Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

JR東日本、Suicaビッグデータの社外提供について釈明 - 希望者のデータは除外も

JR東日本は、同社が発行する交通ICカード「Suica」で収集、蓄積した乗降データを外部提供することに対して批判が出ていることを受け、プライバシー保護を強調するとともに、希望者に対してデータを除外する方針を明らかにした。

問題の発端となったのは、日立製作所が6月27日に発表した駅エリアマーケティング情報提供サービス。同サービスでは、JR東日本よりビッグデータの提供を受けて解析。駅周辺の出店計画や立地評価、広告などで利用できるマーケティング情報を提供する。

同サービスの発表当初、分析の対象となるビッグデータに「個人情報は含まれない」としていた。しかし、個々の情報に氏名や住所など含まず、個人を特定できない場合でも、ビッグデータでは、大量のデータを分析したり、母数が少ない場合など、個人を特定できる可能性もある。

また提供元であるJR東日本は、明確な範囲が示されず、識別番号の取り扱いなども具体的な説明がなかったことから、一部利用者や専門家から懸念の声が噴出。さらに「Suica」の約款に記載がなく、公共性が高いサービスであることからも、不満の声が挙がっていた。

JR東日本はこうした批判を受け、同社が提供するデータについて、乗降駅、利用日時、利用額、生年月、性別であり、固有の番号であるSuicaID番号については不可逆に変換し、提供ごとに変更していると説明。

提供するビッグデータが、個人を特定できるデータではないとの認識を示した上で、約款などには盛り込まず、許諾は得ていなかったと釈明した。

同社は、情報を社外へ提供するにあたり、加工部門では氏名や連絡先情報を保有しておらず、保有部門と厳格に分離していることや、日立に対して個人情報を特定する行為を契約上禁止し、集計結果が基準を下回った場合は、数値表示やグラフ化なども行わないと説明。

販売するマーケティング資料は、あくまで統計処理を実施し、まとめたものであるとして、プライバシーへ配慮していることについて理解を求めた。

一方同社は、事前に許諾を得ておらず、説明も不足していたことを認め、希望者については、外部に提供するデータから除外する。要望は、メールや電話で受け付けており、9月25日までに申し出があった場合は、すでに提供した過去のデータからの除外にも応じるという。

(Security NEXT - 2013/07/29 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

JPCERT/CCが攻撃相談窓口を開設 - ベンダー可、セカンドオピニオンも
「auひかり」向けのブロードバンドルータに複数の脆弱性
「GitHub Enterprise Server」に複数脆弱性 - アップデートが公開
Ivantiの複数製品に深刻な脆弱性 - 早急なパッチ適用を強く推奨
問合フォームに別人の個人情報、キャッシュ設定不備で - ソフト開発会社
サーバがランサム被害、データが暗号化 - 愛知陸運
「Firefox 124」が公開、「クリティカル」含む脆弱性12件を修正
2023年の不正アクセス認知件数、前年比2.9倍に急増
WordPress向け求人プラグインに脆弱性 - リモートよりコード実行のおそれ
「WebAssembly」のランタイム「Wasmi」に脆弱性