ウォーリング・アボット/ゲッティイメージズ
2016年秋、ロンドン交通局(TfL)は乗客の追跡を開始しました。54駅で1ヶ月にわたる試験運用では、携帯電話などのWi-Fi信号を利用し、人々が地下鉄をどこで、いつ、どのように利用したかに関する匿名化されたデータを収集しました。
TfLは、この制度を地下鉄網全体に展開することを決定しました。7月8日から、乗客が乗車する際にすべてのデバイスが追跡されます。収集されたデータは、交通機関がこれまでよりもはるかに詳細な乗客行動を把握できるようにすることで、地下鉄の運行・運営の改善に直接つながる可能性があります。
「この新しい非個人情報化されたデータセットは、混雑状況に関するより的確な警告をお客様に提供することから、駅員がほぼリアルタイムでネットワークの状況をより深く理解することまで、ネットワーク全体に計り知れないメリットをもたらします」と、TfLの最高データ責任者であるローレン・セイガー・ワインスタイン氏は述べています。「全体的なパターンと流れをより深く理解することで、お客様により良い情報を提供し、すべての人にとってより効果的な交通ネットワークの計画と運営に役立てることができます。」
このシステムは、TfLが管理する地下鉄駅260か所に既に設置されているWi-Fiビーコンを使用します。ビーコンはインターネットアクセスを提供するだけでなく、Wi-Fi接続の有無にかかわらず、検知したすべてのデバイスの固有のハードウェアアドレス(MACアドレス)を記録します。同じ技術は既に多くのショッピングモール、美術館、その他の公共スペースで使用されており、同様の目的でデータを使用しています。
しかし、TfLのWi-Fiデータ活用は、その規模の大きさゆえに特に興味深いものです。2016年の実験では、4,200万回の移動で560万台のモバイルデバイスから5億900万件のデータが収集されました。これまでTfLが利用者の移動について把握していたのは、どこでタップイン・アウトしたか、オイスターカードや非接触決済を利用していたかといった情報だけでした。Wi-Fiはこうした情報不足を補うことができます。交通計画担当者は、利用者が2つの駅間でどのルートを通ったか、そして各駅でどのように移動したかを正確に把握できるようになります。
試験データには、一部の利用者が辿る複雑な経路など、興味深い知見が含まれていました。リバプール・ストリート駅とヴィクトリア駅間を移動する人の大半はオックスフォード・サーカス駅で乗り換えましたが、2%の利用者は不可解にもセントラル線でホルボーン駅まで行き、ピカデリー線でグリーン・パーク駅まで行き、ヴィクトリア線でヴィクトリア駅まで行くという行動をとっていました。また、キングス・クロス駅とウォータールー駅の間を移動するには18通りの方法があり、ヴィクトリア駅の切符売り場からプラットフォームまでの移動時間は86秒であることも明らかになりました。
TfLは、このデータを活用して乗客の行動をモデル化し、既存の地下鉄網の輸送力をさらに高める計画です。例えば、路線上の問題に乗客がどのように反応するかを把握できます。2016年12月にウォータールー&シティ線が運休となった際には、TfLはWi-Fiデータを活用して、人々がどのような代替手段を取ったかを正確に把握することができました。
GoogleマップやCityMapperなど、TfLデータを利用するアプリも、遅延や混雑に関する情報を組み込むためにデータを利用することができます。Wi-Fiビーコンがチケット売り場での待ち行列を検知した場合、アプリは後続の乗客に代替ルートを提案できるようになります。
明確な商業的インセンティブも存在します。クロスレールの遅延と中央政府からの補助金喪失という二重の打撃を受けているTfLにとって、これは特に重要かもしれません。情報公開法に基づいて公開された2016年の試験に関する文書によると、このデータは駅構内の広告配置にも活用できる可能性があることが明らかになりました。TfLは、どのエリアの利用者数が最も多く、滞在時間が最も長いかを把握できるようになります。文書によると、このデータは移動パターンに基づいて広告を販売することにつながる可能性があり、特定の路線上の複数の地点で同じ広告が表示されることになります。
職場まで広告がつきまとうという恐ろしい状況は、このシステムには明らかにプライバシーに関する懸念が伴います。TfLは、すべてのデータが「個人情報が削除」されていることを強調し、その利用方法を決定するにあたり、英国情報コミッショナー事務局と緊密に連携したと述べています。導入時のプレスリリースでは、「個々の顧客データは決して共有されず、顧客が個人として特定されることはありません」と約束しており、その後、TfLは個人情報が削除されたデータは2年間保管されることを確認しました。
ネットワーク全体にCCTVと同様の標識が設置され、乗客にデバイスが追跡されている可能性があることを警告します。嬉しいことに、オプトアウトが可能です。デバイスのWi-Fiをオフにするだけで、TfLが受信できるMACアドレスのブロードキャストが停止します。効果的ではありますが、追跡を回避するための便利な方法とは言えません。
2016年のパイロット期間中、プライバシー保護のため、収集されたMACアドレスはまずハッシュ化されました。これは、携帯電話の実際の固有IDを不明にする一方向暗号化の一種です。その後、暗号化を強化するために、「ソルト」と呼ばれる任意の文字列をハッシュ化プロセスに投入することで、解読を困難にしています。
重要なのは、データが個人化されていないとはいえ、完全に匿名化されているわけではないということです。MACアドレスの組み合わせは原理的には1兆通り以上ありますが、メーカーが番号ブロックを割り当てる方法により、実際にははるかに少なくなります。これは、英国の携帯電話番号がすべて「07」で始まることを知っていれば、特定の携帯電話番号を推測するのがはるかに簡単になるのと似ています。つまり、考えられる選択肢の数は桁違いに少なくなるのです。
ソルトが分かれば、ハッシュ値の中に隠された実際のMACアドレスを明らかにするルックアップテーブルを作成できる可能性があります。つまり、将来的には、例えば警察のような組織がTfLにソルトを要求し、地下鉄の乗客全員を追跡できるようになる可能性も考えられます。
全面展開にあたり、ハッシュ化はトークン化システムに置き換えられました。これにより、MACアドレスは個人情報に紐付けられない識別子に完全に置き換えられます。TfLは、これは以前使用されていたものよりも「より洗練されたメカニズム」であり、このソリューションは情報コミッショナーとTfL社内のサイバーセキュリティチームの両方から完全に承認されていると述べています。
Wi-Fiによる追跡には明らかにメリットがあります。地下鉄はすでに多くの場所で満員で、クロスレールでさえ開業初日から(いつになるかは分かりませんが)満員になると予想されています。そのため、データを活用して移動を最適化し、計画に役立てることは、大きな変化をもたらす可能性があります。しかし、堅牢なセキュリティ対策は不可欠です。そうでなければ、通勤が少しでも楽になる代わりに、プライバシーを犠牲にしてしまうことになるかもしれません。
この記事はWIRED UKで最初に公開されました。
