★☆★JNSAメールマガジン 第92号 2016.8.10☆★☆

こんにちは
JNSAメールマガジン 第92号 をお届けします。

猛暑が続いていますが、あまりに暑いと日中の外出に身の危険を感じます。
日中は事務所内にひっそりと籠もっていて、夕方日が落ちたら外に出るのが良いと思いますが、なかなかそう言ってもいられません。
水分補給をしながら無理せずにお過ごし下さい。

さて、今回のリレーコラムは、パナソニック エコソリューションズ社の 福田 尚弘 様に「情報銀行と今後のセキュリティ・プライバシーの行方」をご寄稿いただきました。

【連載リレーコラム】
情報銀行と今後のセキュリティ・プライバシーの行方

(パナソニック エコソリューションズ社 システム開発センター 福田尚弘)

■新たなビジネスシーンの芽生え

スマートフォンを使って拡張現実(AR)と位置情報を扱ったゲームが爆発的な人気を得ています。また、欧米のフィンテックでは仮想通貨での決済システム、さらに人工知能が資産運用を助言する「ロボアドバイザー」が利用され始めています。ゲームではユーザーのスマートフォンの位置情報を共有し、その場の画像情報も拡張現実として扱います。決済情報、資産情報などは顧客への助言だけでなく、顧客情報としてそのユーザー以外のメリットとして利活用される可能性があります。ユーザー・顧客の「プライバシー情報」はユーザー自身のものから、クローズな空間での利用に限定されますが他の用途に積極的に転用される時代がやって来ています。

■新たなビジネスを支えるキー技術(認証・認可・APIアクセス制御)

個人のプライバシー情報が新たなビジネスシーンで積極的に利活用される時代となりました。ゲーム、決済のシーンでも「認証・認可・APIアクセス制御」の標準セキュリティプロトコルである「OAuth2.0/OpenID Connect」が使われています。このプロトコルは「認証・認可」と同時にプライバシー情報を転送し、その情報は「課金」「アクセス制限」などに利活用されます。例えばゲームのアプリと決済のアプリがバンキング標準のAPIで連結し、ゲーム課金が「パスワードレス」で便利にできるようになります。ユーザー情報や状態に合わせてアプリ機能への「アクセス権」もコントロールできます。課金のセキュリティ性を上げたければFIDO(Fast IDentity Online:ファイド)という「多要素認証」の認証技術の利用も可能です。そのようなアプリ間のAPIでの相互接続の整備が進んで来ています。

■プライバシー懸念

スマートフォンユーザーは、パスワードレスなど「手間無く」様々なアプリサービスを結合し、様々なサービスを組合せた利用ができるようになっています。ネット上のサービスだけでなく、IoTデバイスも同じ仕組みで接続できます。一方で、ユーザーのIoTデバイスに対する「プライバシー懸念」が今年、右肩上がりでクローズアップされています。IoTデバイスがアーリーアダプターに利用され始めたと同時に、米国大手サービサーの系列会社が販売するIoTデバイスに「プライバシー情報漏洩」の可能性があると専門化が指摘したことに起因しています。「様々なサービスを組合せた利用ができる」という事は組合せの増加により、ユーザーの意図しない結果を招く可能性を含んでいます。例えば資産アプリとゲームアプリを組み合わせた場合、「資産が多いゲームユーザーが誘導されて車に轢かれる」その原因が「アプリの脆弱性」なのか「プライバシー情報のコントロール設定」なのか等、そのユーザーにとって「組合せた利用価値」が増大する反面「潜在的な懸念」がトレードオフのように現れてくると思われます。

■情報銀行とは?

情報銀行を支えるその考え方は2006年ハーバード大学で登場し、日本では2013年からフォーカスされ始めました。今年、「政府はネット通販の購買履歴を一括管理する「情報銀行」の仕組み作りを後押しする。テレコム事業者など民間企業が情報銀行を作り、個人が利用できるようにする。2年後の利用開始を目指す。」との記事がニュースに載りました。「情報銀行」はパーソナル情報を取り扱うハブ(ブローカー)としてユーザーが安全安心にパーソナル情報を預け、それらを活用するものと言われています。なぜこのような仕組みが必要なんでしょうか?

現在のネット通販の購買履歴などの情報は通販の会社が各社毎に所有しています。顧客は必ずしも同じネット通販を使うとも限らず、製品販売やサービスを行う一企業はある個人に対する「まとまった顧客情報」を得ることは困難とされています。ある調査ではポイントカードで得られる顧客の消費動向は全体のせいぜい6%であるとされます。残り94%はわからないままに、企業はその情報を元にCRM(Customer Relationship Management)などで顧客の消費動向を分析し「広告」を行っているとされます。「的(まと)を得ない広告」が氾濫しているのが実情で、企業は顧客動向を掴めず生産性が向上しない原因でもあります。

企業が「100%の顧客情報を得る」というのはビジネスの事情から困難です。「個人情報は誰のものか?」と言えば「顧客のもの」です。企業がバラバラに顧客の個人情報を持つのでなく「いったん顧客に返す」というアプローチをVRM(Vendor Relationship Management)といいます。VRMでは「顧客が自身の購買情報を100%持つ」事でユーザー自身でRFP(購買要求提案)を生み出し、その要求に合う企業を選別するというものです。しかし選別には企業との「場」が必要となります。そのニュートラルな場を情報銀行がハブとして担うというものです。しかも情報銀行は「集めないビックデータ」すなわち、分散データベース(ブロックチェーンのようなもの)であっても良いと言います。

■プライバシー情報はユーザーが握る(CRMからVRMへ)

VRMでは「個人情報は顧客のもの」であり、「情報提供を受けたものが消費者のデータを分析し関係をコントロール」するCRMとは対極にあります。ユーザーは情報銀行に「個人情報を預ける」と情報銀行はユーザーのRFPと企業をつなぐブローカーとして存在することになります。尚、「2016年に開始されたマイナンバー制度とVRM・情報銀行は非常に近いポジションにある」とされます。「マイナンバーカードが持つ公的認証機能やマイポータルと連携すれば、ビジネスの可能性は広がる」とされています。

■マルチ・ステークホルダー

インターネットの仕組みはIETF(Internet Engineer Task Force)という標準化団体で標準化されてきた経緯があります。IETFが展開してきたインターネット標準は「クローズ」の考え方ではなく「オープン」です。インターネットに接続するユーザー間には企業組織のような上下関係はありません。IoTを考えれば、IoTデバイスを所有し、インターネットに接続するユーザー全てがそのIoTデバイスの「ステークホルダー」です。IoTデバイスの持つ「音声・画像・センサー」等から得られる情報を「リソース」と呼べば、「リソース」をインターネット経由で自在に提供し、そこでのアプリ間の相互接続は認証・認可・APIアクセス制御の技術で行うでしょう。IoTではインターネット上のマルチ・ステークホルダーがIoT機器を通じて互いに必要とする情報を交換することで、ユーザー個人が「要求する付加価値を形成」してゆくツールと成りうるでしょう。

■セキュリティ・プライバシーの行方

今までのセキュリティのあり方は「クローズドなセキュリティ」であったと言えます。「なるべく外と繋がない」というのがソリューションの基本でした。「繋ぐ場合は信頼できる相手」とだけ繋ぐという事でした。冷戦時代では米ソの科学技術競争があり、資本主義社会では企業間でも競争をしていました。消費でも「沢山買わせる」仕組みのため「クレジットカード」が導入されました。グローバル化の時代となり、無駄な消費を抑える「持続可能な社会の実現」が叫ばれるようになりました。「マルチ・ステークホルダー」の世界観では冷戦時にあった「競争」ではなく「限りあるリソース」を共有し、共に付加価値や社会を作り出す「共創」の時代だと言われます。そこでは「クローズ」から「オープン」への転換が求められています。

また、プライバシーの権利は「一人で居させて欲しい」という消極的・受動的な権利から「自己に関する情報の流れをコントロールする」という積極的・能動的な権利を含むとされ、「個人情報に対する個人の主体的なかかわりを確保する」ために「自己情報コントロール権(積極的プライバシー権)」という権利概念が主張されています。

コンピューター化社会で、その利便性を享受しながら産業の最適化を含めた社会のあり方を考えると「ひたすらプライバシーを守るセキュリティ」だけでは「共創社会」の実現は難しくなっていくでしょう。セキュリティは「プライバシー情報を利活用」しつつ「しっかり守る」というバランスが求められていると思います。そのためのセキュリティをどう実現するかが、今後の最大の課題ではないでしょうか?


#連載リレーコラム、ここまで

<お断り>本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。


【部会・WG便り】
★内部不正WGによるインタビュー連載「日本の人事と内部不正」を掲載しました。第1回目は、「トレンドマイクロ株式会社」様へのインタビューです。
  http://www.jnsa.org/result/2016/surv_soshiki/

★西日本支部では、8月25日(木)に勉強会を開催いたします。
 テーマ:AWSでセキュアなシステムを構築するノウハウ
 講演者:久保智夫氏(株式会社サーバーワークス)
 日 時:8月25日(木)18:30より(18:10受付開始)
 場 所:中央電力株式会社 大阪本社
 ※参加申込みは事務局までご連絡下さい。

★マイナンバー対応情報セキュリティ検討WGでは、8月31日(水)に勉強会を開催いたします。
  テーマ:マイナンバー制度の最新情報や動向、今後の展望
  講演者:楠 正憲氏(ヤフー株式会社CISO Board|内閣官房政府CIO補佐官)
  日 時:8月31日(水)13:30-15:00
  場 所:ハロー貸会議室虎ノ門3F(東京都港区虎ノ門1-2-12)
  ※参加申込みは事務局までご連絡下さい。

★「第6回 産学情報セキュリティ人材育成交流会」を開催します。今回は大阪でサテライト会場も設けます。
 日時:2016年9月20日(火)14:00−19:00
 場所:東京大学本郷キャンパス(文京区本郷7-3-1)
 <交流会開催案内>
  http://www.jnsa.org/internship/event.html
 ※参加申込みの受付は近日中に開始いたします。

 「JNSAインターンシップ」参加企業も随時受付しております。
 ご興味ある企業ご担当者様は、事務局までご連絡下さい。

★9月10日(土)に弘前市で開催のSECCON「CTF for ビギナーズ 2016 弘前」参加申込み受付中です。募集案内はSECCONサイトhttp://2016.seccon.jp/news/#20をご覧下さい。


【事務局からの連絡、お知らせ】
★8月12日(金)は事務局は夏期休業といたします。15日(月)以降は通常業務となります。
☆コラムに関するご意見、お問い合わせ等はJNSA事務局まで
 お願いします。

*************************************
JNSAメールマガジン 第92号
発信日:2016年8月10日
発行: JNSA事務局 jnsa-mail
*************************************
Copyright (C)  Japan Network Security Association. All rights reserved.