秘匿クロス統計技術| NTTドコモ

なぜ、企業間のデータ連携が必要なのか？

データに基づく意思決定は広く社会に浸透し、さまざまな社会課題の解決においてデータ活用の重要性が増しています。
たとえば、ドコモの「モバイル空間統計^®」は、携帯電話ネットワークの運用データを非識別化処理、集計処理、秘匿処理の手順により人口統計情報を作成しています。この統計情報により、集団としての人々の社会活動に関する推移（いつ、どんな人が、どこに、どれくらい集まり、それが時間の経過とともにどう変化していくか）を把握し、プライバシー情報を保護した上で、効果的なまちづくりや防災計画、渋滞予測などの社会課題解決に貢献しています。
しかし、1つの企業が持つデータだけでわかることには限界があります。もし、複数の企業のデータを安全に組み合わせることができれば、自社が保有するデータだけでは把握できない新しい知見を発見することが期待できます。
ただし、企業間のデータ連携には、プライバシー保護という課題があります。

企業間のデータ連携を阻む、プライバシー課題

企業間のデータ連携におけるプライバシー課題は、下記の2つにわけられます。

課題1

処理過程でのプライバシーの漏洩リスク：データを入力・集計処理中に連携先の企業や第三者に対して入力データに関する個人情報を含むプライバシー情報が開示されること

課題2

出力結果からのプライバシーの漏洩リスク：企業横断で集計処理した出力データからプライバシー情報が開示されること
企業のデータには個人のプライバシー情報が含まれるため、組織横断でデータを活用するには、法令順守のみならず、課題1、2を解決しない限り、安全なデータ連携は実現できません。

安全なデータ連携に不可欠な安全性要件

企業間でデータを連携する際にプライバシーを保護し、前述した2つの課題を解決するためには、以下の2つの安全性要件を同時に満たす必要があります。

安全性要件1

データ連携前に個人を識別できないデータに加工するとともに、データ連携中に自社のデータが他社に明かされないこと

安全性要件2

データ連携後の出力データにおけるプライバシー情報が保護されること

この2つの要件は、安全なデータ連携を行う上でどちらも欠かすことのできないものです。1つでも欠ければ、お客さまのプライバシーを危険にさらすことになり、プライバシー侵害につながる恐れがあります。

安全なデータ連携を実現する「秘匿クロス統計技術」

前項で示した2つの安全性要件をどちらも満たすのが、NTTの協力を得てドコモが開発した「秘匿クロス統計技術^®」です。この技術は、企業が互いにデータを明かすことなく、プライバシーが保護された統計情報を作成することを可能にします*1。

明かすことなく：一連の処理を人の目に触れることなく機械が行うことを技術的に保証すること

その安全性は、単一の技術ではなく、それぞれ役割の異なる以下の要素技術を効果的に組み合わせることで実現されています。

A 非識別化処理

データ連携の前に、各社が保有するIDを不可逆変換し、非識別化ハッシュを得ます。さらに、各社のそれぞれの暗号鍵で、非識別化ハッシュの暗号化を行います。

B セキュアマッチングプロトコル（Private Set Intersection Cardinality ; PSI-CA）による集計処理

暗号化された非識別化ハッシュを暗号状態のまま、両社の共通する非識別化ハッシュ（暗号文）の個数を集計し、集計データ（暗号文）を得ます。これにより、処理の過程で他社に元データが明かされることはありません。

C 差分プライバシー（Differential Privacy）に基づく秘匿処理

PSI-CAで得られた集計データ（暗号文）に暗号状態のまま、数学的な理論に基づいてノイズを付与した上で復号し、統計情報を得ます。この統計情報は集団の人数のみをあらわす人口統計情報であり、お客さま個人を特定することはできません。また、差分プライバシーは米国国勢調査局でも採用されています。

D 隔離実行環境（Trusted Execution Environment ; TEE）

A～Cの処理を各企業が保有するそれぞれのTEE内で実施します。これにより、プライバシーを保護する適切なプログラムが、意図通りに実行されていることを保証します。

これらの技術のうち、いずれか一つだけを用いても、安全なデータ連携を実現することはできません。なぜなら、データ連携におけるプライバシーリスクは一つではなく、下記のとおり、それぞれの技術が守る範囲が異なるためです。

PSI-CAだけでは、データを暗号化したまま集計できますが、最終的にできあがった集計表から個人が特定されてしまうリスクが残ります。
差分プライバシーに基づく秘匿処理だけでは、集計表の安全性を高めることができますが、その計算過程でデータが暗号化されていなければ、元のデータが明かされてしまうリスクを防げません。
TEEだけでは、計算環境の完全性は確保できますが、プライバシーを保護しない不適切なプログラムが実行されるリスクは防げません。

このように秘匿クロス統計技術の要素技術はそれぞれの強みを活かしつつ、互いの弱点を補完する関係にあります。データが入力されてから、統計情報として出力されるまで、一度も途切れることなく安全性を確保するには、これらの技術を効果的に組み合わせることが不可欠です。

事例：JAL、JALカード、ドコモのデータ連携

実際に秘匿クロス統計技術を用いた事例を紹介しましょう。JAL、JALカード、ドコモのデータ連携です。ここでは、JALが保有する「国内線航空券の予約データの搭乗に関する情報」と、ドコモが保有する「携帯電話ネットワークの運用データ」を連携し、「空港到着前の顧客の移動状況に関する統計情報」を作成しました。これにより、搭乗予定客の空港到着前の移動状況が統計的に明らかになり、状況に応じた適切なご案内を行うなど、定時出発率の向上に向けた施策が可能となりました。

なぜ、定時出発率の向上をめざす上で「JAL、ドコモのデータを連携させる取組み」を実施したのでしょうか。JALは、自社の顧客がどの便に搭乗するかは把握できますが、搭乗前にどこにいるかはわかりません。ドコモは、その運用データを用いてエリアごとの人口を推計できますが、飛行機で移動するために空港に来訪しているのか、それとも、見送りなどのために来訪しているかはわかりません。JALのデータとドコモのデータを安全に連携することではじめて、このような施策が実現できました。

事例 JAL、JALカード、ドコモが、顧客体験価値向上と社会課題の解決に向けて、「秘匿クロス統計技術」を用いた企業横断でのデータ活用の実証実験を表した図

参考：JAL、JALカード、ドコモが、顧客体験価値向上と社会課題の解決に向けて、「秘匿クロス統計技術」を用いた企業横断でのデータ活用の実証実験を開始，2022年10月.

まとめ

自社のデータ活用は一通りやりつくした。しかし、次の一手が見つからない。
多くの企業が持つそのような悩みの解決策が、他社とのデータ連携です。しかし、そこには法令順守のみならずプライバシーという課題があります。
この課題を解決するために開発されたのが「秘匿クロス統計技術」です。
秘匿クロス統計技術の重要な点は、JAL、JALカード、ドコモの事例でも示したとおり、個を特定するデータを使わずに、プライバシーが保護された統計情報だけで顧客理解を深める点です。顧客のために良かれと思って理解を深めようとするときにも、個を特定することができない安全な統計情報のみを用いれば、顧客のプライバシー侵害をせずに顧客に寄り添った施策を講ずることができます。
プライバシーを尊重し法令を遵守しながら、安全なデータ連携を実現したい。そのような想いを実現する上で、秘匿クロス統計技術は貢献いたします。