本記事では、Inpherが発表した、EDPB(欧州データ保護委員会)の個人情報保護を確実にする情報連携技術に関する助言を簡単にまとめています。
Inpherとは
Inpherは、アメリカとスイスを拠点とする、暗号化及び機械学習のサービスを提供する企業です。
完全準同型暗号(FHE)やマルチパーティ計算(MPC)に関する学術的な研究や、それらを応用したヘルスケア、金融サービス及び、AIなどの開発を行なっています。
過去には、「Secret Computing®︎」という、暗号化した状態でのデータ処理を可能にする技術を開発しています。
助言の内容
Inpherは、自らがMPCをはじめとする暗号化技術を研究開発している立場から、EDPBが、欧州経済領域(EAA)外部にデータを持ち出す際にMPC技術を推奨していることを支持しています。
なお、以下は、InpherがMPCがデータ保護に重要だと考えている理由の一部です。
- 暗号化されていない状態の個人情報が、個人情報の保護に関する法整備が不十分な地域への転送されてしまうことを防止できるため。
- MPCを用いることで、機密データは分散して暗号化された状態になり、この状態であれば、個人を特定することなく、複数の関係者が機密データを利用することができるため。
- この、複数の関係者が機密データにアクセスできる状態を作ることで、データにアクセスする人数を最小限に抑えることができるため。
- MPCを使用することで、個人データが暗号化されない状態でEAA域外に転送されることや、データ管理者など、データを取り扱う関係者の施設内にも転送されなくなり、コンプライアンスに準拠したデータの連携が可能となるため。
上記で述べたように、データ保護に重要であるMPCなどのプライバシー保護技術は、データ利活用によるイノベーションの創出や、経済活動の促進に欠かせない存在です。
さらに、Inpherのこれまでの取り組みにより、MPCは、インドやタイのようにデータ保護に関する法的取り組みがまだ初期段階である国々など、今後新たな市場となる地域への企業活動の進出の際に必要不可欠であることが、経験則として明らかになっています。
一般的に、暗号化技術を用いることにより、論理的にはデータの安全性を保証することが可能です。しかし、データの連携先での情報の取り扱いや、内部犯などの存在により、その安全性が脅かされてしまう危険性が存在します。
また、GDPRなどにおいては、組織は、データ漏洩を防ぐための保護措置を実施することが求められています。対策としては、PET(Privacy-Enhancing Technologies)を使用し、データを暗号化し、不必要な公開から個人情報を守ることが挙げられます。
まとめ
本記事では、Inpherが発表した、EDPB(欧州データ保護委員会)の個人情報保護を確実にする情報連携技術に関する助言を簡単にまとめました。
- EDPBは、欧州経済領域(EAA)外部にデータを持ち出す際にMPC技術を用いることが有効であることを推奨している。
- Inpherは、そのEDPBの姿勢を支持している。
- MPCを用いることにより、国外でのデータ活用時であっても、生データを国外に持ち出す必要がなくなり、コンプライプライアンス準拠したデータ連携が可能となる。
- 企業は、GDPRなどにより、データ取り扱い時の情報漏洩を防ぐことが求められている。
- 企業は、データ漏洩の防止や、データ漏洩時の説明責任を果たすため、PETを使用してデータを暗号化するなどの対策を講じる必要がある。