情報銀行の活性化、鍵になるのは信頼 - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイト

情報銀行の活性化、鍵になるのは信頼

「データ主権」と呼ばれる「個人のデータに対する権利」が世界的に注目されています。2018年5月25日からEU 一般データ保護規則（GDPR）がヨーロッパに所在する企業に適用されており、日本でも2020年6月5日に個人情報保護法の改正案が参議院で可決されました。こういう流れの中、データ主権を維持しながらも効果的にデータを利用するため、「情報銀行」という新しい概念が登場しました。情報銀行はデータ活用の活性化において一定の役割を務めると思われますが、その前に「信頼」という問題を考える必要があるでしょう。

情報銀行: 相反する要求を満たす、データ取引のための新しい枠組み

データ主権は「個人のデータに対する権利を明確に明かし、データが使用される際には主権を持つものにその対価が必ず支払われる必要がある」という原則です。データ主権が注目されて以降定められたGDPR及び改正個人情報保護法はデータに対する権利を明確に規定しており、従来の規制よりさらに厳しく企業の情報利用に対する条件を定めています。しかし、企業は依然とデータを必要としています。現代の企業活動において、データは必須だといっても過言ではありません。よって、「データ主権」と「企業のデータ需要」という相反する二つの要求を満たすため、情報銀行が登場したのです。

情報銀行の構造は一般的な銀行と大きく変わらない

情報銀行は個人が預けている情報を企業に提供し、その対価を個人に分配する形で運営されます。一般的な銀行をイメージしてみてください。「預けた預金の対価として利子をもらう」というのが銀行の基本的な形ですが、そこでお金を「情報」に置き換えたものが情報銀行の基本的な構造です。ただし情報銀行は個人情報を扱うため、一定の加工を加えた情報を企業に提供するという点が一般的な銀行との差別点になります。

情報銀行の活性化、鍵になるのは信頼

情報銀行に預けられたデータは、処理過程を経て企業に提供されます。例えば、一部を修正し特定の個人を特定できないようにしたり、情報を利用した統計データのみを提供するなどの処理が予想されます。企業は提供されたデータに対する対価を支払い、その対価を情報銀行が各個人に分配・支給するという構造になっています。

このように情報銀行を通じたデータ取引が活性化されると、データ主権を維持しながらも個人情報を効率的に管理・利用できるでしょう。これは情報銀行を利用する個人にも、企業にも当てはまる部分です。個人はどの企業が自分のデータを利用したかを一元的に把握できるようになります。一方、企業は必要なデータを得るために要する手間を省けるとともに、自社でデータを保管する際のリスクを軽減できます。また、現在には利用されている個人情報の対価がほぼ無しに近い状況ですが、その対価が確実に個人に還元されるという事も期待されています。

情報銀行に立ちはだかる問題: 「信頼できるのか」

情報銀行が活性化されるための最も大きい問題点は、「安全なのか」という不安を払拭することでしょう。つまり、「情報銀行は信頼できるものなのか」という人々の疑問を解消できるかに情報銀行の死活がかかっているのです。情報銀行は個人情報を預かるため、人々は「安心だ」という確信が持てるまでは情報を預けないでしょう。そして、情報銀行は情報無しでは意味を持てません。よって、情報銀行に対する信頼度が情報銀行のカギを握っている、と言えるのです。

情報銀行に対する信頼を確保するには

情報銀行が信頼を得るための策としてまず考えられるのは、銀行など既に社会から一定の信頼を得ている事業者が情報銀行事業に参入することです。「信頼されている○○の情報銀行」という形で、その情報銀行だけではなく業界全体への信頼につなげる必要があります。また、日本IT団体連盟は国際的レベル(ISO/IEC 29100 (JIS X9250) 等)の個人情報保護対策及び情報セキュリティ対策を満たすとみられる事業者に対し、情報銀行認定マークを与えています。認定マークを獲得しなければ情報銀行事業に参入できないというわけではありませんが、信頼を得るという点では意味があるでしょう。これに関しては、情報銀行だけではなく情報銀行から情報を得る企業も一定の認定制度に従うという形も考えられます。

積極的なセキュリティ措置を通じ無事故を維持するのも信頼を養うにおいて重要になるでしょう。信頼できる企業とは、不祥事を起こさない企業を指します。情報銀行での不祥事とすれば、情報の流出などを挙げることができるでしょう。よって、これらに対するセキュリティ対策が必要となってきます。代表的な対策としては、暗号化を挙げることができます。情報銀行は企業が提供されたデータから個人を特定できないように情報を処理する必要がありますが、その過程でも暗号化は有効です。もし情報流出などの事故が発生したとしても、データが暗号化されていれば被害を最小限に抑えることができます。理論的な面でも、経験的な面でも情報銀行が安全であることを立証し、信頼を勝ち取る必要があるでしょう。