第51回仮名化および匿名化によるセキュリティー

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

ユーザーの正体を知るのは管理者だけ

インターネットが登場したばかりの頃から「仮名」は、重要な役割を果たしてきた。チャットルーム、ブログ、ツイッターのアカウント名に至るまで幅広く使われているニックネーム（あだ名）をはじめとし、エキスパートの間では正体を隠したり、職場を巻き込まずに何かをインターネット上で公開するために仮想の名前が使われている。

こうした仮名の使用により、自由な意見交換や創造性が促進されてきた。ユーザーの正体を知るのは、本名を仮名化する場所を知っているプラットフォームの管理者だけだ。この場所は、ユーザーが犯罪行為を犯した場合等の例外を除き、決して第三者に知られてはならない。企業にも、ユーザーから必要なデータだけを収集し、仮名化することが「EU一般データ保護規則」（GDPR）により求められている。

例えばオンラインショップでは、顧客の本名と住所をフロントエンドで分けて保存している。こうした措置を施すことで、攻撃者がフロントエンドに入り込んだとしても、無意味な仮名や顧客番号しか取得することができない。顧客の真のデータや先に述べた仮名を割り当てる場所は、安全なデータバンクにあるのだ。

匿名化なら安全なのか?

明らかに個人の特定を可能にするデータを全て取り除く匿名化は、仮名化から一歩前進している。統計データの作成等の場合、匿名化されたデータで十分だ。オンラインショップの管理者が1日のウェブサイト訪問者数を知りたい時などがそれに当たる。この時、顧客の本名は必要ないはずである。

匿名化の唯一の問題点は、大量のデータを組み合わせることにより、再び特定の個人を識別できてしまうことにある。つまり、匿名化する前の状態にデータを戻せてしまうということだ。これはかなりレベルの高い計算力がなければできないことだが、「ITの巨人」とも呼ばれる大企業では十分に成し得ることなのである。

データを守るためには、最低でも仮名化を施すこと。また、たとえ「匿名化」していたとしても、常に細心の注意を払わなければならない。本当の意味での匿名化をインターネット上で実装することは、実はITのプロにとっても非常にレベルが高く難しいことなのだ。

仮名化や匿名化で本名を使っていないからといって、安心できる世の中ではない仮名化や匿名化で本名を使っていないからといって、安心できる世の中ではない

快適ITライフのために知っておきたい 初めての情報セキュリティー