富士通研究所は2016年7月19日、匿名加工したデータから個人が特定されるリスクを自動評価する技術を開発したと発表した。個人が特定されるリスクの評価と対策の迅速化や、異なる企業間でデータ連携がしやすくなるといい、2017年度をめどに実用化する。

 2017年施行の改正個人情報保護法に盛り込まれた匿名加工情報は、本人の同意なく第三者に提供できる。医療分野のガイドラインが策定された場合、医療機関が保有する健診データなどを匿名加工して研究機関や製薬会社が活用することも考えられる。ただ、データの提供元は業界ごとのガイドラインに従い、個人情報を復元できないよう加工する必要がある。従来は専門家によるリスクの評価などに時間がかかっていたという(図1)。

図1●一部の属性の組み合わせで個人を特定できる例
図1●一部の属性の組み合わせで個人を特定できる例
出所:富士通研究所
[画像のクリックで拡大表示]

 富士通研究所は、性別といった同じ属性の個人が少なくともk人以上いるように情報を加工する「k-匿名化」で、データの分布に基づいて最も個人を特定しやすい住所や電話番号などの多数の属性の組み合わせと、容易度(特定しやすさ)を現実的な時間内に自動的に探索する技術を業界で初めて開発したという。個人を特定しやすい属性の組み合わせから優先的に評価すべき属性を抽出することで、属性の膨大な組み合わせを計算せずに効率的な探索ができるという。

 また、データの中から優先的に匿名化すべき属性がすぐに分かるようにした(図2)。最も個人を特定しやすい属性の組み合わせから、日本ネットワークセキュリティ協会(JNSA)の情報価値の算定モデルに基づいて容易度を定量化。個人の特定しやすさを比較できるようにしたという。

図2●開発技術の概要
図2●開発技術の概要
出所:富士通研究所
[画像のクリックで拡大表示]

 この技術によって、1万人分の14属性があるデータに対して3分以内で自動リスク評価が可能となったという。また、データ漏洩時の想定損害賠償額の算出やガイドラインへの適合性を判定する技術も開発した。