JRが、suicaの利用履歴を行動データとして販売していた件で、先ほど利用拒否の申請をメールで送りました。
に、JEから始まるSuicaの番号を送るだけです。自動処理なので、それ以上の煩わしい処理は不要です。
Suicaの利用履歴をオプトアウトしました | しゅうまいの256倍ブログ neophilia++
よく「個人情報なんて取られても<自分の価値はそんなにないので>問題なんて起きないよ!」と言われます。これは多分、真実です。だからこの件も別にいいやと無視してきたのですが、「あたりまえのWeb」時代において、何がどう繋がるか?!はわからないので、念のため拒否しておくことにしました。
「ビッグデータ」という言葉を最近よく聞くと思いますが、ビッグデータの本当にバリューは、沢山の企業が持つデータを組み合わせた時に発揮されます。だからビッグデータビジネスはうまくいかないだろうと思っていたわけですが、唯一、うまく行くパターンが最近発見されました。
それは、
「情報が流出した時」
です。
思い起こせばTwitterでバカな写真を上げた人や、ウイルスアプリでPCのデスクトップ上の恥ずかしすぎる写真がネットにばらまかれた時に、どう本人特定されたか?!と言うと、mixiやtwitter、facebookに上がっている日記やツイートや写真に映っている「ビッグデータ」を人力で検索した人たちがいるが原因です。彼らはネットワークを活用し本当に優秀で、女子高生の身元を探すために、写真の足元に映っていた、ほんのちょっとした背景から、住んでいる場所を特定する能力がありました。それは情報を探す「2ちゃんねらの知」という人力ビッグデータがあったからに他なりません。
それぞれの情報はゴミみたいな日常の情報ですが、それが特定の目的を持った時には重要な手がかりになります。
そこまで考えた時に、Suicaぐらい強力な行動履歴において、自分が特定されかねないIDに繋がる情報が知らない会社に売られていくのはちょっと怖いな、と考え方を改めました。
企業の統計活動としてビッグデータが活用されるのは問題があるとは思ってないのですが、いざという時に本人の活動が芋づる式に特定されるキーを紡いでいった時に、なんか面倒臭いことになるのは嫌だな、という「なんとなくの恐怖」を抱いたということです。
ちなみにJRもIDを暗号化して特定されないように販売するそうですが、そうは言っても、「同じ人が乗っている」ということを特定するために一意な暗号化を行います。暗号化された単体のIDとしては確かに個人の特定は不可能ですが、沢山の人のIDを組み合わせたり、複数人のIDを組み合わせたりすることで、統計的な発想=ビッグデータとして扱われることで、問題が起きるリスクが高くなります。これが今のセキュリティ問題の大きなポイントです。
そして、レンタルサーバが同じフォルダ構造になっていた、有名blogシステムのDBのパスワードファイルが同じファイル名だ、パスワードが実質的なシングルサインオンシステムになっている、一つのidレコードにしか着目しなければ、さほど大きな問題にならないことが「沢山のidレコード」になることで大きな問題への突破口を作ります。
こう言うと怒られてしまうと思いますが、そもそもJRさんだと、おそらく実際のデータを取り扱うのは下請けの協力会社さんですし、情報の危機意識という面でもこういう体制は過去の情報流出事件の要因の一つにもなっています。銀行の行員の給料が高いのは不正を行わないための保険料と考えれば、ビッグデータも個人情報でバリューを生むのであれば、「ただの情報処理ではない」という発想で、相応の信頼感を構築して欲しいです。すでにPマークやISMSが形骸化している部分もありますので、大企業が今後、ビッグデータ時代に向かっていくにあたって是非お願いしたいところでもあります。
2chのカード情報等が流出したのは2chのパートナーである2chビューワーの会社さんだそうですが、自分のデータがどこにコピーされるかわからないし、どこから流出するかわからない、そして、それが具現化した時に誰も責任を取れない状況になってしまう。やっぱりID管理については気をつけないといけないなぁとは思っています。
【PR】ご意見、感想などは是非、mstdn.fmのローカルタイムラインでお聞かせください