欧州のブロックチェーン関係者たちが、思わぬ障害に直面しているという。その相手とは、「EU一般データ保護規則」(GDPR)である。ブロックチェーンは登録された情報を改変・削除できないという利点を持つが、個人情報の削除権を保障するGDPRと、まさにその点において衝突する可能性があるとされている。
GDPRが実施された初日(5月25日)、グーグルやフェイスブックなどグローバルIT企業が大量に提訴された。またLAタイムズ、シカゴトリビューンなどGDPRに基準を合わせられないいくつかの米報道機関は、ヨーロッパ内の接続を遮断した。しかし、このような混乱でさえブロックチェーン業界が受けた衝撃とは比較できないとされている。
ブロックチェーンは、暗号化された情報をブロック単位で分散・保存し、すべてのブロックをチェーンに接続する。中間ブロックの内容が変更されると、その後のブロックの内容が連動して変更される。そうしてブロックチェーンは、情報の偽造・変造が不可能な“非可逆性”を有することになる。
そうしたブロックチェーンの偽造・改変が不可能という事実は、逆説的に「削除もまた不可能」という事実を意味する。例えば、理論的にはブロックチェーンベースのプラットフォームに書き込みやコメントを投稿した場合、後でそれらを削除することはできないということになる。
個人情報は、目的達成の度合いと関連して不必要になる、もしくは保存期間が経過したら破棄しなければならない。 GDPRは、それらを「削除権」として保障している。そこには、個人が検索エンジンやその他のプラットフォーム関する情報を削除するよう要請できる「忘れられる権利」も考慮されている。
ブロックチェーンがビットコインのような仮想通通貨にとどまらず、ヘルスケア、保険など、様々な分野に採用されはじめている昨今、そのプラットフォームには病歴やDNAなど、より個人のプライバシーと密接に関連した情報が含まれる可能性が大きくなってきた。そうなると、ブロックチェーンと個人情報の削除権を認めるGDPRの間の矛盾は、今後さらに大きくなると予想される。
専門家らの間では、この問題を解決するために3つの選択肢が議論されている。最も多くの支持を受けているのは、ブロック外に個人情報を保存する「オフチェーンストレージ」(off-chain storage)だ。ブロックには、個人情報が保存されたデータベースと接続された参照値など、わずかな情報を保存する方式だ。情報保存の観点から言えば、従来の集中型方式と大きく変わらず破棄・削除が可能だ。ただ、分散化というブロックチェーンの利点が消えてしまい、ハッキングや情報操作といった集中型システムの欠点がそのまま残ってしまう。
個人情報にアクセスできる暗号鍵を破棄する「ブラックリスト」方式もある。ただこちらは、暗号鍵を破棄することが「消去する」という意味合いを含むか議論がある。第三に「ハードフォーク」がある。ハードフォークは、既存のブロックチェーンから完全に新しいバージョンのブロックチェーンに切り替えることを意味する。特定のブロックを参加者全員の合意で変更し、フォークの後のチェーンを維持し、フォーク以前のチェーンは保持せず取り除く。ただこの方法は「全員の合意」と呼ばれるプロセスを経なければならため非効率で、現実的に難しいとされている。
議論されている3方式すべてにおいても、GDPRとの矛盾を解決することは難しそうである。
ブロックチェーンとGDPRの衝突地点は、個人情報の削除・破棄可能性以外にも少なくない。 GDPRは、企業に情報保護責任者(DPO)を置くように定めているが、ブロックチェーン上で管理責任を問うには現実的に無理がある。ブロックチェーンは参加者全体が情報を共有・保存し、取引履歴を保証する管理者の役割を果たす。ブロックチェーン参加者がいくつかの国にまたがっていて、個人情報と関連した法的トラブルがあった際、どの国の法律を適用するかなどが問題として浮上する可能性がある。許可された参加者のみがネットワークに入ることができる「プライベートブロックチェーン」ではない、参加者全員に情報が公開される「パブリックブロックチェーン」では、非常に難しい問題となる。
そもそもGPDRの目的は、市民が個人データのコントロール権を取り戻すというものだ。一方、ブロックチェーンも中央が制御する情報を個人に分散して情報の独占を防ぐ。ともに、巨大IT企業が生んだ個人情報への脅威を解消する案だが、そのふたつが互い矛盾する状況にある。
法律関係者専門家のひとりは、ブロックチェーンとGDPRは方社会の発展と革新という共通の目的を持っているが、その手段が異質であるため、双方を成立させることができる柔軟な立法が必要と話している。
現在、海外ブロックチェーン関連企業が欧州に進出する際にも、さまざまな障害が生じるとが考えられる。業界関係者のひとりは、ブロックチェーンの中で企業情報や個人情報を流通させる場合、当初はパブリックではなくプライベートでなければならないだろうと話している。また、いまあるすべてのパブリックブロックチェーン事業が、GDPRに100%ひっかかるとし、20年ぶりに改正されたGDPRがブロックチェーンのために改めて改正されるという状況もあまり考えられないとした。GDPRの改正が難しい場合は、特別法あるいは例外的に解決する可能性が大きいと、業界関係者たちは予想している。分散化というブロックチェーンの特性を捨てるのは惜しいからだ。
今後、ブロックチェーンとGDPRの矛盾はどう解決されていくのか。注目のテーマである。
Photo by GDPR.org