Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JR東日本、Suicaビッグデータの社外提供について釈明 - 希望者のデータは除外も

JR東日本は、同社が発行する交通ICカード「Suica」で収集、蓄積した乗降データを外部提供することに対して批判が出ていることを受け、プライバシー保護を強調するとともに、希望者に対してデータを除外する方針を明らかにした。

問題の発端となったのは、日立製作所が6月27日に発表した駅エリアマーケティング情報提供サービス。同サービスでは、JR東日本よりビッグデータの提供を受けて解析。駅周辺の出店計画や立地評価、広告などで利用できるマーケティング情報を提供する。

同サービスの発表当初、分析の対象となるビッグデータに「個人情報は含まれない」としていた。しかし、個々の情報に氏名や住所など含まず、個人を特定できない場合でも、ビッグデータでは、大量のデータを分析したり、母数が少ない場合など、個人を特定できる可能性もある。

また提供元であるJR東日本は、明確な範囲が示されず、識別番号の取り扱いなども具体的な説明がなかったことから、一部利用者や専門家から懸念の声が噴出。さらに「Suica」の約款に記載がなく、公共性が高いサービスであることからも、不満の声が挙がっていた。

JR東日本はこうした批判を受け、同社が提供するデータについて、乗降駅、利用日時、利用額、生年月、性別であり、固有の番号であるSuicaID番号については不可逆に変換し、提供ごとに変更していると説明。

提供するビッグデータが、個人を特定できるデータではないとの認識を示した上で、約款などには盛り込まず、許諾は得ていなかったと釈明した。

同社は、情報を社外へ提供するにあたり、加工部門では氏名や連絡先情報を保有しておらず、保有部門と厳格に分離していることや、日立に対して個人情報を特定する行為を契約上禁止し、集計結果が基準を下回った場合は、数値表示やグラフ化なども行わないと説明。

販売するマーケティング資料は、あくまで統計処理を実施し、まとめたものであるとして、プライバシーへ配慮していることについて理解を求めた。

一方同社は、事前に許諾を得ておらず、説明も不足していたことを認め、希望者については、外部に提供するデータから除外する。要望は、メールや電話で受け付けており、9月25日までに申し出があった場合は、すでに提供した過去のデータからの除外にも応じるという。

(Security NEXT - 2013/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Fluentd」向けプラグイン「parse Filter Plugin」に脆弱性
個人データの海外移転、「国内同水準」要件でパブコメ - 個人情報保護委
漫才コンテスト「M-1」のプレス向けメールで誤送信 - 朝日放送
脆弱性2件を修正した「OpenSSL 1.0.2n」がリリース
「iOS 11.2」では脆弱性14件を解消 - 「KRACK」の修正対象を拡大
「公的個人認証サービス」のインストーラに再び脆弱性
PwCサイバーサービス、IoT機器の脆弱性検査に特化したラボを開設
セキュリティ対策の注意喚起メールが実はマルウェアメール - 実在するアナウンスを盗用
ブロックチェーンを活用したIoT機器のプロビジョニングシステム
複数のバッファロー製ルータに脆弱性 - アップデートが公開