「Position Statement on the Use of RFID on Consumer Products」の公式な日本語訳が、CPSR/Japanより公開された。
まだ途中のようで、付録については翻訳中とのこと。完成するとプレスリリースが出たりするのかな。
今日は日経デジタルコアの「トレーサビリティー拡大討論会」に行ってきた*1。11月16日の日記でリンクだけしていた、EPCglobalの「Guidelines on EPC for Consumer Products」について夏井先生から解説があった。
このガイドラインは、ZDNet JAPANの10月31日の記事「Auto-IDのセキュリティスタンスが来週発表される見込み」で、
Auto-IDがRFIDで利用するコード体系の全世界的な策定や調整は、今後、全世界的組織であるEPC Globalが行うことになっている。EPC Globalは欧州を中心に活動を行っている国際EAN協会と、北米を中心に活動を行っているUCC(Uniformed Code Council)が協同で運営する非営利団体。
(略)
Auto-ID内部でもセキュリティは重要な問題として認識されている。しかし、「1〜2年での実用化開始」という主張にもかかわらず、27日の記者発表でも具体的な対策については、なにも明らかにされていない。
この指摘に対して、中村氏は「現在、内部で作業を進めている」と発言。すでに、セキュリティの具体策をまとめたAuto-IDの「セキュリティスタンス」に関するドキュメントがEPC Globalから各国のAuto-ID関連スタッフに配布され、現在ローカライズ作業を行っていることを明らかにした。
と予告されていたものと思われる。
ローカライズ版はまだ公開されていないのだろうか、今日の席では、夏井先生の仮訳が配布された。この仮訳は、先月の情報ネットワーク法学会の研究大会の席でも配布されていた。
先月の情報ネットワーク法学会では、このガイドラインの策定に夏井先生と共に携わられた、Alex Allan氏の講演があった。このガイドラインは、タグを付けている場合はその旨を消費者に表示することと、消費者にタグを無効にできる選択の余地を持たせることを柱としている。しかし、法的な理屈ではそれでよいのかもしれないが、実効性として、選択の余地を持たせればそれで解決とは思えない。そこで私は次のように質問した。
多くの消費者は、ユニークIDがどのようにして個人のプライバシーを侵害し得るか理解していない。そのため、RFIDタグの存在が表示されていても、それが何を意味するか理解しないだろうと思うが、どうか?
それに対する答えは、そこは「education」でどうにかするというものだった。
だが、EPCglobalのガイドラインを読み直してみると、educationのところに書かれているのは次の文だ。
3. Consumer Education
Consumers will have the opportunity easily to obtain accurate information about EPC and its applications, as well as information about advances in the technology. Companies using EPC tags at the consumer level will cooperate in appropriate ways to familiarize consumers with the EPC logo and to help consumers understand the technology and its benefits. EPCglobal would also act as a forum for both companies and consumers to learn of and address any uses of EPC technology in a manner inconsistent with these Guidelines.
夏井先生の仮訳からこの部分を引用させていただくと、
3. 消費者教育
消費者は、EPCとその技術応用に関する正確な情報並びに技術の発展に関する情報を容易に入手するための機会を持つ。消費者レベルでEPCタグを使用する企業は、消費者に対してEPCロゴを周知し、そして、消費者がその技術と利便性を理解することを支援するための適切な手段を講ずる。EPCglobalは、このガイドラインに適合したやり方によるEPC技術の利用を学び、そして、それに対応するための企業と消費者双方にとっての場としても活動する。
仮訳: 夏井高人
となる。
つまり、どういうリスクがあるかの啓蒙はEPCglobalのガイドラインの「Consumer Education」には含まれていないのだ。それどころか、「技術と利便性」を消費者に理解させるというのだ。MYCOM PCWEBのレポート記事から引用すれば、
Allan氏が最も重要視しているのは「Education」のようだ。同氏は「プライバシーの問題は確かに重要だが、一部ではそれが過大評価されている部分があり、正しい認識を持ってもらうためには(今回策定した)EPCのガイドラインを消費者に周知していかないといけない」と述べたほか、(略)
ということだ。
ようするに、日経コンピュータの「消費者に理解されていない「ICタグ」」と同じ程度のスタンスがうかがえる。
「こりゃまた欺瞞に満ちたガイドラインだな」「所詮、推進事業者の自主規制はこの程度にしかなりようがないわな」と思ったのだが、今日の夏井先生の講演を聴いて、もう一度よく読んでみると、消費者選択の部分については評価できるものだと知った。
2. Consumer Choice
Consumers will be informed of the choice that they have to discard, disable or remove EPC tags from the products they acquire. It is anticipated that for most products, the EPC tags would be part of disposable packaging or would be otherwise discardable. EPCglobal, among other supporters of this technology, is committed to finding additional cost effective and reliable alternatives to further enable consumer choice.
2. 消費者の選択権 消費者は、その取得する製品からEPCタグを破棄し、それを使用不能にし、または、それを除去する選択権があることについての情報提供を受ける。ほとんど全ての製品の場合、EPCタグは使い捨てのパッケージの一部分となるか、または、破棄可能なものとなるだろうと予想される。EPCglobalは、この技術を支援する者の中においてもとりわけ、消費者がより効果的で信頼できる選択方法を得ることができるようにするために更に努力を重ねている。
仮訳: 夏井高人
となる。つまり、ようするに、箱にタグを付けるようにするなど、消費者が意識しなくてもたいていは自然にタグが捨てられる事業の進め方を想定しているように読める。つまり、靴底や本の表紙に埋め込むといったことは、EPCglobalのタグに関しては、ほぼ行われないと読める。ただし、「discard, disable or remove」なので、disable、つまり、killコマンドなどで電磁的に無効化できる方法でも(取り外しできなくても)このガイドラインの条件を満たすわけであるが、実際問題として、店頭で消費者に希望を尋ねて処置するというのは、販売店の負担が増すので実施できないだろう。だから、「It is anticipated that for most products, the EPC tags would be part of disposable packaging or would be otherwise discardable」なのだろう。
これは、EPCglobal(旧Auto-ID)は、元々サプライチェインの効率化を目的として計画されたプロジェクトだったのだから、その目的のためには受容できる自己規制なのだろう。だが、冒頭のZDNet JAPANの記事には次のようにある。
つまり、Auto-ID内でもマーケティング目的での利用をしたい勢力があるため、プライバシーガイドラインをはっきり決めるのが立ち遅れていたということなのだろう。にしては、今回のEPCglobalのガイドラインで、比較的はっきりと、外装や取り外せるところにしか付けないことを盛り込んだのは意外だ。今日の夏井先生の強い調子での「タグは消費者の手に渡る前で外すしかない」というお話しぶりからすると、これは夏井先生のご尽力によるものなのだろうかと思った。もともとAuto-ID開発のスタート段階において、利用局面は流通段階における商品管理に限られていた。ID情報も小売段階でKILLコマンドを使って消去することになっていたのだが、マーケティング業界から、アフターセール段階でも活用できるように要望があってから、にわかにAuto-IDでもプライベート情報の保護に目を向けるようになった。
「それがセキュリティの立ち遅れの原因になっている」と中村氏が述べるように、Auto-ID内部でもセキュリティは重要な問題として認識されている。しかし、「1〜2年での実用化開始」という主張にもかかわらず、27日の記者発表でも具体的な対策については、なにも明らかにされていない。
ただ、このガイドラインが将来どうなるかわからない。次のように、将来の修正の可能性について書かれている。
Introduction (略)
Because EPC is an emerging technology in an early development stage, usage Guidelines supplementing or modifying those below will evolve as applications are developed and implemented. For example, if developments in the technology or its use provide consumers added flexibility in controlling EPC tags or record personal consumer information beyond that provided by conventional bar code technology, changes to notices required to consumers or to the Guidelines themselves may be appropriate. (略)
序文
(略)
EPCは、その開発の最初の段階にある新しい技術であるので、EPCの応用例が開発・実装されるにつれて、以下に述べる点を補足し修正するように利用ガイドラインも進化する。例えば、技術の開発または顧客に対するその技術の適用によって、通常のバーコード技術によって提供されるところを超えてEPCタグの管理と顧客の個人情報の記録についての柔軟性が増加すれば、顧客に対する通知の要件を変更して、ガイドラインが適正なものとなるように修正されることになる。(略)
仮訳: 夏井高人
ZDNet JAPANの記事にも次のようにあり、Auto-IDがこの時点でもアフターセールスの利用をしたがっている状況がうかがえる。
ただし、ユビキタスIDセンター方式が、センサーを利用した「環境認識」でシステム制御を行う機能をサポートしているのについては、「アフターセールを意識したAuto-IDでもセンサーを取り入れたシステム制御を意識している」とする方針も中村氏は示している。
さて、あらためて、例のEPCタグ付き書籍「 インターネットの不思議、探検隊!」の事例を見てみると、
そこで、このRFIDタグを、知らない人から知らないうちに読みとれなくする方法を説明します。
ここでは、2種類の方法を提案します。
1. アルミホイルで包む
2. 出版社で手続きをする
もちろん、本からタグをはがして捨ててしまう方法もありますが、せっかくの付録ですので私たちはお勧めしません。
となっており、今回のEPCglobalのガイドラインの「It is anticipated that for most products, the EPC tags would be part of disposable packaging or would be otherwise discardable」からは外れている。disableするには、往復の送料(本の価格の2割に及ぶ420円ほど)を消費者が負担しなくてはならないし、アルミホイルで包むのは「disable」に該当しないだろう。そして、取り外しについては、不明瞭な理由により「お勧めしない」とし、取り外し方を説明することをしなかった。この本は、EPCglobalのガイドラインを逸脱した世界初の実商品と言えよう。
今日の拡大検討会の席では、経営コンサルタントの太田秀一さんから、次の情報を頂いた。CIO Magazineの最新号がRFIDの特集を組んでおり、そこに、「Customers to Retailers: Take Us Seriously」というコラムがあり、それによると、Auto-IDセンターが実施したアンケート調査で、78パーセントもの人がCASPIANらの主張の方に賛成したという。
About 78 percent of people polled by the Auto-ID Center at MIT agreed with Albrecht. (This Internet-based survey was confidential and released only to Auto-ID Center sponsors. CIO obtained a copy through Caspian.) "When 78 percent of people get together and lobby on this, you're going to see legislation," Albrecht says. "The message to retailers is tread with caution."
面白いことに、このアンケートはAuto-IDセンターのスポンサーにだけ渡した内密のもので、CIO Magazineは、そのコピーをCASPIAN経由で入手したのだという。
同じアンケート調査を日本の消費者に実施したらどうなるだろうか。私の予想ではこんなところだろうと思う。
| 消費財へのIDタグ付けに | |
| 反対 | 1% |
| 賛成 | 1% |
| わからない | 98% |
EPCglobalのガイドラインがリリースされてから一か月が過ぎたが、日本のマスメディアがそれを扱ったのを見た覚えがない。どうしてだろうか。
IP meetingのパネルでも、3, 4か所からフラッシュが光っていたが、報道記事は出なかった(今のところ目にしていない)。唯一報道に近いものは、コラムとして書かれた、MYCOM PCWEBの「ハイテクウォーカー第97回 RFIDとトレーサビリティに関する技術者の視点」だけだ。
日本のマスメディアは、あくまで記者の個人的考えという立場でなければ、事業推進に否定的な議論を含む報道はタブーなのだろうか。そのくせ、始まって問題が起きてから、もはや引き返し不能だと知りながら、騒ぐだけ騒ぐのだろうか。(引き返し不能であるほどメディアは売れる。)
MYCOM PCWEBのコラムには次のように書かれている。
○マスコミの存在は善か悪か
また今回のパネルでは、この問題に関する消費者への啓蒙活動の一環として、マスコミの存在をどう捉えるかという点が話題になった。今回モデレータを務めた奈良先端科学技術大学院大学の山口英氏は「この問題についてはマスコミがきちんと動いているし、CASPIAN(米国でRFIDなどに対する反対活動を行っている消費者団体)などもいい存在だ」と述べたほか、中村氏も「(問題の存在を認識させるという点で)最近のマスコミの騒ぎ方はいい」と、マスコミの報道が消費者への注意喚起として役立っているという認識を示した。
当日のこの部分のお2人の発言のときは、気が抜けていて突っ込み逃してしまったが、これはどう考えても日本の状況を語ったものではないだろう。日本に「最近のマスコミの騒ぎ方はいい」と言えるような報道がどこにあった?
この私の発言部分は、この日記の一番最初の日に書いた、この点については高木氏も「WIDE Projectの人から、私の日記を読んで『あれは研究ではなくジャーナリズムだ』と言われたが、ああいうことこそ本来ジャーナリズムでやって欲しい」とコメントするなど、マスコミに対して一定の役割を期待していることが伺えたが、一方で会場からは「技術の問題は技術でしか解決できない」「(TRONとMicrosoftの提携に関する報道などを指して)マスコミは決して当てにならない」との意見も出され、マスコミに対する技術者の不信感が根強いことも伺えた。
正直、そういう性質の話題には首を突っ込みたくなかったし、自分の役割でもないと思っていたのだが、
のことを指して述べたものだ。
「マスコミに対する技術者の不信感が根強い」という話は、私も以前からそう感じる。研究者にもマスコミに嫌悪感を持っている人は少なくない。事実と違うことしか書かないとか、とんでもない労力を費やされるといったことをボヤく人はよくいる。しかし、私はマスコミに対してそのようには考えていない。事実と違うことを書かれるのは、説明が悪いからだと考えている。そもそも専門外の人にも誤解なくわかるように説明するのが(単なる技術者ではない)研究者に欠かせない素養の一つのはずだ。どんな誤解をされ得るかを先回りして否定するようにすればよい。それには時間を要することかもしれないが、必要なコストだ。それでも、いくら説明してもなお、違うことを書かれることがある(始めから何を書くかが決まっていることがある)だろうが、その種の似非取材でないかを見極めて応じないようにすればよい。(無論、一般市民がマスコミの被害に遭う部類の話は別。)
セキュリティ問題では特に、マスメディアの役割が重要である。私は4年近く前から一貫してそのように考えてきた。しかしどうだったかと言えば、2001年以前では、けっしてパソコン雑誌がセキュリティパッチの重要性について消費者に伝えることはなかった。知り合いだったあるインターネット雑誌の編集長に対して公開メーリングリスト上で直訴したこともあったが、それでも事態は変わることがなかった。それが今やどうか、アホみたいにどこの雑誌もこぞって似たようなセキュリティ記事を書いている。Nimdaなどで大規模な被害が出た後の話だ。小規模な被害や可能性の話はネタにならないということだ。
とはいえ、RFIDなど、IDのプライバシー問題について日本のマスメディアが報道しないのは、日本に問題点を指摘する組織的な声がないからだろう。米国ではCASPIANなどが主張したことをそのまま伝えるという形で問題点を報道できる。
夏井先生も今日の討論会でこうおっしゃっていた。EPCglobalのガイドラインは、米国だから有効なのだと。十分なガイドラインではないとしても、これはあくまでひとつの民間の自主ガイドラインであって、批判する勢力が活発である限り、自然と適切なところに落ち着くだろう。それに対して日本には批判勢力がない。EPCglobalと同じようなガイドラインは、日本では有効に働かないだろうと。(私による解釈。)
今回の夏井先生の講演は、基本的には、EPCglobalのガイドラインの立場を説明するもので、消費者へ通知し、消費者に選択権を与え、読み取った情報の取り扱いで法を遵守することで法律論的には完結するという話だった(と聞こえた)。読み取った情報の取り扱いは、各国の法令に従うことになり、日本ではそれは個人情報保護法だという。ところが、個人情報保護法では、主務大臣がアクションを起こさない限り野放しになるという(というような話があったと思うが、あんまり詳しく書くと、私の解釈が間違っていそうなのでやめておく)。
日本では、民ではなく官がRFIDのプライバシーガイドラインを策定中だと報道されている。
民間のひとつのガイドラインではなく、これは国のガイドラインであるから、このガイドラインが存在することは、ガイドラインが存在しない場合に比べて、このガイドラインさえ満たせばよいというニュアンスが生まれかねない。新原課長は「プライバシ対策が後手に回らないように考えている。ガイドラインを決めることで、ICタグを安心して利用できるようになるはずだ」と語った。
もちろんそれは誤解であるのだが、ガイドラインが発表されれば、日経コンピュータのようなのが、経済産業省のガイドラインを錦の御旗にして、「ICタグのプライバシー騒動はこれで解決」という記事を書くだろう。「これで安心して利用できるようになる」と伝えているくらいなのだから、それはもう見えている。
ちなみに、
「40歳代の課長」といった個人を特定できない情報については、ICタグに格納できるようにする見通し。
とあるが、本当に(無条件に)そういうことになれば、そのICタグの付いたものを持ち歩いていると、「あ、この人、40歳代の課長なんだね(プププ」と後ろ指をさすことが可能になる*2ことはいうまでもない。というか4月に書いた。一応繰り返しておく。
今年4月1日、経済産業省から「商品トレーサビリティーの向上に関する研究会中間報告書」 が公表された。「トレーサビリティーに共通する社会的課題の解決」として、「個人情報の保護について」が書かれている。そこから引用すると、
無論、それ単体では個人名まで特定できない使用者の使用履歴情報などは個人情報には該当せず、そうした情報を商品に添付しておくことには何ら問題がないことはいうまでもない。とある。これは、認識不足が原因で導かれた誤った結論の典型例である。確かに、RFIDタグが無造作に置かれている場面を想定すれば、それがだれの情報なのかは不明かもしれない。しかし、ある人が目の前にいる場面で、その人の持ち物に付いているらしきRFIDタグから「使用履歴情報」が送られてきたならば、その履歴情報がその人のものであることは自明である。つまり、研究会の結論は、「環境が既に個人を特定している場面」を想定できていない。
例えば、非接触型ICカードの「Suicaイオカード」には、何月何日にどの駅を利用したかが記憶されており、市販の携帯端末でもそれを閲覧できる。ただし、1センチ程度の距離に近づけないと読み取れないようになっている。もしこれが1メートルの距離から読み取れるとしたらどうだろうか。電車内で隣の人の乗車履歴を読めることになる。
商品トレーサビリティー用のRFIDでは、従来のバーコードになかった利点として、1メートルほどの距離から読めることを挙げているのだから、「何ら問題がない」とするのは誤りである。