ドモジョワがプライバシーの問題に一石を投じたのはこれが初めてではない。2012年の研究でも、携帯電話の匿名の位置情報を用いて個人の再識別に成功した(他の研究者らも、別のデータセットを用いて同様の結果を示している)。現在のところ、検索履歴など他の大規模データによる分析は試していないが、それらでも再識別化が容易である可能性は高いと彼は言う。
ドモジョワの研究結果が意味するところは深刻である。大まかに言えば、匿名性はプライバシーを保証するものではないということであり、そうなれば消費者のプライバシーに関する全世界の法律・規制の多くが意味をなさなくなる。匿名性の保証(つまり個人情報の除去)と引き換えに、データを自由に収集・利用する――これはアプリ制作会社からクレジットカード会社まで、あらゆる事業主にとって必須のマーケティング方針だ。だが匿名性が破られるようであれば、その遂行はもう無理かもしれない。今日定義されるところの「匿名化」は、ドモジョワによれば「不十分」であり、やがて大規模なメタデータ(数多の会社が活用している公的なビッグデータなど)に対して機能しなくなるという。(彼は「ビッグデータ」という用語は使っていないが、これとほぼ同じ概念で「メタデータのデータセット」と表現している。)
1つのわかりやすい対処法はある。ヨーロッパで検討されているものだが、これらのデータの利用を望むすべての人や組織に対して、「データセットからの個人の識別を不可能にした」ことを証明するよう義務づけることだ。しかし、ドモジョワが場所、時間、消費金額の大まかな情報だけの匿名データから、5人中4人を識別できたのなら、データの匿名化を疑問の余地なく証明できる者がいるとは考えにくい。そうした強制は最終的に、データの利用と共有の禁止にまでつながりかねない。
とはいえ、大規模データの持つ力を考えると、そんなことになったら一大事だ。「このようなデータの潜在的メリットはあまりに大きく、利用を禁じるべきではありません」とドモジョワは言い、さまざまな例を挙げた。モバイルデータを利用して病気のまん延を防げる。交通データを利用して、より効率的な交通システムを作れば排出ガスも大幅に減る。経済データの追跡によって、イノベーションと成長の好機をとらえられる。
彼は1つのモデルに言及した。カリフォルニア大学のポール・シュワルツとジョージ・ワシントン大学のダニエル・ソロブが提案する「PII 2.0」だ(英語報告書)。現在のPIIはバイナリデータであり、個人の識別は可能か不可能かのいずれかである。シュワルツとソロブは、両方の間をとった第3のカテゴリー、つまり識別は可能だが非常に難しいという分類を示し、3種類のデータにそれぞれ異なる規制を適用することも提案している。
ドモジョワはまた、MITのサンディ・ペントランド(ドモジョワの論文の共著者)が提案する「データのニュー・ディール」にも注目している。これは個人データの所有権を消費者本人に持たせるという構想だ(詳細は本誌2015年4月号「【インタビュー】データは誰のものか」を参照)。
「我々が目指しているのは議論を始めることであって、データの利用をやめさせることではありません」と、ドモジョワは言う。「研究で示されたのは、このような大規模データに伴う潜在的なリスクです。匿名化には限界がある。しかしデータは莫大な利用価値を秘めています。ですから、よりよいモデルを見つけましょう。プライバシーと利便性のバランスを見出すのです」
HBR.ORG原文:There’s No Such Thing as Anonymous Data February 09, 2015
■こちらの記事もおすすめします
【インタビュー】データは誰のものか
デジタルメディア&テクノロジー最前線:2015年注目の6つのトレンド
スコット・ベリナート(Scott Berinato)
『ハーバード・ビジネス・レビュー』のシニア・エディター