ブロックチェーンとプライバシーは両立可能か

ブロックチェーンの目的は、データを確実かつ永続的に保存しておくことです。そのため、昨今のプライバシー保護規制のトレンドとは相いれないことがあります。

サトシ・ナカモトがBitcoinに関する論文を発表(英語資料)してから10年を迎えた今、Bitcoinについてさらなる見解は必要なのでしょうか。私は、必要だと考えます。この記事では、より議論を深めなければならない側面、プライバシーに注目してみます。

ブロックチェーンは、トランザクションがすべて履歴に追加されて「ブロック」に書き込まれることを基本原理としています。これが、幾人ものサイバー犯罪者を追い込んできました。捜査官たちが大いに成功を収めた直接の要因は、犯罪者のトランザクション履歴がブロックのチェーンに永久的に(この言葉が当てはまる限りにおいて)記録されることにあります。しかし、なぜ金融規制機関はいまだに仮想通貨を採用していないのでしょうか。

言うまでもなく、いついかなるときでも透明性が歓迎されるわけではありません。プライバシーのことを考えてみてください。この基本的人権は、多数の国の法律で守られています。たとえば欧州のEU一般データ保護規則(GDPR)は、かつて同意した内容をいつでも取り消せる権利を誰もが有すること、またかつて共有することに同意した個人情報について、永久に共有を取りやめたり削除したりできる権利を有することを定めています。では、ブロックチェーンで永久に記録される情報には、これがどう当てはまるのでしょうか。

こんな例があります。最近、ブロックチェーンのスタートアップ企業であるMedRecに関する話を耳にしました。同社は、さまざまなローカルストレージシステムにある患者のデータに医師がアクセスできるようにするサービスを提供しています。もちろん患者の同意が必要なのですが、患者が考えを変えたらどうなるのでしょうか。

公平を期すために付け加えると、提示された概念実証では、患者のデータがブロックチェーンそのものに保存されるのではなく、患者とサービス提供者との関係に関する情報がブロックに格納されていました。しかし、EUの市民であれば、その情報の使用許可を取り消し可能でなければなりませんが、プライベートブロックチェーンに保存されているのでない限り、取り消すことはできません。医療業界がこの構想を受け入れるとすると、採用にあたっては相互運用(英語記事)が重要課題となる以上、診療記録はパブリックブロックチェーンに保存されることになります。

教育分野から別の例を紹介しましょう。キプロス共和国のニコシア大学は、オンラインコースの料金をBitcoinで支払えるようにした最初の教育機関です。同大学はさらに進んで、修了証明書もブロックチェーンに記録するようにしました(英語)。

目的は明白です。このようにすれば、修了証明書の所有者から特定の情報(ハッシュ)を提供してもらいさえすれば、その人がコースをつつがなく修了したかどうか、誰でも本当のところを確かめられるのです。この台帳にはそもそもハッシュしか格納されていないため、意図された人以外がリバースエンジニアリングすることは困難です。つまり、偽名性のレベルはBitcoin自体とほとんど変わりないのです。先ほども述べましたが、これがサイバー犯罪者の追跡に有効であることは実証されています。

当然ながら、誰それがオンラインコースを修了したという情報は、プライベートな情報とは見なされないかもしれません。この点をここで議論するつもりはありません。ただ、何がプライベートな情報で何がそうでないかという定義が時間の経過とともに変わっていったとしても、ブロックチェーン上にある情報はそこにとどまり続けるということは指摘したいと思います。

一部のスタートアップ企業はさらに先を行き、人事関連の新しいサービスを展開しています。こうしたサービスは主に、分散台帳で検証された応募者の情報を採用担当者に提供することを目的としています。こうした情報には、その人の学歴や職歴、前職や実績など、完全に個人的な情報が含まれていますが、その人が共有への同意を取り下げたとしても消去することはできないでしょう。幸い、そうしたスタートアップは不首尾に終わっているようですが、どこかほかの場所で、何らかの方法で、似たようなアイデアが再浮上しても驚くにはあたりません。

まとめに入りましょう。どれが個人情報でどれがそうでないかの見解は、IT業界の発展と共に変化してきました。現在は「個人を識別できる情報」という法的な定義が出来上がっており、出だしとしては上々です。しかし、ビジネスの問題を解決するためにブロックチェーンを適用する場合には、基本的な人権としてのプライバシーを決して忘れてはならないと私は考えています。

数多くのコンピューターに自分のデータが保存されている場合は、どうしたらそれをプライベートなままに保てるのでしょうか。そうしたコンピューターのすべてを直接制御する権利を、自分も特定の誰かも持っていない場合、自分のデータを削除したいときにはどうしたらいいのでしょうか。ブロックチェーンはさまざまな分野に有効利用できますが、万能ではありません。削除できない個人データは、プライバシーの対極にあります。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?