経済産業研究所のit@RIETIに、6月25日付けで、「非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜」というコラムが掲載されていた。著者の泉田裕彦氏は、同研究所のコンサルティングフェローで、経済産業省から国土交通省に出向中の、国土交通省貨物流通システム高度化推進調整官でもある。泉田氏は、3月に「自動認識技術(非接触タグ:RFID)の可能性と幻想」というコラムも発表なさっている。このときの主張は、書き込み可能タグよりも、固定ID単純応答型のタグとネットワークの合わせ技を使った方がよいとするものだった。つまり、Auto-IDセンターの考え方に追従する意見である。書き換え可能型を使わない方がよいとする理由として、タグ内のデータは破損に備えて外部にバックアップが必要で、データを同期化する必要が生ずるため二度手間になるという点と、タグのハードウェアコストが高くつく点を挙げている。関連する箇所をコラムから引用しておく。
書き込み可能なRFIDの技術は、本当に、これまで、コストをかけて行っていたデータ共有が劇的に改善したり、商流や物流を画期的に改善する技術なのであろうか?...
平成13年度に国土交通省が航空手荷物にRFIDを貼付して物流の効率化を行う実証実験を実施しているが、この際にも、いくつかのチップが破損している。結局、書き込み型RFIDに格納した情報のうち紛失してはいけない情報は、別にサーバー等にバックアップする必要がある。換言すれば、RFIDへ書き込みを行う場合は、データ保管に2重コストが発生することとなるのである。...
この場合、個体(商品等)の特定ができれば良いので、コストをかけて書き込み型RFIDにする必要はない。その個体(商品等)に関する情報は、サーバーに存在しておれば良く、ネットワークを介してアクセスできれば十分ということになる。
そして今回の新しいコラムでは、RFIDタグのプライバシー問題について論じられている。ここでまず、泉田氏が、私の4月の日経ネット時評の論点を十分に把握なさっているであろうことを確認しておきたい。Geocitiesの無料レンタルページに「 <研究資料リンク集>」と題するリンク集があるが、これは、「My SITE」という部分に「泉田 裕彦 (いずみだ ひろひこ)」と署名されているので、この泉田氏により作られたものだと推定される。ここには、「RFIDとプライバシー」というリンク集があり、以下のリンクがリストアップされている。
加えて、泉田氏の今回のコラムの文章には、私の日経ネット時評の文章に良く似た部分が散見される。
RFIDは電波を利用して自動認識することから、RFID付きの物を持ち歩くと、所有者の意思と無関係に どんな属性の物を所持しているかを他人に知られるてしまうという可能性が生じる。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
RFIDは、所有者の意思と無関係に読み取られるので、IDの発行者以外によって活用され得る。...
このように、RFIDのプライバシー問題が語られるとき、どんな属性の物を所持しているかを他人に知られる問題がクローズアップされがちである。
例えば、全ての商品にRFIDが貼付された社会が実現すると、はいている下着の色、所持している本のタイトルが、街を歩くだけで他人に知られてしまうという危険が生じる。また、店舗等の定点にリーダーを設置すれば、RFIDの発行者以外によってマーケッティング等に活用されるかも知れない。これらの点は、所有者が提示しない限り情報が流出する危険が生じない接触型のICカードと大きく異なる。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
はいているパンツの色、所持している本のタイトルが、街を歩くだけで知られてしまうといったように。...
会員証の場合では、所有者が提示しない限り番号を読み取られないので、IDは発行者によってのみ活用される。それに対し、RFIDは、所有者の意思と無関係に読み取られるので、IDの発行者以外によって活用され得る。
例えば、既に、電波で電話機固有の識別番号を発信して局と通信している携帯電話は広く普及している。... 携帯電話は通信手順が非公開であり、これを解読して番号を解読しても得られるメリットとつり合わないことがプライバシー侵害問題は生じさせていない。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
携帯電話だって電話機固有の識別番号を電波で飛ばして局と通信している。だが、その通信手順は非公開であり、一般の人が傍受して番号を得られるわけではないだろう。
このことからも、泉田氏は私の文章を精読なさった上でこれを書かれたと推察できる*1。
泉田氏のコラムの主張は、今回も、書き込み可能型よりも固定ID単純応答型のタグの方が良いとするもので、その根拠として、書き込み可能型ではプライバシーの問題があるという点を、前回のコラムに付け加えるものとなっている。具体的には、
RFIDのプライバシー侵害問題の対策
まず、言えることは、生のデータを直接RFIDに記述することは、危険であるということである。...
そこで、考えられるのが、RFIDには、ユニークな番号だけを記載して、固有のアイテムに関するデータはセキュリティのかけられたネットワークシステムに保存するという方法である。アクセス権を管理することにより、セキュリティーの確保と利便性の追求を両立させる可能性が出てくる。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
の部分がそれを述べている。なお、この主張は、私のネット時評における以下の部分と同じ内容を指す。
オートIDセンターの「クラス1」規格は、RFIDタグを極限まで単純化し、64〜96ビットの固定ID番号だけを持たせ、タグ内に属性情報を記録しない方式だという。そのため、オートIDセンターのQ & Aには、「プライバシー保護の取り組み」として次のように書かれている。
EPCには固有のコード番号が記載されているだけで、それ自体は重要な意味を持ちません。EPCに関連付けられる固有のアイテムに関する重要なデータはセキュリティのかけられたネットワークシステムに保存されており、これらのデータへのアクセス権は厳重に管理されています。
確かにこの方式ならば、電車内で他人に属性情報を読まれることはない。RFIDの研究者が「RFIDのUIDから商品の特定は困難」と発言することがあるのはこのためである。
さて、問題は、泉田氏が、固定IDがもたらすプライバシーへの影響をどのように述べているかである。これがコラム後半で次のように結論付けられている。
次に、ID番号が付いた物を所持するだけで、個人が特定されるという危惧だが、要は、利便性とリスクのバランスの中でどのように評価し対策を行うかという問題であると考えられる。例えば、既に、電波で電話機固有の識別番号を発信して局と通信している携帯電話は広く普及している。クレジットカードにいたっては、有効期限、番号と名前だけで引き落としが可能である。携帯電話は通信手順が非公開であり、これを解読して番号を解読しても得られるメリットとつり合わないことがプライバシー侵害問題は生じさせていない。また、クレジットカードは、危険ではあるが、問題が生じた際には、一定期間過去に遡って保険が適用されるという仕組みが構築されており、クレジットシステムには高い信頼が存在する。ユニークなID有するRFIDが貼付された物を持ち歩くとプライバシーが漏洩する可能性があると、いたずらに不安を煽るのは適切でないであろう。万が一の場合は、事後的に司法を通じて問題を解決する方法もあり、対策のコストと事後解決のコストの比較衡量が欠かせない。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
この問題が「利便性とリスクのバランスの評価」に帰結されることは、改めて述べるまでもない自明のことであろう。泉田氏は、このコラムで具体的にどのような評価を与えているだろうか。
そこには、携帯電話が基地局と通信する電話機固有の識別番号の話と、クレジットカード番号の話が書かれている。それぞれを分離して文脈を追いかけてみると次のような論理構成になっている。
例えば、既に、電波で電話機固有の識別番号を発信して局と通信している携帯電話は広く普及している。...
携帯電話は通信手順が非公開であり、これを解読して番号を解読しても得られるメリットとつり合わないことがプライバシー侵害問題は生じさせていない。...
ユニークなID有するRFIDが貼付された物を持ち歩くとプライバシーが漏洩する可能性があると、いたずらに不安を煽るのは適切でないであろう。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
クレジットカードにいたっては、有効期限、番号と名前だけで引き落としが可能である。...
クレジットカードは、危険ではあるが、問題が生じた際には、一定期間過去に遡って保険が適用されるという仕組みが構築されており、クレジットシステムには高い信頼が存在する。
ユニークなID有するRFIDが貼付された物を持ち歩くとプライバシーが漏洩する可能性があると、いたずらに不安を煽るのは適切でないであろう。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
先にも指摘したように、携帯電話が非公開の手順で基地局と通信するとき電話機固有の識別番号が含まれているという話は、私の日経ネット時評でも取り上げた比較材料である。私のネット時評では、この題材について次のように書いた。
IDは既にいろいろなところに付いている。...
携帯電話だって電話機固有の識別番号を電波で飛ばして局と通信している。だが、その通信手順は非公開であり、一般の人が傍受して番号を得られるわけではないだろう。
これらに比べて、RFIDの脅威が新しいのは、
- IDの発行や収集に法的制限がない。
- 離れたところから、所有者の意思に反して読むことができる。
- 安価な市販の装置でだれでも読むことができる。
という点である。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
そのとおりだが、具体的な議論が進んでいない。
具体的な議論が進んでいない段階で、一方の技術的可能性の指摘を、「いたずらに不安を煽るのは適切でないであろう」と一蹴してしまうのは、判断を誤る危険がある。可能性は可能性として冷静に認識した上で、議論を進めるべきである。
可能性の指摘があったとき、ある種の人たちの思考が「いたずらに不安を煽るべきでない」というところへ陥ってしまうのには、いくつかの原因が考えられる。技術に明るくない人からすると、可能性の指摘があっただけで、あたかも、技術的解決策が存在しない話であるかのように早とちりしてしまい、絶望感に襲われ、「これはいたずらな不安の煽りである」と理解することで合理化することがあるのではなかろうか。
私の日経ネット時評は、後半を読めばわかるように、「技術的な解決手段を検討しよう」というのが主題だ。固定IDにならないようにする技術的方法は、何種類も考えることができる。ネット時評でも2種類を提示しているが、他にもその後、素人ながら自力で考えたものとして次のアイデアがある。
もちろん、これを実現するにはハードウェアコストがかかる。公開鍵暗号の演算器をハードウェアロジックで構成するのは効率的でないであろうから、小さなCPUを内蔵する必要があるだろう。このコストをさらに下げる方法として次の案も考えてみた。
この方法でもなお依然として、ある程度のハードウェアコスト増は生ずるので、泉田氏が前提としている、固定ID単純応答型(日立のミューチップなど)ほどの低コストは、今すぐには望めないだろう。しかし、RFIDタグの製造コストには、チップの製造コストだけでなく、アンテナの取り付けも含まれるため、チップだけいくら安くしても限界があるという話をしばしば耳にする。したがって、5年後、10年後の将来には、こうしたなんらかの対策回路を内蔵したチップであっても、十分に競争力のある価格に抑えられる可能性がある。先月、RSA Conference 2003 Japanの坂村健教授の講演を聴講した際、会場から次のように質問をした。
昨今、急激にRFIDの実用化が注目され始めたのは、10円、5円という低価格化が見えてきたためだと思いますが、ユビキタスIDセンターのタグは、どのくらいの価格を想定しているのでしょうか?
これに対して坂村教授は、「10年くらい先を見越して研究している」という趣旨の回答だった。
この日記で、一貫して、様々な事例を挙げながら書いてきたように、一般に、固定IDのもたらすプライバシーへの影響は、技術的な解決策(ないし脅威の軽減策)が存在する場合が多い。暗号研究者はもちろんのこと、一部の関心の高い技術者や技術系研究者はそのことを知っている。だが、消費者が対策を求めなければ、事業者はそれを採用することの意義を見出さないだろう。そして、消費者は、脅威の可能性の存在を知らされなければ、そうした軽減策の採用を望むことに気づきようがない。技術研究が忘れ去られるのである。そうならないために、技術系研究者が脅威の原理を正しく説明していくことは当然の使命である。それに対して、
ユニークなID有するRFIDが貼付された物を持ち歩くとプライバシーが漏洩する可能性があると、いたずらに不安を煽るのは適切でないであろう。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
と一蹴するのは、そうした努力を破壊する。
原理的な脅威は常に現実的なわけではない。たとえば、まだ「ユビキタス社会」とは到底言えない現在の状況(ごく稀な場所にしかRFIDスキャナが設置されていない状況)では、固定IDのRFIDを街で持ち歩いていても、個人の移動を追跡されることはほぼないだろう。しかし、泉田氏も、
将来のユビキタス社会の発展という観点からは、夢のない解決方法である。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
と述べているような、何十年後かの、本物のユビキタスコンピューティング社会が到来したときを想定すると、あらゆる場所にスキャナが設置され、現実的なコストで大量のIDが計算処理される状況となり、追跡の可能性は現在とは異なるものになる。そのときには、ビット列が変化する対策を施したタグが使用されるのかもしれないが、過去に流通させてしまった固定IDのタグをそのときどうするのか。
このように、時系列での環境変化や、その他、電波の届く距離による影響の違いなども含めて、個別のケースにおいて、プライバシーへの影響がどの程度現実的にあるのかを整理しておくことが、今必要なことである。それをする前に、「いたずらに不安を煽るのは適切でない」と発言するのは、その整理を放棄しますという宣言である。
なお、泉田氏の記述には、技術的に誤った部分もある。書き込み可能タグにおいて、書き込んだデータが「誰にでも簡単に読みとられるようでは、実用に耐えない」という文脈において、
このためには、第一に、データを暗号化するという手法が考えられる。しかしながら、厳格な暗号化を行えば、チップのコストが上昇し、普及はおぼつかなくなるという問題が存在する。ユビキタス社会の実現を考えるとプライバシー等の「情報保護は暗号化で」というのでは、限界があると言わざるを得ない。
泉田裕彦, 非接触ICタグ(RFID)とプライバシー:〜書き込み型RFIDの問題とネットワークの活用〜, it@RIETI, 2003年6月25日
と述べているが、暗号化済みのデータをタグに書き込めばよいのであるから、タグ自身が暗号化回路を持つ必要はない。「チップのコストが上昇する」というのは誤りである。
泉田氏のコラムが政策的にどのような意味を持つかはわからないが、技術面の考察が足りないまま結論を急いでいるように見える。技術系の研究所に相談するなどしてはどうだろうか。旧工業技術院の研究所は、経済産業省の機関でありながら、そうした相談を受けることはほとんどなかったように思う(少なくとも電総研については)。これは、通常、研究者達がそうした議論に無関心であるため、もとより期待されてこなかったのだろう。
[memo:5793]で書かれているように、木下真吾さん(NTT情報流通プラットフォーム研究所情報セキュリティプロジェクトセキュリティ社会科学研究グループ研究主任)と、5月に何通かのメールのやりとりがあった。その際に、CYBER SECURITY MANAGEMENT誌に、木下さんがRFIDのプライバシー問題について記事を執筆なさったと聞いた。先々週、その掲載号が出ましたよと教えていただいたので、読ませていただいた。記事のタイトルは「ユビキタス社会の光と影 —脅かされるプライバシー—」となっている。
6ページにわたる文章で、大まかな内容を紹介すると、まず、ユビキタス社会が到来した際の一般的な情報セキュリティの問題が深刻になるであろうという話が述べられ、次に、「無線ICタグの光と影」として、プライバシー問題が書かれている。プライバシー問題には、「(1) 所持品の盗聴」、「(2)ID追跡による行動追跡、本人特定」の2種類があると分類され、これらの問題についての技術的対策の研究開発の現状について整理されている。
紹介されているのは、まず、Auto-IDセンターの「MetaID」(これは比較的広く知られていると思う)と、それに改良を加えて(2)の問題も解決しようとする「Randomized Access Control」を提案した、以下の論文だ。
この論文のことは5月にメールで木下さんから教わっていたのだが、読んで興味深かったのは、RFIDの電波到達距離が 3メートルだとしても、スキャナの電波の到達距離はそれよりずっと長く、100メートルに及ぶという話だ。確かにそうなるように思える。タグの有効距離を数センチに抑えたとしても、スキャナの電波は数メートルにおよぶのかもしれない。
スキャナの電波が傍受されることがプライバシーにどう関係があるかというと、アンチコリジョン機能を持つRFIDタグでは、複数のタグがスキャン範囲に存在する場合に、スキャナからIDを部分指定してタグを選択し、ひとつひとつ順次読み出しするという処理を行うものがあり(日経バイト2003年5月号「ICタグ,飛躍への課題」のアンチコリジョンの説明図参照)、この場合、遠く離れたところで行われているスキャンで読まれているIDを、スキャナからの電波を傍受するだけで特定できてしまう場合があるという話だ。これの対策として、タグを限定していくアルゴリズムを改良した、「Silent Tree Walking」という手法が提案されている。
話を戻すと、木下さんの記事には、NTT研究所での取り組みとして、(1)の問題を解決するために暗号化した値をタグに書き込んでおくという、日経バイトの記事で紹介されていた手法とその他が整理されており、さらに、(2)の問題を解決する手法として、「ワンタイム秘匿化ID」が簡単に紹介されている。引用すると次のように説明されている。
我々は、(2)の問題に対して、毎回、あるいは定期的に、秘匿化IDを確率暗号の性質を利用して再暗号化し返答する方法を検討している。
本方法は、無線ICタグ上に秘密鍵を保存しなくても、再暗号化でき、更に、センター側の復号処理負担は、先に述べた匿名化IDの復号処理と同等であることから、スケーラビリティの問題も小さい。ただし、再暗号化用の回路も暗号化回路と同様のコストが掛かるため、低コスト化が今後の検討課題である。
木下真吾, ユビキタス社会の光と影, CYBER SECURITY MANAGEMENT, Vol.4, No.44, pp.34-39, 2003年6月
その他、「社会的方策」として、次のようにも書かれている。
無線ICタグがあらゆるモノに装着される将来の社会は、これまで人々が経験したことのない未知の社会となるため、誤った利用や過度の不安、そして感情的な拒絶など人々の混乱を招く可能性がある。それに対して技術的な方策だけではなく、技術レベルや利用方法に関する正しい情報開示、啓発活動、企業側の運用ポリシー/規制、あるいは法的保護手段を早い時期から検討しておく必要がある。
情報開示や啓発活動を怠ったために、無線ICタグの導入を断念せざるを得なくなり、優れた業務効率改善のチャンスを逃したベネトンの例は記憶に新しいところである。
木下真吾, ユビキタス社会の光と影, CYBER SECURITY MANAGEMENT, Vol.4, No.44, pp.34-39, 2003年6月
続く部分によると、Auto-IDセンターでは、2年ほど前から専門家と協議しながら市民の反応や意見を収集分析して、運用時のポリシー策定や規制への参考情報を提示しているそうだ。これについて以下の文献が紹介されている。が、ログインしないと入手できないようなので、残念ながらタイトルも不明だ。
7月5日追記: URLが間違っていたとのこと。
*1 「文章をパクりましたね」などと言うつもりは毛頭ない。単に、私のネット時評をよくお読みになっていることの証拠として挙げただけだ。ただ、参考文献に挙げないというのは、研究者の執筆スタイルとしていかがなものかとは思う。