富士通研究所は7月19日、パーソナルデータに関するプライバシーリスクの自動評価技術を開発したことを発表した。これにより、複数の組織間での安全なデータ連携をスピーディーに行うことが可能になるとしている。

2017年中に施行予定の改正個人情報保護法では、パーソナルデータに匿名加工を行うことで本人の同意なく第三者提供が可能となる。パーソナルデータを提供する際、匿名加工データから個人を特定されるリスクを評価する必要があるが、対策は容易ではなく、従来は専門家による確認、評価に時間がかかっていたことが課題となっているという。

改正個人情報保護法における匿名加工情報の第三者による利活用のイメージ

そのため同研究所は、匿名加工データから個人が特定されるリスクの評価と対策をスピーディーに実行するには、最も個人を特定しやすい属性を探索したうえで、適切な匿名化手法を適用することが重要であると考え、同技術を開発。

具体的には、個人を特定しやすい属性の組み合わせから優先的に評価すべき属性を抽出することで、効率的に探索する技術を開発。より少ない属性の組み合わせで特定できるデータベース上の行(レコード)は、それより多い属性の組み合わせでも特定できる性質を利用し、不要な探索を省略する。

例えば、年齢と職業だけで特定できるレコードは、年齢と職業と本籍でも当然特定できるので、後者の組み合わせの探索は省略するとしている。

一部の属性の組み合わせで個人を特定できる例

あわせて、データの中で最も個人を特定しやすい属性の組み合わせを分析してその容易度を定量化して個人の特定しやすさを比較できる技術も開発。同技術により、優先的に匿名化すべき属性がすぐにわかるようになるという。

さらに、データが漏洩した際の想定損害賠償額の算出や各種匿名化ガイドラインへの適合性を判定する技術も開発された。

同技術を用いることで、14属性、1万人のデータに対しても、3分以内という現実的な時間内での自動リスク評価が可能となったという。同技術は、データの分布に基づいたリスク評価を行うため、属性値の価値の重さを定義した辞書などは不要となる。

今回開発された技術の概要