IT & Information security Journal

  1. UNITIS
  2. セキュリティマネジメント
  3. スマートシティ推進における個人データの保護・活用 —<連載>持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか 第15回

スマートシティ推進における個人データの保護・活用 —<連載>持続的な成長のためのリスクテイクに際して、企業はどうCyberと向き合うべきか 第15回

1.スマートシティの進展と「データ自己主権」の必要性

近年、まちづくりのキーワードとして「スマートシティ」という言葉が聞かれるようになり、政府が推進する「デジタル田園都市国家構想」においても、このスマートシティが、今後のまちのあるべき姿の一つとして謳われています 1

「スマートシティ」は、下図で示す3つの基本理念、5つの基本原則に基づき、ICT等の新技術や官民各種のデータを活用した市民一人一人に寄り添ったサービスの提供や、各種分野におけるマネジメント(計画、整備、管理・運営等)の高度化等により、都市や地域が抱える諸課題の解決を行い、また新たな価値を創出し続ける、持続可能な都市や地域であり、Society 5.0の先行的な実現の場、であると定義されています。



スマートシティに求められる3つの基本理念、5つの基本原則
スマートシティに求められる3つの基本理念、5つの基本原則
出所:内閣府「スマートシティガイドブック」をもとに作成

都市化が進み、かつ人口減少社会に突入した日本では、都市運営をテクノロジーによって最適化、効率化していくことが求められ、ICTの進展によりスマートシティの実装化が現実味を帯びている近年において、この潮流はもはや不可逆であるといえます。

しかしながら、このスマートシティの取り組みを、テクノロジーを有する特定の企業の手に委ね、権力を集中させ、個々人のパーソナルデータを管理・支配させることで、我々は安心して暮らしていくことができるでしょうか。

内閣府「スマートシティガイドブック」2 では、5つの基本原則の中で、「プライバシーの確保」や「セキュリティ、レジリエンシーの確保」を掲げ、市民のプライバシーを保護することを重要視していることが分かりますが、これらと合わせて重要になるのが、「データ自己主権」の考え方です。「データ自己主権」とは、民間と行政が持つ個人に紐づくデータを、「本人の意思=自己主権」に基づき活用することで、サービスの個別最適化、住民にとってよりよいサービスを提供することを可能とする考え方です。この考え方を遵守することで、住民(=ユーザー)が自身の意思に基づいて主体的に提供するデータを選択できるようになります。

以下では、スマートシティにおいて個人情報を保護するための取り組みと、個人情報を活用するための取り組みのそれぞれについて概説したうえで、具体的な事例を紹介します。

2.個人情報を保護するための取り組み

総務省は、スマートシティにおける個人情報保護を含めたセキュリティ対策の指針として、「スマートシティセキュリティガイドライン」の取りまとめを行っており、最新のものとして第2.0版(令和3年6月)3 が発出されています。ここでは、スマートシティの推進に必要な構成要素を提示する「スマートシティリファレンスアーキテクチャホワイトペーパー」(令和2年3月)で定義された9つの構成要素が、「ガバナンス」「サービス」「都市OS」「アセット」の4つに区分され、それぞれのカテゴリにおいて想定されるリスクやセキュリティの考え方がまとめられています。あわせて、スマートシティ特有のセキュリティ対策として、「適切なサプライチェーン管理」「インシデント対応時の連携」「データ連携時のセキュリティ」について触れられています。

「ガバナンス」「サービス」「都市OS」「アセット」の4つのカテゴリの代表的なセキュリティ上のリスクとセキュリティ対策のポイントは下図の通りです。



スマートシティセキュリティガイドラインで求める対応
スマートシティセキュリティガイドラインで求める対応
出所:総務省「スマートシティセキュリティガイドライン(第2.0版)」及び「スマートシティセキュリティガイドブック」をもとに作成

3.個人情報を活用するための取り組み

先に述べたとおり、スマートシティにおいて、サービスの利便性を高め、真の市民(利用者)中心主義を実現するためには、十分なセキュリティが確保されていることを前提に、データの保有者であり、利便性の高いサービスを利用したいと考える個人(本人)が、主体的にその活用を進めていくことが望まれます。

この実現のために、サイバー空間において、個人に関する情報の取得や利用などを、ユーザーの意思に基づいて行うために、「オプトイン(Opt-in)」「オプトアウト(Opt-out)」の仕組みを用意しておくことが重要です。オプトインとは、ユーザーが個人に関する情報の取得や利用について許諾する意思を示す行為、オプトアウトとは、オプトインとは反対に許諾しない意思を示す行為を指します。加えて、自身のどの情報をどのような主体に対して提供するかという選択権をあくまで本人に持たせることが、「データ自己主権」を実現するために重要な要素となります。

また、このようなサイバー空間で行う意思決定を含む諸活動が、本当にその本人が行ったものであるのか(本人性)、また、活動がその本人の意思によって行われたものであるのか(真正性)を明確にする必要があります。

すでにサイバー空間では数多くの民間サービスの利用が可能ですが、その際に、固有のIDやパスワードを生成し利用することが一般的です。この時、我々はID発行において氏名や、メールアドレス、電話番号、生年月日などを登録するケースがありますが、実は、この状態では、上述の本人性や真正性が保たれているとは言えません。

他方、行政サービスについて、オンラインで行政手続きを行いたい場合、我々は本人確認を行うために、「マイナンバーカードの電子証明書」もしくは「電子署名法の認定電子証明書」のいずれかを、「トラストアンカー」として用いる必要があります 4。このうち、前者の「マイナンバーカードの電子証明書」については、政府がマイナンバーカードの普及と合わせて取り組んでいるものですが、後者の「電子署名法の認定電子証明書」として機能するのが、民間企業が開発する「FPoS(Fintech Platform over SIM)」という仕組みです。FPoSは、「本人性」と「真正性」の両方を提供でき、かつ法的な裏付けをもつデジタルIDを発行する仕組みであり、スマートフォンに秘密鍵と電子証明書を搭載する方法としては唯一、主務大臣により電子署名法に基づく認証局の認定を受けています。このデジタルIDにより、我々はスマートフォンの上で金融取引や個人情報を含む取引、重要な契約等を、安全・安心・便利に実現することが可能となっています。

4.先進的な取り組み事例

岸田政権発足後、「デジタル田園都市国家構想」が推進され、令和3年度補正予算で「デジタル田園都市国家構想推進交付金」が措置され、計531団体が、デジタル実装に向けた取り組みを進めています 5

その中で、上述の仕組みを活用した事例として、群馬県前橋市の取り組みがあります。前橋市では、FPoSの機能を活用したデジタルIDとして「めぶくID 6」を発行し、住民が、「本人性」と「真正性」を確保した状態で、民間・公共双方のサービスを活用できる環境づくりを進めています。すでに複数のサービスがこのめぶくIDを通じて利用可能であり、本人に最適化(パーソナライズ化)された生活情報がいつでも確認できる、ダッシュボードと合わせ、生活の利便性を高めています。



デジタル田園都市国家構想推進交付金を活用した群馬県前橋市の取り組み
デジタル田園都市国家構想推進交付金を活用した群馬県前橋市の取り組み
出所:前橋市での取り組みに基づいて、デロイト トーマツ作成

5.最後に

ここまで、スマートシティの実現における「データ自己主権」の必要性、個人情報を保護するための取り組み、あるいは活用するための取り組みを、事例を含めて概説してきました。

既に社会実装が進められていることは特筆すべきであり、デジタル空間における取引やデータ利活用が進展する現代において、住民と行政、事業者など、「まち」を舞台に活動する様々な主体が互いに信頼関係を構築して、安心・安全な暮らしを実現していくために不可欠な要素であると考えます。

本記事はデロイト トーマツ公式Cyberブログ掲載記事を転載したものです。
Tsuyoshi Kono

Tsuyoshi Kono

デロイト トーマツ グループ ボードメンバー/ガバメント&パブリックサービシーズインダストリーリーダー

Tsuyoshi Kono is a partner and leads Deloitte Tohmatsu Group’s Government & Public Services (GPS) industry. Kono specializes in helping government organizations solve major issues including strategic planning, business transformations, and the implementation of large-scale projects. In addition, he has experience in numerous projects related to regional revitalization and smart cities. He promotes public-private partnership projects across the country to resolve regional agendas and drive the future. Kono also serves on the Board of Directors at Deloitte Tohmatsu Group.

神薗 雅紀

神薗 雅紀

デロイト トーマツ サイバー合同会社 執行役員 CTO 兼 サイバーセキュリティ先端研究所 所長
デロイト トーマツ グループ イノベーション担当執行管理者

デロイト トーマツ サイバー合同会社所属。大学時代に国立研究開発法人情報通信研究機構(NICT)と共同研究に従事。2005年より大手ITメーカーにてインフラ専門SEとして、大規模システムの提案から設計・構築・運用に至るまで経験。 2009年よりセキュリティ専門会社に入社し、サイバーセキュリティに関する製品開発や多数の大規模国家プロジェクトの研究員およびプロジェクトマネージャーを担当。同時に、緊急時のインシデントレスポンス対応も行う。また、国内外のセキュリティカンファレンスにて広く研究発表も行う。 2015年より研究所を率いて新たなコア技術の研究開発や、サイバー攻撃の分析に従事。開発したソリューションのデリバリーや緊急時のインシデントレスポンス、インシデント検証委員なども担当。総務大臣奨励賞を受賞。

米森 健太

米森 健太

有限責任監査法人トーマツ パートナー

パブリックセクターのプロフェッショナルとして、「持続可能な地域経営・まちづくり」をテーマに、官民連携による地域活性化、地域DXのプロジェクトに多数従事。地域活性化関連では、観光やまちづくりをテーマとしたビジネス、地域DX関連ではデロイト トーマツ グループ横断で取り組むスマートシティイニシアティブであるFuture of Citiesを推進。全国の拠点と連携し、構想策定からスキーム検討、実行支援までEnd to Endでプロジェクトに取り組む。公認会計士。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

この記事をシェアする

TOP