滴滴が調査されたことからプライバシー計算について話す

この記事は理深科技時評に由来し、著者は白硕です。

滴滴はアメリカで「控えめに」上場したばかりですが、国家網信弁の安全審査が続いています。審査の結論は昨日発表され、滴滴のアプリは明確に削除を求められました。

顧客のプライバシーに関わることでも、国家の道路基盤データの国外流出に関わることでも、プラットフォーム企業としての滴滴は、これらのデータを所有し、知っているという事実は揺るぎません。筆者は2017年から、業界にプライバシー計算技術の重要性を紹介し、呼びかけてきました。プライバシー計算に関する講演は十回以上行っています。現在の状況は、筆者の数年間の呼びかけに対する良い注釈となっています。本稿では、プライバシー計算技術の観点から分析を試み、これら二つのデータが滴滴にとって「利用可能だが見えない」場合、滴滴のビジネスに影響を与えるかどうかを考察します。

まず、事実に基づいて言えば、ライドシェアビジネスにおいて顧客が誰であるかは実際には重要ではありません。支払い能力があり、位置情報があり、移動のニーズがあれば、必要な車を調整するだけで済み、あなたが誰であるかは関係ありません。もちろん、誰かが尋ねるでしょう。「特定の実際のユーザーに結びつけなければ、どうやってお金があるかを知るのか」と。

これは実際には簡単です。ユーザーが前払いを「匿名」でスマートコントラクトに送金し、輸送サービスが完了した後、スマートコントラクトに従って配分比率でドライバーとプラットフォームに支払うだけです。途中でサービスが中止される場合も、スマートコントラクトの規定に従って中止条件に基づいて清算できます。この場合、ユーザーが誰であるかは明らかに重要ではありません。正確に仕事を引き受け、報酬を受け取ることができれば、ユーザーが誰であるかを問うべきではありません。

次に、ライドシェアビジネスにとって道路データは確かに欠かせない情報基盤ですが、道路データが機能するためには、プラットフォームがそのデータを「知っている」ことが基本的な前提ではありません。

プライバシー計算の枠組みの下では、道路データは顧客の地理的位置と車の地理的位置と「背中合わせ」で関連付けることができます。つまり、道路基盤はブラックボックスのようにAPIインターフェースを通じて顧客のリクエストに応じ、近くの車をマッチングし、最適なルートを計算し、時間や価格を予測することができます。

これらは、プラットフォーム企業が道路データを「見抜く」ことを前提としません。しかし、プライバシー計算技術を利用することで、計算過程を見抜くことなく計算結果が信頼できることを確認できます。したがって、プライバシー計算技術があれば、道路データサービスはブラックボックスとしてカプセル化でき、データは見えませんが、APIは利用可能であり、プライバシー計算の観点からAPIの使用は自己証明可能です。国家の法律がこの部分のデータの漏洩を禁止している限り、ブラックボックスはブラックボックスのままであり、国家が認めた特別なチームに開発と運用を任せることもできます。

誰かが言うかもしれません。「支払いの履歴に基づいて顧客の支払い能力を推測し、そこから推薦レベルや価格に結びつける（ビッグデータによる差別）ことは、オンラインでの受注、マッチング、調整に加えて、バックエンドでのビッグデータ分析を行う必要がある。データの『可視性』が失われた場合、すべてを実現できるのか？」と。

もちろん、ビッグデータ分析自体のプライバシー計算の枠組みはまだ完全ではありませんが、実際には、技術的には顧客が二つの異なる匿名方式でビジネスを開始することを許可することが可能です。一つは「一回限りの匿名」で、今回の移動がそのユーザーの過去のいかなる移動とも関連付けられないものです。もう一つは「連続性のある匿名」で、今回の移動が過去に「連続性のある匿名」として選択した各移動と関連付けられますが、移動シーンの外でその顧客が誰であるかとは依然として関連付けられません。

関連付けのスイッチをユーザーの手に握らせることで、プラットフォーム側による関連データの乱用を防ぐことができます。顧客が匿名でビジネスを開始することを選択した場合、それは顧客が自分の今回の移動行動を過去の移動行動と関連付けたくないことを示しています。無理に関連付けようとすることは、顧客の意志に反するのではないでしょうか？その背後にある意図は、ビジネスの範囲を超えているのではないでしょうか？

個人の移動の軌跡は、「関係者」にとっては有用かもしれません。ここには、プラットフォーム側が見えず、無関係な側が見えないが「関係者」が見ることができる技術的な配置の問題があります。

この技術的な配置は不可能ではありませんが、鍵となるのは秘密鍵の管理の問題です。この問題をうまく解決すれば、各プラットフォームが「関係者」の旗を掲げてユーザーにプライバシーデータを要求する必要がなくなります。関係者がプライバシーデータを取得するために開く口が多ければ多いほど、管理が難しくなります。むしろ、一つの口で実名マッピングの問題を解決し、プラットフォームから得られたプライバシーデータは実名マッピングの下で可視データに復元できます。これはプライバシーデータの流出を防ぐ最良の方法です。

いつの日か、プラットフォーム企業がユーザーのプライバシーデータや国家の重要な基盤データに触れなかったことを自己証明できることを売りにし、既存のプラットフォームのサービス機能が失われない日が来ることを期待しています。この日が遠くないかもしれません。プライバシー計算技術の研究開発に従事している皆さん、この日が来るのを迎えるために努力しましょう。