情報のデジタル化がますます進む社会において、サイトの閲覧や購買履歴、日々の体調の情報など、私たちのWEB上での行動や記録はすべてデータとして蓄積され、ありとあらゆるパーソナルデータが大量にあふれる時代となった。企業ではこうしたパーソナルデータを活用した戦略の重要度や、価値創出の可能性がより一層高まっている。

一方で、パーソナルデータの活用には、大きな事業リスクもはらんでいる。これまで個人情報の取り扱いは主に人の手で処理されてきたが、情報がデジタル化されることにより、外部からの攻撃や改ざんなどの悪用リスクにさらされる可能性と常に隣り合わせの状態になっているのが現実だ。

株式会社東京商工リサーチの「上場企業の個人情報漏えい・紛失事故」調査によると、2019年は不正アクセスにより、なんと9,031,734人分の個人情報が流出。個人情報の漏えい・紛失事故を公表したのは66社、事故件数は86件だが、うち2社では100万人以上の大規模な情報漏えいが実際に起きている。企業は、DXの推進とともに、これまで以上に情報セキュリティの強化が重要な局面となってきている。

この現状を打開するべく、情報の“改ざんを検知する”新たなデータベースを開発し、デジタル化社会における情報の信頼性アップデートを狙うのが株式会社Scalarだ。日本の個人情報を取り巻く環境や課題のほか、同社のサービス「Scalar DLT」活用の可能性や『Microsoft for Startups』参画によって起こったシナジーなどについて、同社代表取締役CEO兼COOの深津航氏（以下、敬称略）に話を伺った。

情報が越境する時代。個人情報を取り巻く課題とは

――日本の個人情報を取り巻く状況や課題について教えていただけますでしょうか。

深津　昨今、新型コロナウイルスの流行によってリモートワークが普及し、企業の持つ情報はこれまで以上に電子化が進んでいます。その中でも特に注目されているのが個人情報です。日本企業では、電子化された情報に含まれる個人情報の取り扱いやセキュリティのリテラシーが低く、課題が多いままなのが現実です。

100年前に作られた民法が改正され、改正後「電磁的記録」という言葉が出てくるようになりました。この電磁的記録は、改ざんを検知できる媒体に記録されている必要があります。

民法が作られた当時はコンピューターなどなく、改ざんを検知できる媒体となると、そのほとんどが紙上でした。紙上であれば、コピーをすることも難しいため、紙上に記載された情報は法的な「証拠」として扱うことができました。

しかし、現代の世の中にある多くの情報は電子的記録媒体に格納されており、悪意を持った第三者によって、この記録を不正に改ざんされるリスクをはらんでいます。

個人情報においても、自分が何に同意したのかは、サービス提供側のシステムに記録されており、個人情報が不正に利用されたときに、企業はこの同意の記録が改ざんされていないことを証明する必要があるのです。

――個人情報の観点だと、現在はどういった課題があるのでしょうか。

深津　最近あった事案では、企業がIDベースで登録した顧客の個人情報を、サイトの閲覧履歴などと照合することで、個人の離脱率を予測するという、顧客にとって思わぬ形で個人情報を利用してしまった問題が発生しています。容易照合性といって、複数のデータを突き合わせたときに、個人を特定できてしまう場合のデータを個人情報であるとみなすルールがあります。例えば、GPSの情報が特定の職場と自宅を行き来し、長時間そこに滞在していた場合、自宅の住所に住む個人を特定できてしまう、というものです。

WEB上の情報だけでなく、ドライブレコーダーやカメラで撮られた画像を、顔写真のデータを蓄積したAIに読ませることで、個人を特定できた場合も個人情報となります。数年前までは難しかった技術ですが、今はAIなどの技術が発達し、こういった照合も簡単に行えるようになりました。昔は個人情報になりえなかったものが、今は個人情報になってしまう時代なんです。

――海外での個人情報の取り扱いはどのような状況なのでしょうか。

深津　実は、米国では顔認証が法律で禁止される方向で政府が動いています。スマホの顔認証などは個人認証なので問題ないのですが、防犯カメラの映像などのパブリックな情報を個人の特定に使ってはいけない、というルールを作ろうと、現在マイクロソフトが中心となって動いています。

欧州のGDPRや米国のCCPAという規制では、メールアドレスやCookieなどのIDを識別する情報を取得した時点で、個人情報を管理する対象になる、というものがあり、各国で管理が厳しくなってきています。

日本でも、2020年の民法改正による定型約款行為の明文化で、利用規約等に不利益条項が含まれていると同意とみなされなくなり、利用者との対話が必要になってきました。

また、2022年の個人情報保護法の改正では個人情報の取扱いが厳格化され、個人に対して同意の撤回や、個人情報の利用実態を開示する仕組みを構築する必要が出てきます。

例えば、海外旅行に行くためにホテルを予約すると、ホテル側に個人情報が届きます。今までのルールでは特に加味しなくてもよかったのですが、新しいルールでは、個人が、自分自身の情報をどのように使っているのかを求める場合、旅行会社は、個人情報の提供先であるホテルでその情報をどのように取り扱っているかを管理する必要があります。さらに、不正な使い方をしていたらそのデータを差し押さえる必要もあるんです。

これまでの法律は、個人情報を自分の国の範囲内だけで管理することができましたが、ますます普及するであろうデジタル社会において、国を越えて、個人情報が流通する時代となっており、取り扱う個人が所属する国のルールを遵守していくことが求められる時代になってきています。

――情報が電子化されていくほど、個人情報の重要性が高まってきているということですね。
深津　そうですね。そのため、この分野においては、生活者と対話的に同意を取得し、同意を記録し、個人情報を管理する個人情報取扱事業者がこの記録が改ざんされていないことを第三者に証明する必要があります。

一方、パブリックブロックチェーンは、今後プライバシーポイズニング（個人情報を書き込む攻撃）に苦しめられると言われています。

プライバシーポイズニングとは、ブロックチェーンに個人情報などを差し込む悪質な行為です。ブロックチェーンは1つ1つの情報がつながっているため、どこかが毒に侵されても修正できず、半永久的にプライバシーを侵害するデータが残ってしまいます。これを消そうとすると、システムを廃止するほか方法はありません。そのためブロックチェーンでは不十分なのです。

今後社会のデジタル化がより進んでいくと、パーソナルな情報を含むデジタルデータを他社に受け渡す際に、「これは誰から送られてきたデータなのか」、「改ざんが行われていないか」といったデータの信頼性や安全性が重要になってきます。

そうした課題を解決するため私たちは、データの所有者や改ざんされていないことを証明するサービスを作っています。

情報化社会における個人情報、守るための「信頼性」

――Scalarを立ち上げた経緯を教えてください。

深津　もともとは「日本発で、世界で使われるデータベースを作りたい」という想いから、前職で一緒だった現CEO/CTOの山田とScalarを立ち上げました。

データベースの技術者から見ると、ブロックチェーンでは、トランザクション管理機構がなかったり、データ量が増えるほどスケールしなくなったり、コンピューターリソースを使わなければいけない、など様々な欠点がありました。それならば、もう根本的に作り直そう、独自で作ってしまおうと。私は日本オラクルに18年いて、山田も東大の研究所でデータベースの研究をずっとやっており、データベースのエンジニアが二人揃っていたので、新しいデータベースを作ることにしました。

実は、日本発のBtoB向けデータベースソフトウェアはほぼないのが現状です。

会社を設立するときに、周りからは「シリコンバレーではじめたほうがいいんじゃないか」と言われることもありましたが、私たちは「日本人が作って海外に出ていくものを作りたい」という想いが強くありました。それが日本で会社を興した理由です。

――実際に立ち上げてみて、ほかにもプレーヤーがいないということで難しさや困難があったと思いますがいかがでしょうか？

深津　まず、私たちはトランザクション管理機構を扱うデータベースを作っているのですが、データベースを作ること自体の難しさがありました。

一般的なスタートアップは、ソフトウェアを作ったらすぐリリースして、不具合があったら修正して、ということをスピード感をもって繰り返しブラッシュアップしていくところが多いですが、データベースは不具合があったら許してもらえません。

なので、我々は製品を作った後にテストを山のようにやるんです。ソフトウェアを作ったら、最低1カ月は検証を行います。例えば、ネットワークをわざと壊したり、ハードウェアを壊したり、オープンデータの日付を変えてみたり。そういうテストを全部通して初めてリリースとなるのです。

しかし、私たちはスタートアップで人手が少ないということもあり、一連の検証作業を手作業でやっていたら絶対に終わりません。なので、製品を作りはじめる前に、テスト用のフレームワークを先に作りました。このフレームワークでは、テスト工程を自動化して行なっています。

さらに、スケーラビリティのテストを何度か行なっています。この作業に関しては、マイクロソフトにも協力してもらってますが、クラウド上に仮想マシンを100台構築し、データベースがこの仮想マシン上でスケールするかを検証しています。

日本では前例が少なく、失敗ができない分野だからこそ、製品の信頼性を担保するための下準備が重要であると考えています。

――その検証の末にできたのが、Scalar DLT という製品なんですね。実際にどのような製品なのでしょうか。

深津　Scalar DLT には、Scalar DB と Scalar DL という2つのソフトウェアがあります。

Scalar DB では、NoSQL の分散データベース上に マスターレスな ACID トランザクションを実装し、この Scalar DB 上に Scalar DL を構築し、追記のみができる改ざん検知可能な領域を構築することによって、更新可能な領域である Scalar DB と、追記のみが可能な Scalar DL の2つの処理を1つのトランザクションとして実行できるように実装しています。

マスターレスにしているのは、マスターが汚染されると、従属するスレーブが一緒に汚染されてしまうためです。

マスターレスになっていれば、過半数が同じであれば、正しいとみなすことができるからです。

Scalar DL では、コントラクトと呼ばれる改ざん検知可能なプログラムのことで、秘密鍵と電子署名を使って実行者が秘密鍵を使って処理を要求することによって、記録されたデータがその秘密鍵の所有者によって記録されたものであることを証明することができます。

これによって、実行者、実行プログラム、記録されたデータが不正に改ざんされていないかを検証することを可能にしています。

また、実行すると「実行の証明書」を発行し、この「実行の証明書」によって、システムに記録されたデータが改ざんされていないかを検証することができます。

――情報を守るためのオリジナルのカギを作っているイメージでしょうか？

深津　そうですね、例えるとしたら割り印のような感じです。片方と片方を突き合わせるとオリジナルだと検証できるといったイメージです。

このような技術はこれまでなかったため、これを用いて何ができるのかを検討していた際に、先ほど申し上げたGDPRやCCPAなどの個人情報保護の機運が高まっており、そのなかで生活者に対する記録の開示と、記録の正しさの証明という課題があることを知りました。

一方、この領域にブロックチェーン技術を用いる企業も出てきたのですが、その計算処理の遅さから、情報量や規模が大きくなればなるほど動きが遅くなるという、サービスを作るうえでの致命的な課題に苦しんでいました。そこで、我々のもつ技術がこの課題を解決できるのではないかということから、Scalar DLT を用いたソリューション・テンプレートである Scalar IST（Information bank Solution Template）の開発に着手しました。

Scalar IST では、Scalar DLT の持つ改ざん検知が可能な追記型の領域（Scalar DL）に、法的に担保する必要がある契約書などの同意文書や同意状態の情報の記録を行い、検索キーなどの情報を、書き換え可能な領域（Scalar DB）に更新するという処理を実装しています。

Scalar DLT のこのような性質を利用することによって、生活者の同意の記録を即時にシステムに反映し、証拠性を担保しております。これにより、情報銀行や改正個人情報保護法で求められる利用目的ごとの同意・拒否・同意の撤回を個々に行うことを可能にしています。

――情報銀行とは、具体的にどのようなものでしょうか？

深津　個人情報を提供する際に、多くの個人は同意文書を読んでいないというのが実態です。

そこで、情報銀行に、個人情報とその情報の利用目的ごとの同意や拒否の意思を預けておくことで、同意文書をいちいち確認しなくても「こういった利用目的には情報を提供する、しない」「こういった内容には同意し、こんな内容には同意しない」といった判断を代行してくれます。

――実際に導入されている企業ではどのようにScalarが利用されているのでしょうか？

深津　1つは、My Data Intelligence様の同意管理プラットフォームのdooiに実装され、利用されております。dooiは、クッキーの同意をする際に、どこにデータを出していいか悪いかを個別に細かくコントロールできるサービスです。さらに、Scalar IST の技術を利用することで、ユーザーがログインする際に、どこのクッキーに同意して、なんの情報を出したのか、出さなかったのかという情報が個人のIDに紐づき記録までされるシステムになっています。

トヨタのブロックチェーン・ラボ様と、パーソナルIDというプロジェクトでは、個人と車の関係性を定義し、 Scalar DLT を用いて、様々なカーライフにおける個人情報の受け渡しをスムーズに行えるかの実証実験を行なっております。

――情報の安全性にまつわる法律が次々にでき、これからますますScalarの需要や存在価値が高まりそうですね。

深津　最近では、新型コロナウイルスの感染拡大によるテレワークの普及により、非対面での業務の必要性が高まり、企業のデータはより電子的なものへ切り替えるニーズが増えました。これに伴い、オンラインでの個人情報の取扱いや、オンラインでの情報の完全性（改ざんされていないことの証明）の懸念がこれまで以上に注目されています。そんななかで、特に需要が高まっているのが、昨今話題になっている電子契約です。

電子契約と言えば、オンラインで手軽に契約ができ、法的にも有効であるとされていますが、いくつかの要件を合わせて担保しておかないと「証拠にならない」という落とし穴があるのです。

まず、電子契約に使われる電子署名は、一般的に有効期限は1〜3年で、長期署名でも10年となっています。このため、有効期限を過ぎている電子契約は誰かが電子契約のデータを改ざんしていると主張されても反証することができません。

また、電子契約を提供するサービス会社がサービスから撤退すると、第三者証明型の電子契約の場合、その証拠が残らないという問題があります。不動産取引や人事関係書類など、10年以上保管しなくてはならない契約書は多数あり、こういった契約情報が外部のサービスに依存するのはリスクとなります。

しかし、これは反対に、改ざんをされていないことが証明できれば、法的な証拠になるということになります。我々が作っているような改ざんを検知するシステムはこういったところでも活用していけると考えています。

同じ視座だからこそ新しいチャレンジができる

――マイクロソフトの『Microsoft for Startup』プログラムに参画された経緯を教えてください。

深津　実は、もともと私たちの会社は他クラウドサービスのエンジニアが多かったことから、Scalar DLT もそのクラウドサービスを利用して作っていたのですが、その次のステップとして、どんなクラウドでも動くようにするというプロジェクトを行なっていました。別のクラウドを選定する中で、マイクロソフトさんに出会い、このプログラムをご紹介いただいたのが参画したきっかけです。

このプログラムに参加したことで、『Microsoft Azure』のクラウドを提供してもらい、Azure上でも Scalar DLT が動作するよう開発を進め、現在はAzureと他クラウドサービスのどちらでも使えるようになりました。

今は、『Azure Cosmos DB』に Scalar DLT を乗せることにトライしているところです。このプロジェクトでは、マイクロソフトのCosmos DBに精通したエンジニアメンバーのサポートを受けながら進めています。

――マイクロソフトのプログラムに参画される中で、マイクロソフトの社員や担当の方とお話しする機会も多いと思いますが、どういったサポートを受けられてますか？

深津　様々なサポートを受けていますが、その中で最もありがたいのは、レベルが高く、同じ領域、同じ視座で開発をしているエンジニアの方々をつないでいただけたことです。私たちのソフトウェアは、使い方だけではなく、裏でどう動いているか、まで話せなければ作れません。Cosmos DB にサービスを作れているのは、この方々のおかげです。

本来、ソフトウェアを開発する中で、わからないことは自分たちで調べてやっていくところを、マイクロソフトさんから直接情報を共有してもらえるのも大きいですね。実際にどうなっているのか聞けるというのは、開発のスピードを促進するだけでなく、弊社エンジニアの知識の資産にもなります。

Comoso DB 上に我々のソフトウェアを実装することで、データベースの運用管理、保守や障害時の対応など、システム管理を一括して対応できるマネージド・サービス上のデータベースに寄せていこうとしています。

このためには、一般公開されていない Comos DB のバックアップの仕組みなどを知る必要があり、このチャレンジはマイクロソフトさんと組んだことでうまく始められたと感じています。

また、弊社のエンジニアは日本人だけではないため、マイクロソフトのエンジニアの方が英語でやり取りできるのもとても助かっています。どんなサポートでも、いつでもスピーディに対応してくださるので、本当に良い機会をいただけたと思っています。

今回このような機会をいただいて感じたのは、世の中のスタートアップは、もっとクラウドベンダーと密にコミュニケーションをとりながらサービスを作るべきである、ということです。そのほうが解像度が高く、よりよいサービスを作ることができると確信しました。ただし、そのためには、Win-Winな関係でいられるよう、スタートアップ側も日々技術を磨く必要があると思っています。

――今後、マイクロソフトと組んでどのようなことをしたいと考えていますか？

深津　今後は、マイクロソフトのマーケットプレイスに乗せる仕組みを作ろうと考えています。データベースシステムを、クラウド上にデプロイするのは非常に大変なので、マイクロソフトのマーケットプレイス上からデプロイできるようにしようとしています。そうすることで、Azureを使っている企業は一緒に請求支払いができたりもするので、より手軽に利用していただきやすくなるのではないかと思っています。

日本の技術を世界に届けるために

――Scalarという会社、サービスを通して、作っていきたい世界やビジョンとはどのようなものでしょうか。

深津　Scalarは、世界で信頼されるデータベースを作るというビジョンを掲げています。そのためのミッションとして、改ざんを検知できるデータベースを用いて、データの信頼性を担保し、これからさらに進んでいくであろうデジタル化社会において、これまで対応が難しかった電子データの課題を解決し、DXを加速していくことを目指しています。

そして、我々が何よりもやりたいことはとてもシンプルで、「日本発の世界で使われるデータベースを作りたい」ということです。これまで、この分野のBtoB製品で日本人が市場を獲ったことはまだありません。近隣国との競争も激化している中で、日本はもっとコア技術をやらないと世界で負けてしまう。だからこそ、「日本発」にこだわってサービス開発を行なっていきたいと考えています。

※この記事は日本マイクロソフトからの寄稿記事です