  |
はてなキーワード: ヴァイスとは
http://anond.hatelabo.jp/20120511124327
論点1,論点2について。
レアケースとして、難病、特殊な性癖等、それ単体で自分で珍しい属性と思えるよって個人の特定が発生するという話になっています。人に寄っては「自分はそんな特殊な属性なんか持ってないその他大勢だから問題ない」と考えている人がいるかもしれませんね。また、武雄市市長は
僕が言っているのは、「5月6日20時40分、42歳の市内在住の男性が、「深夜特急」「下町ロケット」「善の研究」」を借りた。」ということそのものについては、個人が特定できない
と述べています。(http://hiwa1118.exblog.jp/15827483/)これを見て「この程度の属性ならば個人情報は特定できない。安心だ」と思っている人も多いかも知れません。
が、実際にはそんなこと無く、普通の属性の人でも、いくつかの条件を組み合わせていくと簡単に個人が特定できるよと言う話をします。図書館側から、CCCに対して、上記武雄市市長が挙げている情報が渡ると仮定した場合、ある程度の行動に法則性がある人であれば、かなりの確率で個人の特定ができます。
例えば、
これらはみな高確率で本人の特定が可能です。
簡単に言うと
これらはそれぞればらばらには該当する人間は多数います。しかし、これが組み合わさると(さらに5月6日20時40分に図書館を利用、タイムスタンプ情報が組み合わさると)どんどん対象は絞り込まれていきます。非常に尖ったそれ単体で個人を特定できる様な属性がなくとも、複数の属性が一致する人というのは少ないため、さらにそれを通常のTカード利用履歴データと照合すると、本人の特定ができてしまうと言う事です。
なお、私も武雄市の市政の問題と言うより、プライバシーやセキュリティの問題にのみ関心があるので、以下は架空の市「武雌市」を舞台としておきます。
武雌市立中学校に通う武雌太郎君(14)は、学校帰りに図書館に寄ることがあります。両親共に仕事が夕方シフトの仕事で帰宅も遅く食事も遅いので帰宅途中にあるファミリーマートで軽食を買って帰るのが日課です。
ある日、太郎君は図書館で本を借りました。この場合、図書館から出て行く情報は、仮に以下の様になるとします。
△月○日16時32分、14歳の市内在住の男性が、『暗黒神話体系シリーズ クトゥルー 第1巻』『這い寄れ!ニャル子さん(1)』を借りた。
次に彼はいつものようにファミマで買い物をします。するとこちらは以下の様な情報が記録されると思われます。
△月○日16:48分
会員IDxxxxxxxxx
購入品目
当然ながら後者のファミマの利用履歴にある会員IDを照合すると、登録時に申告した個人情報、氏名や年齢、住所、電話番号などと結びつきます。
この時、『時間16時台で、年齢14歳男性、武雄市内または周辺で使われたTカード履歴』と言う、図書館から得られる範囲の条件でTカードの利用履歴からデータを引き出してみます。利用状況にも寄りますが、この時点で確率的にそんなにたくさんが引っかからないと思われます。まず武雌市の14歳男性は国勢調査によると約300人でした。さらにこの中から、16時台に武雄市周辺でTカードを利用した人というのはどれだけのいるのでしょうか。
さらに「クトゥルーとニャル子さんを借りている事から、彼はオタクが好むアイテムを購入している可能性がある」としたとき、ヴァイシュスバルツ(アニメ・ゲームなどのキャラクターを題材にしたカードゲーム)を購入しているので引っかかります。こうなると、ほぼ間違いなく誰が借りたか特定ができてしまうでしょう。このオタク属性等と言うのはレアな属性でもなんでもありません。またこの他、例えばここで車好きでもいいし、スポーツ好きでもかまいません。そう言うありふれた属性で良いのですが、年齢と性別、時間と地理という条件が重なると、絞り込みの条件になって、特定がより簡単になっていくのです。
次に彼がまた同じ行動をとったとします。
図書館で本を借りて、ファミマで買い食いして以下の履歴が残りました。
△月×日16時28分、14歳の市内在住の男性が、『暗黒神話体系シリーズ クトゥルー 第2巻』『這い寄れ!ニャル子さん(2)』を借りた。
△月○日16:48分、会員IDxxxxxxxxx
購入品目
この時、前回と同じ条件『時間16時台で、年齢14歳男性、武雄市内または周辺で使われたTカード履歴』でTカードの利用履歴情報を引き出します。さらに、これを以前の記録の中から、ほぼ同一の行動パターンをとっている人物を引き出してきます。すると、ほぼ一人が浮かび上がってくるのではないでしょうか。
この時点で逆のアプローチが可能になります。つまり『会員IDxxxxxxxxがファミマを利用するとき、同一の属性の人物が同じ時間帯で図書館を利用している場合、高確率で同一人物である』と言う事が言えるようになります。これでファミマで利用が合った時、図書館から出された情報を検索すれば彼の利用履歴が作れる事になります。
さらに何回も似たような行動を繰り返します。するとどんどん彼の行動パターンができあがっていきます。行動パターンの積み上げにより太郎君を特定するための情報がどんどん積み上がっていきます。こうして積み上がった情報から、例えば彼がファミマを利用しなかったとしても特定が可能になっていくでしょう。「16時台に、同一シリーズのニャル子さん4巻を借りている。履歴から照合すると高い確率で会員IDxxxxxxxxの情報である」と判断することができる様になっていくのです。
武雌市内にある和平電機につとめている女性、小町花子さん(29)。在所は隣接する小町町で、勤務先の和平電機は毎週火曜日がノー残業デー、定時で退社する日と決まっています。協定でいつも1時間程度は必ず残業があるお仕事ですが、この日は17時に退社できるので、いつもこの日に用事を済ましています。
彼女は節約上手なのでポイントカードの提示を忘れません。Tポイントカードも例外ではなく、たくさんポイントを貯めるためにあちこちでポイントカードを使っていました。勤務先のある武雌市の図書館も利用しています。
この条件の場合、上記太郎君の場合のパターンでも特定が可能ですが、実はさらにそれより一発で特定ができてしまう可能性があります。それは、普段が彼女がTカードを使って作り上げた、行動パターンがあるから。
花子さんの利用履歴では、最近カメラのキタムラで高価なカメラを購入している情報、地元のTSUTAYAでカメラ関連の本を購入していたりする履歴があると、花子さんは最近カメラにはまっているようだ、と言う事が見えてきます。またガストではドリンクバーは2つのことが多いだとか行った情報から2人暮らしである事、一度名義を変更していることから結婚している事、ウエルシアでは愛犬用の用品をよく買っている事、などから犬を飼っている事、等々、どんどん情報が見えてきます。
△月×日17時20分、29歳の小町町在住の女性が、『デジタルカメラ入門 -2- 愛猫、愛犬を撮る』『なぜか夫婦がうまくいく3つの習慣―二人の危機を救う本』を借りた。
この時Tカードのデータベースから『デジカメ好きの30前後の女性、ペットを飼っている。既婚者』という検索条件で検索した場合、花子さんのTカード利用情報からの情報と、図書館の利用履歴の両方が抽出される事になります。
ここから、小町町の住人の29歳女性、と言うカテゴリで見ると、ほぼ間違いなく同一人物の情報だという事が分かる事になります。ちなみに小町町に在住する29歳女性は国勢調査によると約40人でした。
ここで彼女のTカードの情報には「図書館利用者である」という属性が蓄積される事になります。この後は豊富に蓄積された情報を元に、彼女の図書館利用履歴のトラッキングは比較的簡単に、高精度にできることになります。
武雌市に在住の、武雌和也さん(41)は、最近母親が難病にかかってしまいました。何しろ情報が無いのであらゆる手段を使って調べています。Yahoo!で検索して見たりしているのですが、欲しい情報が見つからりません。普段は全然利用していませんが、思い立って図書館に行ってみることにした。図書館では興味深い話を見つけましたが、情報が若干古いのでさらにYahoo!で検索をして新しい情報も仕入れたりもしています。ちなみに和也さんは、普段は奥さん任せでほとんど買い物などはしない人です。
和也さんの場合、ほとんどTカードを提示する機会は無い人ですので情報が少なくて照合などできないように見えます。が、ここで出てくるのがYahoo!IDです。和也さんは以前、Yahoo!で趣味の釣りの道具を購入したことがありました。その時、市が図書館カードとしてアピールしていた時に惰性で作ったTカードと結びつけを行っていました。
それによって、Yahoo! IDにTカードの情報が結びついている状態になっていたのです。
実はこのように、Tカードというのは非常に広範囲に利用域が広がっています。一度しか使ったことが無くても、使用した時に別のIDと結びつくような形になっているのであれば、TカードのIDそのものを利用しなくても、芋づる式に情報がつながってしまうと言う事が起きます。
Tカードは絶対に図書館以外で使わない、と言うのが一番シンプルです。図書館専用のTカードと、図書館以外のTカードを別けてもあまり意味がありません。Tカードによって記録されるデータベースに、図書館以外の部分で乗るような事をしてはいけません。従って、今、Tカードを利用している人が、図書館でTカードを利用し、尚且つTカードと図書館のデータを結びつけたくない人は、どちらかあきらめる事が必要です。図書館をあきらめるか、Tカードの利用を停止するか、どちらかになります。すでにTカードを利用しながら、結びつけたくない人は、図書館にて利用を開始する前に、一度CCCに個人情報保護法に基づく情報削除を依頼しておくことも忘れてはいけません。
おそらくこれらの指摘に対しては
情報分析については、コンピュータの大容量化、高速化によって不可能ではなくなりつつあります。近頃「ビッグデータ」処理システムなどを用いることによって実際に行われています。
これが「容易に」と言えるかどうかと言う事になるのですが、個人的な見解としては容易だと言って良いと思います。完全にデータベース上だけで照合が完結できてしまうと言う時点で、後はリソースの問題であるからです。コンピュータのリソースなどは数年もたてば倍にと言った世界です。そして毎回膨大なデータを処理しておかなくても、あらかじめデータをあらかじめ整理してあれば、許可を受けた店舗のマーケティング担当者レベルでも情報を引き出せるようになるでしょう。さらに言えば、観覧したい個人がすでに決まっていて、本人を知っている場合(標的を絞っている場合)はもっと簡単に情報を引き出せます。そこにダイレクトに個人を特定するID(名前も含む)が含まれているかどうかは関係ありません。
また情報を際限なく結びつける事を許さないので問題ない、と言う話についてはまず、Tカードの利用規約がすでにそれを許す形になっていることがあります。もちろん企業の内規等でそれができないようにしている可能性はあります。しかし、そこは行政が直接的に知る事も、コントロールする事もできません。何しろTカードの加盟店は膨大ですのでそれら全てに行政が行うべき情報保護に対する規律を求める事ができるのか、と言うと不可能でしょう。
であれば、共通的にTカードの規約を変更する等が必要になるでしょう。また技術的な原則論を超えて、特別な条例を作ってそれによってCCCを縛る事をするだとか、そういった政治的解決法はあります。しかし裾野が広いだけあって、規約だけでは駄目で、実際には不可能な形にしておかないと不十分である、と私は思います。
これはプライバシー問題の特殊さ、難しさが絡んでいます。プライバシー問題の難しさは、観覧された時点ですでに侵害が発生しており、さらに原状回復が不可能である(予防しかない)事、さらに発覚しにくいためです。
ちなみにこれは、公共サービスをそのような民間ベースのID認証に付け加えると、毎回このような情報の取り扱いについて問題が発生していくことになりますし、それらが適正に処理されているかの確認は行政側が行わなければなりません。住基ネットの住民票コードが民間利用禁止されているのもこう言った難しい問題があるからです。
次に「これらの事は民間ではすでに当たり前である」という話もあります。何を今更、と言う事ですね。これは全く持ってその通りで「俺はそうであっても気にしない」と同じような立場になります。しかし、事問題が行政サービスに関わる事であると言う事を忘れてはなりません。また、気にする気にしないと言う話は本質的には個人情報かどうかには直接関係はしないと思います。
もはや落としどころとしては、Tポイントカードを単なるユニークなIDが振られたカードとしてのみ図書館で利用する形にするしかないと思います。情報の流れを一方通行にする。図書館側からは一切CCCに情報を渡さない事ですね。
ではポイントの付加はどうするのか、と言う事になりますが、これはあきらめるか、さもなくば独立したシステムでポイントを加えるしかないでしょう。これでも「このIDは図書館を利用した」という情報は発生することになります。これも解釈によっては個人情報ですが、独立したシステムにすることによって、情報を渡したくないからポイントをつけない、と言う選択肢も可能にするべきです。当然Tカード以外のカードでも利用可能になっていないといけません。
こうなると「図書カードとTカードを別々に持つ必要がない」程度しかメリットが残りませんが仕方が無いでしょう。
最後に。セキュリティ論じゃないところに踏み込むと…正直CCCが戦略を誤ったとしか思えませんね。Tカードの話なんか出さなけりゃ良かったんですよ。あとポイントも。分かり易いメリットのつもりで市長に売り込んで、市長がそれを大々的に宣伝してこうなったのです。本を買わずにレンタルで済ます層の情報に商売としてのうまみがそれほどあるとは思えませんし。CCCグループはTSUTAYAを始めとした幅広い販売チャンネルから得られるPOS情報に、自前の取次MPD、流用出来るノウハウなども多数持っているんだからそっちで責めれば良かった。その上で競争入札に入れば良かったんですよ。
確かに「Tカードを全面に出さなければならなかったと言う事は、その他のメリットがなかったためでは?」と言う話はありますけど、それならば他の既存の業者を選んだ方が市のためになるわけですから今より悪い事にはならないはずです。
http://d.hatena.ne.jp/isayama/20080720/1216562529
にキレイにまとめららていて、また当方の耳に痛いことも進言してくださいました。ありがとうございます。
事実とか思いとか、「日立製作所」の問題か「官公庁のIT調達」の問題か、といった部分がないまぜになって単なる愚痴っぽい文章に終わっていますね。読み返すと。読者のみなさん、申し訳ありませんでした。
さて、内の組織や日立製作所を始めた大きな組織が急に体質を変えて、適正なIT調達と技術の適用がすばやく進むとは思えません。日本的なボトム・アップ式のゆるやかな改革の連続が、いつか壁を突き破ることにつながることになるだろうと思います。
私が担当ベースで粘り強く取り組むことは以下のとおりかと思います。
(1)日立のメインフレームの見積もりで高い、または前回購入時よりほとんど下がっていない点については徹底的に説明を受け、当方の組織に納得できるよう資料を提示してもらう。
・以前、ガートナージャパンの亦賀ヴァイス・プレジデントが「国産メインフレームの最大の問題は価格の不透明さ、そして、今後の技術のロードマップが不透明なところである」と言っていました。
この点を担当者として、勉強もしながら疑問点を洗い出して、ベンダーにぶつけ、友好的な交渉の後、適正な価格・構成で契約すべきでしょう。
疑問点の洗い出し(「なぜ」を何回も繰り返す)
・1プロセッサーあたりの処理能力は向上しているのに、IBMのように筐体統合(論理分割=LPAR)を推奨案とせず、メインフレームの台数が多い構成を薦めるのだろうか(秦野市のハード工場の維持のため台数出荷は押さえておきたいポイントなのか)
・1プロセッサー(50MIPS程度)で提供価額1億円を超えており、明細がないが説明をしてもらう。
プロセッサー単体=1億ではなくある程度パッケージ化された固まりなので1億円の大台になってしまうのだと思う。交代用プロセッサー、SVPと言われるプロセスを監視する機構、あとメモリ(4G)等いろんな部位があってこういった値段になっている。福袋のようにまとめて、1億とか言われると思考停止するので、ここは明細を出してもらい、サービスマニュアルでどんな働き、冗長性を持っているかを理解して価格交渉するべきですね(デカルト「困難は分解せよ」)。
・詳細な見積もり書の提出を日立が拒む可能性は大きい。これまでも数度にわたり交渉したが、先方は牛歩作戦でうやむやにしてきました。ここは企業対企業なので、いろいろ駆け引きもあるようですが、地道に交渉します。気の利く営業マンだと「今の時点では正式な紙としてお出しできませんが、口頭ベース未確定でメモをお取りいただいたということで・・・」と言って企業名の入っていない内訳メモを出して、こちらの気を揉ませることのないよう配慮するのでしょうが。
・CPU周辺部品の明細徴求
メインフレームは入出力用のチャネルと言われる部品も一個250万円ほどしてそれが、何十個と搭載する必要となるとすごい金額になります。昔メタルチャネルで、その次は光ファイバチャネル、そして最近光ファイバ多重チャネルと何種類かの接続機器が混在し見積もり金額が高くなるのです。周辺機器も順次、上位の接続規格にグレードアップしていけば、統合・集約ができるのですが、どうしてもレガシーな接続方法が残ってしまうのですね。パソコンに喩えるとUSBみたいなものですが、高いうえに融通が利かないのです。また、ここは日立独自の技術というよりIBMから技術供与を受けているみたいですね。日立物流のトラックから当該部品が入ったダンボール箱の荷下ろしを目撃したのですが「IBM ESCON」と堂々と箱に書いてありました。光多重チャネルは24多重まで可能であるので、数は減らせるはず、減らせないなら納得のいく説明をもらう。また、下位のレガシーチャネルは周辺機器の入れ替えの関係もあり1年も使わず廃棄といった勿体無いことがおこりそうです。
日立もグリーンITを推進しているので、自社検証センターや共同システムセンタでさほどクリティカルでない場所でセカンド・ユースして下取りすることは可能か聞いてみます。
最近CPU専用のプロトコル(日立ではXNFという)をTCP/IPに変換するホスト側のミドルウェアが実装され、サーバへのデータ転送はFTP転送で可能になりました。メインフレームには内蔵LANアダプターというギガビット・イーサーを搭載でき、またこれが2ポートついているのですが、1個200万円するんです。もっと高かったかな。それでサーバーと接続するのですが、普通、複数のサーバとやり取りするならば、中間にスイッチを置いてメインフレーム側のLANアダプターの数は抑制しますよね。
日立の技術者はめっきりネットワークに弱く、サーバと1対1通信をするため、相手のサーバの数だけ内蔵LANアダプターを買わせようとしているのです。メインフレーム側の仕様かなと思い日立のメインフレームXNF/TCPマニュアルを精読すると1つのLANアダプターに64個までのLANの設定定義が可能となっていました。でも「ネットワークは自分の専門でないから・・・」等々言って動きたがらないのです。しかし、ここはしっかりお願いをして、場合によってはネットワークに強いベンダーさんを読んで帯域制御なり、VLANなりの十分汎用化した技術を使って最適な構成をやってもらおうと思います。
他の日立のユーザさん、どうですか。ネットワーク接続で目茶苦茶原始的な接続設計で高いハードをたくさん買わされていませんか。こういうハードはロット生産なので本社から在庫があるので、少々言葉は悪いけど無知なユーザにはハードを売り捌けという指令が飛んでいるのかもしれません。
日立はこれを「AP保守料(サービス料)」と読んでユーザに契約させ、1ヶ月毎払いで年間数億円請求しています。当官庁のサイトには常駐のSEさん、ハード保守の人に100人とまではいかないけど、詰めてもらってその方たちには、その保守料とは別に人月ベースで人件費を払っています。このAP保守料は何か「本社への上納金」のような気がして仕方がないのです。すべてのユーザがお支払いしているのかも不明なので、いったいどういうものか質問してみます。ユーザサイド常駐SEがいて、それとは別に事業維持のため上納金が欲しい。けれど月々の活動明細は提出しない。資金使途は教えられないというのでは「みかじめ料」みたいですね。日本IBMさんではこの制度はないようです。
■他社への参考見積もり
日本IBM社に同等規模のシステムを構築するといくらくらいになりますか、ということで見積もりを取りました。
ハードの置き換えでなく、使用しているソフト料等のランニング費用を出してイニシャル×ランニングでトータルで参考値を提出してもらいました。
1ヶ月くらいかけて問診シートをもとに結構精緻な資料をつくってもらい日本IBM社には感謝しています。メインフレームは独自ハード、独自OS、独自ミドルといったところで、全面コンバージョンは非常に難しいところがあるのですが、IBMさんは「参考になれば」ということで、しっかりとした資料をまとめてくれました。
一番、移行に対してハードルが高いのは20年来使っているDBのミドルウェアとのインターフェースが互換性がないということでした。形式が違うため、DBのつくり、アプリケーションから参照するデータ・テーブルを全面改造するとなると、すべてのシステムをゼロから書き直すといったことが必要になり、今のこちらの体力では難しいという結果となりました。
しかし、IBM側もこちらのシステムのつくりを把握することができたので「ここの機能はオープン・パッケージにマイグレーションするといい」と言った提案は今後してくれるとのことでした。
印象的だったのは日立のように秘密主義、なにも説明してくれない主義とは違って、自分たちの技術に自信、誇りを持って的確な資料を短期間に纏め上げてきたことです。感嘆しました。また、非売品だそうですが、「IBM Zシリーズハンドブック」という、あまり専門的な知識がなくてもZシリーズのイロハが分かる日本語の参考書をくれました。これは分かりやすくて、熟読して「日立」には「これはどうなの」と言った質問をしています。顧客に見せるナレッジ・マネジメントという意味ではIBMの方が数段上のようですね。
メインフレームのプログラムは150種類くらいあって、個別に月々レンタルというかたちで使用料を払っているのです。ものすごく高いです。全部で70千万円くらいかな。価格体系も複雑で、またプログラム種類も多岐にわたり、理解が難しい。これなんかは提供側とユーザの情報の非対称性を「悪用」した「不安商法」といえるかもしれません。でも、税金が無駄に使われているかもしれませんので、頑張ってチェックしていかなければ。
■結論■
あまり、味方がいないので、体を壊さないようスケジュールを作ってこつこつ日立製作所との不公正な取引があれば理詰めで解消していきたいと思います。また、他の官庁、自治体で同様な無駄、過剰な契約をしていることがあれば、本当に必要なのか吟味して、全体として適正な方向に向かえばいいと思います。あまり革命は望んでいません。
