開発者に聞く

このコーナーでは、日立製作所の研究所等で研究・開発を行っている技術テーマを中心としたコラムをお届けします。 研究員にインタビューを行い、技術テーマ解説・開発過程におけるエピソードなどを交えてわかり易くご案内いたします。

情報開示と個人情報保護を両立させる電子文書墨塗り技術

■ 「適切な変更」も「改ざん」と見なす現行技術

−　今回の技術が登場した背景から教えてください。

手塚：　日立はe-Japan戦略�Uへの取り組みとして、広範な要素技術と省庁・自治体・企業への情報化支援を通して培った知識・経験を生かした幅広いソリューション提供を行っています。今回の「電子文書墨塗り技術」は、特に電子政府・自治体における文書の電子化ニーズに対応するもので、その電子文書がだれによって作成され、また作成時から改ざんされていないかどうかの原本性を保証する「電子署名」技術の一環として開発されました。 　いま官公庁などでは行政文書を電子化して保存する際、悪意を持つ第三者による改ざんを防ぐため、職員が公開鍵暗号方式をベースとした電子署名を施し、管理する方向へと向かっています。そして情報公開法に基づき、請求者に対してネット上で情報を開示する場合には、紙文書での情報公開と同様、個人名や国家機密に関する情報などを“墨塗り”、つまりは“消して”公開することになりますが、ここで非常に大きな問題が生じてくるのです。

−　と言いますと？

宮崎：　電子署名を施した電子文書は、それが「部分開示」や「抜粋」「引用」といった適切な変更であっても、すべて「改ざん」と見なされてしまうのです。

−　どうして「改ざん」になってしまうのですか。

手塚：　現在の電子署名技術は、電子文書が1ビットでも変更されたら検証は成功しないように設計されているからです。紙文書なら、一部分を消して書き直しても、そこに責任者の訂正印が押されていれば認められることがあります。しかし電子署名が施された電子文書は、悪意による改ざんであろうと、プライバシー保護のための個人情報削除であろうと、なんらかの改変が加えられたとみなし、元文書の真正性が失われてしまうのです。 　結果として、「公開された文書の真正性保証」と「プライバシー情報の保護」という2つの重要なセキュリティ要件を両立できず、どちらかをあきらめざるを得ませんでした。そこで、元文書の真正性を保ちつつ、加工や再利用を可能とする新たな技術が必要とされていたのです。

■ ハッシュ値の結合データに署名を付与

−　新技術の概要を教えてください。 手塚：　簡単に言えば、電子文書の一部を秘匿した後でも、それと原文書との同一性を保証できる電子署名方式を開発したということです。公開された文書が間違いなく、原文書に墨を塗ったものだと保証できることから「電子文書墨塗り技術」と呼んでいます。 　この技術は日立が、早稲田大、横浜国立大、東京電機大、電気通信大、東大それぞれの先生方との活発な議論を通して、現状の課題やユーザーニーズの掘り下げ、技術面でのご指導などをいただいた共同研究の成果となるものです。	図1　電子文書墨塗り技術とは？ ※クリックして拡大図をご覧下さい
−　具体的には、どうやって真正性保証と墨塗りを両立させるのでしょうか。
宮崎：　方法はいくつか考案していますが、最もわかりやすい例で説明したいと思います。まず対象となる文書をあらかじめ、細かいブロックに分割しておきます。定型文書の場合には、氏名欄や生年月日などの部分のみ墨塗りできるよう指定できますし、汎用性を高くするには1文字単位で区切ることも可能です。 　次に、そのブロックごとに乱数を付けた後、ハッシュ値（固定長の疑似乱数を生成する演算）を算出します。ブロックが5つあるとすれば計5つのハッシュ値が並びますが、それらを結合したデータに対し、1つの電子署名を付与します。そして例えば3つめのブロック内容だけを墨塗りしたい場合には、それ以外のブロックは元の文書を、3つめのブロックについてはハッシュ値を選び、これらのデータと署名、開示ブロックの乱数情報をあわせて開示文書とするわけです。 　ハッシュ値は不可逆な一方向性関数を使って計算されるうえ、前後の文脈などとは無関係に生成される乱数も入っているため、原文を再現することはまず不可能です。このため公開文書を見た人は、墨塗り部分のデータを復元できない一方で、公開鍵を用いた電子署名の検証ソフトによって、文書自体の原本性を確認することができるのです。
−　開発で苦労したのはどんな点ですか
宮崎：　実は当初、ブロックごとにハッシュ値を算出する際、乱数を加えることは考えていませんでした。しかし例えば歴史的に大きな事件を伝える文書などは、前後の文脈や当時のニュースなどから墨塗り部分の内容を推測できることがあります。そして悪意を持った人が該当ブロックのハッシュ値を計算し、開示されたハッシュ値と一致するかどうか調べると、せっかく隠した部分がデータ的にも一致して、内容を保証することになってしまいます。そこで乱数を加えることで、仮に推測したブロックの情報が正しくても、結合される乱数は推測できないため、セキュリティを一段と強化することができました。	図2　具体的方式 ※クリックして拡大図をご覧下さい

■ 文書だけでなく画像にも適用可能

−　適用分野は行政文書以外にもありそうですね。

手塚：　非常に幅広く使える技術だと考えています。例えば「電子カルテ」。内容を改ざんされてはいけないが、家族にだけは開示できる情報、また患者さんの名前を隠した治験データの開示などに使うことができます。クレジットカードなどの「利用明細」に会社の出張経費や個人的な支出が混じっている場合も、会社への申請時にはプライバシーの部分を隠すといった用途に使えるでしょう。 　そしてこの技術は文書だけでなく画像データにも適用できるのが特長です。建設関係の工事写真、警察や保険関係の事故写真、医用写真など、プライバシーを守りつつ、画像の真正性を保証しなければならない状況に最適な技術になっていくと思います。 　デジタル化されていない過去の公文書も、スキャニングして画像化すれば、その情報公開に際しての墨塗りに対応できることは言うまでもありません。 −　今後の展開は？ 手塚：　現在は、この技術をいかに実際の活用場面に最適なものとできるかのソリューション化を図っている段階です。官公庁や企業に対するネットワーク上での情報公開要求、また個人のプライバシーを守るための技術として幅広くご活用いただけるよう、実用化をめざしていきます。ご期待ください。

図3　電子文書墨塗り技術のイメージ「入札記録の公開」 ※クリックして拡大図をご覧下さい 図4　電子文書墨塗り技術のイメージ「クレジットカードの利用明細書」 ※クリックして拡大図をご覧下さい

（次ページへ）

[ Back ]　2 / 3　[ Next ]