【レポート】CUS-92：GDPR等プライバシーマネジメントの最新トレンドとAmazon QLDBの弊社サービス活用事例 #AWSSummit

こんにちは、CX事業本部の夏目です。

今回はAWS Summit Onlineのオンデマンドセッション「US-92：GDPR等プライバシーマネジメントの最新トレンドとAmazon QLDBの弊社サービス活用事例」についてのセッションレポート(文字起こし)になります。

導入

• 初めましてZEROBILLBANKの堀口と申します。
• 本日は GDPR 等プライバシーマネジメントの最新トレンドと Amazon QLDB を活用した弊社の活用事例の事例をご紹介させていただきます。
• よろしくお願いします。

タイトル

• はい。それでは改めまして今日の内容なんですけれども、

自己紹介

• まず最初に私の自己紹介をさせていただきます。
• 改めましてZEROBILLBANKの堀口と申します。
• 私自身はですね、もともと日本アイ・ビー・エムでずっと営業しておりまして、その後海外シンガポールの方に赴任をしまして、その後2015年にこのZEROBILLBANKを創業させていただきました。
• 今日はこのZEROBILLBANKがですね、創業した主にブロックチェーンを活用した SaaS のスタートアップでございますが、こちらのですね経験を踏まえて、今のプライバシーマネジメントのトレンドとですね、その他もろもろの活用事例ご紹介させていただきます。
• AWS のサービスですね、これ皆さんよくプレゼンのときにご紹介すると思いますけれども僕自身は AWS の Lambda とですね、今日ご紹介する Amazon QLDB が、大切なサービスでございます。

• そしてもう一つ、皆さんもそうだと思うんですけれども今コロナ下で大変な状況かと思いまして、我々自身もですね、全社基本的にはリモートワークを進めておりまして、
• その中で一つ感じたことがありましてですね、これまでやっぱり日本の社会ですね、女性の社会進出をですね積極的に推進するような取り組みがございましたが、これにも増してですね、僕自身も家にずっといることによって意外と家のことが全然できてなかったかなと。
• やっぱ企業の経営者としてですね、一つ男性がですね、家庭に進出して例えば子育てであったりですとか、パートナーの例えば家事であったりですとかいろんなものがやっていかなくちゃいけないかなっていうことがやっぱり重要かなと思いましてですね。
• これから我々企業経営者みたいなところについては従業員のよりこのリモートであったりとか新しいこの働き方をですね、作っていかないといけないかなということを強く感じた期間でございました。
• ちょっと簡単に自己紹介をさせていただきまして、続きたいと思います。

ZEROBILLBANK 会社概要

• 改めてZEROBILLBANKの会社の概要でございますが、弊社はですねちょっと立ち上げはユニークでございまして、2015年2月にイスラエルのテルアビブで法人登記をして立ち上げました。
• 僕自身がですね現地に2年ほど住みてしてですね、
• ブロックチェーンのいわゆるセカンドレイヤーというとこですね、
• いろんなトークンをですねアセットをブロックチェーン ビットコインの上に作りまして、
• それをいろんな形で流通させていただくいくような技術がありまして、
• そのところで、我々のですね今のサービスの原案だったりですとかアーキテクチャみたいなものを作っていたのがこの期間になります。
• その後ですね、2016年3月から日本に渡りまして、東京の子会社を作って今に至っているわけですけれども、
• そのタイミングで MUFG さんのですねフィンテックアクセラレータプログラム、今で言うアクセラレータープログラムが当時始まっておりまして、そこの第1期生に選定いただいたことから、日本での事業展開を今積極的に進めるようになりました。
• 本当にあの銀行の皆様であったり証券の皆さんだったりクレジットカードの皆様だったり、 MUFG グループのですね皆様と、本当にいろんな当時ご支援をいただきましていろんな発想であったりですとかユースケースの開発だったりですとか、今でもいろいろとやりとりをさせていただきまして、切磋琢磨して進めております。
• こういったスタートアップになりますので本日はブロックチェーンを活用した、特にその中でもAmazon QLDB の活用事例のご紹介をさせていただきたいと思いますのでよろしくお願いします。

アジェンダ

• 改めてアジェンダになります。
• まず最初にですね GDPR 等、プライバシーマネジメントのですね世界的なトレンドについて簡単にご紹介をさせていただきます。
• その上でパーソナルデータですね、いわゆる個人情報の管理における課題がですね、やっぱり企業の皆様、日々お話をしているとですね皆さんお困りになっておりますので、そういった課題感を共有した上で、では企業として今後こういったパーソナルデータの管理の仕方であったりですとか、どういうふうにして活用していくとですね大きな事業を作れるかというところをご紹介させていただき、
• その中でも特になぜ弊社がこのAmazon QLDBを活用しているのかというところを掘り下げてですね、ご紹介をさせていただきます。
• 弊社もいくつかプレスリリースしているユースケースもございますのでそちらの紹介をさせていただいて、まとめの方に進んでいきたいと思います。

1. GDPR等プライバシーマネジメントの世界的トレンド

• それでは、最初のテーマでございます GDPR 等、プライバシーマネジメントの世界的トレンドのお話をさせていただきます。

• これ、ダボス会議で前回言われたことなんですけれども、なかなかいいキャッチーでわかりやすい言葉だったのでご紹介いたします。
• 電線にですね、電気を流すと電力産業になりまして、電子の波を通すと電話になっていった。そしてパケットを通すとインターネットになっていった歴史があるのかなあということです。

• 昨今いろんな IoT であったりですとかいろんなサービスがありますけれども、次はですね、この電線の中に個人が生み出す情報ですね、このパーソナルデータをパケットとして流すようになると一つ大きな新しい産業が生まれてくるのかなあということを言われています。

• 特に企業を取り巻く環境についてなんですけれども、これちょっと皆さんに簡単にご質問なんですけれども、例えばこの Facebook さんですね、 Facebook の売り上げのうち、ユーザーの個人データから売り上げてるんですね、Facebook の売り上げの割合ってだいたい何%ぐらいになるかおわかりになりますでしょうか？
• ちょっと考えてみますとですねいろんな捉え方はあると思いますけれども、僕から見ますとですねほぼ100%に近い物をですね、ユーザーのですね、個人データから生まれているんじゃないのかなと思います。

• この裏返しは何かというとですね、企業は、こういった個人のデータを適切に構造化することで、とても大きなですね事業を作れていけるんじゃないのかな、ということになります。
• いわゆる GAFA と言われているようなところはですね、こういった個人情報を適切に構造化することで非常に大きな事業を作っているのかなあというのが一つの試算になります。

• 一方ですね、個人情報の方ですね、まず、先般 Netflix でグレートハックというノンフィクションのですね、ドキュメンタリーの映画がありましたけれども、 Facebook を活用して、まだまだユーザーに対してですねいろんな情報を与えてユーザーの意思決定っていうのを変えていってしまうみたいなそういうノンフィクションの映画があったんですけれども、

• 本当にヨーロッパですとかアメリカ日本でも今ちょっと先月ですね、個人情報の改正が国会通りまして2年以内の公布になっていきますけれども、この GDPR と言われているものであったりですとか、 CCPA というこれフロリダ州の法律ですけれども、こういったかなりちょっと厳しめのですね、規制がどんどん世界的には広がってきているのかなあと。

• 中でも、その個人が発するデータですね、それの所有者であるユーザーの権利の拡充であったりですとか、そのユーザーのデータの主体のリクエストに対するシステムだったり、運用だったり、監査の体制を作っていかなくちゃいけないっていうような取り組みであったり、
• あとは個人データを管理する管理者の設置であったりですとか、その法律に違反した場合においてはかなり高い制裁金が課せられている事例も出始めておりまして、

• 個人のデータを構造化してですね、使うと大きな産業は生み出せる一方ですね、やっぱり企業としては、この個人データを適切に管理することが求められているというところが今のこれ大きなトレンドかなと思います。

• EU であったりアメリカであったり日本であったりと、各国地域においても、法制度の取り組みもですね、どんどんどんどん進んできておりまして、この1990年以降ですね、デジタル環境の変化とともに個人情報の関心の高まりがですね、どんどん強くなっていて、特にこのプライバシーに関するマネジメントの仕組みであったり規制がですね、どんどん各地で新しくなっているかなと思います。

• で、この辺の具体的な内容は今日ちょっと割愛しますけれども、一つの参考としても個人データを適切に管理していくというプライバシーマネジメントの仕組みですね、こういった表示みたいなものも、グローバルではいろいろ出て来始めていますけれども参考までに、その個人のデータを活用していくサイクル、ライフサイクルですね、ユーザーの種情報をまずし、正しく取得して保管をして利用する、更新が行われて必要がなければ廃棄していくというライフサイクルに、いろいろ日本でも昨今問題となってましたけれども、匿名化をして外部利用していくっていうパターンも考えられておりますけれども、この辺のデータのライフサイクルのところの管理方針みたいなものがいろいろと変わってきているかなと思います。
• そのデータをですね正しく管理する仕組みですね。
• 例えばデータを主体リクエストということでユーザーからのリクエストをきちっと管理していく。
• もし、もし何か事故が起こったときのインシデントの対応であったりとか、第三者への提供の形でそれをモニタリングする仕組みで個人データを取り扱う従業員等のトレーニングの仕方、こういったものがですねプライバシーマネジメントとして求められているかなと思います。

• その中でも例えば利用規約の同意の新しい形であったりですとか、個人情報を保管するところで、その管理方式、データの形、暗号化の形、検索のさせ方、削除匿名化等々ですね、いろいろとこのデータのライフサイクルで求められているプロセスがプライバシーマネジメントシステムということで求められていますので、この辺が大きなトレンドになるかなと思います。

2. パーソナルデータ管理における課題感の共有

• では続きまして、2番目のパーソナルデータ管理における課題感の共有のところに行きたいと思います。

• これまたちょっと皆さんにこう問いかけなんですけれども、企業間でですね、この顧客情報を共有する仕組みって皆様どういうふうに実現されてますでしょうか？
• これなかなか難しい問題かなと思います。
• きちっと顧客情報をですね共有すると新しいサービスを非常に作りやすい環境である一方ですね、やっぱりユーザーの方にきちっと同意で、規約で同意を取っていますか、とっているんだとしても、どこのデータをどの粒度で企業の相手の中で共有はする仕組みっていうものまで管理しているとはなかなか難しいんじゃないのかなぁと日々我々もお客様の声を聞いて思っているところであります。

• 特にですね、最近オープンイノベーションというような文脈であったりですとか、企業のコンソーシアムで、このデータを活用して、新しい産業を作っていきましょうというような取り組みが多いと思います。

• 事例として、MaaSのようなですね新しい Mobility as a Service ということであれば、非常に参画するお客様の業種であったり業態であったり、場合によっては地方行政等ですね、非常に多い、多くのですねプレーヤーが出てくるわけですけれども、
• こういった企業間コンソーシアムでですね、データの連携にだけでも大変なんですけれども、その中でもこの個人情報ですね個人のパーソナルデータのですね、取り扱いを行っていくところに非常に大きな課題があるんじゃないのかなと思います。
• 我々もですね、起業をしてからですね3年間日本での活動を進めてますけれども、非常に多くのコンソーシアムに参画させていただいていろんな課題をお聞きしている中でやっぱここがですね、非常に大きなイノベーションを生む可能性は大きいんですけれども、課題としては大きいところかなと思います。

• 例えばまず一つ顧客の ID の連携のさせ方ってどうしましょうかと、自分のお客様の情報をですね、相手と一対一で繋げる分にはそこまで大きな問題ではないんですけれども、どっかの ID に寄せていこうとするとですね、その ID と自分との ID の規約の同意のさせ方であったりですとか、1:Nであればなおまだ理解できるんですが、結構 N:N そういうお客様の情報をですね、何か連携していこうとなるとちょっと話が難しくなってくるかなと思います。
• まして自分たちが持っている規約の同意と相手の持ってる同意の違いであったりですとか、そこのアクセス権の設定であったりですとか、非常に難しいとこになっていくかなと思います。
• あとはやっぱり GDPR ですとか規制の観点から、登録した個人情報 登録した全て時点からですね全ての情報を管理してそのセキュリティレベルを確保しながらですね、各社で共有していくとなるとですね、本当にここは大変な課題になるんじゃないのかなと感じております。

• そん中でも一つの解決の方向性として、二つほどあるかなと我々が考えているところとしては、このデータの管理の主体者をですね、今は企業がデータを所有する、オーナーとしてですねいるわけですけれども、企業側から個人に個人の方にデータの管理の主体移行していくような流れが出始めているかなと思います。
• 新聞紙上でよく言われてるような情報銀行サービスということで、個人みずからが自分のデータを共有する共有していいよっていうことでアクセス権を企業側に振っていくようなデータの管理主体を企業から個人に移していくというところが一つ方向性としては出始めているかなあというのがあります。
• 併せて、このパーソナルデータですね、自分が保持しているデータへのアクセス権の管理であったりですとか、この認証の基盤にあの改ざんが、対改ざん性の技術のブロックチェーン技術を活用していくところも出始めたかなと、我々は考えております。

3. なぜAmazon QLDBを活用したのか?

• で三番目ですね、では何故我々ZEROBILLBANKがこの Amazon QLDB ですね、ブロックチェーンと似たようなですね、この Amazon QLDBを活用して、この基盤を作っていったのかというご紹介をさせていただきます。

• まず我々のソリューションですけども、 Enterprise Data Management, Personal Data Managementということで、個人情報基本的な名前であったりとか住所であったりとか、基本的な情報に自分のデータを、どの企業にどの粒度でアクセスしていいですよっていうアクセス権コントロールができる基盤、にそのダッシュボードがついてるものですね。

• こういった本当に今までですね数多くの実証実験をさせていただきまして、この辺のノウハウがたまりましてですね、いわゆるその SaaS と言われてるとこですね、例えば Mobility であったりですとか Logistics であったりですとかフィンテックであったりですとか、いろんなサービスと連携する形で、亭主(噛んだのかうまく聞き取れなかった)が持っているこの個人情報を安全に管理しながら複数の企業間で共有をしていくというソリューションを弊社展開しておりますけれども、

• ここのエンタープライズパーソナルデータマネジメントのプラットホームですね、現在 Amazon のQLDBの技術を活用しております。

• なぜ Amazon の QLDB を今活用しているかというとですね、一般的なデータ連携の仕組みを考えていきますと、例えば利用者がいまして自分の個人情報ですね、これをデータベースに保持をして、外部連携しようと思いますときにですね、

• 通常のデータベースで、このデータを管理してこの規約のバージョンに同意をしてこのデータを企業の外部アクセスをしたときに、やっぱり集中管理のデータベースになるとですね、そのデータの管理者によってデータの内容であったりですとか、そのアクセス権であったりですとかログであったりですとか、改ざんできてしまう良い余地を与えてしまうと。
• で、合わせてですね、接続先ごとにですねこの ID の連携であったりですとか、同意の規約の管理であったりですとか、個々に API を設定していかざるをえなくてですね、ここにコストも大きく発生してしまう。
• あわせてシステム監査ですね、主にデータが改ざんされていないですよっていうことを証明するときに、どうしてもシステム監査を行う必要がありましてその辺をですね、 N:N でデータを連携するときには、こういったところが発生しまうことがわかりまして、

• この辺をブロックチェーン技術であるQLDBの技術を活用することによって一つ解決していったのが弊社の事例になります。
• どんなふうに実装したかというとですね、この個人データを扱うところのレイヤーにですね、QLDBのですね、ログ管理の機能を入れてですね、耐改ざん性を持ってデータを溜めていくスキームを実装しています。
• ユーザーがですね、まず認証した上で自分の個人情報を登録していくんですけども、どの規約にどの粒度でデータを共有していいですかっていう権限をつけて、情報銀行のPersonal Data Storeの方に保存していきます。
• 外部からのアクセスについても、どの企業に自分のどのデータまで共有していいですかっていうようなですねアクセス権の設定を細かくさせていただくことで、いろんな企業にこのユーザーが許諾を取った状態で情報が渡る仕組みになるんですけれども、
• ここに Amazon の QLDB を活用しておりまして、データのユーザーが同意した形で、このデータベースにPersonal Data Storeに溜まってる状態ですね、改ざんすることなQLDBで管理をしていると。

• メリットとしては、先ほどのデータベース型とは違う形で、耐改ざん性の担保で、その保存されてるデータであったりですとかそのアクセス権であったりですとか、データのCRUDですね、データがクリエイトされてリードされてアップデートされて消されたっていうログ全てですね。
• これを改ざんすることができないデータベースとして保持されてますので、非常にオペレーションもですね、簡易になります。
• 併せてですね、システムの監査ですね、もう改ざんができない、イコール、あの監査の0の世界を、ここは試行できるかなということで、コンソーシアムの中におけるデータの連携においても非常に価値があるところかなと思います。
• 合わせて処理の自動実行ですね、スマートコントラクトそのものはQLDBの中にはないんですけれども、弊社ブロックチェーンの企業でございますので、外部のスマートコントラクトとの連動する形で、このQLDBを活用することで、非常に簡易にこのデータの連携の仕組みを構築することができました。

• ではこのブロックチェーンとQLDBの違いについてご紹介をさせていただきたいと思います。
• 通常ブロックチェーンですね、ブロックチェーンの理念はということで、スケーラビリティを持ってセキュリティを担保しながら分散化している、この三つをですね満たしたブロックチェーンサービスを作るのは非常に大変なわけですけれども、

• QLDB の特徴としてはですね、このDecentralizeの部分ですね、分散ではなくて、中央で管理しながら、でも改善はされていないよっていう証明を作る技術になります。
• なのでセキュリティだったりとかスケーラビリティであったりこの部分を担保することでいいようなユースケースにおいては非常にメリットになるんじゃないかなと思います。

• 弊社の創業以来4年間ですねブロックチェーンを自ら運用させていただいてまして、マネージド型のサービスであったりとか、弊社の技術で、我々自身で運用した経験がございますけれども、その比較をさせていただきますとですね、どこがどう違うかということでいうと、
• ブロックチェーンですね。弊社Ethereumとかフォーラムをよく使っていますけれども、まず分散型であるかそうではないか。スマートコントラクトがあるかなしか、ステートDBの使用有無、
• スライドのここでありますけれども、一番大きな違いとしてはですね、ブロックチェーンっていうとフォークがあって、アルゴリズムによってあったりなかったりしますけれども、意外とですね運用してみてわかった結果はですね、やっぱりいろんな障害が起こってフォークした結果、データの不整合が起こって、その不整合をの障害を治すような手順であったりですとか、
• 技術が日進月歩ですので、いろんなバージョンアップが行っていきますけれども、バージョンが上がった際に、今まで作っているアセットを下位互換なり上位互換で使えるかどうかというところが非常になかなか大変なところだったかなと思います。
• 合わせてパフォーマンスですねブロックチェーンのパフォーマンスもですね、なかなか通常の DB のようなわけにはいきませんので、このへんがな運用としては非常に大変だなと思うところでございます。
• 片やですね、Amazon QLDBですね。
• このメリットとしてはですね、分散型ではございませんので、非常に非機能要件と言われてるのところでは、圧倒的にですね運用はしやすいかなと日々感じています。
• かつパフォーマンスにおいてもですね弊社環境の体感のお話にはなってしまいますけれども、体感の数倍以上、ブロックチェーンのですね、ものとパフォーマンスとしては非常にメリットを感じておりまして、この辺が大きな違いになるかなと思います。

• 何を担保したいかということですねアマゾンQLDB を活用する上で、どの部分を担保したいかっていう要件がですね、具体的に決まりますとですね、無理やりブロックチェーンを活用して分散型の仕組みを導入する必要がなければですね、
• 本当に多くのケースでAmazon QLDB でいいんじゃないのかなと思うユースケースが多いですけれども、あのこの辺の要件がきちっと決まるとですね、非常にメリットの大きい技術かなと我々は感じております。

• ブロックチェーンとですね、一つ大きな違いとしてはですね、このスマートコントラクトがあるかないかというとこかなあと思います。
• 契約の自動実行みたいなことを言われますけれども、外部のところにそういったものをつけてですね、実際のログであったりですとか、データのアクセス権であったりですとか、改ざんできないところをQLDBに担保しておいて、フロントの側でスマートコントラクトと連携するような、こういったアーキテクチャをですね非常にメリットになるのではないかなと、我々は感じております。

4. ユースケース紹介

• こういったようにですね、個人情報パーソナルデータをですね、管理する基盤として、そのアクセスのログであったりですとかを利用してるわけです。
• ございますけれども一つ、ユースケースの紹介をさせていただいて、本日の講演を終わりたいなと思います。

• まず、ちょうど今月ですね、情報銀行機能のものがあった際にですね、個人情報をどのように管理をしてどのように外部のサービサーの方に共有していくか、先ほどコンソーシアムの中におけるデータ共有の課題の話をさせていただきましたけれども、そういったプライバシーマネジメントのシステムの構築に向けまして、
• 弊社は、この BSI さんですね、 ISO ですとかを発行している会社さんになりますけれども、そちら日本法人さんとですね、こういったプライバシーマネジメントの構築に向けた協業を今開始しております。
• まさにデータをどのように貯めてどのようにアクセス権を決めてどのように外部の方に流通させていくか、利用していただくかみたいなプライバシー by デザインというような形でプライバシーファーストのようなシステムを作るような取り組みを今進めてございます。

• 続きまして、これは昨年プレス発表した内容でございますが、住宅ローンの保証の仕組みですね、全国保証と言われている独立系の保証会社さんとトッパン・フォームズさんっていうPDSを提供いただいてる会社ですけれども、こういった個人住宅ローンの申請において、自分の個人情報をですね、取り込みまして、外部の連携ですね、例えば銀行の API であったりですとか、クレジットカードの API からですね自分の金融の情報を個人情報として貯め込みまして、ユーザーの許諾に基づいて住宅ローンの審査メンバーの方にその情報をアクセスいただいて、そのローンの審査メンバーが保証した情報を、また情報銀行に入れて、かつそれを銀行の方に共有をして、さらに住宅ローンの金額を決めていきますみたいな、この辺の真ん中のですね情報銀行、パーソナルデータを保持する基盤に、ブロックチェーン技術と、このQLDBを活用した仕組みを今活用しておりまして、新しい形を作っているのが弊社になります。

• 最後、まとめになります。今日ご紹介させていただきました内容でございますが、このパーソナルデータをまず構造化することで大きな事業を作れるというものがある一方で、企業の方はこのプライバシーマネジメントシステムで、等で適切に管理することが求められているのかなと思います。
• で、もう特にQLDBの技術ですね、何をどう担保したいかっていうことが決まりますとですね、非常にブロックチェーンではなかなか実装できなかった運用のメリットがあるかなと思いまして非常に使いやすい技術になるかなと思います。
• 簡単にまとめでございました。

• 今日ここまでですね、 Amazon QLDB を活用した弊社のサービス活用事例のご紹介をさせていただきました。
• このプライバシーマネジメントですとか、QLDBの活用の仕方にご興味あるお客様がおりましたら、こちらの弊社、メールアドレスの方にご連絡いただければなと思います。
• はい、本日はどうもありがとうございました。
• 世の中ですねこのパーソナルデータを活用した、今いろんな仕組みですね、企業皆様取り組まれてると思います。
• 特にこのコンソーシアムで複数の企業でデータを取り扱うようなケースで課題があるお客様が多いと思いますので、何かございましたら弊社の方にご連絡いただければと思います。
• 本日はどうもありがとうございました。