固定IDの話はまた後日ゆっくりまとめるとして、今日は別の話題としてSuicaのことを少し。
JR東日本の「Suicaイオカード」は、カード内に入退場の履歴を記録している。このことは、ソニーが「PaSoRi」を使った「SFCard Viewer」をリリースするまで確証を持てなかった。実現方式の可能性として、カードにはIDだけが入っていて、すべてをオンライントランザクションで処理する方式もあり得たからだ。駅のSuica対応自動券売機には履歴表示・印字機能もあるのだが、これもオンラインかもしれないと考えられた。だが、SFCard Viewerにより、オフライン状態のパソコンで残高や入退場履歴を閲覧できることから、カード内に記録されていることが確実となった。
そして今年2月、「CLIE PEG-NZ90」という携帯端末が発売された。これはFeliCaリーダを備えており、SFCard Viewerがプリインストールされている。当初、CLIE版SFCard Viewerは、残高しか表示できなかったのだが、3月31日にリリースされたv.1.11にアップデートすることで、入退場履歴(日付、入場駅、退場駅)のリストを表示できるようになった。(最初からそうしなかったのは、おそらく、駅番号から駅名文字列への対応表を、圧縮データから検索するプログラムを準備するのに、時間がかかったためではないかと憶測している。)
このことを知っている人は、CLIEを使えば、満員電車で隣り合わせた人のSuicaの入退場履歴を盗み見れるのではないかということを、一度は想像するだろう。試しに財布に入れたままCLIEにかざしてみたところ、分厚い財布だとなかなか読み取れないが、薄めの財布なら、ジーパンの後ろポケットに財布ごと入れた状態で、お尻にCLIEをかざせば、履歴情報を読める場合もあった。カードからCLIEまで1センチメートル以内の距離で読めるようだ。
人づてに聞いた話では、女性向けの小さなバッグにSuica対応のものがあるとかで、バッグの底にSuicaを入れるポケットがあり、利用者はバッグごと改札機にタッチアンドゴーするのだという。(私は、たまにしか電車に乗らないので見たことがない。その鞄の情報はWebにはないものだろうか。) これだと、満員電車で背後に立つ人に、電車の利用履歴を盗み知られてしまう状況は、比較的現実的にあり得ることではなかろうか。
こういうことを書くとまた、何も新しくないとか言われそうだが、CLIEに接する機会のないごく普通の人たちのほとんどは、この事実を知らないのではなかろうか。JR東日本のSuicaのページには、カード内に履歴が記録されている事実が説明されていない。「Suica Q & A」のページには、
現行のイオカードでは、カード裏面に履歴(ご利用明細)が印字されていますが、Suicaではどうなるのですか?
という問いはあるものの、その回答は、
Suicaでは、Suica対応の機器(券売機等)で残額の確認やご利用履歴(明細)の確認およびその内容の印字が可能となります。
とあるだけで、駅の券売機以外でも読めることが普通の人にわかるとは思えない。
仮に、CLIEをお尻や鞄底にあてがってデータを読むのが困難だとしても、他に考えられるのは、Suicaイオカードを机の上に放置したり、クローゼットに入れっぱなしにしているときに、同僚や配偶者にCLIEを使って履歴を読み取られる可能性がある。それを、カード所有者が予期できているかどうかだ。
旧イオカードのように、ローテクなカードでは、カード面に利用駅名が印字されていたので、人は、それを普段から目視する経験により、カードが他人の手に渡ったるとどんな事態を招くか、直感的に理解していた。これが、Suicaのようにハイテクなカードとなると、人は、起こり得る事態を容易には予見できなくなる。
もう1つの問題点。カードに他に何が記録されているのかが公開されていない。CLIEのSFCard Viewerでは、利用日の月と日しか表示されないが、時刻はどうなのか。記録されていないのか、記録されているがSFCard Viewerが表示しないだけなのかが判別できない。人づてに聞いたところによると、自動開札非対応の駅でSuicaを駅員に処理してもらった際に、「何時何分に乗りましたね?」と言われたというから、時刻は記録されている可能性が高い。
CLIE付属のSFCard Viewerで表示できないとしても、ソフトウェアを自力で作れば、時刻も読めてしまう可能性がある。Suicaのベースとなっているカード技術「FeliCa」は、カード読み書きソフトウェアの開発キット「SDK for FeliCa」を一般向けに販売している。私も購入を試みたのだが、秘密保持契約書にサインが必要とのことで、契約条項には、何を秘密とするかが後から決められると書いてあったので、買うのを断念した。(すでに契約していて開発のできる方に、こちらから指定した機能のプログラムを作ってもらうことは可能だろう。)
もうひとつわからないのは、Suicaから履歴情報を読み出す際に、暗号鍵が必要になっているのか、それとも鍵なしに誰でも読めるようになっているのかだ(データの書き換えにはもちろん暗号鍵が必要)。読み出しに鍵がいらないのなら、開発キットさえあればSuica対応アプリケーションを作れるだろう。鍵を必要としているならば、CLIEかPaSoRi用のSFCard Viewerがクラックされない限り安全ということになる。
いずれにせよ、JR東日本は少なくとも次の2つの点の説明責任を果たしていない。
こうした懸念が「何も新しくない」、「誰でも考えてるよ」というのなら、どうしてジャーナリストは実験なりをして、消費者に伝えることをしないのか。そういう記事ってこれまでにあっただろうか。こんなのは私のような職種の人の役割ではないのだが。
<<コメント機能について>>
コメント機能はオフで始めた日記ですが、リンク元表示のためやむを得ずオンにしました。頂いたコメントにはお返事しない場合がありますので、ご承知おきください。ここのコメント機能では議論するつもりがないためです。他の方法を検討してください。簡単な連絡事項はお書きいただいてけっこうです。議論を必要とするような長いコメント(基準は……、2行を超えるものを目安としましょうか)は削除させていただくかもしれません。