ネット会議

２月１２日（木）－２月１５日（日）の発言内容

From : 唐澤　豊

2004/2/12　13:06

Subj : 【031】デジタルIDを付加する対象とは？～IDに含める情報の範囲

【023】高木
「現状では後者を前提に議論されているためプライバシーの問題がある」というのは誤りです。後者よりも前者の方がましであるというのはその通りです（ただし逆の場合もある。後に述べます）。

前者の方が回避できる道がある、ましである、という意味で書いたつもりです。

【023】高木
前者の「ランダムな数字情報(ID)」は、個人のトラッキングに使われる可能性があることと、IDからの検索によって属性情報を得られてしまうことも起こりえます。
検索の権限を誰までに認めるかとか、ID情報の事業者を越えた共有を禁止できるかといった議論が解決しない限り、「前者ならプライバシー問題は存在しない」ということにはならないはずです。

この議論は去年の段階でもう終わったと思っていたのですが、まだ説明が必要でしょうか。

トレーサビリティー研究会ではそういうことなのかも知れませんが、私は後半は参加していなかったので、結論に至ったかどうかは知りませんでした。しかし、前提が異なれば、議論の余地はあると考えています。
まだ「これがRFIDの規格と利用に関する法律だ」というところに至るまでには時間がかかるのではないかと思っておりますが。

一方、日本であれこれ議論している間に、欧米企業は、EPC規格で実用化を目指していると11日の日経新聞トップで報道されました。プライバシー問題などを避けるために、B2Bに限定して利用しようということのようですが、これが既成事実・デファクト標準になってしまうのかと危惧されます。

【023】高木
タグの中に含めなくても、タグのIDに関連付けてどこかのデータベースに蓄積するかぎり、そのデータベース内の情報がどう取り扱われるかが問題となります。
「容易にコピーでき、場合によっては一人歩きをしてしまう」という懸念は、そうしたことを想定したものではないでしょうか。「タグに含めない方が良い」で終わる議論ではないはずです。

クレジット・カードの例では、カード内にはID情報だけにして、認証と取引処理は別途のサーバーで行うように、分離することで、少なくともセキュリティーもプライバシーも上げることが可能だろうと思います。
タグに様々な情報が入っていれば、色々な手段を使って防ごうとしても、防ぐのは難しくなると思います。但し、サーバーに集中している場合は、サーバーさえ破れば、より多くの情報を得ることになり、被害は大きいという面も当然出て来ることになるでしょう。
どちらの技術を応用した場合にも絶対ということはなく、法律面と倫理・教育面など、総合的なことからの判断となるのは言うまでもないと思います。

【023】高木

【005】唐澤
でも、既にIDチップを体内に埋め込みたいということで、そういうサービスを提供している会社も、実際に既に埋め込んでいる人も米国にはいると理解しています。体内に埋め込めば、遺失・盗難は拉致・殺害などされない限り無いことになります。これが倫理的にいい悪いはまた別の議論ですが。
倫理的にというよりも、ID窃盗のために拉致や殺害が起き易くなるという性質があるのではないでしょうか。

倫理的と書きましたのは、肉体を傷つけてチップを埋め込んで良いかどうかというだけではなく、それが犯罪を誘発する可能性とか、犯罪を犯す人は倫理面で問題がある、ということも含めた広い意味のつもりです。

犯罪か否かは刑法で規定するという考えが現代社会の一般常識かも知れませんが、人はモノの善悪は、誰に教えられなくても、法律があろうが無かろうが、魂が直感としてわかっていて、それでも罪を犯す確信犯が大半の犯罪者であり、そうでない場合は精神的・倫理的異常者という考え方もあります。

上記引用部に書いたことに戻りますと「人間にはRFIDチップは埋め込めない」というご意見がありましたので、埋め込める、埋め込みたいという人もいますよ、ということを述べたまでで、私が現段階でそれを推奨しているという意味ではありませんので、皆さんも誤解なきよう、お願い致します。

From : 唐澤　豊

2004/2/12　13:23

Subj : 【032】デジタルIDを付加する対象とは？～RFIDの暗号化技術

【024】高木

【019】唐澤
最初の勉強会で、日立の方は、RFIDとリーダーとの間でやり取りする電波を暗号化するということでした。これは、セキュリティーの面から必ずやらなければならないでしょうから、どの方式であろうと、やることになると思います。
そのような話はなかったと記憶しています。
出ていた話題は、プロトコルを非公開にしたり、タグやリーダなどの機器をわざと非互換にして回避することが考えられるという話が出ました。

確かにご指摘のように、電波の暗号化とプロトコルの暗号化とは正確には違いますが、日立ではプロトコルを暗号化するということだったと思いますし、他社もそういうことを言われていると思っておりましたが、違いますでしょうか？
全てをオープンにしたら、それは誰でもリーダーを作れるし、情報を知ることができてしまいますので、それではセキュリティーは無いに等しくなりますが、現状、業界ではそういう方向で進めようとしているのでしょうか？

【024】高木

【019】唐澤
更に、技術的にはこの暗号化をRFIDの個別の数字情報を元に個別に変えるよう
にすれば、簡単には破れないと思います。
そのようなことは不可能です。復号をどうやってやりますか。
公開鍵暗号等を使うか、タグを耐タンパーデバイスにするしかないでしょう。

不可能と断定してしまうと、発明も革新も起きませんので、新たな解決の可能性は常にあると考えていた方が良いのではないでしょうか？
青色LED特許の件でちょっと触れた、私の部下の特許申請は、電波でのやり取り迄含んでいたかどうかはわかりませんが、こうした方式でしたし、個人的にも解決の方法はありそうだと思っています。

ITを支える基本技術は、半導体、コンピューター、ネットワーク等ですが、それらは大量に作れば（利用して貰えば）、そして時間が経過すれば、安くなるので、今できないこともいずれできるようになると思っていた方が良いというのが、私が35年程この業界で経験した結論です。

From : 高木　浩光

2004/2/13　02:29

Subj : 【033】なりすまし防止策について～認証のレベルと本人確認方式に関する提言

【013】飯坂
日本からのニュースでは、佐賀県で住基カードがなりすましの申請者に発行されたと報道されています。この問題は当初より指摘されているようですが、個人のデジタルIDについて出だしからつまずいたようにおもいます。しかし、この問題は、デジタルIDの技術的な問題というよりは、社会システムの欠陥のような気がします。従ってデジタルIDを考えるとき、この社会システムの改革とシンクロナイズさせる必要があると思います。

住基カードを作るには運転免許証を、運転免許証を作るには住民票の写しを、住民票の写しを取得するには住基カードを…といった具合に、本人確認の連鎖で認証が成り立っているわけですが、それぞれのステップがいったいどの程度信頼できる確認になっているのか、その全体を整理・把握した上で社会システムは設計される必要があるでしょう。
それが試みられた興味深い報告書が以下にあります。

　http://www.ecom.jp/qecom/seika/naiyou/11report/e11-cn2.pdf

　認証のレベルと本人確認方式に関する提言
　電子商取引実証推進協議会認証・公証ＷＧ、平成12年3月

P.71からの表に概略がまとめられています。

From : 高木　浩光

2004/2/13　03:20

Subj : 【034】デジタルIDを付加する対象とは？～RFIDの暗号化技術

【032】唐澤
日立ではプロトコルを暗号化するということだったと思いますし、他社もそういうことを言われていると思っておりましたが、違いますでしょうか？

私は昨年4月のネット時評を書いた後、ずっと様々な場で、現在の低価格志向RFIDタグには暗号演算機能が搭載されていないし当面は無理らしいということを述べて、それを前提とした上で、RFIDタグのプライバシー問題を解説してきましたが、これまで一度も業界関係者から「既に対策済みです」といった指摘を受けたことがありません。
その経験から、今のところそれが図星なんだろうと推定しています。

既に解決済みというのが事実であるならば、どなたかが具体的にそれを示せばよいのですから、それをお待ちしています。

【032】唐澤

【024】高木

【019】唐澤
更に、技術的にはこの暗号化をRFIDの個別の数字情報を元に個別に変えるようにすれば、簡単には破れないと思います。
そのようなことは不可能です。復号をどうやってやりますか。
公開鍵暗号等を使うか、タグを耐タンパーデバイスにするしかないでしょう。
不可能と断定してしまうと、発明も革新も起きませんので、新たな解決の可能性は常にあると考えていた方が良いのではないでしょうか？

「不可能」というのは「暗号化をRFIDの個別の数字情報を元に個別に変えるようすれば」という点を否定したものです。

復号して元のIDを取り出すようにするためには、タグ内に暗号鍵を保持して、その鍵でタグ内でIDを暗号化することになりますが、タグが分解・分析されれば、鍵がバレてしまいます。
この問題を解決するには、公開鍵暗号を使って、タグ内には公開鍵を保持するようにするか、タグに耐タンパー性を持たせて、タグが分解された瞬間に鍵情報が消失するようにしておくなどが考えられます。

公開鍵暗号の処理は、ワイヤードロジックでは実現できないので、CPUを内蔵する必要があると言われています。CPUを搭載して、かつ、何十万(?)ステップにおよぶ演算の間、電力を供給することがRFIDタグに要求されます。
電力が多く要求されるということは、通信距離が短くなるか、アンテナサイズが小さくできないということを意味するでしょう。

公開鍵暗号演算はICカードでは既に実現されていますが、10円以下を目指すRFIDタグでそれが実現できるようになるのは、いつのことでしょうか。

また、ICカードでは数センチの距離で使えれば十分なので電力の問題は解決されているのだと考えられます。数十センチから数メートルの距離での応用を目論むRFIDタグの場合に上の解決ができるのは、いつのことでしょうか。

そのような認識のもと、低コストを維持したままIDを秘匿するための方法の研究が始まっており、いろいろ提案されています。しかし、いずれの方法も一長一短があり、ずばり解決というわけではありません。

情報処理学会コンピュータセキュリティシンポジウム RFIDセッション
　http://css2003.is.env.kitakyu-u.ac.jp/05pro/1031.html#8A

【032】唐澤
ITを支える基本技術は、半導体、コンピューター、ネットワーク等ですが、それらは大量に作れば（利用して貰えば）、そして時間が経過すれば、安くなるので、今できないこともいずれできるようになると思っていた方が良いというのが、私が35年程この業界で経験した結論です。

「いずれできるようになる」というのは結構ですが、今すぐ実用化したいというのが、昨今のRFIDフィーバーの風潮なのではないでしょうか？

唐澤さんは、

【019】唐澤
ここは、違うと思います。

最初の勉強会で、日立の方は、RFIDとリーダーとの間でやり取りする電波を暗号化するということでした。これは、セキュリティーの面から必ずやらなければならないでしょうから、どの方式であろうと、やることになると思います。

と、既に解決されているはずだという趣旨のことをおっしゃいました。
解決されていないのに解決されているはずだという前提で事業を進めるのは、避けなければならないことです。

From : 高木　浩光

2004/2/13　03:37

Subj : 【035】デジタルIDを付加する対象とは？～IDに含める情報の範囲

【031】唐澤
クレジット・カードの例では、カード内にはID情報だけにして、認証と取引処理は別途のサーバーで行うように、分離することで、少なくともセキュリティーもプライバシーも上げることが可能だろうと思います。

クレジットカードがそこそこプライバシーの保たれたシステムになっているのは、カード番号が明らかにカード会社の管理下にあって、加盟店が勝手に顧客のカード番号を目的外使用する（顧客管理用IDに流用する）ことは、カード会社との加盟店契約に違反する行為となっている（たぶん）ことと、カード番号の漏えい自体が顧客の金銭的被害をもたらすことが常識として認識されているために、取扱いが慎重にされているためでしょう。

RFIDタグのID番号もそのように慎重に扱われるようになると思われますか？

【031】唐澤
タグに様々な情報が入っていれば、色々な手段を使って防ごうとしても、防ぐのは難しくなると思います。但し、サーバーに集中している場合は、サーバーさえ破れば、より多くの情報を得ることになり、被害は大きいという面も当然出て来ることになるでしょう。
どちらの技術を応用した場合にも絶対ということはなく、法律面と倫理・教育面など、総合的なことからの判断となるのは言うまでもないと思います。

倫理や教育があてにならないことは、セキュリティー問題を追いかけてきて痛感しています。法律面での整備も当面無理ではないでしょうか。

総合的な判断が必要なのは明らかで、その判断が今求められているのに、「総合的判断が必要」とだけ言っても意味がありません。

【031】唐澤
一方、日本であれこれ議論している間に、欧米企業は、EPC規格で実用化を目指していると11日の日経新聞トップで報道されました。プライバシー問題などを避けるために、B2Bに限定して利用しようということのようですが、これが既成事実・デファクト標準になってしまうのかと危惧されます。

プライバシー問題を避けながら事業を進めればよいのではないでしょうか。
プライバシー問題を回避するソリューションは競争力にもなるでしょう。

From : 高木　浩光

2004/2/13　03:55

Subj : 【036】偽造防止目的のRFIDタグの応用～セキュリティー確保の実現性

【022】唐澤
例えば紙幣にRFIDを組み込んだとします。しかし、それのID番号が何番かは特定できない、更には、そこが破られたとしても、それが紙幣だということもわからない、というシステムにするということです。

そのような機能を持つチップのサイズは何ミリになりますか。紙幣に抄き込めるほどに極小のチップが現れたからこそそういう話が出ているところで、それと同じ程度の大きさで「ID番号が何番か特定できない」ようにすることは、どうしたら可能ですか。
また、ユーロ紙幣への採用が検討されていると一部報道された某社の某チップにはそのような機能が現時点でありますか？

このような研究事例はあります。
　Squealing Euros: Privacy Protection in RFID-Enabled Banknotes
　http://www.rsasecurity.com/rsalabs/staff/bios/ajuels/publications/squealing-euros/

【022】唐澤
更に、紙幣の管理目的は偽造でないことを保証すれば良いわけですから、日銀なりが、本物であることを認証すれば良いことで、何円かという情報は一切やりとりされないわけです。
こうしたシステムの場合、匿名性を損なうことは何等ないと思いますが。

偽造防止が目的なのなら、RFタグにIDは不要でしょう。
単に、「所定のサイズの微細なチップから所定の電波が出てくる」ことを確認するだけで偽造防止になる（概観の検査と併用するのだから）でしょうし、RFIDタグによる偽造防止効果というのは、元々その程度の意味しかないはずです。IDはコピーされるのですから。

From : 高木　浩光

2004/2/13　04:05

Subj : 【037】デジタルIDを付加する対象とは？～プライバシーへの懸念

【004】飯坂
本や衣服は比較的簡単だと想像していますが・・・
一度に解決できない問題だとおもうので、実施しやすいところ、受け入れ易いアプリケーションから、たとえば、書籍、衣服など徐々に実施するのがよいのではないでしょうか。

衣服や書籍こそ、それを携行する人を追跡することになるとして、プライバシーの問題が懸念されているのですが。

From : 高木　浩光

2004/2/13　04:17

Subj : 【038】IDを権利と捉えたら～RFID実験のアイデアに疑問

【002】坪田
ＩＴブレークスルー・アンケートの回答者の方々のコメント読んでいて、「これは」と思ったのは、校條諭さんの
人間がランダムに行動する分野で使うとおもしろいし役に立つと思う。
たとえば、駅や電車内など混雑するところでの人間の動線を把握するために携帯してもらう。テーマパークやイベント会場などでも、施設配置等の計画に使えるだろう。その際、遊びの要素を入れて、たとえば誰かとそっくり同じ経路をたどった人を瞬時に割り出してプレゼントを渡すなどといったことが可能であり、協力のためのインセンティブとすることもできよう。
（中略）でした。

動線把握が目的であれば、全員に持たせる必要はないでしょう。
視聴率調査と同様に、統計学的に言ってごく一部の人に協力を求めるだけで目的は達成されるはずではないでしょうか。

消費者に手間がかからない場面でインセンティブを用意するというのは、それ自体、なにかしら後ろめたいことがあることを意味しているはずです。

リスクを隠さず説明して同意が得られた消費者にだけ協力を求めればよいのに、一律にインセンティブを与えて実施するのは、リスクを説明する気がないとしか考えられません。

RFID実験のいくつかで「遊びの要素」が必死に捻出されていますが、くだらないアイデアばかりなのが何をかいわんやです。

From : 飯坂　譲二

2004/2/13　09:03

Subj : 【039】なりすまし防止策について～認証のレベルと本人確認方式に関する提言

高木さん、貴重なコメントと情報を頂きありがとうございました。

【033】高木
それが試みられた興味深い報告書が以下にあります。

　http://www.ecom.jp/qecom/seika/naiyou/11report/e11-cn2.pdf

　認証のレベルと本人確認方式に関する提言
　電子商取引実証推進協議会認証・公証ＷＧ、平成12年3月

早速お教えいただいた資料を見てみましたが、英語でいうWitnessに相当する人の証明を認証に利用することを見出せませんでした。

主として他の公の書類が中心で、たとえば運転免許証を成りすましで一旦取得されてしまうとパスポートも取得できるし、住所確認が郵便で行われると配達を待ち受けた詐取など結構弱点があるように見受けられます。

確かなのは、DNAぐらいになってしまうかもしれませんね。誕生のときにDNAを登録すればよいのかもしれませんが…これも新たな問題が生じましょう。

From : 飯坂　譲二

2004/2/13　09:05

Subj : 【040】デジタルIDのためのメタデータ～デジタルコアの研究会がメタデータの定義を

【016】山下
このような、課題こそ、デジタルコアで研究会を進めて頂ければ、と考えるところですし、未だに囲い込みをビジネス戦略に置く業界に対して、牽制ができる有力なツールにできはしないかと考えるところです。

私も同意見です。
大まかな分野ごとに検討するのがよいのでは？

From : 新保　豊

2004/2/14　13:24

Subj : 【041】IDを権利と捉えたら～RFID実験のアイデアに疑問

大変勉強になる本質を突いたみなさまのやり取りに敬服しております。

次の特に「なにかしら後ろめたいことがあることを意味」について、同感です。
ネットマーケティングの世界では「パーミッション（permission）マーケティング」と称して、消費者から了解を得た上で様々なプロモーションを行うことは最近よく知られたことですね。「同意が得られた消費者にだけ協力を求め」ているやり方は、この2年ほどで、双方にかなり意識され出しているのではないかと思います。

【038】高木
動線把握が目的であれば、全員に持たせる必要はないでしょう。
視聴率調査と同様に、統計学的に言ってごく一部の人に協力を求めるだけで目的は達成されるはずではないでしょうか。

消費者に手間がかからない場面でインセンティブを用意するというのは、それ自体、なにかしら後ろめたいことがあることを意味しているはずです。

リスクを隠さず説明して同意が得られた消費者にだけ協力を求めればよいのに、一律にインセンティブを与えて実施するのは、リスクを説明する気がないとしか考えられません。

「統計学的に言ってごく一部の人に協力を求めるだけで目的は達成」について。
事業者から見れば、マーケティング対象セグメントにおけるサンプル数によるのでしょうが、「一部の人」に絞ったことで、そのセグメントで実施した調査は、統計的には（統計的有意性において）、当該マーケット全体の実態からは多少乖離してくるのかも知れませんね。
従って、事業者においてはそうした前提のデータでは困る、といった想像もできるのではないかとは思います（ここでの使い方の意味は異なりますが、クラインのいう「統計的有意性」については、ケースによっては的をはずすこともあるだろうとは考えていますが…）。

繰り返しですが、「リスクを説明する気」を事業者がきちんともつことは、ネット上においても重要であると思います。そして、そのような事業者が消費者から選ばれる、支持されるように段々となってきているのだと感じます。

From : 高木　浩光

2004/2/15　20:16

Subj : 【042】デジタルIDを付加する対象とは？～IDに含める情報の範囲

【023】高木

【005】唐澤
これは、2通りあって、単純でランダムな数字情報の場合と、ある程度の識別情報や履歴情報も含める場合があると思います。
（中略）
「現状では後者を前提に議論されているためプライバシーの問題がある」というのは誤りです。後者よりも前者の方がましであるというのはその通りです（ただし逆の場合もある。後に述べます）。

「逆の場合もある」について述べます。

後者の特殊形として「IDを持たないRFタグ」というものが考えられます。属性情報だけを記憶しているタグです。

前者は「IDだけからなるタグ」で、人がトラッキングされる問題がある一方で、属性情報をタグ内に含める後者のタイプのタグでIDなしにすれば、トラッキングされる懸念がなくなります。

「IDなし」ということは、個体ごとに番号をふらないわけですから、「それではICタグにする意義がないじゃないか」ということになるかもしれませんが、従来のバーコードと比べたときの、

記憶容量が大きい
書き換えができる
汚れに強い
離れたところから読める

という特長は残るわけですから、用途によっては十分RFタグを使う意義はあるわけです。

具体的にはたとえば、リサイクル支援目的のタグはそうした性質のものではないでしょうか。
家電リサイクル用にRFタグを付けるという構想では、主に「汚れに強い」「記憶容量が大きい」「書き換えができる」という点が、RFタグを使うことの目的で、個品管理が目的ではないのではないかと思いますが、どうでしょうか。

大型家電製品は人が携行することはないので、IDを入れても元々プライバシーの問題はないかもしれませんが、余計な不安を与えないために、IDをあえて入れないという工夫もありではないかと思います。

他にも、飲料水のボトルや缶などにリサイクル目的でRFタグを付けるという話では、「離れたところから読める」「汚れに強い」が目的であって、リサイクル時に必要な情報（材質等）だけが読めればよいのだとすれば、個品のIDは不要で、IDなしのRFタグを使うならば、人が携行してもプライバシーの問題は軽減される（どんな材質のボトルの飲料水を持っているかしか他人に知られないようになる）のではないでしょうか。

と、このように主張すると、「IDはアンチコリジョンのためにも使うんです」と反論されるかもしれません。

たしかに、複数のタグを同時に読み取るために、各タグのユニークIDをうまくつかって、ひとつひとつを順次読み取る仕組み（アンチコリジョン機能）を搭載したタグがあります。

しかし、アンチコリジョンは、ユニークIDがないと実現できないわけではありません。タグ内で一時的に発生させる乱数を使えば、それは実現できます。ICカードではそのような方法でアンチコリジョンを実現しているものもあるようです（ただ、低コストタグで、乱数生成回路をタグ内に搭載できるかという
問題は残りますが）。

また、アンチコリジョン機能の不要な用途もあるでしょう。家電リサイクル目的では、うまく工夫すれば不要になるかもしれません。

結局のところ、たしかにRFIDタグは、単純な回路で実に様々な好都合な特徴を持つという、技術屋からすれば思わずウットリするような「美しい」技術です。
タグにユニークIDを持たせることによって、そのIDで複数タグ読み取り時のタグ識別番号として使いつつ、同時にその番号をそのまま個体管理用のIDとしても使ってしまうわけです。
タグ内のメモリを省いて、まさにIDだけ応答するという極限まで単純化するのも「美しい」でしょう。IDさえあれば後は外部データベースで何でもできるわけです。
あらゆる目的のためにこれ一本の仕組みで対応できるわけです。

しかし、プライバシーの問題が残りました。
プライバシーの問題を解決するために、一旦その「美しさ」へのこだわりを忘れて、必要ないところではIDを排除するなど、個別用途に応じた変形アーキテクチャを提供していくことを考えるべきではないでしょうか。

From : 高木　浩光

2004/2/15　21:09

Subj : 【043】電子自治体の本人確認

なりすましといえば、自治体では、公的個人認証を使わない方法での電子申請システムが既に稼動しているところがたくさんあります。

ある市のWebサイトでは、「水道使用中止の届出」がオンラインで提出できるようになっています。
この電子申請システムを使うには、事前にユーザ登録をしてアカウントを取得し、与えられたユーザ名と自分で決めたパスワードでログインした上で、水道使用中止の届出に必要な項目を記載して送信ボタンを押すようになっています。

このとき、「ユーザ登録」は誰でもいつでもできます。ポータルサイトによくある無料メールなどと同じで、住所氏名電話番号等と記入すれば、即座にアカウントを取得できるようになっています。本人確認はありません。

ということは、「あいつの家の水道を止めてやろう」という嫌がらせを思いついた者は、その人の住所氏名を知っていれば、その人の住所氏名でアカウントを取得した上、そのアカウントでその人の住所氏名を記載して「水道使用中止の届出」を出すことができてしまいます（ただし、「お客様番号」の記入が必須になっている自治体もあるようです）。

昨年、その市の役所に電話してそのことについてたずねたところ、たしかにそのとおりで、届出があった場合、そのまま水道課に連絡が行き、本人にコールバックするなどの確認をせずに、直接その家に出向いて水道を止めるのだそうです。

また、別の自治体にも同様のシステムが稼動しており、別の種類の届出について、他人が出せてしまうが問題ないのかと電話で尋ねたときには、「従来の紙での届出でも、本人確認はしてこなかったので、これでよいと考えている。」という内容の返事をもらいました。

たしかに、他人の家の水道を止めるなどの嫌がらせ目的で、わざわざ市役所の窓口に出向いて顔を見せて偽の書類を提出する人はあまりいないでしょう。目的に対するリスクが大きすぎます。しかし、ネットではどうでしょうか。
何らかの方法で高い匿名性が確保されると、リスクよりも目的の達成価値の方が大きくなる場合があるかもしれません。

紙申請と電子申請ではなりすまし攻撃の現実性が異なるにもかかわらず、紙申請を想定して設計されてきた手続を、そのまま電子化してよいのでしょうか。各手続ごとに脅威レベルの再評価が必要ではないでしょうか。

ところで、先日のなりすまし住基カード取得の事件では、有印私文書偽造・同行使の疑いがあるとのことでしたが、電子申請システムで他人名義での申請を行う行為は、どの罪で罰することになるのでしょうか。

有印私文書偽造と（無印）私文書偽造とでは、前者が3月以上5年以下の懲役であるのに対し、後者では1年以下の懲役又は10万円以下の罰金という罰則になっています。すなわち、署名捺印という行為は、それだけの覚悟を持って偽りのない私文書を作成したことの証であるし、署名捺印を必要とする文書を作成させることは、それだけの厳格さを求めていることになるのでしょう。署名捺印を省略できる申請では、そこまでの厳格さを求めなくてよい申請ということになるでしょうか。

それに対し、電子申請ではどうなのでしょうか。署名捺印の有無の差はないように思われます。公的個人認証による電子署名を必要とする文書は、内容に偽りがある場合に、処罰の程度は大きくなるのでしょうか。

自治体の電子申請システムには、「簡易ID」「一般ID」「特定ID」というクラス分けをしているところがあります。
「簡易ID」は上の自治体の例と同じく、誰でもいつでも即座に取得できるアカウントで、「一般ID」は役所の窓口に行って本人確認をした上でユーザ名とパスワードをもらってくるもの、「特定ID」は、一部の事業者しか申請することのない業務に対して発行されるアカウントとなっているようです。今後、ここに公的個人認証が加わるのでしょう。

ある申請受付業務について、どのIDでの提出を求めるのが妥当かという設計は、誰がどうやって行うのでしょうか。
技術の視点からは、簡易ID、一般ID、公的個人認証のそれぞれは、なりすまし攻撃に対する強度が異なるわけですが、偽申請時の処罰の程度の違いという点からも検討が必要ではないかと思います。

そうした検討は既になされているのでしょうか。

From : 夏井　高人

2004/2/15　21:37

Subj : 【044】電子自治体の本人確認

【043】高木
ところで、先日のなりすまし住基カード取得の事件では、有印私文書偽造・同行使の疑いがあるとのことでしたが、電子申請システムで他人名義での申請を行う行為は、どの罪で罰することになるのでしょうか。

この点に関してですが、なりすまし住基カード取得事件でもそうかもしれませんが、カード発給のための申請書は、権利義務または事実証明に関する他人名義の私文書に該当することから、申請行為における違法をとらえれば、確かに私文書偽造・同行使の罪に該当すると思われます。

申請行為が電子的な方法によってなされる場合には、おそらく他人の事実証明に関する電磁的記録の不正作出がなされることになると考えられるので、私電磁的記録不正作出・同行使罪で対応可能ではないかと思われます。

カードに記録されているのと同じ電磁的記録を勝手に製造または作成するような行為（物体としてのカード製造・作成行為でないところに注目！）は、公電磁的記録不正作出罪となり、また、それを行使する行為は、同行使罪になるでしょう。

第百六十一条の二　人の事務処理を誤らせる目的で、その事務処理の用に供する権利、義務又は事実証明に関する電磁的記録を不正に作った者は、五年以下の懲役又は五十万円以下の罰金に処する。
２　前項の罪が公務所又は公務員により作られるべき電磁的記録に係るときは、十年以下の懲役又は百万円以下の罰金に処する。
３　不正に作られた権利、義務又は事実証明に関する電磁的記録を、第一項の目的で、人の事務処理の用に供した者は、その電磁的記録を不正に作った者と同一の刑に処する。
４　前項の罪の未遂は、罰する。

問題は、自分がカード内の電磁的記録を不正作出するのではなく、担当公務員をだまして他人に関する情報を記録したカードを発行させる行為です。
もし、住基カードに記録されている情報内容が戸籍と同等のものであると解釈することが可能であれば、刑法157条の公正証書原本不実記載等の罪が成立すると思われます。

第百五十七条　公務員に対し虚偽の申立てをして、登記簿、戸籍簿その他の権利若しくは義務に関する公正証書の原本に不実の記載をさせ、又は権利若しくは義務に関する公正証書の原本として用いられる電磁的記録に不実の記録をさせた者は、五年以下の懲役又は五十万円以下の罰金に処する。
２　公務員に対し虚偽の申立てをして、免状、鑑札又は旅券に不実の記載をさせた者は、一年以下の懲役又は二十万円以下の罰金に処する。
３　前二項の罪の未遂は、罰する。

しかし、住基カードに記録されている情報内容が戸籍とは異なり、権利もしくは義務に関する公正証書に相当する電磁的記録とはいえないと解釈する場合には、無罪となります。
刑法157条は、単なる事実証明に関する電磁的記録を公務員に作成させる行為については、第2項の免状、鑑札または旅券の場合を除き、処罰対象とはしていないのです。

さて、電子申請の場合にどうなるかについてですが、上記に説明したところを適宜応用して考えれば足りると思われます。

From : 楠　正憲

2004/2/15　21:41

Subj : 【045】電子自治体の本人確認

【043】高木
ある申請受付業務について、どのIDでの提出を求めるのが妥当かという設計は、誰がどうやって行うのでしょうか。
技術の視点からは、簡易ID、一般ID、公的個人認証のそれぞれは、なりすまし攻撃に対する強度が異なるわけですが、偽申請時の処罰の程度の違いという点からも検討が必要ではないかと思います。

個人的な意見ですが、利便性と安全性がトレードオフとなる場合に、どのセンでいくかを行政が一律で決めるべきではないし、現在のIT技術を使えば、one to oneでセキュリティー・レベルを自己決定できる仕組みをつくることも、そう難しくはないはずです。

例えば、こんどスルガ銀行が生体認証を使って預金引き出し時に本人確認する預金商品を売り出しますが、全ての顧客の指紋を取るとなるとコストや人権やプライバシーが問題になるけれども、高額預金者の中には、預金が騙し取られるかも知れないリスクよりは、小額の手数料(この商品が有償かどうかは分か
りませんが)と指紋を取られる不快さを選ぶ方もいらっしゃるでしょう。

役所のサービスも同様に、ひとによって望むセキュリティー水準が違うのであれば、それぞれ選べるようにし、高コストの方法を選ぶ場合は、その分の手数料を支払うという仕組みも考えられるはずです。特に、役所の出す証明書のなかには、住民票やパスポートなど、悪用されると被害の大きな証明書が多く、リアルの世界でも脆弱な本人確認を逆手に取った金融犯罪が少なくない訳です。

ひとによって悪用やなりすましで想定される被害の大きさは異なるし、それに対する受け止め方も異なるのは当然です。
これまでの手作業の業務フローで、こういった個別対応は難しかったでしょうが、電子政府・電子自治体では技術的には充分に対応可能なはずです。
最初は安全側に倒しておいて、リスクと利便性を充分に勘案していただいた上で、便利なサービスも、不便だが安全なサービスも選択できる、というのが理想ではないでしょうか。

電子政府といったときに、単に窓口を電子化するだけでなく、電子化したことで初めて可能となる個別対応や、セキュリティーの向上といった視点もあると、より可能性も広がるし、議論の落としどころもみえてくる気がします。

[ ネット会議トップページへ ]

お問い合わせ：core@nikkei.co.jp