Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JR東日本、Suicaビッグデータの社外提供について釈明 - 希望者のデータは除外も

JR東日本は、同社が発行する交通ICカード「Suica」で収集、蓄積した乗降データを外部提供することに対して批判が出ていることを受け、プライバシー保護を強調するとともに、希望者に対してデータを除外する方針を明らかにした。

問題の発端となったのは、日立製作所が6月27日に発表した駅エリアマーケティング情報提供サービス。同サービスでは、JR東日本よりビッグデータの提供を受けて解析。駅周辺の出店計画や立地評価、広告などで利用できるマーケティング情報を提供する。

同サービスの発表当初、分析の対象となるビッグデータに「個人情報は含まれない」としていた。しかし、個々の情報に氏名や住所など含まず、個人を特定できない場合でも、ビッグデータでは、大量のデータを分析したり、母数が少ない場合など、個人を特定できる可能性もある。

また提供元であるJR東日本は、明確な範囲が示されず、識別番号の取り扱いなども具体的な説明がなかったことから、一部利用者や専門家から懸念の声が噴出。さらに「Suica」の約款に記載がなく、公共性が高いサービスであることからも、不満の声が挙がっていた。

JR東日本はこうした批判を受け、同社が提供するデータについて、乗降駅、利用日時、利用額、生年月、性別であり、固有の番号であるSuicaID番号については不可逆に変換し、提供ごとに変更していると説明。

提供するビッグデータが、個人を特定できるデータではないとの認識を示した上で、約款などには盛り込まず、許諾は得ていなかったと釈明した。

同社は、情報を社外へ提供するにあたり、加工部門では氏名や連絡先情報を保有しておらず、保有部門と厳格に分離していることや、日立に対して個人情報を特定する行為を契約上禁止し、集計結果が基準を下回った場合は、数値表示やグラフ化なども行わないと説明。

販売するマーケティング資料は、あくまで統計処理を実施し、まとめたものであるとして、プライバシーへ配慮していることについて理解を求めた。

一方同社は、事前に許諾を得ておらず、説明も不足していたことを認め、希望者については、外部に提供するデータから除外する。要望は、メールや電話で受け付けており、9月25日までに申し出があった場合は、すでに提供した過去のデータからの除外にも応じるという。

(Security NEXT - 2013/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

カード決済時の本人認証「3Dセキュア」を狙うフィッシングに注意
「おさいふPonta」にパスワードリスト攻撃、1時間に約30万件 - 一部で残高の不正移行
スマートコントラクト向けの脆弱性モニタリングサービス - NRIセキュア
「WordPress」向けeラーニングシステム構築プラグインに複数脆弱性
米サイバー軍が「VirusTotal」にマルウェア検体を提供 - 民間との連携強調
マカフィーとソフバンテク、「CASB」のMSS展開で協業
カスペ、ゲートウェイセキュリティ製品に新版 - 出口対策にも利用できるコンテンツフィルタリングも
AWS利用環境のセキュリティリスク診断サービス - CTC
IoT向け組込OS「AWS FreeRTOS」に複数脆弱性 - コード実行のおそれ
JPCERT/CCのログ可視化ツールにコードインジェクションなど複数脆弱性 - 修正版がリリース