プライバシと情報セキュリティ

-暗号化・秘匿化-

北陸先端科学技術大学院大学

情報科学研究科

宮地 充子

JAIST-logo.jpg

2/21 @ atsuko miyaji 2013

自己紹介

北陸先端科学技術大学院大学

日本学術会議 情報学委員会 安全・安心分科会 幹事

情報セキュリティに関する研究及び教育

数学的観点での情報セキュリティの研究

楕円曲線暗号（加算連鎖，楕円曲線の構成）

情報セキュリティ技術の国際標準化活動

2000年より ISO でeditorとして国際規格の作成

国際規格 楕円暗号：15946-1, 4, 5, 署名：9796-3,

国際規格 タイムスタンプ：18014, ストリーム暗号 ：18033-4発行

国際規格 鍵共有：11770-3, 暗号全般 18033-1作成中

情報セキュリティ国際学会への貢献

91 International Conf のPC委員

3 International Conf PC委員長

3 International Journal のeditor

JAIST-logo.jpg

3/21 @ atsuko miyaji 2013

マイナンバー性の不安1－知らないうちに情報利用－

自分の特定個人情報をいつ，誰が，なぜ情報提供したのを確認する機能（附則第6条第5項）

・自分の特定個人情報を第3者が入手する際は自分の許可を

得て欲しい

・緊急時だけ，自分の許可なしに入手しても良い．

・必要な情報だけを渡したい

・必要な情報だけが渡ったことを検証したい

JAIST-logo.jpg

4/21 @ atsuko miyaji 2013

マイナンバー性の不安2－名寄せ－

部分的な個人情報，断片的な個人情報が「名寄せ」され累積され，ついには，「完全な個人情報に化ける」

銀行

水道

電力 通信・放送

病院

物流（宅急便）

明日から、海外旅行だ！

ツイッター、facebookでつぶやく

盗難団が来る

完全に本人を特定

JAIST-logo.jpg

5/21 @ atsuko miyaji 2013

プライバシとは何か？

プライバシー（英: Privacy）の権利とは，私生活上の事柄をみだりに公開されない法的な保障と権利である．

利用サービス，閲覧ページの履歴，検索キーワード，送受信メールの内容，利用時間帯，携帯端末の個体識別情報，購入商品，利用環境，性別，郵便番号，職業，年齢，身長，体重

1. 個人の私生活上の事実情報（可能性のあるものも含む）に 関する情報 2. 公知になっていない． 3. 私人としては，通常は公開を望まない内容である．

電子化されるプライバシ

（出典：wikipedia「個人情報」）

JAIST-logo.jpg

6/21 @ atsuko miyaji 2013

収集されるプライバシ

店舗

検索履歴

ゲーム

利用情報 アプリ

利用情報

ネット閲覧履歴 スマートフォン

通話履歴 e-mail 商品

購入履歴

SNSの利用履歴 映像・写真情報 位置情報 電話帳データ

1234 5678 91011

契約者・端末固有ID

スマートフォンはPCより利用者との結びつきが強い

⇒行動，通信履歴など多数のプライバシ情報の収集可能

JAIST-logo.jpg

7/21 @ atsuko miyaji 2013

収集されたプライバシの有効利用

•カイザー･パーマネント（医療提供団体，US） 収集した臨床データ分析により，1999年から2003年にかけて

生じた2万7000人もの心臓発作による死亡事件の原因がVioxxと判明．

•グーグルのインフルエンザ予報

情報検索により，インフルエンザの発生を予測，あるいは発生地域を確定インフルエンザの影響を減少．

•日本でも製薬会社がツイッターを利用し「カゼミル＋」により，どの地域でどんな風邪が流行っているかを分析するサービスを提供．

（『1冊でわかるビッグデータ』（日経ＢＰ社・2012年）

JAIST-logo.jpg

8/21 @ atsuko miyaji 2013

収集されたプライバシの灰色利用

①会員登録

②カード発行

③商品，サービス＋ポイント

④商品，サービス代

⑤ポイント販売

⑩ポイント代

－手数料

⑥ポイント代＋手数料

⑨ポイント買収

⑦商品，サービス

⑧商品，サービス－ポイント

会員

CCC

ポイントを使える

提携企業

ポイントを貯める

提携企業

• Amazon などの商品推薦

•Ｔポイント，医薬品購入データを取得し，販促に利用．

｢何て気が利くんだろう｣

｢気持ち悪い．｣

JAIST-logo.jpg

9/21 @ atsuko miyaji 2013

収集されたプライバシの悪用

悪用：一次サービス事業者にて利用者が想定していない情報の使われ方をした状態．

露出：利用者が想定していない人に情報が渡った状態．

想定していない人としては 「第三者の事業者」，「不特定多数の一般人」，「特定の一般人」等が考えられる．

JAIST-logo.jpg

10/21 @ atsuko miyaji 2013

異業種連携と個人情報保護

利用者

組織

A

店舗・利用履歴

B

B A

連携

金沢に行かれるのでしたら評判の高い寿司屋を紹介します

A B C

一次サービス事業者にて利用者が想定していない情報の使われ方をした状態．

利用者が想定していない人に情報が渡った状態．

JAIST-logo.jpg

11/21 @ atsuko miyaji 2013

安心できる個人情報データベースの技術

データベース

PDP/PoR 依頼

OK/NG

・PDP/PoR ・検証機能付きデータの秘匿保存 ・検証機能付きデータ消去

検証機能付きデータ管理 データ消去依頼

データ所有者

統計的データ データ所有者・解析機関のトレース

信頼機関

統合機関

セキュアな トレーサビリティ

PPDM

解析機関

利用機関（サービス事業者） １次/２次利用

解析機関

データ所有者

PPDM: Privacy Preserving Data Mining PDP: Proof of Data Possession: 検証機能付きデータの秘匿保存 PoR: Proof of Retrievability: 検証機能付きデータ管理 Secure erasure with proof: 検証機能付きデータ消去

JAIST-logo.jpg

12/21 @ atsuko miyaji 2013

プライバシデータマイニング

ユーザー 性別 年齢 車 年収 持家 介護

宮地 F 20s Y 820 0 0

蘇 M 40s N 1020 0 1

布田 M 30s Y 980 1 1

面 F 30s Y 939 0 1

陳 F 40s N 1007 1 0

田中 M 20s N 1012 1 1

Attribute Target

収集したデータの統計処理

協調フィルタリング，ターゲットマーケティングに利用

持家の人と介護をする人の平均年収，年齢，自動車の有無などの

統計処理によりターゲットマーケティングに利用．

JAIST-logo.jpg

13/21 @ atsuko miyaji 2013

プライバシ保護のアプローチ

データ

匿名化

摂動

分割

暗号化

マイニング

統計処理

知識

ノイズ除去

復元

復号

マイニング

マイニング

分散計算

秘匿計算

•データベース，マイニングから個人を特定できないようにする．

•データマイニングの結果は真の結果と有意な差がない．

JAIST-logo.jpg

14/21 @ atsuko miyaji 2013

データベースの分割（Partitioning）

データベースを複数の部分に分割することである． データベース分割は，管理しやすさ，性能，可用性などの向上 を理由として行われる．

水平分割 (horizontal partitioning) 1つのテーブルの各行を別々のテーブルに分散させることである． 垂直分割 (vertical partitioning) テーブルの一部の列だけを抜き出す形で分割を行う

JAIST-logo.jpg

15/21 @ atsuko miyaji 2013

垂直分割 (partitioning)

関係者

施設 A, B

代理店

対象

介護する人の 年収

性別

年齢 車 年収 持家 介護

F 20s Y 820 0 0

M 40s N 1020 0 1

M 30s Y 980 1 1

F 30s Y 938 0 1

F 40s N 1007 1 0

M 20s N 1012 1 1

代理店 施設

JAIST-logo.jpg

16/21 @ atsuko miyaji 2013

水平分割の延長

多重水平分割

性別 年齢 車 収入 持家 介護

F 20s Y 820 0 0

M 40s N 1020 0 1 1

M 30s Y 980 1 1

F 30s Y 938 0 1

F 40s N 1007 1 0

自分の履歴は内緒

JAIST-logo.jpg

17/21 @ atsuko miyaji 2013

k- anonymity (k-匿名性）

個人を他のk-1人に紛れさせる

ユーザー 性別 年齢 車 年収

(1K超） 持家 介護

宮地 F 20s Y N 0 0

蘇 M 30s Y N 1 1

布田 F 30s Y N 0 1

面 M 40s N Y 0 1

陳 F 40s N Y 1 0

田中 M 20s N Y 1 1

Attribute Target

3 anonymity

3 anonymity

JAIST-logo.jpg

18/21 @ atsuko miyaji 2013

暗号手法 ー秘匿計算ー

E(m) 1. Indistinguishablity（識別不可能）

Given E(m), E(m’), no one see if m = m’ 2. homomorphic property（準同型）

E(a)E(b) = E(a+b), E(a)x = E(ax) 3. Randomizability（ランダム化）

Able to compute new E(m’) from E’(m) 4. threshold decryption（しきい値複号）

Allow distributed decryption with private keys sk1, sk2, and sk3

データは変更せずに，秘匿したまま統計処理を行い，

統計結果のみを復号して入手する．

JAIST-logo.jpg

19/21 @ atsuko miyaji 2013

秘匿計算

ユーザー 性別 年齢 車 年収 持家 介護

宮地 F 20s Y E(820) 0 0

蘇 M 40s N E(1020) 0 1

布田 M 30s Y E(980) 1 1

面 F 30s Y E(938) 0 1

陳 F 40s N E(1007) 1 0

田中 M 20s N E(1012) 1 1

持家の人の平均年収を求める．

E(820)+E(1020)+E(938)

=E(820+1020+938)

=E(2778)

2778/3=923

JAIST-logo.jpg

20/21 @ atsuko miyaji 2013

セキュア集合積プロトコル |A∩B|

集合の交わりの個数 |A ∩ B| を求める

銀行A 銀行B

NISA顧客リストSA NISA顧客リストSB

|SA∩SB | 2重登録者の人数のみわかる

JAIST-logo.jpg

21/21 @ atsuko miyaji 2013

プライバシに関する課題と情報セキュリティ

①誰も予めどのような情報が得られるかがわからない プライバシデザインの限界 ②従来の個人情報保護法は，個人の情報（個人を識別できる情報） を対象としていたが，それで十分か？ （個人情報がすでに匿名化されている）

③匿名化(anonymization) の限界 名前や住所なしでも，さまざまな情報源を組み合わせ，関連づけ可．

個人情報が広く正確かつ詳細に把握できる技術． 関連づけ不可能化技術が重要 ④プロファイリングに基づく判断はコンピュータが自動的に行う． クレジット供与の信用度，保険加入や社会保障給付の可否に 関する判断，雇用に関する判断など機械が自動的に決定 セキュリティ制御システムが必要 ⑤プロセスが当該対象者には見えない． プロセスの正確性・信用度を検証することが重要．