「祕密計算」技術的實用化動向正在擴大。這是一種多家企業可在不透露内容的前提下將各自的資料放在一起來獲得統計分析結果的技術。作爲既可以保存又可以利用高度機密資料的方法,在金融、醫療和廣告等多個領域的應用備受期待。不過,祕密計算有很多種方式,企業難以從中選擇最佳方式。最近一些企業開始嘗試解決這個問題。
NEC和NTT等4家公司就祕密計算技術制定了針對IT企業的安全標準。目的是便於相關企業在保存個人資料和企業機密的同時導入祕密計算技術。
祕密計算是可以在保持資料内容加密的狀態下,進行統計分析和人工智慧(AI)分析等的技術。優點是能在對各種資料的内容保密的情況下分析相關等。
祕密計算主要有兩種用途。一種是多個組織在對個人資料進行加密的同時將其結合起來,分析相關等。可以用來調查每個人的基因體(全部遺傳資訊)與疾病易感性運動之間的關係等。比如在對患者的姓名等加密的情況下對比調查醫院管理的患者病史資料與基因體資料庫中的基因體資訊,僅還原結果用於新藥開發等。
另一種是,在多個客戶共同利用資料庫等的「公共雲」上保存資料時,不想直接保存個人資訊和機密資料的企業爲提高資料安全而使用的用途。祕密計算可以在對數據進行加密的狀態下安全地處理。
另一方面,祕密計算的課題在於存在各種各樣的技術方式。可以處理的資料内容、處理速度和安全水平等因方式而異。因此,想要利用該技術的企業可能很難選出合適的方式。例如,要想以實用處理速度利用祕密計算,需要做出諸如對重要的資料進行加密,剩餘的資料用其他方法加密或者不加密直接處理等高水平的判斷。
上述4家公司3月份公佈的安全標準向提供祕密計算技術的企業提出了兩個主要要求。一是無論技術方式如何,都要採用統一的安全標準。祕密計算涉及多個資料交換主體。即使其中有一個主體是想獲得加密前的資料的攻擊者,也要確保原始數據不被泄露。
二是利用祕密計算的系統中存在未加密部分時需要註明。要以簡單易懂的方式向利用的企業展示整個系統中的加密範圍。
此次的安全標準是經「祕密計算研究會」討論後,由提供祕密計算技術的4家IT企業聯名公佈的。該研究會由NEC、GMO Cyber Security by Ierae(由Ierae Security更名而來)和Digital Garage公司於2021年2月成立。
今後設想以這個安全標準爲基礎,收集各個企業和研究組織的意見,製作案例集等。Digital Garage公司首席安全技術官(CTO)竹之内隆夫強調說,此舉是向祕密計算技術的普及「邁出了第一步」。
日本《個人資訊保存法》規定,向第三方提供加密的個人資訊時需要獲得本人的同意。不過,作爲統計資訊提供時則無需經過本人同意。因此,IT企業希望首先在不屬於個人資訊的統計分析等領域擴大祕密計算的需求。
日文:大豆生田 崇志、《日經產業新聞》,2022/4/6
中文:JST客觀日本編輯部
