“秘密计算”技术的实用化动向正在扩大。这是一种多家企业可在不透露内容的前提下将各自的数据放在一起来获得统计分析结果的技术。作为既可以保护又可以利用高度机密数据的方法,在金融、医疗和广告等多个领域的应用备受期待。不过,秘密计算有很多种方式,企业难以从中选择最佳方式。最近一些企业开始尝试解决这个问题。
NEC和NTT等4家公司就秘密计算技术制定了针对IT企业的安全标准。目的是便于相关企业在保护个人数据和企业机密的同时导入秘密计算技术。
秘密计算是可以在保持数据内容加密的状态下,进行统计分析和人工智能(AI)分析等的技术。优点是能在对各种数据的内容保密的情况下分析相关性等。
秘密计算主要有两种用途。一种是多个组织在对个人数据进行加密的同时将其结合起来,分析相关性等。可以用来调查每个人的基因组(全部遗传信息)与疾病易感性之间的关系等。比如在对患者的姓名等加密的情况下对比调查医院管理的病历数据与基因组数据库中的基因组信息,仅还原结果用于新药开发等。
另一种是,在多个用户共同利用数据库等的“公共云”上保存数据时,不想直接保存个人信息和机密数据的企业为提高数据安全性而使用的用途。秘密计算可以在对数据进行加密的状态下安全地处理。
另一方面,秘密计算的课题在于存在各种各样的技术方式。可以处理的数据内容、处理速度和安全水平等因方式而异。因此,想要利用该技术的企业可能很难选出合适的方式。例如,要想以实用处理速度利用秘密计算,需要做出诸如对重要的数据进行加密,剩余的数据用其他方法加密或者不加密直接处理等高水平的判断。
上述4家公司3月份公布的安全标准向提供秘密计算技术的企业提出了两个主要要求。一是无论技术方式如何,都要采用统一的安全标准。秘密计算涉及多个数据交换主体。即使其中有一个主体是想获得加密前的数据的攻击者,也要确保原始数据不被泄露。
二是利用秘密计算的系统中存在未加密部分时需要注明。要以简单易懂的方式向利用的企业展示整个系统中的加密范围。
此次的安全标准是经“秘密计算研究会”讨论后,由提供秘密计算技术的4家IT企业联名公布的。该研究会由NEC、GMO Cyber Security by Ierae(由Ierae Security更名而来)和Digital Garage公司于2021年2月成立。
今后设想以这个安全标准为基础,收集各个企业和研究组织的意见,制作案例集等。Digital Garage公司首席安全技术官(CTO)竹之内隆夫强调说,此举是向秘密计算技术的普及“迈出了第一步”。
日本《个人信息保护法》规定,向第三方提供加密的个人信息时需要获得本人的同意。不过,作为统计信息提供时则无需经过本人同意。因此,IT企业希望首先在不属于个人信息的统计分析等领域扩大秘密计算的需求。
日文:大豆生田 崇志、《日经产业新闻》,2022/4/6
中文:JST客观日本编辑部
