企業から個人へ – グローバル視点で見るパーソナルデータの未来②

今回は、政府が主催する複数の有識者会議に参加し、企業がWEB上からパーソナルデータを収集する際のルール作りや情報銀行の設置・普及に携わっている株式会社DataSign代表取締役 太田 祐一様との対談となります。

日本の個人情報に対する考え方について、EUデジタルID（European Digital Identity）を追いかける日本版デジタルアイデンティティウォレット構想など、これからのパーソナルデータ取り扱いに関して詳しくお話を伺いました。後編に当たる本記事では、ブロックチェーン技術やプラットフォームのこれからについて詳しく解説をいただいています。

ブロックチェーン技術を活用した、パーソナルデータの保護について

岡本：　ブロックチェーンの技術はいわゆる非中央集権的なデータの保持を可能にしていて、企業や国がまとめて管理しなくても個人の情報を各個人で管理できるようになるという技術だと思っていて、私自身関心を持って見ています。

以前、Web3のイベントに行った際に太田さんが登壇されていて、さすがだなと思って拝見していました。今後、Web3やブロックチェーンの技術を使ったパーソナルデータの取り扱いや管理は、どうなっていくと思われますか？
ブロックチェーン＝暗号資産のイメージを持たれている方が多いかもしれませんが、ブロックチェーン技術こそデータを分散管理することでユーザー個人の責任で個人情報を安全に管理できる技術なのだと思っているのですが。

太田：　実はDataSignの定款に書いてある事業目的は、ブロックチェーンを活用したアプリケーションの開発となっています。DataSignはWeb3のような技術を使って、個人情報を管理していくツールを作っていくことを目的としていました。
 
 
岡本：　2016年に？それはすごいですね。

太田：　技術を学ぶだけでなく実際にマイニングを行ってみたり、スマートコントラクトを活用した特許を取得したり、いろいろと試してみた結果、パーソナルデータを守るにはブロックチェーンは相性が悪い、と考えています。そもそも現状においてプライベートブロックチェーンはある程度の集権化は避けられず、既存の技術に比べて利用するメリットがそこまで大きくありません。
対するパブリックブロックチェーンは参加に対する制限がなくネットワークシステムが分散化されているため、特定の事業者に依存することが無いというメリットはありますが、特定のチェーンには依存してしまいますし、パーソナルデータをパブリックチェーンに載せると、仕組み上全部の情報が公開されてしまいます。

基本的にはパーソナルデータ自体はブロックチェーンには載せずに、アンカリングのみ行うことが考えられてはいますが、それでも、誰とやりとりしたかという情報は公開されてしまいます。
 
ただ、パブリックブロックチェーンだと、公開することが前提のFacebookのようなSNSに近い形で運用ができるのではないでしょうか。公開している顔写真などを、上手く管理することができるようになると思います。データを中央集権的に集めない形でのSNSが、パブリックなブロックチェーンでできるとのではないかと想定しています。
先ほどお伝えした医療データなどは、誰にでも開示すべき情報ではないためパブリックなブロックチェーンと紐づけるべきではない情報だということになります。
 
矛盾しているように聞こえるかもしれませんが、ブロックチェーンで個人の識別子を管理する方法は一定の利用価値があると思っています。個人の識別子とは、要するに自分のIDですね。そこはDecentralized Identifiers*と呼ばれています。

岡本：　はい。DIDは僕も注目しています。

 
太田：　DIDが一般的に使える環境が整うのはしばらく先のことで、現時点では必須の技術ではありません。いま社会に広がるべき技術は、Verifiable Credentials*と呼ばれている電子証明書の技術です。ブロックチェーンとは関係なく、自分の属性を証明するための電子証明書の形式の規格化がようやくに去年 W3C（ World Wide Web Consortium ）からリリースされました。

Verifiable Credentials は、自分の属性データを電子証明書の形式にして相手に渡せるようにしたものです。署名に書かれた内容の検証をその場で行うことができるうえ、基本的には企業に情報を預けないので不正利用や企業からの漏洩の恐れもありません。また、相手に公開する情報は自分で決められるため、お財布から必要な証明書だけを相手に見せるようなイメージです。
 
太田：　僕が実現したいのは、オンラインでもオフラインでも自分と相手方だけで必要なデータを受け渡せるお財布、「デジタルアイデンティティウォレット*」が普及した世界です。

本人確認だけではなく、例えば、レンタルの自転車を借りる際などいろいろなサービスを利用するタイミングで、今はSNSのログイン認証やメール認証が必要になる等複数のプラットフォーマーが介在していますよね。そうしたサービスやシステムを介さずに、安全に自分自身で相手方に情報を直接渡せるような状態です。
 
そのデータを持っておくお財布（ウォレット）から情報を受け渡したりする規格が、EUを皮切りにようやく定まりつつあります。EU では世界に先立って、2030年までに最低でも国民の80%がウォレットを持つ社会に切り替えていくための規則案「eIDAS 2.0（Electronic Identification, Authentication and Trust Services）」を2020年に発表。2023年には利用が想定されるユースケースや技術仕様など、より詳細な情報が公開されています。

 
岡本：　医療のことだったら病院が医療データを保有していますし、買い物だったら販売する企業が買い物データを集約して持っていると思います。今後はそれらのデータを自分で所持するということでしょうか？
 
太田：　本人確認情報など、それほど大きくないデータは自分で所持することになりますが、医療データや購買履歴などのデータは、データ自体を自分で持つということではなく、データは本人以外は解読ができない状態に暗号化されてサーバー等に保管されます。暗号化を解除する鍵を自分で持っておくことで個人ごとに管理できる状態にしておくという意味合いです。

つまり、データ自体は暗号化されていてデータ全体を閲覧できるのは本人だけです。他人や企業がテータの内容をコントロールできないことが担保されたうえで、相手方に必要な情報を選んで渡すという仕組みです。私たちの持つIDが、その暗号化の鍵に紐づいているイメージです。簡単に言うとそれがDIDだったりするのです。
そのIDや鍵を管理するのが、スマホなどに入る予定のデジタルアイデンティティウォレットになります。
 
 

 
岡本：　そうしたツールが普及していくと、さまざまなサービスを利用する場合に本人確認はそれ一つですぐに済ませることができるわけですね。

太田：　医療データなど機密性の高いデータは、厳格な本人が確認できないと受け渡しをしてはいけないルールがあります。しかしデジタルアイデンティティウォレットの技術で、簡単に本人確認ができるようになっていく可能性があるのです。

太田：　一つのユースケースをご紹介します。現在アメリカではSNSを利用するときに、13歳未満からデータを取る際にはプライバシーに関する項目を記載することや保護者の承諾を得ることが法律で義務づけられています。（ COPPA/Children’s Online Privacy Protection Act）

日本でオンラインにおいて年齢確認をする際には、ダイアログで13歳以上かどうかを確認するだけです。それでは子どもに対する方法としては不十分と言わざるをえません。もしも、SNS認証等で年齢を確認した場合には正確性に疑問が残りますし、SNSに登録している他の情報も渡してしまうことになります。本人確認でよく行われている免許証のコピーなどをアップロードする方法では、住所や本名など不要な個人情報までサイトの運営者に渡すことになります。

先ほどのウォレットの規格化が進むと、ウォレット内の情報を利用してログインすることができるようになります。ログインの際に13歳以上の証明が求められた場合には、ウォレット上の「13歳以上」という情報だけをSNS側に渡すだけでいいのです。SNSのサービス提供者は、その他の情報はウォレット側にあるので勝手に閲覧することはできません。
 
岡本：　企業はお客様から集めた個人情報を、CRMなどの目的で大切に保管して活用しようとしています。情報の管理主体が個人に移っていくことは、企業側の視点ではあまりメリットがないように見えますよね。EU の場合だと、そこは法律で縛ってルール化していこうということなのでしょうか？

太田：　はい、EUの場合は個人情報を誰が扱うかというのは人権の問題と捉えられますので法律でルール化をしています。アメリカだと、人権というよりは、個人の自由（に対する権利）の担保という感覚です。

岡本：　なるほど。そこで人権思想が出てくるわけですね。日本の場合はまた違う印象に捉えられそうですね。
 
 
太田：　企業の立場では、ウォレットに証明書を入れて利用することは明らかにコスト削減になります。認証するときのシステムを、個別で導入せずウォレット側に寄せることができるためです。お客様の個人情報管理にリソースを割かなくて良くなるのも、大きなメリットではないでしょうか。

本来の意味合いとしては、どちらかというとユーザーの安心を担保して利便性を高めること。ユーザーが信頼して、便利に使えるツールを提供するということになると思います。

岡本：　企業がユーザーに寄り添っていった方が、最終的にはうまくいきますよね。

太田：　ただ、かなり意思を持って動かしていかないと、日本ではなかなか実現はしないだろうと思っています。すでに一部の企業と実証実験をしていますが、今後多くの企業に真意を理解してもらって一般化していくのはなかなか難しい道のりですね。
そう考えると、もしかすると今後はEU のようにある程度法律ができていくことになるかもしれません。
 

 
岡本：　課題山積で道のりは遠そうですが、パーソナルデータを個人が簡単に管理できて企業と共有できるようになると、ユーザーにとっては便利になると思っています。
今の環境では企業側から見ると顧客との1to1のコミュニケーションを行っていても、個人の視点から見ると全部が細切れです。

例えば、僕はビームスやユナイテッドアローズや伊勢丹で服を買っていて、各社から色んな服をレコメンドされますが、僕自身の手持ちの服と合わせたコーディネートを提案してもらうことはできません。各社にあるのは僕がそれぞれで買った服の情報だけで、僕が持っている服の全体像はどこも持っていないからです。
「今年はこのセーターを買うと、あのパンツとこのジャケットでこんなコーディネートができますよ」とレコメンドしてくれると嬉しいです。もちろんAIが対応するようになると思いますが、そのためには企業ごとにサイロ化されていない、統合されたデータが必要ですよね。
 
太田：　今はどうしても、中央集権的にデータが集まってしまっています。OpenAIのような集中型AIと分散型AIは戦えるのだろうかというのは、ずっと抱えているジレンマです。
OpenAIがどこまで信頼できるのか、という問題もありますが、現状ではその問題を感じさせないほどの利便性があります。それはデータが集約・分析された結果だとすると、データが分散化している場合、そこまでのAIが作れるのか、というのは今後の課題だと思います。

DataSignでは、「Bunsin」というアプリを出しています。そのBunsinというのは、Eメールアドレスを知らせたくないメルマガ購読やECサイト利用時に、本来のアドレスと異なる文字列を自動生成してくれるものです。この生成されたアドレスが分身になってくれるため、本当のアドレスを教える必要がありません。同時に該当のアドレスから届くメールは Bunsinを介して、本当のアドレスに届けられます。

もし例えば、そのBunsinに、自分の分身を作って面倒な買い物とかを分身に任せられますというAI機能ができたとしましょう。すると、ユーザーは「このAIはどこまで信頼できるだろう」「もし、悪意を持った人が運営していたら、登録したデータが乗っ取られて悪用されるのでは」と不安になることでしょう。
こうした状態をケアするためには、今後は各企業が ”DataSignという会社は、こんなガバナンスで運営されていて信頼できる会社です” という信頼性も、ちゃんと作っていく必要があります。
 
 
岡本：　なるほど！そこで情報銀行*に繋がるのですね。太田さんは、情報銀行の設立にも関わっていらっしゃいましたよね？

太田：　はい、総務省/経済産業省の「情報信託機能の認定スキームの在り方に関する検討会」の委員です。

太田：　僕らがやりたいことは、一元的に自分のデータは自分で管理できて、それらのデータを利用させるAIも個人が選べるようになることです。いまはこのAI、次は別のAIというように用途に合わせてAIを自分で選べるようにしていきたいのです。そのときに選ばれるAIというのは、表面的なセキュリティ面だけでなくガバナンス的にも信頼できる会社が運営するAIであると思います。そこは今後AIを開発する企業が、競争していくポイントになるでしょう。

太田：　Blueskyは良い例だと思っています。Blueskyは、Twitterの創業者のジャック・ドーシーが作ったサービスでオープンソース、分散型のSNSです。イーロン・マスクが買収したＸ（旧Twitter）は完全に中央集権的ですよね。フィードに流れてくる情報はＸが決めたアルゴリズムで流れてきます。
　
一方で、Blueskyはフィードに流す情報を選ぶアルゴリズムを選択できるようになっています。自分のIDもDIDになっていて、個人が完全にコントロールできるDIDではないのですが、自分のIDを一部、自分で管理できるようになっています。ユーザが利用するサービスを選択するときに、Twitterのような中央集権的なSNSを選ぶか、自分でコントロールできるようなSNSを選ぶか、という戦いが始まっていくのではないかと思います。

パーソナルデータの預け先を、信頼で選ぶ時代になる

太田：　ユーザのデータを企業が頑張って集めてそれを分析するのではなく、「ユーザから信頼してもらった上でデータを開示してもらう」ことが、これから重要になってくると思います。

岡本：　ブランドとしてユーザーの信頼を獲得できればデータを預ける先にもなれるということですね。

太田：　これからウォレットを展開するタイミングとして市場を見てみると、いま、Appleが非常にいいポジションにいますね。「情報は Apple に預けておくと安心」と感じているユーザーは多いと思います。すでにスマホの中にAppleが作ったウォレットがあり、アイデンティティウォレットが開始されてもそのスマホを使えばいいだけですし。
 
岡本：　でも、それは中央集権的ですよね。

太田：　実は、 Appleを 含めた各ブランドの規格をこれからは標準化していこうという動きがあります。これまでは Apple の製品を使い始めたら、データを他のブランドに動かすのが難しいためにずっとAppleの製品を使い続けないといけませんでした。今後は本人の意思に応じて、データを動かせるようなウォレットの規格を作って選択肢を提示していこうという動きです。

多くの企業、特にBtoCのサービスを運営する事業者はGoogleログインやFacebookログインなどのようないろいろな○○ログインに対応するために、これまではそれぞれのログイン機能に合わせたものを用意する必要があり、ユーザーもログインのときにいろんな会社のロゴが並んでいて、どれでログインしたんだっけ？と迷うこともあります。規格によってウォレットの仕様が統一されることで、こういった課題が解消されることはGAFAMのような既存のプラットフォーム以外の多くの企業やユーザーには良いことだと思っています。

そして、GoogleログインやFacebookログインのような○○ログインというのは、そのサービスを使っている人が多いから成り立つことなので、そこに今から日本の企業が参入して○○ログインを作ることはないと思います。
ただ新しくできるウォレットは規格が統一化されますので、世界中どの企業も競争環境が一緒になります。ですので、そこは日本が頑張るポイントでもあると思います。

岡本：　日本はGAFAMのようなプラットフォーマーを産み出すことはできませんでしたが、次の世代で新しい形のプラットフォーマーが出てくる可能性もあるということですね。

 
太田：　プラットフォーマーがデータを牛耳ってどうこうするというのではなくて、個人の自由や権利を尊重して、データを使えるような仕組みを戦略的に作っていく。それが、Trusted Webと呼ばれるものだと思っています。次のプラットフォームは、そういうものが主軸になるといいですね。

そういう点では、銀行が良いのではないかと思っています。そこには自分のお金も預けているし、自分の情報も預けているし、大事なものは銀行に預けるというのは分かりやすいですよね。「ヘルスケアの情報を、信頼できる銀行に預けましょう」というのも、ウォレットというのも銀行＝ウォレットとわかりやすいですよね。

岡本：　まさに「信託銀行」ですね

太田：富裕層の人は信託銀行に身の回りのこともお世話になることができますよね。それが、一般の人もAIを活用することによって低コストできるようになるのではないかと思います。
 

岡本：　今日はありがとうございました。とても勉強になりました。
時間がかかったり遅れたりしていても、進んでいく方向としては、太田さんのお考えのようになっていくのだろうと思います。違う言い方をすると、そうしないといけないのだろうとやっぱり思います。

太田さんが2012年頃から考えてきたことや、蓄えてきたことが花開くタイミングになってきましたね。

太田：　はい、いま、ようやくチャンスが訪れている状況だと思います。EUの規制に応じてプラットフォーマーが対応してきているので、そこにうまく乗っていきたいです。