秘密計算.jp#4 レポート

Created
2022/1/5 6:42
Tags
notion image
「秘密計算」は実際に使うことができるのかーー。秘密計算について少し理解が進むにつれ、このような疑問を持つようになる。どのような未知なる技術も同様だが、やはり実際に動くのかどうかユーザーとしてリアルな追及をするのは当然のことだろう。 現に、秘密計算コンソーシアムには「実際に秘密計算の実証実験事例を知りたい」との声がたくさん聞かれている。今回はこの声にお答えするため、実証実験の事例をスタートアップ側からの目線で語っていただいた。

スピーカー

株式会社デジタルガレージ DG Lab CTO(Security) 竹之内 隆夫 氏 2005年 日本電気株式会社(NEC)に入社。以後、現在に至る十数年間、匿名化や秘密計算などのセキュリティ・プライバシ技術の研究開発・事業開発に従事。2013年電気通信大学大学院博士後期課程修了、博士(工学)。2019年に株式会社デジタルガレージに入社。
EAGLYS株式会社 代表取締役CEO 今林 広樹 氏 早稲田大学大学院在籍中、米国でデータサイエンティストとして活動したことを契機に「AI・データ利活用時代」におけるデータセキュリティの社会的重要性を実感する。帰国後、科学技術支援機構の戦略的創造研究促進事業(CREST)研究助手を務めながらプライバシー保護ビッグデータ解析の研究に没頭。2016年大学院在籍中にEAGLYS株式会社を創業。
株式会社Acompany 代表取締役CEO 高橋 亮祐 氏 名古屋大学在学中にエンジニアとして活動を始めたことをきっかけに、個人でのwebアプリケーション開発や複数のベンチャーでのインターンを経て、2018年6月に株式会社Acompany創業。これまでに、デジタルキー管理システムの開発、デジタルアセット管理プロジェクトへの参画などの開発実績や総務省・NICT起業家万博を始めとし、複数のビジネスプランコンテンストでの入賞歴あり。セキュアマルチパーティ計算による秘密計算の実用化に注力する。2019年名古屋大学工学部物理工学科卒業。
 

秘密計算の実証とは。

秘密計算の実証は2021年に入って急増した。AcompanyとDACや、EAGLYSとJR東日本など、事例を数えればかなりの数になりつつある。しかしまだ足りない。未だブルーオーシャン市場のため、海外事例を調べても「全く多くない」。実証に関しては地道に積み上げていくしかないのが現状だ。 その中で今回は、4つの事例を紹介する。
 
竹之内:私からはNECの事例と、デジタルガレージの事例を紹介します。 まず1つ目のNECですが、これは私が前職で関わった話です。大阪大学医学部と共同でお行なった話ですね。 それでなぜ病院かという話から入りますと、秘密計算は以前から、医療分野でよく使われている技術となっているんですね。この事例は、複数の機関が持っているゲノム情報をプライバシー侵害リスクを抑えて解析できることを実証しました。この実証からは、十分な実行速度と開発容易性を実証しております。 実証の概要は、ゲノムバンクが持っているゲノム変異情報と、医療機関が持っている診療情報を秘匿したまま集計表をつくるといった実証を行いました。 ゲノム情報も医療情報も機微性が高いため、プライバシーの観点とデータを囲い込みたいという2つの意味から、基本的に各医療機関や研究機関は出したがらないです。けれども、結合して分析すると非常に社会的価値があるという風なものが医療分野での特徴かなと考えています。
 
notion image
 
竹之内:NECは非常に高速な、世界トップレベルの技術を持っていました。この実証では、8,000人分のデータクロス集計をたった6秒で分析したと。 もう一つ特徴だったのが、Pythonライクなスクリプトを書いて秘密計算の処理ができる点ですね。大阪大学と一緒に開発を行ったんですが、大阪大学は独自の解析プログラムを持っていました。これに一から秘密計算を組み込んで実装するには途方もない時間がかかってしまいますが、この実証ではデバックも含めて数日で完了しました。
 
notion image
 
NECと大阪大学の事例では、①高速性と②開発容易性が確認された。具体的な実証内容は『NECと大阪大学による秘密計算のゲノム解析システムへの適用実証』を参照してほしい。
 
竹之内:もう一つご紹介したい事例が、デジタルガレージとFortanixとの事例です。私が入社した最初の年に取り組んだ事例で、ハードウェアを使った方式で、情報銀行に適用することを考えて行いました。
 
notion image
 
💡
情報銀行とは 利用者の同意を得て、購買履歴などの個人データを預かり第三者に提供するもの。デジタル庁を含め、三菱UFJ信託銀行やみずほ銀行とソフトバンクが共同出資したジェイスコアなどが取り組む。
 
竹之内:マイクロソフトのアジュール状で実装し、Fortanixのライブラリーを提供して、技術的にちゃんと動くことを確認しました。仕組みとしては、情報銀行がアジュール状に動いているものに対して、データソースからデータを保存するときに暗号化。一般的に、データを提供するときは一旦生データにもどすのですが、この実証の場合は暗号化したままでTEEの中で処理し、実際に動かして評価しました。 実際に処理速度は公表していないので省きますが、十分実用的な速度が出るというとこまでを確認しました。
 
EAGLYSは、JR東日本とSAP Japanの事例を紹介。中でもJR東日本が持つ「Suica」は、利用者の膨大な情報を溜め込んでいる。2013年には、JR東日本がSuicaの利用履歴データを、パーソナルデータとひも付けた形で外部企業に販売していたことが広く知れ渡り論争を巻き起こした。 その中で、EAGLYSはどのようにデータ活用を提案、秘密計算を活用したのだろうか。
 
今林:Suicaにはたくさんのデータがあります。Suicaの場合、1つのDBだけでなく複数のDBで成り立っているため、社内での活用のためにデータ統合もありますし、またこれらデータをプラットフォーム化し、外部に出して使っていくという話もあります。この場合だと、データ連携統合分析PFの話になってきており、JR東日本は広く、我々とテーマをご一緒している形になります。
 
notion image
 
今林:個社に限らず、割と汎用的な課題かなと思いますが、データ収集し加工、目的別にデータを分類し、分析レポートを作成、そして結果を確認するもののデータの精度が不十分だったり、柔軟な分析ができないといった課題を抱えています。現状は社内でデータを流通させる際も、ユーザー個々のデータを手動で加工しており、かつ加工後のデータ属性が東京都港区も東京都北区も同じ「東京都」カテゴリに分類されていたため同じ属性のユーザーが多くなり、データの質が悪くなってしまっていました。 そのため、例えデータからジオターゲティング広告を打とうとしても、データの質が悪いせいで広告費が2倍に跳ね上がるといったこともあり得ます。また大きなくくりでデータ分析をしている結果、新たに他のカテゴリでの分析結果の要求があった場合、一からやり直しとなってしまいます。 ここから私たちはアフターの形、つまりデータ収集から分析結果確認をすぐにできるようにすることで、柔軟な分析を提供しようと動いています。人が手動でデータを加工しているところを自動化するとともに、既存の分析プラットフォーム『Tableau』でマーケター自身が分析。この結果、データ加工を行うデータエンジニアがいらなくなることからコスト削減と、データの分析精度向上が見込めるというわけです。ここからデータ分析業務のDX化が進むということです。
 
暗号化したデータでも、より精度高く分析したい。そのために、現状企業が抱える課題を洗い出し、最適な提案をする必要がある。その時に秘密計算が最適であれば秘密計算を提案し、AIが必要であればAIを提供する体制は、秘密計算普及のために欠かせない戦略なのかもしれない。
 
notion image
 
今林:もうひとつ、秘密計算の延長線上にあるバリューというところなんですが、まずはセキュリティバリューですね。鍵と暗号を常時切り離すことができ、かつデータ処理・活用が可能です。もう一つは秘匿性ですね。誰に何を見せて何を見せないのか制御できることは、ビジネスの幅が広がります。 この秘匿性に関してご一緒しているのがSAPになります。データ分析社とSAPの製品群の間にゲートウェイのような形で入りデータと鍵を分離することで、顧客が自分たちの鍵を自分たちで生成して、自分たちでデータ分析できるようにしますという話です。 よく金融業界ではBYOK(Bring Your Own Key)がキーワードとして上がったりしているのですが、この事例ですね。
 
Acompanyは博報堂DYグループのDACとの取り組みを紹介。デジタルマーケティング領域の中で、秘密計算の有用性を紹介した。その中で気になるワードとして登場した「データクリーンルーム」という概念。10月には電通とTwitterがCookieを使わずにデータ連携を行うことができるサービスとして『Twitter Data Hub Omusubi(Omusubi)』の提供を開始すると発表した。
 
高橋:デジタルマーケティングは3つの課題を抱えています。1つ目はデータ保護法の潮流です。EUではGDPRや、日本では個人情報保護法といった法律により、今までデジタルマーケティングに使われていた対象データの規制が厳しくなっているといった状況です。 2つ目にデータ不正利用によるスキャンダルの恐れです。Meta(Facebook)の個人情報流出の件は、社会問題として大きく取り上げられています。 3つ目は、デジタル広告を出した上での直接的な効果測定ができていないという問題ですね。これらは総じて、プライバシーデータ保護と広告効果の可視化ニーズがコンフリクトしてしまった状況ということができます。
 
notion image
 
高橋:この課題に対して、データクリーンルームの概念が出てきています。リアルタイムでは、電通とTwitterがデータクリーンルームを構築したというニュースがありました。各プレヤーが注目して取り組みをしている内容となっています。 データクリーンルームがない場合だと、広告の成果としてクリック数やPV数がアウトプットとして得られます。実際、顧客のリストや販売の値などを掛け合わせることで、広告をクリックしたユーザーが商品を購入しているのか、広告に触れたことでどのくらいの期間で購買に至っているのかなど、具体的な分析結果が欲しいというニーズが高まっています。このニーズを解決するため、データクリーンルームの概念が出てきています。 一方で課題もあります。考えられるもので3つあり、「分析主からデータ提供」「活用できるデータへの制限」、そして「標準化に多大な準備を要する」ことです。 分析主からデータ提供の場合は、データクリーンルームにデータを提供しなければ、統合解析できないという問題ですね。活用できるデータへの制限は、そもそも第三者提供できるデータではない限りデータセットができない。第三者提供できる場合でも、プライバシーの関係でデータ活用ができないといった問題があります。また、複数のプラットフォーマーと連携したいものの規格がそれぞれ異なっているため、標準化が難しい点も挙げられます。
 
💡
データクリーンルームとは 個人を特定することなく、企業のデータサイエンティストがデータの統合や分析のためにアクセスできる“環境”のことです。多数のユーザーを持つ、いわゆる“プラットフォーマー”と呼ばれる企業によって提供され始めています。 参照:データクリーンルームは「Cookieフリー時代」のマーケティングを変える
 
notion image
 
高橋:これら課題の中で、「分析主からデータ提供」と「活用できるデータへの制限」に関しては秘密計算で解決できるのと考えています。 秘密計算を使った場合、データクリーンルームの概念を作ることで、事業会社からのデータ提供のハードルを下げることができます。事業会社も、秘匿化したデータの提供のみで解析結果を得ることができるため、プライバシー性の高いデータを使うことができます。他にも、別会社のデータも使うことができるため、より高度な分析が期待できます。
 
notion image
 
令和2年改正法案では、Cookieは例え個人データに該当しない場合でも提供先において個人データとなることが想定される情報の第三者提供について、本人の同意を得ることが義務付けられた。その中で、データクリーンルームはどう役に立つのか、秘密計算を用いた実証に期待したい。
 

秘密計算の実装状況は。

要約すると、秘密計算の実装状況はどのようになっているのだろうか。
今林:適応できるものは実装できているし、コストの兼ね合いでできていないものはできていないという感じですね。AIやビックデータとここら辺は同じだと思います。
高橋:感触としては同じだけれど、複雑な分析ロジックに関しては社会実装がようやく進み始めた段階だと思っています。タスクの難易度が一番大きいと思っています。複雑なロジックを使いたいとなると、実装が難しいだけではなく普通運用に耐えられるかブラッシュアップが必要です。ケースごとに寄っていくので、クリティカルケースにおいてソフトウェアの成熟を図っていきたいなと考えてますね。
竹之内:秘密計算はものによっては実用レベルですね。Gartnerの『2021年のセキュリティとリスクのトップ・トレンド』のトレンド8「プライバシー強化コンピュテーションの手法」の中に載ったんですよね。Gartnerにあるといえば、「おっ」とみんな言ってくれるのでそういう観点で紹介しました

実証実験において、事業会社とのシナジーは。

秘密計算スタートアップと事業会社が共創することで、新しい価値を生み出すことができる。今回の事例を踏まえ、どのような成果があったのだろうか。
高橋:DACとの事例でお話しすると、デジタルマーケティングが変革期に差し掛かっています。そこから次のスタンダードを作っていく上で「プライバシー保護とデータ活用」においてシナジーはあるのではないかなと感じています。 具体的には、Acompanyが強みとするテクノロジーとビジネスとリーガルの3軸と、パートナー企業のインサイトの掛け合わせによって新しい価値創出ができるということです。データクリーンルームがその事例ですね。
竹之内:NECと大阪大学の事例になりますが、研究者はやはりデータを外部に出したくないんですよね。一方でデータを出さないといけない場面もある。実際に話して秘密計算の新たな利用方法が発見できることがあるなと思いましたね。
今林:事業会社にとって、今までマンパワーで行っていた仕事が秘密計算を使うことで自動化することでバリューを出していますね。DXでデータ活用をしていく上で、いろんな企業にとって秘密計算は意味があると思うんですよね。他には、外部に対して社内に蓄積したデータを販売していく場合などは、秘密計算が活躍する場なのでシナジーはあるのではないかなと思います。
 

秘密計算の手法は利用者にとって向き不向きはあるのか。

秘密計算には準同型暗号と秘密分散の他、さまざまな手法で行うことができる。EAGLYSは準同型暗号を、Acompanyは秘密分散を選択し、実証実験含め事業化に邁進している。しかしこれらの方法は準同型暗号や秘密分散には得意不得意とするデータ分析がある。
竹之内:今回紹介した秘密計算の手法は、秘密分散や準同型暗号のほか、TEE(秘密計算と捉えるのにはいろいろな見方もできますが)、他にもGarbled Circuitがあります。 安全性の観点から見ていくと、TEE以外の秘密分散や準同型暗号などが高いと思います。他にはサーバーの台数ですね。1台で処理したいとなれば、準同型の方がいいかなとなってきますね。
 
notion image
 
準同型暗号を用いて社会実装を目指すEAGLYSの今林氏は、準同型暗号について「研究していて面白い」と笑顔を見せる。
 
今林:EAGLYSの場合は、結構フェアにいろんな手法を見て、触って試していますね。その中で私たちは準同型暗号で取り組んでいます。もともと私が研究者として研究していたのもあるのですが、世界でも戦える競争力を持っていると自負しています。従来課題とされていた計算速度にもなんとか対応しようと動けていますし。 準同型暗号の美しさでいうとシングルのサーバーで運用しやすいとか、エンジニアに対しても暗号化するだけで運用できますと言えるので、理解が進みやすいですね。UXがいいですね。
 
秘密分散ベースのMPCを用いて秘密計算の実装を目指すAcompanyの高橋氏は、「複数の組織がフラットな関係を維持してデータ連携ができる」点から秘密分散を選択した。
高橋:最近では、完全準同型暗号でもマルチパーティ計算を実装する研究も出てきてはいますが、トラストをどちらかに寄せないといけなかったり、課題もあることから、私たちは秘密分散を選択しました。
 

第三者提供は、秘密計算を用いると可能となるのか。

データ利活用において「第三者提供」は考えておく必要がある。現状、「秘密計算を用いて暗号化したデータの第三者提供は不可能」だ。法律も組み合わせて運用していく必要がある。
今林:法律との掛け合わせで日本としてもまとめていく必要があります。現状、結論として秘密計算を用いて暗号化したデータの第三者提供はできないです。個人情報という扱いになっているため、提供許可がない個人情報に関しては許可を取得の上提供する必要があります。
高橋:対象データが同意を得ていたとしても、「生」データ提供が難しい場合、秘匿処理するケースもありますよね。
竹之内:情報法制研究所でまさに今、第三者提供の同意がなくてもデータを提供できるよう提言を出そうといった取り組みをしています。
 

海外PoCと国内PoC事例の違いとは。

国内でも秘密計算は黎明期である。では海外はどうなのだろうか。今林氏は「あまり変わらない」と苦笑い。
今林:海外事例に関しては、向こうの準同型暗号のトッププレイヤーと対談した時、やっぱり国内と状況は変わらないなあという感じを抱きましたね。 海外もユースケースの創出に尽力しているけれども、例えば医療では法律と一緒に進めていかなければいけなかったり、高い秘密計算システムを売ろうとしても買ってくれなかったりなどあるみたいです。ニーズがあるのに出しきれない。日本と状況が似ているなと。 政府やGAFAに差し込むなら実用化が進むのかなと感じますが、対民間企業でフェアにやろうとすると壁があるなという印象です。
 

秘密計算をわかりやすく伝える工夫は。

秘密計算はどうしてもわかりにくい概念となっている。この秘密計算についてどう「わかりやすく」伝えているのだろうか。
高橋:2つ伝え方はあると思っています。1つ目は「秘密計算とは何か」しっかりと理解したい人向けに、具体的に分かりやすいように処理プロセスを提示し、伝えていますね。 2つ目は、秘密計算の用語を使わずに暗号化から話しを初めて伝える方法ですね。こちらの方がとっつきやすいと思います。どうしても秘密計算と聞くと「難しそうな用語」と捉えられてしまうため、このような方法をとっています。 あとは実証実験を積み重ねること具体例を増やしていくことですね。現状、秘密計算は黎明期であることは間違い無いので、想定したユースケースができないギャップをコミュニケーションしながら埋めていくことには苦労しています。
今林:デモを見せることですね。秘密計算を使う上で顧客が気にする点は2つあると思っていて、1つ目は使われている暗号技術そのものの安全性はどのように論文などで評価されているのかという点ですね。そして2つ目はシステム的にどのタイミングで複合されていて大丈夫なのか、鍵はどこにあるのかといったプロトコルとして捉えたときに安全性に抜けもれがないのかといった点ですね。後者に関してはシステム図をイメージしながらデモのプレゼンと一緒に説明しています。 秘密計算の仕組みを説明した場合でも、「結局は分析するときに暗号を解かなければいけないんでしょ」という質問が飛んでくることがあるんですね。今まで何を聞いていたんだと思いはするものの、顧客の頭の中には分析をする際、データは「生」でなければいけないということが植え付けられているんですよね。なので、段階を踏んでいく上で、適切なタイミングで適切でわかりやすい秘密計算の説明をするべきなんだなと痛感しました。
竹之内:数値で示したいと思っていますね。秘密計算を導入した場合、どれくらいのパーセンテージで利益が増えるとかは実証実験で示すべきだと思います。説明の仕方や数値の示し方も業界で共有していくことを行えればと思っています。
 

データ漏洩の発生事例は。

毎日のようにデータ漏洩は起きている。セキュアオンラインが運営する「個人情報漏洩事件・被害事例一覧」を閲覧すれば毎日のように国内で発生したデータ漏洩が報告されている。しかしその原因は人為的なものが多い。
高橋:秘密計算のバリューというと、漏洩の話ではなく、漏洩の懸念からデータ活用ができていないことが課題なんですね。こういったデータセットを秘匿プロセスのまま扱うことによって、活用につなげると。攻めも守りも両方とも取ることができるところに使ってもらう。データをただ守りたければ、ネットワーク環境におかなければいい話なので。
竹之内:漏洩が起こるので、事前にコストかけて守るべきだというのは確かにそうなんですよね。 1個思い当たる事例でAppleが出したiCroudの保存画像で秘密計算を使っている事例があります。なんでAppleが秘密計算を使ったのかというと、ユーザーの「生」データから位置判定をしているのではなく、秘密計算で秘匿したままあえてやっているんですよね。お金をかけて。安心感とか、企業の戦略上、秘密計算を意図して使った方がいいという判断になったと思うんですね。単なる漏洩のコストだけではなく、戦略上秘密計算を使っているという風に考えていいと思います。
 

秘密計算が最適と考える業界は。

今後、秘密計算はどの業界で活用可能なのだろうか。
高橋:分野というと、Acompanyは「プライバシー保護とデータ活用を両立させる」ことをミッションに掲げているので、プライバシー性の高いデータを扱うことがフォーカスかなと思います。 どこの業界が具体的にあるかといいますと、デジタルマーケティングや医療・ヘルスケアや位置情報、金融がシナジーが高いと考えています。あとは人事系のデータを海外のグループ企業と連携させていくケースはユースケースになり得ると思っていますね。
今林:小売・サプライチェーンや医療・ヘルスケアですかね。小売・サプライチャーンは、データを連携しないと物流が滞るものの、プライバシーデータになり得る場合もあるので、ここに入り込む余地はあるかなと考えています。
竹之内:秘密計算の使うパターンは2パターンあると思っていて、1つ目は自社のデータと他社のデータを分析することで自社の利益貢献するパターンですね。もう一つは業界全体・社会課題解決のためにデータ連携するパターンですね。私はデジタルガレージで、後者の方を実現させたいですね。
 

今後の展開は。

今後、どのように秘密計算は実用化に向けて動いていくのだろうか。
今林:3年後のイメージは、ユースケースがいくつか立ち上がって、その中で横展開して広がりつつあるといった感じでしょうか。まだまだ特定の領域とはいえ、使われているところには使われるものになっているのではないかなと考えています。 セキュアなクラウド、仮想ボックスのような空間があり、誰もがデータを連携できるようなサービスができてくるんじゃないかなと思っています。誰もが簡単に使えるとなると、ユースケースを増やすためにも、そしてユーザー理解を促進させる上でも重要だと考えています。 そこまでにはユーザビリティの向上とパフォーマンス向上のため、今では個々対応しているようなモデルをすぐに秘密計算対応できるようにしたいですね。
高橋:同じく事例の立ち上げを短中期で考えていますね。プラスで、QuickMPCやPrivacyAIは開発者向けのツールなんですね。なので今後はデータサイエンティストのライブラリー軍の中に組み込めるようにしたいですね。イメージとしては2015年ごろのPreferred Networksが一致するところかなと思っています。 1番のお客さんは導入先のエンジニアで、その社内で使いやすくし、秘密計算の知識がなくても使えるようにしていくことを目指しています。 あとはコスト低減ですね。気にならないコスト感まで抑えていくのも重要だと思います。
竹之内:私がある程度長い期間、秘密計算に向き合っている理由に、個人情報の第三者提供ができるんじゃないのかと希望を持っているんですよね。で、これが2、3年である程度結論が見えると思っています。全然ダメということもあるのかもしれないが、それならそれで他の方向に話を持っていけるし。政府の中で秘密計算に関する検討会が行われるみたいなことが想定されるということですね。

秘密計算コンソーシアムへの参加申し込みはこちら


表示されない場合はこちら

運営会社


主催:株式会社Acompany(acompany.tech
協賛共同運営:EAGLYS株式会社(eaglys.co.jp

秘密計算コンソーシアムへの参加申し込みはこちら


表示されない場合はこちら

運営会社


主催:株式会社Acompany(acompany.tech
協賛共同運営:EAGLYS株式会社(eaglys.co.jp