米国国勢調査における「差分プライバシー」/日本銀行「プライバシーの経済学入門」
LayerX Labs Newsletter for Biz (2021/05/26-06/01) Issue #109
今週の注目トピック
Takahiro Hatajima(@th_sat)より
米国国勢調査における「差分プライバシー」手法の導入をめぐる議論について紹介します。
あわせて、日本銀行から発表されたペーパー「プライバシーの経済学入門」の概要を紹介しています。
Section1: PickUp
●米国国勢調査における「差分プライバシー」手法の導入をめぐる議論
米国では現在、国勢調査局が中心となって2020年の国勢調査の結果の集計・検証を進めている。2020年国勢調査は、「差分プライバシー」と呼ばれるプライバシー保護手法の導入を通じて機密性を保護する初めての人口調査となる。
従来より国勢調査局では、統計を公表する前に、「誰かがその統計を特定の回答者までさかのぼって追跡できないようにする匿名化措置」を適用している。これらの保護手段は「開示回避システム(DAS)」と呼ばれ、「データスワッピング」などといった統計的手法の使用が知られている。
昨今、コンピューティングパワーの進歩と外部データソースの拡充に伴い、従来の開示回避および匿名化技術の有効性を弱体化させ、他の外部データソースと照合することにより、機密データの再識別可能性が高まっている。国勢調査局の発表によれば、2010年国勢調査スワッピングアルゴリズムの実装では、スワップレートを高くした場合であっても、再識別されてしまう結果はほとんど改善されないという。
出所:https://www2.census.gov/about/training-workshops/2021/2021-05-04-das-presentation.pdf
そのため、同局は「差分プライバシー」に基づいた新しい開示回避システムを構築を進めた。このシステムは、従来の開示回避方法では不可能な方法で、数学的に厳密なプライバシー保護を提供するものだ。具体的には、データ結果に正確な量の統計ノイズを追加することによって機能する(米国国勢調査局による、差分プライバシーに関する解説はこちら)。
たとえば、250人の従業員に関する集計データをリリースする会社を考える。翌月に251人の従業員に関する同じデータを発表した際、攻撃者は、最初のデータセットを2番目のセットから差し引くことによって、この新しい個人に関する情報を見つけることができる。そこで、差分プライバシーは、従業員の合計にノイズを追加し、特定のレベルの確実性を備えた人物を特定することを難しくしている。
このように、差分プライバシーの適用は、国勢調査局にとってまったく新しいアプローチであり、開示回避に関するこれまでの国勢調査局の取り組みとは異なる。こうした差分プライバシーの導入に対して、ノイズが注入されたデータの使用は、比較的少数の人口のコミュニティにとってインパクトがあることから、国勢調査法の下でデータを安全に保つために必要な限度を超えていると主張する向きもある。
たとえば、国勢調査データを組み合わせて個人を特定できないようにする必要があるため、プライバシー向上のトレードオフとして、特に小さなコミュニティでは正確性が低下するという。人口500人以下のコミュニティにおいて、人口が5%〜10%変化する場合がみられたという。例えば、人口450人のネイティブアメリカン部族コミュニティは、国勢調査の再区分けで45人を失う可能性がある(参考1,参考2)。
また、州の委員会が国勢調査の数字に基づいて選挙区を設定したり、連邦機関がこの数字を使用して財政援助を計算する場合もあることから、人口を過小評価されたコミュニティは、政治的代表を失うか、年間の連邦資金を失う可能性も指摘されている。例えば、アラスカ州はブロック単位で平均して人が少ないため、ブロックレベルでの個人情報の開示を避けるために、高いレベルのエラーの導入が予想される州の1つになっているとされる。
さらに、ワシントンポストの報道によれば、国勢調査の人口データを使用して有権者の選挙区再編成計画に関するシミュレーションを実行し、差分プライバシーの適用が最終的な投票数にどのように影響するかを評価したところ、差分プライバシーを適用すると、特に人種や民族の多様性が高い地区で人口カウントの精度が低下することが明らかになったという。
このように、国勢調査局のプライバシー保護は、時間の経過とともにスワッピング (2000 年と 2010 年に使用)から、差分プライバシーへと変化してきた。データを活用する以上、「完全」な保護は難しいことから、保護強度と解析精度のトレードオフの見極めが必要だろう(出所)。
出所:https://www2.census.gov/about/training-workshops/2021/2021-05-04-das-presentation.pdf
国勢調査局は、住宅と人口統計データに適用されるプライバシー保護についてさらに協議するとしている他、6月4日には、「差分プライバシーへの代替策に関する研究」と題したウェビナーを開催するとしていることから、今後の動向に注目したい。(文責・畑島)
●プライバシーの経済学入門(日本銀行)の概要紹介
インターネット空間における個人情報の取り扱いに対する関心が高まっている中で、「プライバシーの経済学」と呼ばれる分野が注目を集めている。
6月3日に発表された日本銀行員および外部研究者の研究成果を発表している日本銀行ワーキングペーパーでは、この「プライバシーの経済学」についてまとめている。
本稿では、ペーパーの要点について紹介する。
近年、Cambridge Analytica による個人情報データの不正利用スキャンダルなどを発端とし、プラットフォーマーへのプライバシー保護に関する規制が強まっている。
こうした規制当局の動きと並行して、アカデミアの分野においてもプライバシー保護や、規制のあり方について議論が活発になっている。
「プライバシーの経済学」はこうした背景のもと、法学や経済学的思考を用いて、プライバシー保護に関する効用を定量化しつつ、望ましいプライバシー保護のあり方を研究する学問である。
前提として「プライバシーの経済学」では、プライバシー保護の度合いを定量的に表現する場合、差分プライバシーと呼ばれる手法が用いられることが多い。
差分プライバシーはコンピューター・サイエンスの分野では比較的古くから活用されて来た手法であり、データにノイズを付加するなどによって、プライバシーを保護しようとする手法である。
Ghosh and Roth(2011)は、差分プライバシーのパラメータ 𝜖 を用いて、プライバシーに関する消費者 𝑖 の効用を 𝑢𝑖 を 𝑢𝑖 = 𝑝𝑖 − 𝑣𝑖𝜖 と定式化している。
𝑝𝑖 はプライバシーが侵害される場合の対価(金銭だけでなく利便性の高いアプリケーションやオンライン・サービスの使用による利便性も含まれる)
𝑣𝑖 はプライバシーが侵害される場合のコスト(不効用)
𝜖 はプライバシー・バジェット(差分プライバシーにおけるプライバシー保護とデータの有用性のトレードオフの程度)
こうした定量化手法に基づき、「プライバシーの経済学の分野」では様々な研究が進んでいる。
Huberman et al.(2005)は、「年齢」と「体重」という個人情報データをいくらで提供するかというリバース・オークションを行い、𝑝𝑖 を観察を試み、オークションの結果として、𝑝𝑖 に大きなばらつきがあることを報告している。
Goldfarb and Tucker(2012a)は、式の 𝑣𝑖𝜖 の計測を試みた。具体的には、2001 年から 2008 年までの期間で、人々のプライバシー保護に対する懸念 𝑣𝑖𝜖 が年々高まってきたこと、高齢層は若年層に比べて情報を開示しない傾向が強く(𝑣𝑖𝜖 が大きく)、そのギャップが年々拡大していることを指摘している。
プライバシー保護は人々にベネフィットをもたらす一方で、個人情報データの利用が制約されることを通じて、データを収益化させている企業にとってコストを生じさせるものでもある。
Goldfarb and Tucker(2011)は、EU が 2002 年に定めた「プライバシーと電子コミュニケーション指令(Privacy and Electronic Communications Directive)」により、オンライン広告の効果が 65% 減少したことを実証的に示している。
Jia et al.(forthcoming)は、2014 年 1 月から 2019 年 4 月までのベンチャー投資のデータを利用して、GDPR の導入によって EU のベンチャー企業への投資のディール数が 26.1% 減少したことを報告している。
Miller and Tucker(2009)は、米国の州ごとのプライバシー保護規制の違いを利用して、プライバシー保護規制が強いと電子医療記録の導入が拡大しない傾向があることを示した。
さらに、Miller and Tucker(2011)は、電子医療記録の導入が拡大すれば、新生児の死亡率が有意に低下することを報告している。
これは医療の世界において、プライバシー保護の制度設計が人の生死を左右するような影響をもたらす可能性を示している。
一方で企業はプライバシー保護によって常にコストを支払うわけではなく、ベネフィットを得ることもある。
Tucker(2014)は、2010 年 5 月 28 日に実施された、Facebook のプライバシー・ポリシーの変更が広告効果に与えた影響を実証的に分析した。
Facebook のプライバシー・ポリシーは、2010 年 5 月に変更される以前は非常に複雑だとされており15、170 にも及ぶオプションを選択しないとプライバシーをコントロールすることができない仕様であった。
この変更によりすべてのプライバシー・コントロールがひとつに集約されたほか、第三者の個人情報へのアクセスを1クリックで拒否可能になった。
こうした変化は、広告効果を減少させることが事前に予想されたが、プライバシー・ポリシー変更後、CTRは、変更前の約 2 倍になった。
このことは、消費者の交渉力を強めることが広告効果の向上というかたちで企業側にベネフィットをもたらすことを意味している。
Aridor et al.(2020)は、旅行関連プラットフォームのデータを利用して、GDPR 導入の影響を調べている。
GDPR の導入により、クッキーが 12.5%減少した。これは、GDPR の導入によってクッキーの共有を明示的に拒否する消費者が増加したためと考えられる。
しかし同時に、GDPR の導入後にクッキーの共有に明示的に同意した消費者
については、驚くべきことに追跡可能性(trackability)が 8% 増加していた。
これについて、Aridor et al.(2020)は、これまでブラウザベースのクッキー・ブロック・ツールを使っていた消費者がクッキーの共有を明示的に拒否することでウェブ・サーバ側のデータから欠落したためにノイズが減少した結果ではないかとしている。
「プライバシーの経済学」では、個人情報データが有する負の外部性が最も重要な論点であると考えられている。
負の外部性とは、差分プライバシーや匿名加工などを考慮したとしても、センシティブな情報が一般的な個人情報から類推される可能性があることを意味する。
人々が負の外部性を理解しており、自らのプライバシー情報を秘匿したいとしてもできない可能性があると諦めている場合において、僅かな対価で自らの個人情報データを提供することが合理的になる。
人々は、本来であれば、より強いプライバシー保護を望んでいるにも関わらず、それを選択しないことが合理的になるような状況に置かれてしまい、結果としてプライバシーの侵害を引き起こす。
負の外部性に対する解決策として三つのプライバシー保護方式が紹介されている。
一つ目は外部性を「内部化」するような「パーソナライズされたピグー税」である。
負の外部性があるもとでデータが過剰に提供されるのは、それぞれの人々が外部性のコストを全く負担しないことが原因である。
したがって、人々の個人情報データ間の相関構造に応じて、税金を負担させればよいということになる。
別の人との相関が強い人は、相対的に多くの税金を負担することで、データ提供のインセンティブをそがれることになるというメカニズムである。
もっとも、「パーソナライズされたピグー税」は、さすがに非現実的である。たとえば、1,000 万人の利用者を有するプラットフォームにおいて、個人情報データの相関行列にもとづいて最適な税負担額を随時計算することは、およそ現実的なスキームとは思われない。
二つ目は、「価格差別なしのオプト・イン同意規制」である。
EU の GDPR では、オプト・イン同意規制が課されており、消費者に提示される同意のチェックボックスに予めチェックが入っている状態は認められていない。
Choi et al.(2019)は、社会的に望ましい水準を上回ってデータを収集する際にオプト・インを求めるような規制によって状態が改善しうるとする。
望ましい水準を上回らないように、オプト・インによるコストを設けるというものであり、本質的には、第一の「パーソナライズされたピグー税」と同じ発想といえる。
三つ目は、「相関除去メカニズム」である。
これは、個人情報データ間の相関構造を消してしまうという発想である。
信頼できる第三者が一旦すべての個人情報データを収集し、個人情報データ間の相関をすべてゼロになるように、プラットフォーマーに開示するデータと開示しないデータを選択するというものであり、このスキームは、経済全体の余剰を必ず改善する。
このように様々な方向性が検討されている一方で、規制やメカニズムでは解決できない新たな課題も生じ得る。
オプト・イン同意規制に関しては、データの提供によって得られる利便性への正確な説明と理解がなければ社会全体の効用を不必要に下げる可能性もある。
相関除去メカニズムに関しては、信頼できる第三者の信頼性をどう担保するのかという課題も存在する。公的機関などの主体に対する信頼だけでなく、前週のNewsLetterでも紹介したコンフィデンシャルコンピューティングなどのプライバシー保護技術などの活用により、システム自体の信頼性も求められる。
「プライバシーの経済学」はプライバシー保護のあり方を経済学の立場から考えるものであるが、プライバシー保護のあり方を考えるには規制やメカニズムといった観点以外にも教育や統計学、新たな計算技術、暗号学など、様々な分野を多層的に適用していくことが期待される。(文責・野畑)
改訂履歴:
「わが国の個人情報保護法では推論(プロファイリング)によって取得した情報は、「個人情報」には該当しないとされており、この負の外部性については対処できないと考えられる。」の記述については、個人情報該当性に、推論(プロファイリング)による取得は関係ないと考えられることから、削除いたしました。(2021年6月10日)
「LayerX インボイス」において、振込先口座情報のOCR読み取り・自動入力・アラート機能の提供を開始しました。手入力不要で請求書に記載された振込先口座情報を登録可能になります!
詳しい情報はこちらをクリック
LayerXではエンタープライズ向けブロックチェーン基盤を基本設計、プライバシーの観点から比較したレポートを執筆し、公開しています。
基本編のダウンロードはこちら
プライバシー編ダウンロードはこちら
Section2: ListUp
1. プライバシー・セキュリティ
●第25回サイバー犯罪に関する白浜シンポジウムの講演資料が公開
●個人を特定できるデータを処理する組織にとっての、Confidential Computingを用いた、ワークロードのクラウド移行ケース
●アルファベット傘下のSidewalk Labsがリアルタイムデータで都市部の駐車スペースを管理するセンサー「Pebble」を発表
●世界最大の食肉加工会社にサイバー攻撃、米豪の工場が停止 ロシアの犯罪集団関与か - BBCニュース
●内閣官房のデータ流出 サイバー攻撃対応の訓練情報も流出判明 | サイバー攻撃 | NHKニュース
●Forbes、R3 CTOによるConfidential Computing記事
2. デジタルガバメント・スマートシティ
●欧州eHealth NetworkによるDigital Green Certificatesむけ技術仕様
●米国で進むオンライン公証と日本の公証制度の現在地 - サインのリ・デザイン
●EU、デジタルID共通化 〜 来年稼働目指す、スマホに免許証など保管
3. デジタル化へむけた政策議論
●総務省|「ポストコロナ」時代におけるデジタル活用に関する懇談会(第3回)
4. 中銀デジタル通貨
●スウェーデン中銀Riksbankから今年4月に発表された、e-kronaパイロットステージ1のレポート
5. デジタル金融
●みんなの銀行が、サービス提供開始。国内初のデジタルバンク「みんなの銀行」 お客さま向けサービス提供開始のお知らせ
●ふくおかFG、フィンテック企業に出資 暗号資産管理など: 日本経済新聞
6. デジタル証券
●Securitize、Securitize Capitalを設立。暗号通貨やDeFiで得られる利回りに機関投資家がアクセスするのは複雑であることから、デジタルアセット証券の形で提供するもの。
●シンガポールDBS銀、DBS Digital Exchange (DDEx)として初めて証券トークンを発行。1500万シンガポールドルのデジタル債券
●DBS銀行、エンジニアの数を銀行員の2倍に──グプタCEOが力を入れるトークン化金融とは | coindesk JAPAN | コインデスク・ジャパン
●野村グループのデジタル資産戦略、新たな価値と市場の整備をけん引|日経BizGate
●Societe Generale、規制環境における証券トークンの枠組みについて、「CAST Framework」をホワイトペーパーとあわせ発表。金融機関コミュニティによるガバナンス組織立ち上げ目指す
7. ブロックチェーンユースケース事例
●ビジネス・デジタル化への「3ステップ」 日本企業がブロックチェーンを活用するには?|SBI R3 Japan寄稿
●3つのブロックチェーンを使ったエイベックスのコンテンツビジネス、勝算はあるか | 日経クロステック(xTECH)
●献血むけにNFT利用。ドナーをトークンでマーキングし、特定の血液型の献血を病院や受領者までトレース可能。同様に製薬会社が医薬品の真正性をNFTで追跡し、処方箋と紐付けることで偽造処方を防止
8. 今週のLayerX
●先日のLayerX エンジニアブログでは、Vegetaを用いてどのようにAnonifyの負荷テストをしていくかについてお話ししています!
●LayerXは、GMOあおぞらネット銀行が提供する法人のお客様向け提携サービス「ビジネスサポートサービス」と連携いたしました!
●総務省の令和3年度「電波の日・情報通信月間」表彰において、加賀市様・xID様との取り組みが総務大臣表彰を受けました。
●LayerX NOW! #10 「眠れる銭をActivateしよう」アセマネ事業の面白さをエンジニア目線で語る【ゲスト:MDM事業部 サルバさん】| Podcast on Spotify
●LayerX CEO福島のインタビューが、日経ビジネスLIVE<若手経営者が明かす、30代までに学ぶ「ビジネスの流儀」>記事になりました!
●【新企画】LayerXプロダクトさわらNight #1 【はじめます】
●LayerXの新規SaaS事業(Sales&Marketing)で、インターンを募集しています!
●LayerX ワークフローでは、Slack承認に加えて、Word/Excel/PowerPoint/PDF等の添付ファイルを、ダウンロードすることなく確認することが可能となりました!
お問い合わせ・ご相談に向けたコンタクトは、こちらの「LayerX Inc. Contact Form」よりお願いします
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.