<前の日記(2003年11月23日) 次の日記(2003年11月27日)> 最新 編集

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 2946   昨日: 4374

2003年11月24日

CSS 2003報告

もう1か月近く経ってしまったが、10月19日の日記で書いていたCSS 2003(情報処理学会コンピュータセキュリティシンポジウム)の様子について。

最終日のRFIDセッションを控えた前日の懇親会では、「明日のRFIDセッション楽しみですね」という声が複数聞かれた。木下さんのご発表「RFIDプライバシー保護を実現する可変秘匿ID方式」が優秀論文賞を受賞し、表彰式があった。翌日、朝一セッションにも関わらず、多数の立ち見の出る盛況ぶりだった。(元々狭い部屋ではあったが。)質問もたくさん出て、時間が全然足りない。日記で予告していたとおり、質問を打ち切らずに終了時間を守らなかった。時間配分は十分に注意したが、次のセッションまでの空き時間が1分を切ってしまったのは、さすがにまずかったと反省している。

木下さんらの論文の内容は、RFIDのプライバシー問題を(1)所持品の漏洩、(2)ID追跡による行動追跡・本人特定に分けて整理し、(1)の問題を解決する技術的手段として、「秘匿ID」方式、(2)の問題を解決するものとして、可変秘匿ID方式を提案している。

秘匿ID方式は、事前に外部でIDを、(a)ランダム化、(b)共通鍵暗号化、(c)公開鍵暗号化のいずれかで「秘匿ID」に変換したものをRFIDタグに記憶させるというもの。(a)では、秘匿IDと元のIDの対応表をサーバに持たせ、リーダはサーバに問い合わせて元のIDを得る。(b)や(c)では、鍵をサーバに持たせてサーバに復号させる。これらは、元のIDが上位ビットが製造者や製品のコードとなっている場合にそれを秘匿するための策である。

可変秘匿ID方式は、正規のリーダがRFIDタグにアクセスする毎に、IDを別の秘匿IDに交換するというもの。ランダム化を使う場合は、リーダが読む毎に別の乱数を発生させ、サーバの対応表を更新した上で、新しい方の値をタグに書き込む。暗号化方式では、乱数を混ぜて暗号化したものに置き換える。この方法に限界があることは明らかで、正規のリーダにアクセスされない期間中は追跡されることになる。この課題に対する考察として、「導入コスト等を無視すれば、家の玄関に更新装置を設置し出入りするだけで所持品のIDが自動更新される仕組みなどが可能かもしれない。」と述べられている。

会場からの質問で、「誰でもタグのデータを書き換えることができてしまうのでは?」というツッコミがあった。ハッシュロック方式を導入することも考えられるが、低コストを前提とするならばアクセス制御機能を搭載しないという選択肢もある。これに対する回答は、「書き換えられたらあきらめる」という割り切りもありではないかというものだった。たしかに、タグが使えなくなってしまうことよりもプライバシーを重視する、あるいは、タグを使えなくするという攻撃の動機がさして強くないだろうということが考えられる。

ただ、その場合タグの用途は限定されるだろう。また、現場では時間がなくてツッこめなかったが、無効なIDに書き換えられてしまったタグを読み取った正規リーダは、どのようなアクションをとるのだろうか。該当するIDが見つからない(復号できない)とき、タグをそのままにするのか、正規の値に書き換えるのか。前者だとすると、無効な値を書き込む攻撃によって、タグは長期間追跡可能になってしまう。後者だとすると、「正規のリーダ」の種類が複数ある場合にどうなるのか。A社系列が発行したタグをB社系列のリーダで読んだ場合、IDを復号できないことになるだろうが、そのときにタグの値を書き換えてしまってはまずいだろう。

当日、私からした質問は、「リーダの使用者が、製造、流通、小売と多岐にわたる場合、IDを復号する権限を持つユーザを限定する必要があるが、どうするのか」というものだった。これに対する回答は、タグの付いた物が移動する(製造から流通へ、流通から小売へ、小売から消費者へ)たびに、アクセス権が誰にあるかをサーバ上の管理表を変更して対応するというものだった。このように、タグだけではなく、システムアーキテクチャとしてアクセス権管理の工夫も必要である。しかし、その方法だと、物の所有権が移動するたびに、毎回必ずタグをリーダにかけなくてはならない。物の流れのどこか一か所でリーダにかけ忘れると、次にリーダにかけようとしたとき、アクセス権がなくて困ることになりはしないか。

論文は従来研究についても整理している。同じ著者を含む大久保さんのご発表「Forward-secure RFID Privacy Protection for Low-cost RFID」は、Randomized Hash Lock方式を改良した、Extended Hash-chain方式を提案している。Randomized Hash Lock方式は、タグ内にハッシュ回路と乱数発生器を搭載し、乱数RとIDの結合ハッシュ値 hash(ID||R) と Rをリーダに応答するもので、リーダはそれをサーバに渡して問い合わせる。サーバは、発行したタグのすべてのIDを記憶していて、記憶している各ID'に対して hash(ID' ||R)を計算してリーダからの問い合わせに一致するID'を探してリーダに返すというものだ。大久保さんらの論文は、Randomized Hash Lock方式の問題点として、IDが不正に持ち出されると、過去に記録されたすべての hash(ID||R) がそのIDのものであると、容易に知られてしまうことを挙げ、その解決策として、2つの異なるハッシュ関数の回路を搭載したタグを提案した。タグはIDを持たず、乱数を初期値とする。サーバがその初期値とIDの対応表を持つ。タグの値はハッシュH によって、リーダからのアクセスがある毎に新しい値に更新する。リーダへは別の関数G でハッシュした値を応答する。詳しくは、15日のMITのワークショップで発表された論文を参照。

4件目のご発表は、藤村さんらによる「法制度から見たRFIDプライバシー保護実現手段に関する考察」。情報処理学会という場で、法律面からの検討であるにもかかわらず、これにも会場は熱心に聴き入っていたし質問も多かった。この話題が学際的であらざるを得ないことを示していたと言えよう。

会場から、「ポイントカードはどうなのか」という質問が出た。発表者は、「記名する際に規約があるはずだ」と回答したが、質問者は「無記名のポイントカードもありますよね」とツッこんでいた。無記名のポイントカードの発行にあたって、普通、規約の提示はない。これには私も言いたいことがあったのだが、完全に時間切れで議論は打ち切りとなってしまった。

ポイントカードは何を記録しているのか

ポイントカードについてはこの日記にも書こうとしたことがあったのだが、まだ書いてなかった。

ポイントカードは昔は紙にスタンプを押す方式だった。これが磁気カード方式に変わってきている。これは、同じ人が何を買っているかをPOSで記録可能になったということである。

昔を振り返れば、家電量販店が早い時期から会員カードを発行していたと思う。大型家電を買えば、故障したときのサポートや、リコールの際の連絡を欲しいと思うので、住所氏名を渡して会員になることをごく自然にしていた。しかし、最近では、ドラッグストアでさえポイントカードを導入している。ただ、それは、住所氏名は渡さない無記名式カードだ。

私も近所のドラッグストアで、かつてそのタイプのポイントカードを使っていた。当時は何の意識もなく使っていたのだが、ある日その店が、「カードの方式が変更になるから、そのカードは廃止にする。溜まったポイントは抽選で景品を還元する」といって、客に住所氏名を書かせていたとき、「これはヤバい」と気づいた。係員に、「プライバシーポリシーは?」と尋ねたところ、言葉の意味がわからなかったようで、「この住所はどう使うのですか?」と再度尋ねると、「景品の発送のため以外には一切使いません」と即答した。「プライバシーポリシー」という言葉も知らない係員が問題ありませんと即答するのだ。

この店の場合、その住所は本当に景品発送のためにしか使わないのかもしれない。カードを変更するにあたり、ポイント還元のためにはそうせざるを得なかったのかもしれない。憶測だが、その店は、旧タイプのカードでは何を買ったかは記録していなかったのではなかろうか。それが新タイプでは記録するようになったと。新タイプへの乗り換えには大変な作業を要していた(客に住所を書かせたり、新しいカードを発行したり)のだから、それだけのメリットがあるはずだ。カードにはIDが書かれていて、清算時にPOSシステムが、時刻と商品IDとポイントカードIDとを結びつけて記録するのだろう。

大型家電なら記録されてもよいとして、しかし、ドラッグストアはどうだろうか。育毛剤を買っているか、水虫薬を買っているか、花粉症対策製品を買っているか、何週間おきにコンドームを買っているか、どのシャンプーと歯磨きがお気に入りで、コーヒーの好みはこれ、そういった情報が蓄積されているはずだ。

しかしこれには確信がもてなかった。本当にそういう情報を記録しているのかどうか。行き付けの店はチェーンの本店だったので、店長と名札を付けた人に聞いてみた。しかしよくわからない様子だった。

そういう状況の中で、月刊ネット販売11月号を手にしたところ、「ネットにおけるFSP 顧客育成の理論と実践」という記事にそのことがズバリ書かれていた。

「FSP」という三つのアルファベットが並んだ略語が、小売流通を席巻している。正式な呼び方は「フリークエント・ショッパーズ・プログラム」。マーケティングからマーチャンダイジングまで広義の企業戦略に影響を与える新しい考え方だ。……(略)

ポイントカード = FSP 日本における誤解

FSPはまず、顧客を識別することから始まる。このため、小売流通では、誰がいつ、どこで、何を買ったかのデータを保存、蓄積するため、「ポイントカード」を発行して、個々の顧客の識別を行っている。……(略)

一方で、「このポイントカードの存在が、FSPに関する混乱と誤解を招いている」と日本におけるFSPの第一人者、日本NCRの大竹佳憲氏は語る。日本に従来あった、購入額に応じてスタンプが集まるスタンプカード的な感覚で、用いられているケースがあるからだ。……(略)

大竹氏は、ポイントカードを導入してる企業のうち、一割程度しか、FSPの本質を理解していないと指摘する。

ネットにおけるFSP 顧客育成の理論と実践, 月刊ネット販売

想像通りだったとはいえ、こうもズバリ臆面もなく「誰がいつ、どこで、何を買ったかのデータを保存、蓄積するため」と言われると驚いてしまう。

FSPの中身については、大竹氏らの著書「実践 ロイヤル・カスタマー経営」が詳しいらしい。

記事の続く部分から引用すると、

「第一人者が語る日本のFSPの現状」

(略)

――ネット販売や通販でもRMFなど、データ分析は行っている。FSPの分析手法と何が違うのか。

(略)FSPが目指すのは、顧客のニーズにあわせた顧客分類。つまり、顧客のライフスタイル、ライフシーンの分類だ。例えば、ペットを飼っている人、低脂肪食品や無農薬食品を好む人などをカテゴライズ、仮説を立てて、その世帯にもっとも効果のあることを行う。

ネットにおけるFSP 顧客育成の理論と実践, 月刊ネット販売

ということだそうだ。

さて、こういうことが行われるにあたって、消費者への説明はなされているのだろうか。育毛剤を買っている人にカツラの宣伝とか、コンドームの購入頻度の低い人にバイアグラの宣伝とか、「その世帯に」連絡が来るというのはどうなのか。そういう心配のない製品にだけ活用するのだとしても、何は気にして何は気にしないというのが人によって異なるというのが、この問題の難しいところなのだが。

「その世帯にもっとも効果のあることを行う」というのは具体的には何だろうか。ダイレクトメールを送るということか。それならば、どこかで住所氏名と顧客IDを結びつける必要があるが、どこでするのか。

ドラッグストアで買い物をすると、「カードお持ちですか?」と一々きかれる。「ありません」と言うと「おつくりしますか?」と予想通り一々きかれる。予定通り「いりません」と答える手順が苦痛ですらある。この苦痛によるイメージダウンをはたして店は理解しているのだろうか。カードを作ったところで割引率は 0.5パーセント程度でしかない。バカバカしい。カードを一々渡してリーダ/ライタで書き換えてもらうのに要する時間は、一回あたり15秒くらいかかっているだろう。自分の時給が2,500円だとすると、15秒の価値は10.4円だから、2,080円以上買わないと見合わない。「より効率的にトクをする! トクするポイントカードの使い方」なんていうAll Aboutの記事もあるが、こんなことに一々気を遣っているくらいだったら、その分、働いたほうがいい。

それはともかく、無記名のポイントカード(つまり、どこの誰かを特定しないID)にひも付けられた、その消費者の購買行動の記録は、どのように取り扱われるべきだろうか。個人情報保護法では、IDが容易に本人に結び付けられるものでない限り、それは個人情報ではないことになるので(?)、どう扱ってもかまわないものということになるだろうか。上に書いた、CSS 2003で藤村さんの発表に対して出た質問は、そういうことを問うている。

「IDからお客さまを特定することはできません」――このフレーズをこの日記でこれまでに何度書いただろうか。「お客さまを特定する情報ではないのだから」と思えば思い込むほど、そこにある購買行動記録はぞんざいに扱われるだろう。それでよいのかだ。

このことについては、東さんとの対談の中でも述べた。本とコンピュータ12月号に掲載される予定の対談の校正原稿から関係する部分を引用する。

つい先日、私の行きつけの小さなレストランでも、この書き換え式の磁気カードを使いだしていて、びっくりしました。店のママさんとは親しかったので、CRMに使っているのか聞いてみたら、わかっているようなわかってないような返事をするんです。ようするに、POS業者にいろいろ吹き込まれて導入したはいいけれど、とくに何に使う気もないまま、客の購買情報を記録してしまっている。これはプライバシー問題の大事なところで、意図があってやっているうちはまだしも、意図せず個人情報を集めてしまう状況のほうが危ないんです。当人たちに自覚がないんですから。

この店は地元ローカルの小さなイタリア料理店で、そんなところで(スタンプカード以上の)FSPをやる意味があるとは思えない。誰がどの料理が好きかなんて調べても意味ないし、どの料理がよく出るかは元々伝票で記録しているはずだ。ある日、「会員カード作りますか?」と店のママにカードを見せられて驚いた。「ついにこんなところにまで!?」と。

FSPの第一人者が、「FSPがスタンプカードと誤解されている」と嘆いている一方で、POS業者が、スタンプカード以上には使う価値のない店にまでシステムを売り込んでいる実態があるようだ。誤解を招いているというより、単にPOS業者自らがその状況を作っているのではないのか?

ちなみに、家電量販店の会員カードだが、以前は家電製品にしか使えないカードだった。その会社にはCDショップもあるのだが、CDショップでは紙の割引券をくれるようになっていて、会員カードは使わないシステムだった。ところが去年からだっただろうか、紙の割引券が廃止になって、CDを買ったときも会員カードにポイント加算となった。つまり、CDのような小物商品さえも、購買行動が記録・蓄積されるようになったということだ。

このカードは、住所氏名を提供していることを忘れてはならない。ドラッグストアとは異なるのだ。つまり、初期状態では妥当性があると思って提供した住所氏名に結び付けられたカードが、後に妥当性のない用途に利用が拡大される場合があるということだ。この事例では電気店だったから、まだCD程度のプライバシー性の低めのものですんだが、あらゆる商品を売る大規模スーパーマーケットだったらどうか。住所氏名とともに、育毛剤やコンドームの購買行動まで記録されてしまうかもしれない。消費者はそこを見落とさないように気をつけざるを得ない。

取扱商品の幅が広いほど、顧客カテゴライズに役立つより有益な購買行動情報が得られるだろう。ということは、事業者をまたがって記録が共有される可能性はないだろうか。記録を交換し合えば、両方の事業者にメリットがあるという状況があり得る。「IDからお客様は特定できません」であれば、記録を共有したり売り買いしても問題ないということになる。

しかし幸いなことに、ポイントカードの場合では、同じポイントカードを複数の店で使わない限り、IDが独立しているため、購買行動記録が共有されてしまうことはない。

さて、RFIDタグは、ポイントカードのIDと同じ役割を果たしかねない。RFIDタグの付いた服や靴、鞄を身につけた人が何かの消費行動をした際、それが記録され蓄積されて、FSPだの、1 to 1マーケだの、CRMだのに活用されることが起こり得る。そのとき、ポイントカードと異なるのは、(固定IDのRFIDタグの場合)そのIDが全ての店舗、事業者、業界をまたがって共通だということだ。

さらに悪いことに、ドラッグストアのポイントカードのIDが住所氏名と結び付けられることはないかもしれないのに対し、RFIDタグの場合は、そのタグを身にまとっている間に住所氏名を提供すると、それが名簿となって闇で流通してしまうかもしれない。誰のものかわからないはずということで蓄積されてきた膨大な購買行動(人生の記録)が、闇の名簿と付き合わせた瞬間、過去にさかのぼってそれが、どこに住む何という名前の人の記録かが判明してしまう。

ライフシーンを分類し、仮説を立てて、その世帯にもっとも効果のあることを行うには、そういう名簿は喉から手が欲しい情報だろう。闇の名簿屋が事業を展開できるに見合うだけの対価が支払われるに違いない。

やっぱりIPv6推進屋はプライバシーを蔑ろにしているとしか思えない

IPv6屋がプライバシーのことを何も考えていない疑いについては、IPv6アプリコンテストについて考察した5月25日の日記にも書いた。今回はもっと強烈だ。

特に山本氏は、新分野における機器の例として、横河電機が開発したIPv6対応のCD試聴機や、同じく家電分野での例としてソニーが実証試験中のIPv6対応「CoCoon」などを挙げた。CD試聴機については、「試聴機でCDが聴かれてから30分以内に同じCDが購入された場合、(購入したCDと)同時に試聴されたが購入されなかったCDと、ショップの会員IDとを関連付けて記録する機能などがあり、POS以上のシステムと言われている」とその優位性を強調した。

IIJ技術研究所の山本和彦氏が語るIPv6が普及しない理由

とんでもない試聴機だ。匿名で試聴する自由も奪うというのか。これ以上説明する必要があるか? 個別の議論は別にしても、こういうことが臆面もなく語られることに脅威を覚える。

この試聴機(という名の盗聴器)は、消費者の直感に反するというところにまず問題がある。このCD試聴機が「合法」になる(現行の法律では問題にさえならないのかもしれないが)には、客に事実を伝える必要があるだろう。どう説明するのだろうか。

お客さま 
 この試聴機で試聴なさいましたCDのいずれかを、会員カードを提示してお買い求めになりますと、この試聴機で30分以内に試聴した他のCDについても、お客さまが試聴なさったことを記録させていただいています。ご了承ください。記録しないことをご希望の場合は、このボタンを押しながら試聴してください。

といったところか。

こんな説明を付けるくらいだったら、自己申告したい人だけがボタンを押せばよい。だが、それだとボタンを押してくれる客は少なくて、役に立たないものになるだろう。だから、デフォルトで記録だ。あまりわかりやすく説明してしまうと、客がこわがって拒否ボタンを押してしまうから、できるだけわかりにくく、説明責任だけ果たしておくことになるだろう。

ちなみに、この試聴機を実現するにあたってIPv6は必要ではない。アプリケーションレベルで解決すればよいことだ。このことについては5月25日の日記で書いたとおり。

IPv6の特徴は何かといえば、それで何が新しいことが実現可能になるというよりも、IPv6を推進する人達によって、「新しい」アプリケーションが編み出されているところに特徴があると言えるだろう。しかも、それは「新しい」のではなくて、単にプライバシーに配慮して誰もやらないでおいてきたことを、臆面もなくやってみせているにすぎないのではなかろうか。

この状況分析が正しいならば、IPv6の特徴が語られるときには必ず「プライバシーはどうなるのですか?」と質問してやるとよい。そういうことを言うと、彼らは顔をしかめるだろう。「IPv4だって常時接続化でIPアドレスが固定化してきていますよ。IPv6特有の問題ではない。」と言われるかもしれない。だが、そういう話をしているのではなく、「IPv6でしかできないこととして挙げられている応用例が、そもそもプライバシーを蔑ろにしたから、新しくて面白そうに見えるだけではないのか?」ということを問うのだ。

家畜の餌を人に食わせるような話

最近、RFIDの本の一部を書いた。電子ジャーナルから「ユビキタス社会のRFIDタグ徹底解説」という本が出る。その、第3編第4章「RFIDタグのセキュリティ技術」を担当して執筆した。RFIDに求められるセキュリティ技術という観点からプライバシー問題を書くにあたり、どういう書き方をすればよいか悩んだが、次のように書いた。冒頭は次のように始まる。

RFIDを「RFIDカード」と「RFIDタグ」に分類することができる。RFIDカードは、非接触型のスマートカード(ICカード)のことを指す。両者は、形状の違いや使用目的の違いだけでなく、セキュリティ機構の有無によって区別できる。

RFIDタグは、RFIDカードからセキュリティ機構を削ぎ落として単純化したものと見ることができる。ICカードでは、ICチップに暗号演算器(専用回路ないしはCPU)を搭載し、通信の傍受による情報漏えいや、悪意あるリーダ/ライタによるカード内データの改ざんなどを防止している。RFIDタグの場合には、現在のところこうした機構はほとんど搭載されていない。

RFIDタグに暗号演算器が搭載されないのは、RFIDタグでは、その使用目的から、コストを最小限に抑えることが最優先目標となっているためである。ICカードが一枚500円前後の価格で消費者に提供されるのに対して、RFIDタグでは、価格に上乗せすることなく消費財ひとつひとつに取り付けることを想定している場合には、一個あたり数円程度が目標とされている。このような価格で、高度なセキュリティ機構を持ったRFIDタグを提供することは困難と考えられている*1

ICカードの主な利用目的は、カードによるカード所有者の個人認証(住民基本台帳カードや電子錠システムの鍵カードなど)と、カード内メモリによる情報記憶機能(電子マネーや電子切符の残高記憶)にある。個人認証の目的で使用する場合には、同一IDを応答するクローンカードの偽造が困難であることがセキュリティ要件となり、また、電子マネーの目的で使用する場合には、記憶内容の改ざんが困難であることが要件となる。ICカードでは、認証とアクセス制御の機能、および耐タンパー性を備えることにより、これらの要件を満たしている。RFIDタグにおいても同様のセキュリティ要件が求められることがないか、検討する必要がある。

最後はこう締めくくった。

このように、プライバシー侵害が起きないことを保証しつつ、RFIDタグを実用化するには、現状では、タグの用途を限定せざるを得ない。そもそも、人を識別するには高度なセキュリティが求められるという前提の下で、RFIDカードの開発が進められてきたところに、セキュリティ機構を一切省いたRFIDタグが注目を浴びて、「あんなこともできる」「こんなこともできる」と夢想しているのが現在の状況であろう。夢の未来社会が間近に迫って見えるのは、単にセキュリティの要件を忘却したからにすぎない。

つまり、ICカードは人を識別するためのものであるから、当然にセキュリティ機能が搭載されている。対してRFIDタグは、物を識別するために設計されたものなのだから、セキュリティ機能が省かれている。

ここで問題は2つある。物を携行することによって物の識別子が人の識別子として働いてしまうという問題、これはこれまでにも述べてきた。もうひとつは、物の識別子を人の識別子として積極的に活用しようとしている輩がいるということだ。

NETWORKERS 2003の会場受付に設けられた、来訪者カード受け渡しカウンター。事前登録をしている来場者には、ここでRFIDタグを組み込んだカードが渡されて、セミナー会場やスケジュールなどの案内サービスを利用できるようになる。

セミナー会場入り口に設けられた、受講者受付の管理システム。カードのタグから受講者を識別、ネットワーク上のホストPCにあるデータベースに対して受講予約の確認と受付済みの入力が行われる

会場に設けられたスケジュール案内システム。RFIDから、利用している来場者の名前をチェック。その名前から登録しているセミナーと開始時間、今いる場所からセミナー会場までの道順を表示している

ZDNet JAPAN, Auto-IDpのセキュリティスタンスが来週発表される見込み

このデモは自分の首を締めるようなものだ。この記事を指して、「この記事の4つ目の写真なんだけど、こういう使い方はちょっと嫌かもなぁ(苦笑)。後ろからおもいっきり「こいつ、こんなん聴きにいきよんねやぁ」とか眺められるし。」とコメントする日記があった。

後ろから見えるという問題を解決したとしても問題は残る。この記事では、「RFIDタグを組み込んだカード」と書かれているが、上で分類した意味での「ICカード」(=「スマートカード」)ではないだろう。Auto-ID方式のタグなのだろう。Auto-IDのタグならば、何のセキュリティ機構も搭載されていないのだから、リプレイ攻撃で簡単に個人情報を引き出せることになる。

すなわち、会場で目の前にいる誰だか知らない人に、RFIDリーダの電波を浴びせかける。すると、RFIDがIDを応答してくる。これを読み取ってもよいし、あるいは学習型赤外線リモコンの如く電波のパターンをそのまま記憶してもよい。そして、情報端末の前に行って、その電波を浴びせるのだ。そうすることによって、さっき目の前にいた人が、何と言う名前の人なのかを画面に出すことができるだろう。

スマートカード同様のセキュリティ機構を搭載したRFIDであれば、こうした攻撃は防げる。

つまり、人を識別するために設計されたRFIDカードを使わずに、物を識別するためのRFIDタグを人の識別に流用しようとしているから、こういうことになる。

いわば、家畜の餌を人に食わせるような話だ。

このケースでは、カード状のものを使ったようなので、まさにスマートカードを使えば済む話で、今回はたまたま物用のタグを使っただけなのかもしれない。だが、まさに、「物の識別子を人の識別子として積極的に活用」しようとする事例がある。

10月2日の日記に書いた、「インターネットの不思議、探検隊!」という本だ。この本がどのように使われたかは、「本を持って街へ出よう!」というサイトに書かれている。同サイトの「実験について」によると、

ポイント交換システム

今回は、本の発売にともなって、本をポイントカードのように扱う実験を行ないます。 予め、実験のサイトで読者のみなさんが自分の本の番号を登録しておき、特定の場所にあるリーダで本に付属しているタグが識別されるとポイントが加算されます。

本を持って街へ出よう! 実験について

まさに、本という、物を識別するための(家畜に食わせるための)タグ(餌)を、人の識別に流用しよう(人に食わせよう)というものだ。

同じページにはこうとも書かれている。

ある物を持ってくると、それに対応する番号がユニーク (一意) に決まるということは、応用の可能性を広げます。例えば、その番号を何かの口座番号として使うことができるでしょう。これは、あらゆる物を、通帳やポイントカードのように用いることが可能になるということを意味しています。 (もちろん、十分にプライバシーが保護されるように考えていかなければなりません。)

本を持って街へ出よう! 実験について

そろそろ本当のことを言うべき段階がきたと思うので言おう。

「高機能化させて、チップをPCのように使うのがユビキタスIDセンター。Auto-IDはチップをとにかく安くするために、チップでできることはシンプルに抑えている。複雑なことはネットワークで接続しているホストのデータを利用すればいい」(中村氏)

ZDNet JAPAN, Auto-IDのセキュリティスタンスが来週発表される見込み

そうであるなら、Auto-IDでWIDEがやろうとしていることは本質的に無理がある、ということになる。早めに方針を転換したほうがいい。原点に立ち返って、物用(家畜用)のタグ(餌)はサプライチェイン(家畜)に使う(食わせる)ものだということを認識したほうがよい。

日本では、世界で初めてAuto-ID準拠のRFIDタグを搭載した絵本を流通させる実証実験がすでに行われている。村井氏の著書でもあるこの「インターネットの不思議、探検隊」という絵本を実際に市場に出し、出版・本の流通という過程でRFIDタグをいかに利用できるのかを試しているのだという。村井氏によると実証実験で浮き彫りになった点は、RFIDがついたままの本を消費者が持ち歩くことでプライバシー問題に発展する恐れがあるということだ。「社会において、電波とのつきあいはまだ浅いのが現状だ。電波に関する認識度をいかに上げていくかということも課題だろう」と村井氏。

CNET Japan, 村井教授、Auto-IDセミナーにて「RFID普及のための土壌が日本にはある

ほほう、実験でわかりましたか。どういう実験で何がどう問題だとわかったかは、発表されるのだろうか。

シームレスインターフェイスとサイレントコマース

サイレントコマース」いう言葉があるらしい。「サイレントマーケティング」という言い方もあるようだ。何のことを指しているかというと、RFIDを使ってできるようになることを指しているようだ。つまり、コマースやマーケティングという場において、サイレントであることが求められている。

しかし、サイレントであるということは、消費者の直感に反しかねないということだ。上に書いた、CD試聴機が試聴CDを勝手に記録する事例は、まさにサイレントである。

本の個体IDを人の識別子代わりに使おうという発想も、真に狙うところは、無意識のうちの識別だろう。人を識別するのなら、わざわざ本を差し出すまでもなく、RFIDスマートカードを差し出せばよい。これは自発的な意思に基づく能動的な行為だ。カードというものがそういう形に作られている。それに対して、持ち物で識別されるというのは、何ら意識しなくても受動的に識別されるということだ。

.....(時間切れ。つづく。)

*1 消費電力の制約もあることを書き忘れた。

検索

<前の日記(2003年11月23日) 次の日記(2003年11月27日)> 最新 編集

最近のタイトル

2017年12月29日

2017年10月29日

2017年10月22日

2017年07月22日

2017年06月04日

2017年05月13日

2017年05月05日

2017年04月08日

2017年03月10日

2017年03月05日

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|03|04|05|06|07|10|12|
<前の日記(2003年11月23日) 次の日記(2003年11月27日)> 最新 編集