Upgrade to Pro — share decks privately, control downloads, hide ads and more …

秘密計算の有用性に関する検討ペーパー 〜『統計目的第三者提供』の実現にあたり〜

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for プライバシーテック協会 プライバシーテック協会
February 25, 2026
Technology
0
9

秘密計算の有用性に関する検討ペーパー 〜『統計目的第三者提供』の実現にあたり〜

本ペーパーでは、個人情報保護委員会が取りまとめる「個人情報保護法 いわゆる3年ごと見直しに係る検討」における「統計目的第三者提供(本人同意不要でのデータ提供)」の実現に向け、統計情報等の作成にのみ利用されることを担保する手段として、秘密計算が有用であることを整理しています。(公表日:2026年1月20日、作成者:プライバシーテック協会)

Avatar for プライバシーテック協会

プライバシーテック協会

February 25, 2026
Tweet

More Decks by プライバシーテック協会

See All by プライバシーテック協会
プライバシーテック協会_紹介資料
Avatar for プライバシーテック協会 privacytechassociation
0
19
【仮日本語訳】Common Terminology for Confidential Computing(プライバシーテック協会)
Avatar for プライバシーテック協会 privacytechassociation
0
3
【仮日本語訳】Confidential Computing: Hardware-Based Trusted Execution for Applications and Data (プライバシーテック協会)
Avatar for プライバシーテック協会 privacytechassociation
0
8
PETs(Privacy Enhancing Technologies)のご紹介(20251105「金融庁 AI官民フォーラム」資料)
Avatar for プライバシーテック協会 privacytechassociation
0
5
秘密計算による データ利活用エコシステム
Avatar for プライバシーテック協会 privacytechassociation
0
4

Other Decks in Technology

See All in Technology
情シスのための生成AI実践ガイド2026 / Generative AI Practical Guide for Business Technology 2026
Avatar for Akira Maeda glidenote
0
200
作りっぱなしで終わらせない! 価値を出し続ける AI エージェントのための「信頼性」設計 / Designing Reliability for AI Agents that Deliver Continuous Value
Avatar for Kento Kimura aoto
PRO
2
280
(Test) ai-meetup slide creation
Avatar for Oikon oikon48
1
310
[2026-03-07]あの日諦めたスクラムの答えを僕達はまだ探している。〜守ることと、諦めることと、それでも前に進むチームの話〜
Avatar for tosite tosite
0
190
Go標準パッケージのI/O処理をながめる
Avatar for matumoto matumoto
0
160
アーキテクチャモダナイゼーションを実現する組織
Avatar for SatohJohn satohjohn
0
370
[JAWS DAYS 2026]私の AWS DevOps Agent 推しポイント
Avatar for Toshihiro Furuno furuton
0
150
Claude Codeが爆速進化してプラグイン追従がつらいので半自動化した話 ver.2
Avatar for ryu rfdnxbro
0
510
複数クラスタ運用と検索の高度化:ビズリーチにおけるElastic活用事例 / ElasticON Tokyo2026
Avatar for Visional Engineering & Design visional_engineering_and_design
0
130
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
Avatar for oracle4engineer oracle4engineer
PRO
8
7.2k
SRE NEXT 2026 CfP レビュアーが語る聞きたくなるプロポーザルとは?
Avatar for Yuta Kawasaki yutakawasaki0911
1
250
8万デプロイ
Avatar for iwamot iwamot
PRO
2
230

Featured

See All Featured
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
57
14k
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
220
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
61
52k
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
630
Odyssey Design
Avatar for Ryan Kendrick rkendrick25
PRO
2
540
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
150
Code Review Best Practice
Avatar for Trisha Gee trishagee
74
20k
ラッコキーワード サービス紹介資料
Avatar for ラッコ株式会社 rakko
1
2.6M
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
190
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.8k

Transcript

  1. 1 秘密計算の有用性に関する検討ペーパー 〜「統計目的第三者提供」の実現にあたり〜 2026年1月20日 プライバシーテック協会 第1 本ペーパーの趣旨 個人情報保護法のいわゆる3年ごと見直しにおいて、統計情報等の作成にのみ利用される ことが担保されていること等を条件に、本人の同意なく個人データ等の第三者提供(以下 「統計目的第三者提供」という。)を認めることが検討されている(「個人情報保護法の制

    度的課題に対する考え方について1」(令和7年3月5日個人情報保護委員会。以下「考え方」 という。)及び「個人情報保護法 いわゆる3年ごと見直しの制度改正方針2」(令和8年1月 9日個人情報保護委員会))。 統計目的第三者提供が実現すれば、複数の事業者が持つデータを共有し横断的に解析する ことがより簡易に、かつ、精度高く可能となり、新たなビジネスモデルの創出や社会課題の 解決など、新たな産業の創出や、活力ある経済社会、豊かな国民生活の実現に資するものと 考えられる。一方、個人情報の利活用により、個人の権利利益が脅かされることはあっては ならず、個人の権利利益の保護を担保すること(すなわち、統計情報等の作成にのみ利用さ れることが担保されていること)は、重要な論点となる。 この点、秘密計算は、統計目的第三者提供を利用した施策の実施にあたり、統計情報等の 作成にのみ利用されることを担保する手段として非常に有用である。 そこで、秘密計算を含むプライバシーテックの普及を促進する業界団体として、当協会は、 統計情報等の作成にのみ利用されることを担保する手段として秘密計算が有用であること の理解を得ることを目的として、本ペーパーを作成した。 AIの爆発的な普及により、データ利活用を行う事業者には、企業倫理として、自主的なプ ライバシーガバナンス(PIA等)やAIガバナンスの取組みが求められる時代がきている。本 ペーパーが、各事業者3において個人の権利利益に配慮したデータ利活用施策を検討・実施 する際の一助となれば幸甚である(秘密計算の有用性を示す前提として、各モデルケースに おける対策ポイントも抽出しているので、その点も合わせて、PIA等のリスクアセスメント の参考となると思われる)。 以下では、まず秘密計算の解説を行い(「第2」)、設定したモデルケース(「第3」) をベースとして、モデルケースごとに秘密計算の有用性を解説する(「第4」)。 1 https://www.ppc.go.jp/files/pdf/seidotekikadainitaisurukangaekatanitsuite_250305. pdf 2 https://www.ppc.go.jp/files/pdf/01-1_seidokaiseihousin.pdf 3 本ペーパーで設定したデータコラボレーション型やデータプラットフォーム型などの複数 の事業者が関与するデータ利活用施策のガバナンス検討にあたっては、個社ごとではなく、 施策全体を一体としてガバナンスを検討することが重要となろう。

  2. 2 第2 秘密計算について 1 秘密計算(機密コンピューティング)とは 秘密計算とは、データの処理を、暗号化ないし秘匿化した状態で行える技術の総称であ る4。マルチパーティ計算(MPC:Multi-Party Computation)、完全準同型暗号(FHE:Full y Homomorphic

    Encryption)、機密コンピューティング(CC:Confidential Computing) などの技術が該当する。 本ペーパーでは、特に急速に普及している機密コンピューティング(CC)を念頭に記載 している(以降、秘密計算と機密コンピューティングを同義として区別せず用いるが、可 能な限り機密コンピューティングに依存しない記載を心がけている)。 機密コンピューティング(CC)は、メモリ内のセキュアな領域(「Enclave」という。 同領域内はシステムの管理者であっても閲覧ができない。)内でデータ処理を行う技術で あるTEE(Trusted Execution Environment)を利用しており、誰からも内部を閲覧できな いEnclave内でデータ処理が行われることで秘密計算を実現するものである5。 4 「秘密計算」の定義や呼称は様々あるが、本ペーパーでは、本文記載のような技術と定義 している。 5 技術の詳細等については、「情報処理」2025年7月号(Vol.66 No.7。一般社団法人情報処 理学会)の特集「AI時代の安全なデータ処理「Confidential Computing」」の各記事を参照 されたい(web上で閲覧できるものとして「Confidential Computingの概要と動向 ─ AI時 代に急速に普及する機密コンピューティング─」(https://www.acompany.tech/privacytec hlab/ipsj_cc )など)。

  3. 3 2 実装にあたっての留意点 秘密計算を実装検討するにあたっては、例えば、以下の3点に留意が必要となる。 1点目は、秘密計算は主にデータの処理時を対象とした技術であるため、データ保有者 と秘密計算をする主体(事業者など)との間のデータ転送時や、秘密計算をする主体での データ保管時においては、秘密計算とは別に、適切な暗号技術等を用いたセキュリティ対 策を行う必要がある、ということである。 2点目は、秘密計算環境下で実行されるプログラムの適切性(例えば、不正にデータを 取得するバックドア等が仕込まれていないか)は別途、確認が必要である、ということで

    ある6。 3点目は、秘密計算の技術特性の確認が必要ということである。例えば、機密コンピュ ーティングは、ハードウェアの安全性が前提となる技術であり、メーカー毎に特性に相違 がある。そのため、機密コンピューティングと一言でいっても、その技術特性が異なる場 合が存在するため、実装にあたっては、各ハードウェアの技術特性の確認が必要となる7。 第3 モデルケース 秘密計算の有用性の説明にあたり、統計目的第三者提供が実現した場合にその利用が期待 される典型的なユースケースのモデルとして、データコラボレーション型とデータプラット フォーム型の2つをモデルケースとして設定した。 なお、これらのモデルケースは、現時点の個人情報保護法制下においても、本人から同意 を取得したり、個人データに一定の加工を施したりすることで、個人データの利活用施策と して既に実現されているものであるが、統計目的第三者提供が実現した場合には、本人の同 意が不要となり、かつ、個人データを加工することなく利用することができるようになるの で、現時点よりも柔軟な、かつ、精度が高い利活用が可能となる(その一方、個人の権利利 益の保護を担保することが重要となることは上述のとおりである)。 1 データコラボレーション型 データコラボレーション型は、特定の企業間でデータを直接やり取りし、統計情報を作 成するケースを指す。 例えば、2社以上の特定の事業者が保有する個人データを突合し、多角的に分析するこ とにより、より精緻なマーケティング戦略の策定や既存サービスの高度化が可能となる。 このように、各事業者が経済的利益を追求しつつ、より良いサービス提供が行えるような ユースケースである。 6 例えば、機密コンピューティングにおいては、リモートアテステーションという機能を利 用すれば、データ保有者が意図したプログラムが動作しているか(秘密計算の処理をする主 体において改ざん等がなされていないか)を、データ保有者が遠隔にて検証することが可能 である。 7 当協会は、機密コンピューティングに関する団体であるConfidential Computing Consort iumの技術文章の日本語訳を行っている(https://privacytech-assoc.org/document)。

  4. 4 具体的な処理の流れとしては、例えば、図1のように、A社が保有する個人データを、B 社に統計目的第三者提供をし、B社が持つ個人データと突合して、突合した個人データを 作成し、統計分析した統計情報を出力するような処理になる。 図 1 データコラボレーション型の処理の例 2 データプラットフォーム型 データプラットフォーム型は、不特定多数の事業者が、特定のプラットフォーム事業者

    (データの処理・分析等を一事業として行う事業者)に個人データを提供し、プラットフ ォーム事業者が統計情報を作成するケースを指す。 例えば、複数の金融機関が共通のプラットフォーム事業者にデータを提供し、不正取引 の検知モデルを作成するなど、業界内で連携したデータ連携により、社会課題の解決が可 能となる。このように、社会に対し利益をもたらすようなケースの創出が可能となるよう なユースケースである。 具体的な処理の流れとしては、例えば、図2のように、A社とB社がそれぞれ持つ個人デ ータをC社に統計目的第三者提供をし、C社においてこれらのデータを突合した個人データ を作成し、統計分析した統計情報を出力するような処理になる。 図 2 データプラットフォーム型の処理の例

  5. 5 第4 各モデルケースにおける秘密計算の有用性 以下では、秘密計算の有用性を示す前提として、各モデルケースにおける対策ポイント8 9をまずは示している(下記「1(1)」「2(1)」参照)。そして、各モデルケースの 各対策ポイントに対し秘密計算が有用かどうかという点を次に示している(下記「1(2)」 「2(2)」参照)。 1 データコラボレーション型 (1)対策ポイント

    ア 目的外利用 (ア)提供先での自己利用 B社は、A社の個人データ、及び、A社とB社の個人データを突合した個人データを 統計目的でのみ利用する必要があるが、これらのデータ自体をB社が統計目的の範 囲を超えて、自社サービスの分析など、自社のために利用してしまうことが想定さ れる。 これは、B社において意図してB社自身のために利用する場合だけでなく、B社従 業員間において統計目的以外での利用禁止が徹底されていない等の理由により、B 社として意図せず、B社のために利用されることも想定される。 8 各対策ポイントは、「考え方」で示されている担保手段の遵守により対策されることがま ずもって重要である。一方、事業者が取り扱う個人データの種類によっては、リスクベース アプローチにより、事業者の自主的な取り組みとして、上乗せの対策が検討されるべきであ り、その一つの対策手段として、秘密計算が存在するものである(もちろん、それ以外にも 有用な対策は存在し、秘密計算が万能であるという趣旨ではない)。 9 対策ポイントは、本ペーパーにおいては、個人データの統計目的外利用の防止と漏えい等 の防止に焦点を当てて整理している。なぜなら、統計目的第三者提供における個人の権利利 益の保護の担保にあたっては、提供元から提供先に提供した個人データを提供先が統計目的 以外で利用等することを防止するのが最も重要であり、また、統計目的第三者提供が実現す ると、複数の個人データが1つの事業者に集まり、利用する必要がある限りは継続的に保管 される可能性があるため、漏えい等の防止がより重要となるからである。

  6. 6 (イ)提供先からの第三者提供 B社は、A社の個人データ、及び、A社とB社の個人データを突合した個人データを 統計目的でのみ利用する必要があるが、これらのデータをB社が第三者(X社)に提 供してしまうことが想定される。 これは、B社が意図して第三者提供を行う場合だけでなく、B社従業員間において 統計目的以外での利用禁止が徹底されていない等の理由により、第三者提供されて しまうことも想定される。 (ウ)同一提供元から複数個人データを受領することに伴う個人データの取違え A社が「統計目的第三者提供」としてB社に個人データ(以下「個人データ1」と

    いう。)を提供し、別の理由でA社がB社に個人データ(以下「個人データ2」とい う。)を第三者提供(個人情報保護法第27条第1項柱書)したが、B社の従業員 が間違えて個人データ2を統計情報化し、逆に、個人データ1をB社の利用目的で 利用してしまったり第三者に提供してしまったりすることが想定される。

  7. 7 (エ)複数の提供元から個人データを受領することに伴う個人データの取違え A社が「統計目的第三者提供」としてB社に個人データ(以下「個人データ3」と いう。)を提供し、X社がB社に個人データ(以下「個人データ4」という。)を第 三者提供(法第27条第1項柱書)したが、B社が間違えて、個人データ4を統計 情報化し、逆に、個人データ3をB社の利用目的で利用してしまったり第三者に提 供してしまったりすることが想定される。 イ 漏えい等 (ア)提供元による個人データの誤送信

    A社が事業において様々な理由で個人データをB社を含めた事業者に提供すること を想定する場合、このような状況においては、A社がB社ではなく、別の事業者に個 人データを誤送付してしまうことが想定される。

  8. 8 (イ)突合・保管環境の脆弱性に伴う不正アクセス B社は、A社から個人データの提供を受けた後、自社の個人データと突合すること になるが、B社従業員が、自己のPC内等セキュリティレベルが低い場所で、個人デ ータを突合し、統計情報化するおそれがある。このような状況においては、突合環 境の脆弱性を突いた不正アクセスによる個人データの漏えい等が想定される。また、 突合後のデータをそのまま自己のPC内等で保管している場合には、その可能性が継 続して残存することとなる。 (ウ)不完全な統計情報化による個人データの第三者への提供 B社がA社の個人データとB社の個人データとを突合した個人データの統計情報化

    を試みたが、結果として統計情報となっておらず、突合した個人データ(不完全な 統計情報)を第三者に提供してしまうことが想定される。

  9. 9 (エ)提供先の従業員等による個人データの窃取 B社では、自社の個人データとA社から提供された個人データの突合を行うが、A 社から提供された個人データや突合した個人データをB社の従業員が窃取する可能 性が想定される。 (2)秘密計算の有用性 ア 目的外利用の対策ポイントに対して (ア)提供先での自己利用に対して 秘密計算を適切に実装すれば、B社がA社の個人データを閲覧等することはできな

    い状態のままで統計情報の作成が可能である。よって、秘密計算は、B社がA社の個 人データを目的外利用することを防ぐために有用である。

  10. 10 (イ)提供先からの第三者提供に対して 秘密計算を適切に実装すれば、B社がA社の個人データを閲覧等することはできな い状態のままで統計情報の作成が可能である。よって、秘密計算は、B社がA社の個 人データを第三者提供してしまうことを防ぐために有用である。 (ウ)同一提供元から複数の個人データを受領することに伴う取違えに対し て A社がB社に複数の個人データを提供する場合、秘密計算を活用すれば、例えば、 それぞれのデータに異なる暗号鍵や処理プログラム等を適用して分離した安全な環 境で処理することが可能となる。これにより、統計目的第三者提供の個人データと、

    通常の第三者提供の個人データを異なる技術的・論理的な環境に隔離し処理するこ とができる。そのため、データの混在や取り違えを防ぎ、意図しない目的外利用を 技術的に抑止することができるので、秘密計算は有用である。

  11. 11 (エ)複数の提供元から個人データを受領することに伴う個人データの取違えに 対して 上述のとおり、秘密計算を活用すれば、分離した安全な環境でデータを処理する ことが可能となる。これにより、A社及びX社の個人データをそれぞれ技術的に隔離 し処理することができる。そのため、それぞれの個人データを目的外で利用される ことを技術的に抑止することができるので、秘密計算は有用である。 イ 漏えい等の対策ポイントに対して (ア)提供元による個人データの誤送信に対して

    秘密計算は、データの処理主体(ここではB社)の環境内におけるセキュリティ 対策として有用な技術であり、B社の環境に入る以前の段階については関知しない。 よって、A社からB社へ個人データを送信する時点の誤り(=誤送信)に起因する漏 えいは防ぐことはできない。そのため、別の方法での対策の検討が必要となる。

  12. 12 (イ)突合環境の脆弱性に伴う不正アクセスに対して 秘密計算は、データを秘匿したまま処理できる安全な環境でデータ処理を行うた め、不正アクセス対策として有用である。 (ウ)不完全な統計情報化による個人データの第三者への提供に対して 秘密計算は、データ処理の秘匿化を実現する技術ではあるが、秘密計算の利用そ れ自体をもって処理されるデータが統計情報化されることを担保するわけではない (「第2」参照)。すなわち、秘密計算環境下で動く統計情報化するためのプログ ラム自体は適切にコーディングされている必要があり、秘密計算それ自体では、不 完全な統計情報化による個人データの第三者への提供を防ぐことはできない。

    ただし、機密コンピューティングを用いることで、A社が、B社によりコードが不 正改造されていないかどうかを検証できる(脚注6参照)。そのため、B社におい て不完全な統計情報が不正に出力されるようなコードになっていないかをA社が検 証できるという限りでは、機密コンピューティングは有用である。

  13. 13 (エ)提供先従業員による個人データの窃取に対して 秘密計算を適切に実装すれば、B社がA社の個人データを閲覧等することはできな い状態のままで統計情報の作成が可能である。よって、秘密計算は、B社の従業員 がA社の個人データ等を窃取することを防ぐために有用である。 2 データプラットフォーム型 (1)対策ポイント 本ペーパーにおいて現時点で想定した範囲では、データプラットフォーム型において も、データコラボレーション型で示したものと同様の対策ポイントが想定される。

    (2)秘密計算の有用性 本ペーパーにおいて現時点で想定した範囲では、データプラットフォーム型において も、データコラボレーション型で示したものと同様の有用性が期待できる。 (3)データコラボレーション型との異同 上述のとおり、本ペーパーにおいて現時点で想定した範囲では、データプラットフォ ーム型とデータコラボレーション型とにおいて、それぞれの対策ポイントと秘密計算の 有用性には大きな差はなかった。 しかし、データコラボレーション型と比較して、データプラットフォーム型において は、(事業者のデータ利活用施策の内容によるところではあるが、)①データプラット フォーマーであるC社に多くのデータが継続的に蓄積、かつ、保管される可能性が高い、 ②社会課題を解決するために利用されると想定すると、金融データや医療データなどセ ンシティブな情報が収集される可能性が高い、といった特徴があると思われる。 そのため、(PIA等を通じたリスクアセスメントの結果次第ではあるが、)データコ ラボレーション型よりも高度な対策が必要(秘密計算を実装するメリットが大きい)と 判断される傾向になると想定される。

  14. 14 第5 まとめ 本ペーパーでは、以上のとおり、統計目的第三者提供が実現した場合にその利用が期待さ れるモデルケースを設定のうえ、秘密計算が統計情報等の作成にのみ利用されることを担保 する手段としてどのように有用かということを示した。 上述のとおり、秘密計算は、データ処理・分析を行う事業者における目的外利用や漏えい を防ぐ効果は大きく、利活用されるデータの性質等に応じ、実装が積極的に検討されること を期待したい。 以上