護し、データが分析されたりAIの運用で処理されている場合におけるデータの保護も実現している。
PoCでは、eperiは銀行と協業し、eperi Gatewayを使用してネットワークから出る途中でデータを暗号化することで、データが安全にクラウドに移動できるようにした上で、Microsoft Azure Confidential Computing with Intel Software Guard Extensionsによりクラウド上のデータをプライバシーを保持したまま計算し、クラウドベースの安全なデータ分析プラットフォームを構築した。
インテルはまとめとして、常に変化し続けるデータ・セキュリティの世界において、コンフィデンシャルコンピューティングが今後サイバー・セキュリティ戦略の重要な一部となることは間違いないと締めている。
他国と比較しデータの利活用が遅れていると言われている日本においても、今後様々な領域でコンフィデンシャルコンピューティングを活用し、プライバシーやセキュリティとデータ利活用を両立する事例が広がっていくことが期待される。(文責:野畑)
「LayerX インボイス」において、振込先口座情報のOCR読み取り・自動入力・アラート機能の提供を開始しました。手入力不要で請求書に記載された振込先口座情報を登録可能になります!
詳しい情報はこちらをクリック
LayerXではエンタープライズ向けブロックチェーン基盤を基本設計、プライバシーの観点から比較したレポートを執筆し、公開しています。
基本編のダウンロードはこちら
プライバシー編ダウンロードはこちら
Section2: ListUp
1. プライバシー・セキュリティ
●トレンドマイクロ セキュリティブログランサムウェア「DARKSIDE」および米国のパイプラインへの攻撃に関する解説
●米パイプライン攻撃ハッカー集団、東芝にもサイバー攻撃と声明|TBS NEWS
●アイルランドの医療サービスにサイバー攻撃、首相「身代金払わず」
●サイバーセキュリティ強化にむけた米国ホワイトハウスからのExecutive Order
●欧州の高裁、Facebook申し立て却下 米データ移管禁止: 日本経済新聞
●英国、今夏にパブやレストランへワクチンパスポートを導入することを棚上げ
●石油パイプラインを停止させた「ダークサイド」のパワー 身代金目当てに大企業を揺さぶる二重三重の脅し:この頃、セキュリティ界隈で(1/2 ページ) - ITmedia NEWS
●東芝テックやダイハツディーゼルがランサムウエア被害、「暴露型」の可能性 | 日経クロステック(xTECH)
●Zoff運営会社がランサムウエア被害、顧客情報など約9万7000件流出 | 日経クロステック(xTECH)
●米パイプライン会社や国内大手企業でランサムウエア被害が相次ぐ理由 | 日経クロステック(xTECH)
●石油パイプライン止めた「ダークサイド」、ランサムウエア攻撃に4重の脅迫機能 | 日経クロステック(xTECH)
●アップルのクラウド、中国政府系とデータ共有: 日本経済新聞
2. デジタルガバメント・スマートシティ
●【石川県加賀市】日本初・e-加賀市民制度(加賀版e-Residency)の提供へ | 加賀市のプレスリリース
●マイナンバーカード交付率No.1、加賀市はなぜ日本初e-Residencyの提供を決めたのか | Forbes JAPAN(フォーブス ジャパン)
●ワクチン大規模接種 架空番号で予約可能状態 適正入力呼びかけ | 新型コロナ ワクチン(日本国内) | NHKニュース
3. デジタル化へむけた政策議論
●総務省|情報信託機能の認定スキームの在り方に関する検討会|情報信託機能の認定スキームの在り方に関する検討会(第17回)会議資料
●総務省|放送分野の視聴データの活用とプライバシー保護の在り方に関する検討会|放送分野の視聴データの活用とプライバシー保護の在り方に関する検討会(第2回)
●官邸 | トラストに関するワーキングチーム(第3回)議事次第
●経済産業省が公開した、ゼロトラストの概念を取り入れた「デジタルツール導⼊実証・調査事業報告書」
●⾃⺠党国会議員有志によるブロックチェーン推進議員連盟が提言内容を発表 | あたらしい経済
●デジタル庁、採用も「脱アナログ」から 助言役に聞く:朝日新聞デジタル
●総務省|マイナンバーカードの機能のスマートフォン搭載等に関する検討会(第6回)
4. 中銀デジタル通貨
●英中銀、各国にデジタル通貨受け入れ呼び掛け-民間が統制握るリスク
●BIS国際決済銀行、「マネーのデジタル化」についてペーパーを発表
●米FRB議長、今年夏にCBDCのディスカッションペーパーを発行予定であることに言及
5. デジタル金融
●TMI系が保険販売業 サイバーリスク対応など: 日本経済新聞
6. デジタル証券
●スペイン証取のデジタルアセットプラットフォーム、規制サンドボックスを承認
●Bank of America、CreditSuisse等の取組に参加し、Paxos Network上での株式決済をテスト
7. ブロックチェーンユースケース事例
●インドMaharashtra州政府、Covid-19テスト結果をMaticブロックチェーンに記録
●Commerzbank、化学メーカーのBASF およびEvonikとの協働でプログラマブルマネーによる自動ペイメント
●山九、国際輸送における物流費用の決済にStablecoin(USDC)を活用した実証実験
8. 今週のLayerX
●先にClubhouseで行った「みんなの銀行の日」トークセッションの模様が記事になりました。LayerX CEOの福島が、ロボアドやキャッシュレスについて語っています。
●本日のLayerX エンジニアブログでは、LayerX インボイスの請求書AI-OCRを支える非同期処理の仕組みについて解説しています!
●日本を代表するCTOから見た日本と世界のソフトウェア企業の差分は何か?|LayerX代表取締役CTO松本さん
●多種多様な会計ソフトと接続するためのSaaSの作り方 - LayerX エンジニアブログ
●Golandでよく使うショートカット - LayerX エンジニアブログ
●LayerX初のProduct Engineering Manager募集―――『すべての経済活動を、デジタル化する』 - 株式会社LayerX
●DX Tech Talk #5_ユーザーの反応をプロダクト開発に取り込む面白さと難しさ
●本日のLayerXエンジニアブログでは、新卒社員から見てLayerXがどんな会社かを①事業②人・カルチャーの2つの観点から、よくある勘違いを交えつつ紹介しています!
お問い合わせ・ご相談に向けたコンタクトは、こちらの「LayerX Inc. Contact Form」よりお願いします
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.