プライバシと情報セキュリティ 暗号化・秘匿化 ·...
TRANSCRIPT
プライバシと情報セキュリティ
-暗号化・秘匿化-
北陸先端科学技術大学院大学
情報科学研究科
宮地 充子
JAIST-logo.jpg
2/21 @ atsuko miyaji 2013
自己紹介
北陸先端科学技術大学院大学
日本学術会議 情報学委員会 安全・安心分科会 幹事
情報セキュリティに関する研究及び教育
数学的観点での情報セキュリティの研究
楕円曲線暗号(加算連鎖,楕円曲線の構成)
情報セキュリティ技術の国際標準化活動
2000年より ISO でeditorとして国際規格の作成
国際規格 楕円暗号:15946-1, 4, 5, 署名:9796-3,
国際規格 タイムスタンプ:18014, ストリーム暗号 :18033-4発行
国際規格 鍵共有:11770-3, 暗号全般 18033-1作成中
情報セキュリティ国際学会への貢献
91 International Conf のPC委員
3 International Conf PC委員長
3 International Journal のeditor
JAIST-logo.jpg
3/21 @ atsuko miyaji 2013
マイナンバー性の不安1-知らないうちに情報利用-
自分の特定個人情報をいつ,誰が,なぜ情報提供したのを確認する機能(附則第6条第5項)
・自分の特定個人情報を第3者が入手する際は自分の許可を
得て欲しい
・緊急時だけ,自分の許可なしに入手しても良い.
・必要な情報だけを渡したい
・必要な情報だけが渡ったことを検証したい
JAIST-logo.jpg
4/21 @ atsuko miyaji 2013
マイナンバー性の不安2-名寄せ-
部分的な個人情報,断片的な個人情報が「名寄せ」され累積され,ついには,「完全な個人情報に化ける」
銀行
水道
電力 通信・放送
病院
物流(宅急便)
明日から、海外旅行だ!
ツイッター、facebookでつぶやく
盗難団が来る
完全に本人を特定
JAIST-logo.jpg
5/21 @ atsuko miyaji 2013
プライバシとは何か?
プライバシー(英: Privacy)の権利とは,私生活上の事柄をみだりに公開されない法的な保障と権利である.
利用サービス,閲覧ページの履歴,検索キーワード,送受信メールの内容,利用時間帯,携帯端末の個体識別情報,購入商品,利用環境,性別,郵便番号,職業,年齢,身長,体重
1. 個人の私生活上の事実情報(可能性のあるものも含む)に 関する情報 2. 公知になっていない. 3. 私人としては,通常は公開を望まない内容である.
電子化されるプライバシ
(出典:wikipedia「個人情報」)
JAIST-logo.jpg
6/21 @ atsuko miyaji 2013
収集されるプライバシ
店舗
検索履歴
ゲーム
利用情報 アプリ
利用情報
ネット閲覧履歴 スマートフォン
通話履歴 e-mail 商品
購入履歴
SNSの利用履歴 映像・写真情報 位置情報 電話帳データ
1234 5678 91011
契約者・端末固有ID
スマートフォンはPCより利用者との結びつきが強い
⇒行動,通信履歴など多数のプライバシ情報の収集可能
JAIST-logo.jpg
7/21 @ atsuko miyaji 2013
収集されたプライバシの有効利用
•カイザー・パーマネント(医療提供団体,US) 収集した臨床データ分析により,1999年から2003年にかけて
生じた2万7000人もの心臓発作による死亡事件の原因がVioxxと判明.
•グーグルのインフルエンザ予報
情報検索により,インフルエンザの発生を予測,あるいは発生地域を確定インフルエンザの影響を減少.
•日本でも製薬会社がツイッターを利用し「カゼミル+」により,どの地域でどんな風邪が流行っているかを分析するサービスを提供.
(『1冊でわかるビッグデータ』(日経BP社・2012年)
JAIST-logo.jpg
8/21 @ atsuko miyaji 2013
収集されたプライバシの灰色利用
①会員登録
②カード発行
③商品,サービス+ポイント
④商品,サービス代
⑤ポイント販売
⑩ポイント代
-手数料
⑥ポイント代+手数料
⑨ポイント買収
⑦商品,サービス
⑧商品,サービス-ポイント
会員
CCC
ポイントを使える
提携企業
ポイントを貯める
提携企業
• Amazon などの商品推薦
•Tポイント,医薬品購入データを取得し,販促に利用.
「何て気が利くんだろう」
「気持ち悪い.」
JAIST-logo.jpg
9/21 @ atsuko miyaji 2013
収集されたプライバシの悪用
悪用:一次サービス事業者にて利用者が想定していない情報の使われ方をした状態.
露出:利用者が想定していない人に情報が渡った状態.
想定していない人としては 「第三者の事業者」,「不特定多数の一般人」,「特定の一般人」等が考えられる.
JAIST-logo.jpg
10/21 @ atsuko miyaji 2013
異業種連携と個人情報保護
利用者
組織
A
店舗・利用履歴
B
B A
連携
金沢に行かれるのでしたら評判の高い寿司屋を紹介します
A B C
一次サービス事業者にて利用者が想定していない情報の使われ方をした状態.
利用者が想定していない人に情報が渡った状態.
JAIST-logo.jpg
11/21 @ atsuko miyaji 2013
安心できる個人情報データベースの技術
データベース
PDP/PoR 依頼
OK/NG
・PDP/PoR ・検証機能付きデータの秘匿保存 ・検証機能付きデータ消去
検証機能付きデータ管理 データ消去依頼
データ所有者
統計的データ データ所有者・解析機関のトレース
信頼機関
統合機関
セキュアな トレーサビリティ
PPDM
解析機関
利用機関(サービス事業者) 1次/2次利用
解析機関
データ所有者
PPDM: Privacy Preserving Data Mining PDP: Proof of Data Possession: 検証機能付きデータの秘匿保存 PoR: Proof of Retrievability: 検証機能付きデータ管理 Secure erasure with proof: 検証機能付きデータ消去
JAIST-logo.jpg
12/21 @ atsuko miyaji 2013
プライバシデータマイニング
ユーザー 性別 年齢 車 年収 持家 介護
宮地 F 20s Y 820 0 0
蘇 M 40s N 1020 0 1
布田 M 30s Y 980 1 1
面 F 30s Y 939 0 1
陳 F 40s N 1007 1 0
田中 M 20s N 1012 1 1
Attribute Target
収集したデータの統計処理
協調フィルタリング,ターゲットマーケティングに利用
持家の人と介護をする人の平均年収,年齢,自動車の有無などの
統計処理によりターゲットマーケティングに利用.
JAIST-logo.jpg
13/21 @ atsuko miyaji 2013
プライバシ保護のアプローチ
データ
匿名化
摂動
分割
暗号化
マイニング
統計処理
知識
ノイズ除去
復元
復号
マイニング
マイニング
分散計算
秘匿計算
•データベース,マイニングから個人を特定できないようにする.
•データマイニングの結果は真の結果と有意な差がない.
JAIST-logo.jpg
14/21 @ atsuko miyaji 2013
データベースの分割(Partitioning)
データベースを複数の部分に分割することである. データベース分割は,管理しやすさ,性能,可用性などの向上 を理由として行われる.
水平分割 (horizontal partitioning) 1つのテーブルの各行を別々のテーブルに分散させることである. 垂直分割 (vertical partitioning) テーブルの一部の列だけを抜き出す形で分割を行う
JAIST-logo.jpg
15/21 @ atsuko miyaji 2013
垂直分割 (partitioning)
関係者
施設 A, B
代理店
対象
介護する人の 年収
性別
年齢 車 年収 持家 介護
F 20s Y 820 0 0
M 40s N 1020 0 1
M 30s Y 980 1 1
F 30s Y 938 0 1
F 40s N 1007 1 0
M 20s N 1012 1 1
代理店 施設
JAIST-logo.jpg
16/21 @ atsuko miyaji 2013
水平分割の延長
多重水平分割
性別 年齢 車 収入 持家 介護
F 20s Y 820 0 0
M 40s N 1020 0 1 1
M 30s Y 980 1 1
F 30s Y 938 0 1
F 40s N 1007 1 0
自分の履歴は内緒
JAIST-logo.jpg
17/21 @ atsuko miyaji 2013
k- anonymity (k-匿名性)
個人を他のk-1人に紛れさせる
ユーザー 性別 年齢 車 年収
(1K超) 持家 介護
宮地 F 20s Y N 0 0
蘇 M 30s Y N 1 1
布田 F 30s Y N 0 1
面 M 40s N Y 0 1
陳 F 40s N Y 1 0
田中 M 20s N Y 1 1
Attribute Target
3 anonymity
3 anonymity
JAIST-logo.jpg
18/21 @ atsuko miyaji 2013
暗号手法 ー秘匿計算ー
E(m) 1. Indistinguishablity(識別不可能)
Given E(m), E(m’), no one see if m = m’ 2. homomorphic property(準同型)
E(a)E(b) = E(a+b), E(a)x = E(ax) 3. Randomizability(ランダム化)
Able to compute new E(m’) from E’(m) 4. threshold decryption(しきい値複号)
Allow distributed decryption with private keys sk1, sk2, and sk3
データは変更せずに,秘匿したまま統計処理を行い,
統計結果のみを復号して入手する.
JAIST-logo.jpg
19/21 @ atsuko miyaji 2013
秘匿計算
ユーザー 性別 年齢 車 年収 持家 介護
宮地 F 20s Y E(820) 0 0
蘇 M 40s N E(1020) 0 1
布田 M 30s Y E(980) 1 1
面 F 30s Y E(938) 0 1
陳 F 40s N E(1007) 1 0
田中 M 20s N E(1012) 1 1
持家の人の平均年収を求める.
E(820)+E(1020)+E(938)
=E(820+1020+938)
=E(2778)
2778/3=923
JAIST-logo.jpg
20/21 @ atsuko miyaji 2013
セキュア集合積プロトコル |A∩B|
集合の交わりの個数 |A ∩ B| を求める
銀行A 銀行B
NISA顧客リストSA NISA顧客リストSB
|SA∩SB | 2重登録者の人数のみわかる
JAIST-logo.jpg
21/21 @ atsuko miyaji 2013
プライバシに関する課題と情報セキュリティ
①誰も予めどのような情報が得られるかがわからない プライバシデザインの限界 ②従来の個人情報保護法は,個人の情報(個人を識別できる情報) を対象としていたが,それで十分か? (個人情報がすでに匿名化されている)
③匿名化(anonymization) の限界 名前や住所なしでも,さまざまな情報源を組み合わせ,関連づけ可.
個人情報が広く正確かつ詳細に把握できる技術. 関連づけ不可能化技術が重要 ④プロファイリングに基づく判断はコンピュータが自動的に行う. クレジット供与の信用度,保険加入や社会保障給付の可否に 関する判断,雇用に関する判断など機械が自動的に決定 セキュリティ制御システムが必要 ⑤プロセスが当該対象者には見えない. プロセスの正確性・信用度を検証することが重要.