Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JR東日本、Suicaビッグデータの社外提供について釈明 - 希望者のデータは除外も

JR東日本は、同社が発行する交通ICカード「Suica」で収集、蓄積した乗降データを外部提供することに対して批判が出ていることを受け、プライバシー保護を強調するとともに、希望者に対してデータを除外する方針を明らかにした。

問題の発端となったのは、日立製作所が6月27日に発表した駅エリアマーケティング情報提供サービス。同サービスでは、JR東日本よりビッグデータの提供を受けて解析。駅周辺の出店計画や立地評価、広告などで利用できるマーケティング情報を提供する。

同サービスの発表当初、分析の対象となるビッグデータに「個人情報は含まれない」としていた。しかし、個々の情報に氏名や住所など含まず、個人を特定できない場合でも、ビッグデータでは、大量のデータを分析したり、母数が少ない場合など、個人を特定できる可能性もある。

また提供元であるJR東日本は、明確な範囲が示されず、識別番号の取り扱いなども具体的な説明がなかったことから、一部利用者や専門家から懸念の声が噴出。さらに「Suica」の約款に記載がなく、公共性が高いサービスであることからも、不満の声が挙がっていた。

JR東日本はこうした批判を受け、同社が提供するデータについて、乗降駅、利用日時、利用額、生年月、性別であり、固有の番号であるSuicaID番号については不可逆に変換し、提供ごとに変更していると説明。

提供するビッグデータが、個人を特定できるデータではないとの認識を示した上で、約款などには盛り込まず、許諾は得ていなかったと釈明した。

同社は、情報を社外へ提供するにあたり、加工部門では氏名や連絡先情報を保有しておらず、保有部門と厳格に分離していることや、日立に対して個人情報を特定する行為を契約上禁止し、集計結果が基準を下回った場合は、数値表示やグラフ化なども行わないと説明。

販売するマーケティング資料は、あくまで統計処理を実施し、まとめたものであるとして、プライバシーへ配慮していることについて理解を求めた。

一方同社は、事前に許諾を得ておらず、説明も不足していたことを認め、希望者については、外部に提供するデータから除外する。要望は、メールや電話で受け付けており、9月25日までに申し出があった場合は、すでに提供した過去のデータからの除外にも応じるという。

(Security NEXT - 2013/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

NEDO、重要インフラ事業者間の情報共有基盤を開発 - 日立がサービス化
学内サーバや教育システムに不正アクセス、個人情報が流出 - 佐賀県
脆弱なウェブサーバ狙う「Mirai」らしきアクセス急増 - 国内でも感染拡大か
「BIND 9」が意図せずオープンリゾルバとなるおそれ - 設定の確認を
通販サイトに不正アクセス、アカウント情報が流出か - 京都の飲食店
マイナンバー関連事故は374件、前年度から倍増 - 5件は「重大な事態」
MS、AMDプロセッサ向けに「Spectre」緩和策を追加
「Chrome」に重要度「高」の脆弱性 - アップデートがリリース
JNSA、「経営者のための情報セキュリティ対策」を公開 - 「ISO 31000」を例に解説
損保ジャパンと日立、インシデント発生率と損害額を定量化する診断手法を開発