個人情報保護法ガイドラインQ&A/合成データスタートアップTonic.ai
LayerX Labs Newsletter for Biz (2021/09/22-09/28) Issue #124
今週の注目トピック
Takahiro Hatajima(@th_sat)より
個人情報保護法ガイドラインQ&Aの更新版について紹介しています。
あわせて、$35MのシリーズBを調達を発表した合成データスタートアップTonic.aiについて紹介します。
Section1: PickUp
●個人情報保護法ガイドラインQ&Aの更新版が発表
個人情報保護委員会より「個人情報の保護に関する法律についてのガイドライン」に関するQ&Aの更新が発表されている。
令和2年改正関係が追加されており、追加・更新された項目は80以上にのぼる。
特に多かったのは、「個人データの漏えい等の報告等」「個人データの第三者への提供」「保有個人データに関する事項の公表等、保有個人データの開示・訂正等・利用停止等、個人情報の取扱いに関する苦情処理」および「ガイドライン(外国にある第三者への提供編)」といった分野である。
本稿では、「個人データの第三者への提供」分野に注目して、内容を概観したい。
まず、7-38では「委託に伴って提供された個人データを、委託先が自社のために統計情報に加工した上で利用することの可否」が挙げられている。
これに対して、委託先は、委託に伴って委託元から提供された個人データを、委託された業務の範囲内でのみ取り扱わなければならないとした上で、①委託先が当該個人データを統計情報に加工することが委託された業務の範囲内である場合には、委託先は当該加工を行うことができる。②委託された業務の範囲外で委託先が当該加工を行い、作成された統計情報を自社のために用いることはできない。と整理している。
次に、7-39では「委託に伴って提供された個人データを、委託業務を処理するための一環として、委託先が自社の分析技術の改善のために利用することの可否」が挙げられている。
これに対しては、委託先は、委託元の利用目的の達成に必要な範囲内である限りにおいて、委託元から提供された個人データを、自社の分析技術の改善のために利用することができるとし、「委託元の目的」に包含されていることを条件として、可能であるという見方を示している。
3つ目に紹介したいのは、7-43で挙げられている「A社及びB社から統計情報の作成の委託を受ける場合」のケースだ。「本人ごとの突合の有無」で切り分けて見てみたい。
まず挙げているのは「A社及びB社の指示に基づき、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することで、本人ごとに個人データの項目を増やす等した上で統計情報を作成し、これを A社及びB社に提供することの可否」だ。
これに対しては、「複数の委託元から委託に伴い提供を受けた個人データを、委託先が本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできない」という見方を示している(出所)。
具体的には、「個人データの取扱いの委託において、複数の委託を受ける委託先は、各委託元から委託に伴って提供を受けた個人データを本人ごとに突合することはできない。したがって、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することはできず、突合して得られた個人データから統計情報を作成することもできない。外部事業者に対する委託と整理した上で、委託先である当該外部事業者において提供を受けた個人データを本人ごとに突合して統計情報を作成する場合には、A社及びB社においてそれぞれに対する第三者提供に関する本人の同意を取得する等の対応を行う必要がある」ということだ。
一方、突合なしの場合として、「A社及びB社の指示に基づき、A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合することなく、サンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成し、これをA社及びB社に提供することの可否」はどうだろうか。
これに対しては、「A社とB社から委託に基づいて個別に提供を受けた個人データを、本人ごとに突合することなく、サンプルとなるデータ数を増やす目的でひとつの統計情報を作成してA社とB社に提供することは可能」という見方を示している。(出所)
具体的には、「A社から委託に伴って提供を受けた個人データとB社から委託に伴って提供を受けた個人データを本人ごとに突合していないため、委託先においてA社から委託に伴って提供を受けた個人データと B社から委託に伴って提供を受けた個人データをサンプルとなるデータ数を増やす目的で合わせて1つの統計情報を作成することができる」ということだ。
本Q&Aでは、上記のほかに、例えば10-25において、「外国にある第三者の提供するクラウドサービスを利用し、その管理するサーバに個人データを保存する場合」などインパクトのあるケースも例示されていることから、内容について改めて目を通しておきたい。(文責・畑島)
●合成データスタートアップのTonic.aiが$35MのシリーズBを調達
エンジニアがソフトウェアの開発やテスト業務を行う際、なるべくプロダクション環境に近いリアルなデータが必要となるケースがある。
実際の顧客データを使うにはプライバシーなどの課題が生じる一方で、プロダクション環境に近いデータを生成するのは難易度が高く、工数がかかる作業だった。
このような課題に対して、「リアルな”偽”データ」を生成するツールを提供するTonic.aiが2021/9/29、シリーズBで$35Mの資金調達を発表した。
Insight Partners社がこのラウンドをリードし、GGV Capital社、Bloomberg Beta社、Octave社のWilliam Smith氏、Heavybit社、Silicon Valley CISO Investments社が参加している。
Tonic.aiは2018年にシリコンバレーで創業し、シードラウドで$2M、その後2020年にシリーズAで$8M調達しており、今回のシリーズBにより累計$45Mを調達した。
CEOのIan Coe氏とCTOのAndrew Colombi氏はともにPalantirで勤務した経験があり、さらにCoe氏とエンジニアリング責任者のAdam Kamor氏はTableauで勤務経験がある。
Tonicが誕生したきっかけは、Palantirの銀行顧客のトラブルシューティングをしていたときだったという。
当時、問題を解決するためにデータを必要としていたが、そのデータが非常にセンシティブだったため、合成データを利用することになった。(出典)
Tonicには合成データ以外にも、エンタープライズ企業が導入する上で重要となる様々な機能が搭載されている。ここでは一部を紹介する。
オンプレミスでの展開
dockerコンテナを使用して、外部との接続なしにTonicをオンプレミスで迅速に展開できる。
プライバシースキャン
データベース内のセンシティブな情報(PII/PHI)を自動的に検索し、非識別化する。
差分・プライバシー
再認識を防ぐための数学的な保証が組み込まれており、データを安全に変換する。
ロールベースのアクセスコントロール
所有者、編集者、監査人、閲覧者を定義し、ユーザーがソースデータを閲覧できないようにすることができる。
監査証跡
ユーザーの活動ログを監視し、コンプライアンスとセキュリティのためにデータの使用のすべてのステップを追跡可能。
すでにeBayやPwC、VMwareなど名だたるエンタープライズ企業が利用しており、ホームページにはその活用事例が紹介されている。本稿では代表的なユースケースを2点取り上げる。
出典:
eBayにおけるユースケース(出典)
2019年頃、eBayではステージング環境の信頼性が低く、質の高いデータがないことが大きな課題となっていた。
ステージング環境の品質が低いと、リグレッションテストを実行するための標準的なパターンが構築できなかった。
さらに品質の高いデータがなければ、自動テストスイートの実行は頻繁に失敗し、オーバーヘッドがかかっていた。
eBayのエンジニアは、自社のエコシステムの規模と複雑さを考慮し、作業を細分化し、最も重要なユースケースに優先順位をつけ、Tonicを段階的に導入した。
Tonicを使うことで、重要なユースケースのデータが容易に入手できるようになり、開発者はユースケースに合わせて時間のかかるステップを踏む必要がなくなった。
TonicはeBayの開発者に重要なユースケースのための高品質でプライバシー保護されたデータを提供し、自動化テストの時間を大幅に短縮、ステージングでの自動化スクリプトの合格率を高めた。
住宅保険を提供するKin Insuranceにおける事例
Kin Insuranceは、物理的な拠点を持たず、住宅所有者向け保険の新しいアプローチを提供するスタートアップで、低い固定費とパーソナライズにより、住宅所有者に低価格の保険を確保している。
シリーズCの資金調達に成功し、IPOも視野に入れていたKin Insuranceは、膨大な機能の開発とテストに追われており、同時に顧客のPII(個人識別情報)の保護という問題を抱えていた。
Kin Insuranceでは、セキュリテ、プライバシーリスクへの懸念から、エンジニアが機能を構築したり、バグを修正したりする際には、まず顧客の機密データを要求し、次に自分のローカル開発環境に移動させる必要があった。
これらの複雑さは生産性の低下をもたらし、データへの読み取り専用のアクセスを要求したり、非常に大きなデータセットのダウンロードを待つ必要があり、多くの時間が失われていた。
エンジニアは、コードの断片だけを要求したり、すでにアクセス権を持っている人に作業を依頼したりするなどの回避策を見つけるほどだった。
これは明らかに持続可能ではなく、データアクセスの高速化とセキュリティの強化という2つの問題を同時に解決するためにTonicの導入を決めた。
Tonicの導入の決め手になったのは1)システムから個人情報を消去すること、2)エンジニアが開発やテストのためにデータベース全体にアクセスする必要がないこと。の2点だった。
開発者は、DBの種類と量を完全に表す模倣データを扱う必要があったため、Tonicが欠かせなかった。また、異常値データに含まれる個人の再識別を防ぐための差分プライバシーも必要だった。
Tonic導入後、Kinの開発者は、バグの修正や顧客が求める機能の構築に必要なデータサブセットのみを生成している。
Tonicを導入する前は、機密データをノートPCに保存していたため、外部に流出するリスクがあったが、Tonicのおかげで安心してデータ管理を行うことができるようになった。
このようにTonicのソリューションにより、ソフトウェア開発者やQAエンジニアが機密データの懸念や複雑な対策に縛られることなく機能開発やテストを実施可能になる。
Tonic.aiのソリューションはデータサイエンティストによるデータ分析のようなケースにも有用だが、少なくとも今のところは、主要なターゲット顧客としてソフトウェアの開発者に集中するつもりだという。
合成データはTonicのようなテストデータ生成に限らず、データ分析や機械学習のモデル学習など様々なユースケースにおける実用化が進んでおり、今後より活用が広まっていくことが期待される。(文責:野畑)
LayerX Labsでは、次世代プライバシー保護・セキュリティ技術Anonifyの正式提供に向けトライアルパートナーの募集を開始、合わせて公式ウェブサイトを公開しました。
「Anonify」の公式ウェブサイトはこちら
「Anonify for Insurance」ホワイトペーパーはこちら
LayerXではエンタープライズ向けブロックチェーン基盤を基本設計、プライバシーの観点から比較したレポートを執筆し、公開しています。
基本編のダウンロードはこちら
プライバシー編ダウンロードはこちら
Section2: ListUp
1. プライバシー・セキュリティ
●総務省|データサイエンス・オンライン講座「社会人のためのデータサイエンス演習」の開講
https://www.gov-base.info/2021/09/29/131335
●日本数学検定協会、新資格「データサイエンス数学ストラテジスト」が9月21日から開始 機械学習やビジネス活用も問われる
https://ledge.ai/mathematics-for-datascience-strategist-start202109/
●データ分析のはじめの一歩を無料で学べる 総務省監修の高校教材『データサイエンス・データ解析入門』がpdfで公開
https://ledge.ai/introduction-to-datascience-rejoui-stat/
●メルセデスベンツ、インテリジェント交差点制御システムをテストへ…車両と信号機が通信
https://response.jp/article/2021/09/28/349860.html
●Intel SGX搭載サーバー上で稼働するConclave技術を使用するノードを実行するObscuraネットワーク。取引が見えないようにしてフロントランニングを防げるとのこと
https://www.ledgerinsights.com/r3-to-launch-private-permissionless-blockchain-defi-issue-token/
●OpenID ファウンデーション・ジャパン|サービス事業者のための顧客確認(KYC)に関するレポートが公開されました
https://www.openid.or.jp/news/2021/09/kycwg.html
●個人情報保護委員会|「個人情報の保護に関する法律についてのガイドライン」及び「個人データの漏えい等の事案が発生した場合等の対応について」に関するQ&Aの更新
https://www.ppc.go.jp/files/pdf/2109_APPI_QA_tsuikakoushin.pdf
●総務省|「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00121.html
2. 中銀デジタル通貨
●BISイノベーションハブ、タイ中銀と香港HKMA間のクロスボーダーCBDCプロジェクトInthanon-LionRockフェーズ2のレポートを発表
https://www.ledgerinsights.com/thai-hk-cross-border-cbdc-cuts-payment-costs/
●Fantom Foundation 、タジキスタンの大手銀行と協業でタジキスタン共和国むけCBDC構築へ。さらに Iron Bankプロトコルの統合通じてシームレスな外貨両替を実現
https://fantom.foundation/blog/fantom-and-iron-bank-to-create-cbdc-for-tajikistan/
●英国中銀BoEと英国大蔵省、CBDCエンゲージメントフォーラムのメンバー発表。実務面・技術面の課題を探索する2グループ編成
●日銀|主要中央銀行による中央銀行デジタル通貨の活用可能性を評価するためのグループが報告書を公表
https://www.boj.or.jp/announcements/release_2021/rel210930e.htm/
●ニュージーランド中銀、「The Future of Money」と題してCBDCペーパー発表
https://www.rbnz.govt.nz/news/2021/09/reserve-bank-consults-on-the-future-of-money
3. デジタル金融
●株主総会の議決権、信託銀経ず行使 来月から慣習見直し 〜 機関投資家が電子投票
https://www.nikkei.com/article/DGKKZO76069270W1A920C2TB0000/
4. デジタル証券
●シンガポール証取SGXとTemasekのデジタル資産JVであるMarketnode社、2020Q4の債券ソリューションローンチへ向けて、Barclays・BNP Paribas・BNY Mellonなど大手銀行10行と提携
● 米Securitize Markets、より広い投資家層を対象にプライベート資本市場における流通市場での取引も含むオルタナティブ投資へのアクセスを提供へ
https://www.securitize.co.jp/news-press-releases/press-releases/securitize-markets-launch
5. 今週のLayerX
●SaaSのリリース前後1年におけるMA・SFAのアレコレ - LayerX インボイスの場合
https://note.com/35_mki/n/ne7420577d073
●【U30】LayerX×ラクスル若手BizDevが語る!急成長企業におけるBizDevの醍醐味とは? - connpass
https://layerx.connpass.com/event/225871/
●LayerX ワークフロー、支払申請から仕訳を自動起票可能に | 株式会社LayerXのプレスリリース
https://prtimes.jp/main/html/rd/p/000000084.000036528.html
●LayerXとミラティブのエンジニア出身経営チームが語る、エンジニアが働きやすい開発組織とは - connpass
“エンジニア出身の経営メンバーが開発組織についてトーク。育休取得の両CEOによるオープニングトークも”
https://layerx.connpass.com/event/225819/
●秘密計算.jp#3 [秘密計算・秘匿計算の事業化裏話] by 秘密計算コンソーシアム|IT勉強会ならTECH PLAY[テックプレイ]
“技術サイドからの開発秘話や苦労話などを赤裸々に語ってもらうという、超フリースタイルな会を開催します。”
https://techplay.jp/event/831124
●【U30】LayerX×ラクスル若手BizDevが語る!急成長企業におけるBizDevの醍醐味とは? - connpass
https://layerx.connpass.com/event/225871/
●LayerX CEO福島によるNewsPicks寄稿記事です
●昨日の「Financial DX/SUM」討論会を踏まえ、日本経済新聞に、LayerX CTO松本の記事が掲載されました。
> 産業デジタル化を手掛けるLayerX(レイヤーX、東京・中央)の松本勇気代表が「ソフトウエアが事業のコアだという考え方に、発想を転換することが重要」と話した。
https://www.nikkei.com/article/DGXZQOUC303PL0Q1A930C2000000/
製品紹介・デモのご依頼に向けたお問い合わせは、こちらの「お問い合わせフォーム」よりお願いします
Disclaimers
This newsletter is not financial advice. So do your own research and due diligence.