IT法務・AI・暗号資産ブロックチェーンNFT・web3の法律に詳しい弁護士|中野秀俊
グローウィル国際法律事務所
03-6263-0447
10:00~18:00(月~金)

ブロックチェーン技術で「個人情報」の管理をする方法と法律

仮想通貨・デジタル通貨に関する法律

個人情報管理が抱える問題

現代において、情報が有する価値は増しており、企業としても、情報の活用が重要になってきています。

グラウトコンピューティング技術の進展とともに、個人情報を集積し、利活用する様々なウェブサービスが登場し、日々膨大な個人情報データベースが作成されています。

こうして集積された個人情報は、個人情報データペースとして、転売されたり、漏洩することがあります。

このように、情報の有する価値の重要度は大きくなりますが、個人情報の管理重要になってきています。日本でも、2017年に個人情報保護法が改正されました。

5月30日から全面施行!改正個人情報保護法に企業はどう対応すればよいのか【解説記事まとめ】

世界的にも、個人情報保護の流れになってきています。ヨーロッパ市場では、GDPRなどの対策も求められています。

【GDPR対策】スタートアップやベンチャー、中小企業の場合を弁護士が解説

このように、企業活動を行うにあたっては、個人情報保護と無縁であることはできません

特に、近年、GoogleやFacebook、Amazon等の巨大プラットフォームの出現により、個人情報を一企業が独占することが世界的に問題視され、各国は個人情報の保護を強化しています。

ここでの問題点は、ユーザは、企業に対して、個人情報を提供していますが、自分の個人情報がどのように利用されているのかわからないことにあります。

ブロックチェーン技術で「自己の個人情報」をコントロール

上記のような課題について、ブロックチェーン技術を用いることによって、解決できる可能性があります。

ブロックチェーン上に記録された情報は、改ざんが不可能であり、かつ、可視化することができることに特徴があります。個人情報の移転をブロックチェーン上で行うことになれば、ユーザが自己の個人情報が、どこで移転をし、誰の手にあるのかを見ることができます。

ここで、個人情報の管理について、現行の個人情報の管理と比較しながら、見ていきましょう。

現行法の個人情報管理

ユーザは、各種サービスを利用する際、サービス提供事業者に対して、氏名、住所、生年月日、メールアドレスなどの個人情報を提供し、実際にサービスを利用する中で検索履歴や行動履歴などの情報をも提供し、これが個人情報と結びつくことでさらに価値ある情報を提供しています。

もっとも、ユーザは、無数のサービスを使い分けており、いかなる事業者が自己に関するどのような個人情報を保有し、どのように利用しているかをもはや把握できていません。

しかも、個人情報を取得したサービス事業者は、適法または違法に個人情報を第三者に提供しています。

そのため、ユーザが、自らの個人情報が誰に保有され、かつ誰がいかなる用途に活用しているかを正確に把握することはもはや不可能です。

よって、個人情報保護法において、個人情報の開示、訂正、利用停止等を求めることができるとされていながら、実際上、これらの権利を実行に移すことは困難です。

ブロックチェーンを用いた個人情報管理

ブロックチェーンを利用して個人情報を管理する場合、個人は、以下のいずれかの方法で事業者に対して個人情報の利用を認めることになります。

第1の方法は、個人が個人情報を管理する独自の端末を用いて個人情報を管理した上で、事業者に対して個人情報の利用を認める場合には、個人情報へのアクセス権を事業者に個別に付与し、事業者によるアクセス記録をハッジュ化してブロックチェーン上に記録し、管理する方法です。

この方法による場合、事業者は個人情報を保有せず、個人が管理するウォレットにアクセスして利用するのみです。アクセス記録は全てブロックチェーン上に記録され、個人情報の帰属主体は個人情報へのアクセス状況を全て把握できます

この場合、サービス事業者に許されるのはウォレットに保存された個人情報へのアクセスのみであって、個人情報を取得するわけではないから、例えばアクセスした個人情報をコピーして他の事業者に提供することは許されません。

この方法を制度化した場合、現行個人情報保護法で一定の要件のもと認められている「個人情報の第三者提供」という概念はなくなり、事業者は適法に個人情報を利用するためには個人の許諾を個別に得ることになります。

ユーザは、ダイレクトメール等を受領する際に、ブロックチェーン上のアクセス記録と自働で照合することにより、ブロックチェーン上にアクセス記録のない事業者、すなわち個人情報の利用を許諾していない事業者からのダイレクトメールであるか否かを瞬時に把握することができます。

個人情報の不正利用があった場合には、これを瞬時に把握し通報することができるようになり、個人情報の不正利用は抑制されます。

第2の方法は、個人情報をブロックチェーン上に暗号化して記録した上で、個人情報をサービス事業者に提供する場合には、ブロックチェーンを通じて事業者に個人情報を提供する方法です。

その際、ブロックチェーン上に、いかなる場合に、個人情報の第三者提供や個人情報の取扱いの委託が可能かも併せて記述されます。

個人情報の移転が、全てブロックチェーン上に記録されるため、個人情報の帰属主体は、いかなる個人情報が誰に移転したかを把握可能であり、スマートコントラクトとして定めた第三者提供の範囲を逸脱している場合には、事業者に対する責任追及が可能となります。

個人情報の第三者提供を受ける事業者は、ブロックチェーン上に記述されたスマートコントラクトの要件充足の有無を確認することにより、適法な第三者提供か否かを瞬時に把握可能であり、違法な第三者提供は排除されます。

また、適法な個人情報の移転はブロックチェーン上でなされることを義務づけることができればブロックチェーンを介さない個人惰報の移転は、その時点で不正な取引です。

個人情報の第三者提供を受ける事業者は、これを回避することができるから、不正な第三者提供は予防することができます。

ブロックチェーン技術での個人情報管理の可能性

上記のように、ブロックチェーン技術によって、個人情報の管理をするというのは、ユーザにとって、非常に意味のあることです。また、そのようなサービスを導入する企業は、ユーザも安心して利用できます。

このように、ブロックチェーン技術を使っての個人情報の管理については、注目です。