矛盾するブロックチェーンとGDPR...「削除不可能性」を巡り欧州フィンテック界が混乱

ロボティア編集部
ロボティア編集部

専門家らの間では、この問題を解決するために3つの選択肢が議論されている。最も多くの支持を受けているのは、ブロック外に個人情報を保存する「オフチェーンストレージ」(off-chain storage)だ。ブロックには、個人情報が保存されたデータベースと接続された参照値など、わずかな情報を保存する方式だ。情報保存の観点から言えば、従来の集中型方式と大きく変わらず破棄・削除が可能だ。ただ、分散化というブロックチェーンの利点が消えてしまい、ハッキングや情報操作といった集中型システムの欠点がそのまま残ってしまう。

個人情報にアクセスできる暗号鍵を破棄する「ブラックリスト」方式もある。ただこちらは、暗号鍵を破棄することが「消去する」という意味合いを含むか議論がある。第三に「ハードフォーク」がある。ハードフォークは、既存のブロックチェーンから完全に新しいバージョンのブロックチェーンに切り替えることを意味する。特定のブロックを参加者全員の合意で変更し、フォークの後のチェーンを維持し、フォーク以前のチェーンは保持せず取り除く。ただこの方法は「全員の合意」と呼ばれるプロセスを経なければならため非効率で、現実的に難しいとされている。

議論されている3方式すべてにおいても、GDPRとの矛盾を解決することは難しそうである。

ブロックチェーンとGDPRの衝突地点は、個人情報の削除・破棄可能性以外にも少なくない。 GDPRは、企業に情報保護責任者(DPO)を置くように定めているが、ブロックチェーン上で管理責任を問うには現実的に無理がある。ブロックチェーンは参加者全体が情報を共有・保存し、取引履歴を保証する管理者の役割を果たす。ブロックチェーン参加者がいくつかの国にまたがっていて、個人情報と関連した法的トラブルがあった際、どの国の法律を適用するかなどが問題として浮上する可能性がある。許可された参加者のみがネットワークに入ることができる「プライベートブロックチェーン」ではない、参加者全員に情報が公開される「パブリックブロックチェーン」では、非常に難しい問題となる。

そもそもGPDRの目的は、市民が個人データのコントロール権を取り戻すというものだ。一方、ブロックチェーンも中央が制御する情報を個人に分散して情報の独占を防ぐ。ともに、巨大IT企業が生んだ個人情報への脅威を解消する案だが、そのふたつが互い矛盾する状況にある。