Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JR東日本、Suicaビッグデータの社外提供について釈明 - 希望者のデータは除外も

JR東日本は、同社が発行する交通ICカード「Suica」で収集、蓄積した乗降データを外部提供することに対して批判が出ていることを受け、プライバシー保護を強調するとともに、希望者に対してデータを除外する方針を明らかにした。

問題の発端となったのは、日立製作所が6月27日に発表した駅エリアマーケティング情報提供サービス。同サービスでは、JR東日本よりビッグデータの提供を受けて解析。駅周辺の出店計画や立地評価、広告などで利用できるマーケティング情報を提供する。

同サービスの発表当初、分析の対象となるビッグデータに「個人情報は含まれない」としていた。しかし、個々の情報に氏名や住所など含まず、個人を特定できない場合でも、ビッグデータでは、大量のデータを分析したり、母数が少ない場合など、個人を特定できる可能性もある。

また提供元であるJR東日本は、明確な範囲が示されず、識別番号の取り扱いなども具体的な説明がなかったことから、一部利用者や専門家から懸念の声が噴出。さらに「Suica」の約款に記載がなく、公共性が高いサービスであることからも、不満の声が挙がっていた。

JR東日本はこうした批判を受け、同社が提供するデータについて、乗降駅、利用日時、利用額、生年月、性別であり、固有の番号であるSuicaID番号については不可逆に変換し、提供ごとに変更していると説明。

提供するビッグデータが、個人を特定できるデータではないとの認識を示した上で、約款などには盛り込まず、許諾は得ていなかったと釈明した。

同社は、情報を社外へ提供するにあたり、加工部門では氏名や連絡先情報を保有しておらず、保有部門と厳格に分離していることや、日立に対して個人情報を特定する行為を契約上禁止し、集計結果が基準を下回った場合は、数値表示やグラフ化なども行わないと説明。

販売するマーケティング資料は、あくまで統計処理を実施し、まとめたものであるとして、プライバシーへ配慮していることについて理解を求めた。

一方同社は、事前に許諾を得ておらず、説明も不足していたことを認め、希望者については、外部に提供するデータから除外する。要望は、メールや電話で受け付けており、9月25日までに申し出があった場合は、すでに提供した過去のデータからの除外にも応じるという。

(Security NEXT - 2013/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

「Citrix Bleed 2」への懸念広がる - 提供元は「悪用未確認」強調
都校務支援システムに不具合 - 102校の健診データを誤登録して喪失
「NetScaler ADC」脆弱性、パッチ公開前から攻撃発生
特権コマンド実行ツール「sudo」に重要度「クリティカル」の脆弱性
「IBM i」のFAX機能に権限昇格の脆弱性 - 修正パッチを提供
避難行動要支援者名簿が所在不明、差替時に判明 - 一関市
Gitサーバ「Gogs」にRCE脆弱性 - 過去の修正不備に起因
一部ユーザーで不正ログイン被害、他利用者情報にもアクセス - 雑誌ネット書店
「WinRAR」にディレクトリトラバーサルの脆弱性 - 修正版を公開
Dellのストレージ製品「PowerScale OneFS」に深刻な脆弱性