高木浩光＠自宅の日記

■ 経済産業省のRFIDプライバシー保護ガイドライン案

10月に日経コンピュータ栗原氏の記事で「経産省がICタグのプライバシ侵害防ぐガイドラインを年内にも策定」と報道されていたガイドラインの案が、1月21日に経済産業省から公表され、意見募集（パブリックコメントの募集）が開始されている。

• 「電子タグに関するプライバシー保護ガイドライン（案）」に対する意見の募集, 経済産業省商務情報政策局情報経済課

本研究会では、プライバシーの保護の問題は、消費者の皆様に直接関係する問題であるため、この検討結果を公表し、広く国民の皆様から御意見を募集することが有意義であると考え、パブリックコメントを実施することといたしました。

とのこと。ガイドライン案はこのPDFファイルだ。

内容について日記に書くことはあえてやめておく。バシバシ意見を提出しよう。締め切りは2月20日とのこと。

■ 追記

「あえてやめておく」と書いたが、やっぱり少しだけ書く。

まず前文が長い。「1.電子タグに関する消費者のプライバシー保護の必要性」という前文と、「2.電子タグに関するプライバシー保護ガイドライン」本体という構成になっている。前文の文章の論理構成は複雑だ。

• 個人情報保護は電子タグにおいても当然ながら個人情報保護法の規制を受ける。
• しかしながら、特定個人の識別に結びつかない情報は、規制対象とならない。
• しかしながら、識別に結びつく情報を取り扱わない場合でも、プライバシー保護の問題は生じ得る。
• 無論、プライバシー保護は一般的に議論すべき問題であり、この研究会で全体論を議論するのは適切でない。
• ただし、電子タグでは固有の特性から生じる論点（7行で説明）があり得る。
• 販売店などで消費者に手交する段階でタグを取り外すならば、そのようなおそれは生じない
• わけであるが、将来的に、社会的必要性のため電子タグを装着しておく場合が想定され得る。（例: 環境保全、中古車の安全増進など。）
• 電子タグの個人情報保護の取り扱いについては、研究会中間報告で、既に一定の整理を行ったところである。（どう整理したか4行で説明）
• しかしながら、電子タグ固有の特性から発生する問題が想定し得る以上、個人情報保護法の対象外であっても、電子タグ固有の特性から生じるプライバシーの問題に向き合い、これにより電子タグが円滑に社会に受け入れられるようにすることが必要。
• 我が国においてはルールを定める場合、およそ全ての詳細な事項についてまでコンセンサスが得られないとルールを定めない場合が多いが、このような対応は、時として問題が発生してから対応を行うという形になり、後手に回りやすいという問題点がある。
• そこで、電子タグが本格的に普及する前の現段階においても、関係者のコンセンサスが得られる範囲において、基本的考え方を取りまとめ、ルール化を行うことが意義がある
• との考えに立ち、本ガイドラインを策定することとした。

次にガイドライン本体。

「第1（ガイドラインの目的）」では、「業種横断的に共通な基本的考え方を明らかにすることを目的とする」とある。基本的考え方を明らかにすることが目的なのだそうだ。

しかし、「第2（ガイドラインの対象範囲）」では、「事業者が対応することが望ましいルールについて定めるものである」とある。「基本的考え方」と「ルール」の違いは何だろうか。

「第3（電子タグが装着してあることの表示等）」は、おそらくここがメインディッシュとなっているだろう。このガイドライン案の公表の報道は、どういうわけか、INTERNET Watchでしか扱っていないのだが、その記事にはこう書かれていた。

販売後もRFIDが商品に装着されつづけているケースについては、その商品にRFIDが装着されていること、RFIDに記録されている内容の詳細、その情報を事業者がどのように利用しているか、RFIDを読み取れなくしたい場合の対処法などについて、商品または包装に表示する必要があるとしている。

INTERNET Watch, 経済産業省、RFIDのプライバシー保護ガイドライン案を公表

その他の部分（「個人情報保護法の規制を受ける」話）は当たり前なので除くと、INTERNET Watchでは上の引用部分が肝だと読んだようだ。

ところで、その第3条の全文は以下のとおりだ。

第3（電子タグが装着してあることの表示等）

事業者は、消費者に物品が手交された後も当該物品に電子タグを装着しておく場合には、消費者に対して、当該物品に電子タグが装着されている事実、その性質及び当該電子タグに記録されている情報の内容をあらかじめ説明若しくは掲示し、又は、当該物品に電子タグが装着されている事実、その性質及び当該電子タグに記録されている情報の内容を消費者が認識できるよう、当該物品若しくはその包装上に表示を行う必要がある。

経済産業省, 電子タグに関するプライバシー保護ガイドライン（案）

ここで注意したいのは、上に強調した2つの文章は同一であるということだ。前者と後者の違いはこうだ。

• 前者:「消費者に対して、あらかじめ説明若しくは掲示」
• 後者:「消費者が認識できるよう、当該物品若しくはその包装上に表示」

そしてこの2つは「又は」で接続されている。つまりどちらかを満たせばよいということだろう。これ以上は述べるのをやめておく。

「第4（電子タグの読み取りに関する消費者の最終的な選択権の留保）」は、消費者が自らタグを無効化するための方法を消費者に紹介することについて述べている。

第4（電子タグの読み取りに関する消費者の最終的な選択権の留保）

（略）

その手法についてあらかじめ説明若しくは掲示し、又は、当該物品若しくはその包装上に表示を行う必要がある。

経済産業省, 電子タグに関するプライバシー保護ガイドライン（案）

「若しくは」「又は」で接続されているので、以下のいずれかを行えばよいらしい。

• あらかじめ説明する。
• 掲示する。
• 当該物品若しくはその包装上に表示する。

「掲示」というのはWebサイトでもかまわないのだろうか。

【電子タグの読み取りをできないようにする手法の例】 アルミ箔で覆って遮蔽できる場合はアルミ箔で覆うなど、電子タグと読み取り機との通信を遮断する手法、又は、電子タグ内の固有番号を含む全ての情報を電磁的に消去する手法 等

経済産業省, 電子タグに関するプライバシー保護ガイドライン（案）

「消費者の最終的な選択権の留保」というわりに、選択手段が「アルミ箔で覆う」でもかまわないらしい。

「第5（電子タグの社会的利益等に関する情報提供）」は次のことを言っている。

第5（電子タグの社会的利益等に関する情報提供）

事業者は、消費者が電子タグの読み取りをできないようにした場合に、商品のリサイクルに必要な情報が失われることによる環境保全上の問題や、自動車の修理履歴の情報が失われることによる安全への影響等、消費者利益や社会的利益が損なわれることがある場合には、当該情報について表示その他の方法で消費者に対して情報提供に努める必要がある。

経済産業省, 電子タグに関するプライバシー保護ガイドライン（案）

「第6（電子計算機に保存された個人情報データベース等と電子タグの情報を連係して用いる場合）」は興味深い。

第6（電子計算機に保存された個人情報データベース等と電子タグの情報を連係して用いる場合）

電子タグを取り扱う事業者が、電子タグ自身には個人情報を記録していない場合でも、別途電子計算機に保存された個人情報データベース等と電子タグに記録された情報を連係して用いる場合には、当該情報は個人情報保護法上の個人情報としての取扱いを受ける。

経済産業省, 電子タグに関するプライバシー保護ガイドライン（案）

「当該情報」とは次のどちらのことを指すのだろうか。

• 「電子タグに記録された情報」
• 「別途電子計算機に保存された個人情報データベース等」

後者であるなら、それが個人情報保護法上の個人情報として取り扱われるのは自明だ。文章的には前者を指しているように読める。別途保存されたデータベースと「連携して用いる」のであるから、「電子タグに記録された情報」とはタグの固有IDのことを指すのだろう。

タグの固有IDが「個人情報保護法上の個人情報としての取扱いを受ける」というのはすごいことだ。なにしろ、タグは消費者の手にも渡るのだ。消費者の手に渡った後でも、「個人情報保護法上の個人情報としての取扱いを受ける」のだろうか。その場合、個人情報保護法の規制対象となるのは誰か？ 保有者である消費者？ 「電子タグを取り扱う事業者」？ 「取り扱う」とは？ 電子タグを取り付けた事業者？ 電子タグの付いた物品を消費者に渡す事業者？ 消費者の持っている物に付いた電子タグを読み取ったすべての事業者？

まあ、これは「個人情報データベースと連携して用いる事業者」と解釈するのが妥当だろう。ならば、データベースと連携しない者は、同法の規制を受けないことになる。個人情報データベースが存在する時点で、既に個人情報保護法の規制を受けるので、そこに、タグの固有IDが個人情報に該当するということが追加されても、何も新しいことは追加されていないのではなかろうか。

「第7（説明・情報提供）」は、「事業者、事業者団体及び政府機関等の関係機関」が、「メリット・デメリット」について消費者の理解を助けることに努めるとしている。読点と中丸で接続されているので、以下のどれなのかが不明だ。

• 解釈A: 事業者と事業者団体と政府機関のそれぞれが、メリットとデメリットの両方について
• 解釈B: メリットについて事業者か事業者団体か政府機関のいずれかが、また、デメリットについて事業者か事業者団体か政府機関のいずれかが

「第8（事業者の行動）」は、よくわからない。

「第9（ガイドラインの見直し）」は、状況の変化に応じてガイドラインを見直すことを約束していて、「電子タグに関するプライバシー保護のあり方について、関係者の間で新たなコンセンサスが得られた場合は、さらなる追加を行う」とされている。

パブリックコメントの締め切りまであと19日だ。

■ 混同して語られ続ける、プライバシー問題の6種類の原因要素

オーム社の「COMPUTER & NETWORK LAN」という雑誌に記事を書いた。同じ号の特集の中に、「バーコードを置き換えようとするRFIDの市場動向」という記事があり、その中の「企業や団体の活動状況」という章で次の記述がある。

【6】消費者団体

（略）

CASPIAN（略）この団体の創立者のキャサリン・アルブレクト(Katherine Albrecht)氏は、RFIDの商品への適用について次のように危惧している。

RFIDによって、小売業者は消費者の行動を極限まで監視できるようになる。店頭で買ってきたすべての商品にRFIDが付いているようになるのもそう遠くないだろう。（食料品にタグが付けば）冷蔵庫の中身をスーパーマーケットに知らせることもできるし、双方向テレビのコマーシャルを冷蔵庫の中身によって変えることもできる。小売業者は（RFIDによって）消費者が家庭内で商品をどう使っているかを把握しようとしている（略）

そしてCASPIANは2003年6月に、商品へのRFIDの適用について法律で規制することを提案した。その規制内容の一つは、消費者が知らないうちに無線タグが付いた商品を買わされることがないように、無線タグが商品に付いていることの表示を義務付けるというものである。もう一つの規制は、商品を買った人の氏名やクレジット・カード番号などの個人情報を、商品の情報と結びつけることの禁止である。

酒井寿紀, バーコードを置き換えようとするRFIDの市場動向, COMPUTER & NETWORK LAN 2004年1月号

酒井氏は、続く「今後の問題」という章で、このことについて次のように述べている。

【3】プライバシー

前述のように消費者団体が騒いでいるとおり、RFIDの商品への適用にプライバシー上の問題があることは確かである。しかし、技術的には消費者団体が指摘しているような問題を回避する方法はいろいろある。

たとえば、エイリアン・テクノロジのような書き換え可能型のタグを使えば、商品が顧客の手に渡るときに、顧客が要求すればEPCの情報を消すこともできる。また、通常は消すことにしておいて、顧客が要求すればそれを消さないで残しておくこともできる。残しておけば、たとえば、洗濯機が衣料品のタグを読み取って自動的に洗い方を判断したり、電子レンジが食料品のタグを読み取って自動的に加熱時間を決めたりできるようになる可能性もある。

たとえタグを残したとしても、CASPIANが言うように他人の家の冷蔵庫の中身を読み取ることは、現在の技術では難しい。犯罪を犯して、他人の家に忍び込んで、発信機付きのリーダを設置しない限り不可能である。

また、商店内での顧客の行動をビデオカメラで監視・記録したり、CDの販売店などで商品に万引き防止用のタグを付けたりするのは、すでに一般に行われていることである。

いろいろ問題があるからRFIDの使用を全面的に止めるというのは、交通事故が起きる可能性があるから自動車の使用を禁止するというのと同じようなものだ。現時点での技術的な可能性をきちんと踏まえたうえで、どこで利便性とプライバシーとの折り合いをつけるべきかをよく検討する必要がある。

酒井寿紀, バーコードを置き換えようとするRFIDの市場動向, COMPUTER & NETWORK LAN 2004年1月号

CASPIANが言うように他人の家の冷蔵庫の中身を読み取ることは、現在の技術では難しい。犯罪を犯して、他人の家に忍び込んで、発信機付きのリーダを設置しない限り不可能である。

これは、冷蔵庫の中の食品に付けられたRFIDタグの電波が、冷蔵庫の外、さらには家の外、さらに遠く離れたスーパーマーケットからでも受信できてしまうようなことが、「現在の技術では難しい」と言っているのだろう。つまり、消費者団体の主張が、そういう、技術や物理法則を超越した非現実的危惧に基づくものだというのが酒井氏の理解と思われる。

しかし、CASPIANが言う「冷蔵庫の中身をスーパーマーケットに」という主張はそういう話ではない。続く文が、「知らせることもできるし」となっていることからもわかるように、これは、正規の目的でスーパーに通知する機能を備えた冷蔵庫での話だ。

RFIDリーダを内蔵した「RFID対応冷蔵庫」が家庭に普及すれば、冷蔵庫をインターネットに接続することで、牛乳のストックが少なくなるとスーパーから自動的に牛乳が配達されるといったサービスが提供されるようになると言われている。そのとき、冷蔵庫の中身の情報が、同時に他の目的にも流用されかねないというのが、CASPIANの主張だ。

この例では、サービスを受けるために消費者が自らの意思で冷蔵庫をスーパーマーケットに見せていると考えられるので、これがどうしてプライバシー侵害の話題になるのか理解できないという人もいるだろう。宣伝のために嗜好情報が流用されることが懸念として挙げられているが、自分の好みがテレビの宣伝内容に反映されていても気にならない、あるいはむしろ有難いと感じる人もいるかもしれない。だが、問題なのは、事実が知らされれば拒否したいと感じる人が、事実を知らないままにサービスを受けてしまうことだ。CASPIANが元々はスーパーのポイントカードの個人情報収集に反発することから始まった団体である（らしい）ように、そうした部類のプライバシー問題もある。

一般に、プライバシー問題を議論する上では、「プライバシー侵害」というものが発生し得るとされる原因には、複数の異なる部類のものがあるのであり、まずはそれぞれを分離し、独立させて議論する必要がある。

第一は、システムの欠陥が原因で、守られるべきプライバシー情報が事故で漏えいしたり、故意に盗み出されたりする可能性である。これは、システムのセキュリティ対策によって解決すべき問題であり、現実的なコストで解決可能かが問われる。

第二は、内通者が情報を外部に持ち出したり、従業員のミスで漏えいさせる可能性である。これは、人的セキュリティマネジメントの強化によって解決すべき問題で、どの程度それが可能なのかが問われる。

第三は、事業者が情報を外部に提供する予定がある場合に、それを消費者が承知しているかの問題である。これは、情報を収集する目的を事業者がプライバシーポリシー等の文書で消費者に説明する責任を果たすことで解決すべき問題であるが、消費者への通知が、実効性のある方法で行われるのかが問われる。

第四は、情報家電が普及したとき、生活のあらゆるシーンで情報技術を駆使したサービスを受けることになると、ありとあらゆるプライバシー情報を多数の事業者のそれぞれに預けることを消費者は選択しなくてはならなくなる。このとき、「この事業者は信頼するが、あの事業者は信頼しない」といった判断が、普通の消費者にはたして可能なのかという懸念である。

第五は、第四のような状況において、プライバシー情報の事業者を越えた共有が顧客分析を目的として広く行われるようになった場合など、どの事業者も同じようにプライバシー情報を多目的に使用する社会が訪れる可能性があり、消費者が事業者を選択できなくなる懸念である。

そして第六は、RFIDタグやsubscriber IDのように、何かにIDが付くことによって、第三者（IDを取り付けた者とは別の）がそれを媒介して消費者のプライバシー情報を収集することが可能になってしまう問題である。

第三までは、昔から通販事業者などにおいて存在してきた問題であり、第四と第五は、今後あるいは今まさに顕在化しかねない状況となっている問題である。

私はRFIDタグの問題を技術的観点から語るときは、努めて第六の問題だけを取り上げるようにしているが、第一から第五までの問題も別に存在するのだ。第五の問題は、法律家の立場ないし社会的見地から問われる話題だろう。第四の問題は、技術とも多少関係がある。信頼する事業者の選択を自動化するために情報技術を活用するという話は出てくる。既に実用化された事例としては、P3Pがそれに該当するだろう。第三の問題は、プライバシーマーク制度など、既に解決策の運用が始まっているものだが、訴訟社会でない日本で実効性があるのか疑問視されている。第一と第二はセキュリティ対策として進歩しつつある状況だ。

それに対し、先の冷蔵庫の話題でCASPIANが懸念を示したのは、第三、第四、第五の問題であろう。私が第六の問題だけに絞って主張しようと心がけるのは、これらを区別できない論理性の欠落した思考の人達に足を救われかねないからだ。

いわゆる「職業的反対派」（何でもかんでも反対してやめさせることだけを目的とする反対派）は、これらの複数の原因をごちゃ混ぜにしたまま否定することを好む（たとえば、第六の問題を議論している文脈で第一や第二の問題も持ち出すなど）ため、それを受けてたつ推進派もまた、それらを取り違えて反論してしまう（たとえば、第一と第二の問題を否定するだけで第六の問題も否定したかのような気になる）ということが起きる。RFIDタグ以外の議論でもそういう事態をしばしば目にしてきた。

酒井氏は、

また、商店内での顧客の行動をビデオカメラで監視・記録したり、CDの販売店などで商品に万引き防止用のタグを付けたりするのは、すでに一般に行われていることである。

酒井寿紀, バーコードを置き換えようとするRFIDの市場動向, COMPUTER & NETWORK LAN 2004年1月号

と述べているが、これは全く反論になっていない。言うまでもないだろうが、現在のCDの万引き防止用タグは1ビットの情報しか持たないのでこの議論の比較対象にならないし、店舗内での監視カメラは、これまでの技術的限界（録画したものを後で見ることしかできない）から防犯目的（犯罪発生時の犯人分析用）に使ってきただけだったのが、RFIDタグによって人の識別が容易に可能になれば異なる目的に流用されるようになるだろうと懸念されているわけだ。

いろいろ問題があるからRFIDの使用を全面的に止めるというのは、交通事故が起きる可能性があるから自動車の使用を禁止するというのと同じようなものだ。現時点での技術的な可能性をきちんと踏まえたうえで、どこで利便性とプライバシーとの折り合いをつけるべきかをよく検討する必要がある。

酒井寿紀, バーコードを置き換えようとするRFIDの市場動向, COMPUTER & NETWORK LAN 2004年1月号

最近、RFIDの話題でもこの種の主張「自動車の使用を禁止するようなもの」をよく目にするようになった。一般論としては正しいが、そういうのは個別論を正しく理解した人だけが口にしてよいことだろう。

もう一度、酒井氏の発言を噛みしめておく。

消費者団体が騒いでいるとおり、RFIDの商品への適用にプライバシー上の問題があることは確かである。しかし、

（略）

たとえタグを残したとしても、CASPIANが言うように他人の家の冷蔵庫の中身を読み取ることは、現在の技術では難しい。犯罪を犯して、他人の家に忍び込んで、発信機付きのリーダを設置しない限り不可能である。

酒井寿紀, バーコードを置き換えようとするRFIDの市場動向, COMPUTER & NETWORK LAN 2004年1月号

■ 「バカの壁」というミリオンセラー本が、馬鹿どもの壁を分厚くする

8月16日の日記「まだこんなことを言っている人がいるよ その2」で、月刊「マテリアルフロー」誌編集長が、

タグに入っているのは製品のシリアルナンバーだけです。数字の羅列。それだけでは意味がなく、製品情報・生産情報・流通情報はそれぞれの責任を担う企業のサーバに置き、ネットワーク経由で権利のあるものだけがアクセスできる方式を目指しています。

（略）

てなわけで、私には今のところ、消費者プライバシー問題を技術的に解決することがさほど難しいものとは思われません。技術者が安心できる技術を確立し、導入関連社側が根気よく、一般消費者に向けて説明していくことでしょう。

菊田一郎, RFIDの実用化と セキュリティ問題, 月刊「マテリアルフロー」, 2003年8月

と主張するコラムを発表していることを書いたが、そのコラムの続きが出ていた。

「良く話の分かっていないマスコミがＲＦＩＤを持ち上げすぎたり、実用化はまだ無理といった記事を流しているが、勉強不足」と新原課長は初めに一刀両断。（講演後に私が挨拶に行き、「でも『マテリアルフロー』では１０数年来ＲＦＩＤの開発・利用に関する情報をレポートしています」とこだわったら、「いや専門誌さんは別ですよ」とのコメントでした）

（略）

以前のコラムでも触れたように、その他にセキュリティ確保、特に個人情報の保護に関するテーマも残っていますが、ベネトンやウォルマートのＲＦタグ実用実験に待ったをかけた欧米の消費者団体が言うほどの危惧は、不要ではなかろうかというのが筆者の見解です。インターネットの持つメリット・デメリットに近いもので、確かに様々な情報漏洩の危険性は考えられ得るものの、技術的な、あるいは運用上の対応で多くの問題は回避できるのではないかと見込まれるからです。

日本経済復活への貢献という意味でも、今後とも注目を集めそうなＲＦＩＤ技術。「マテリアルフロー」ではこれからも毎号のように物流・ＳＣＭ分野を軸に各界のＲＦＩＤ実用化試験プロジェクトの取り組みをレポートし、あるいはリーダー達の声を紹介していきたいと考えています。

菊田一郎, １枚５円のRFタグは いつできる？, 月刊「マテリアルフロー」, 2003年10月

専門誌の編集長が「危惧は不要というのが私の見解」と述べながら、そこに添えられている根拠は著しく薄弱なものだ。「インターネットのメリット・デメリットに近い」という曖昧で説明のないたとえ話を挙げたうえ、「技術的、運用上の対応で回避できる」という、具体的方策を挙げない希望的観測しか書いていない。

「インターネットのデメリット」と呼ばれるものは、第三者cookieの問題についてはP3P技術によって解決されてきたのであるし、スーパークッキー問題はMicrosoft社に欠陥として認識されて解決されてきた。この編集長はそれを理解しているだろうか。RFIDタグでどうやって「１枚５円の」タグで同様の解決をするのかだ。

それはともかく、1月9日の日経IT Pro記者の眼に「ICタグのプライバシ問題を解決する方法」というコラムが出ていた。

普段持ち歩くカバンにICタグが付いているとしよう。そのIDは商品に固有のものなので，さまざまな場所で読み取られると，人の動きまでトレースされることになる。カバンの中身を他人に盗み見られる危険性もある。書籍に付いているICタグからISBN（International Standard Book Number）番号を読み取られると，自分がどんな本を読んでいるかを誰かに知られてしまうかもしれない。

日経バイト 安東一真, ICタグのプライバシ問題を解決する方法, 日経IT Pro記者の眼

とあり、固定IDによるトラッキング問題のことが正しく認識されている様子がうかがえる。著者の安東氏は、6月に「カバンの中身が外から分かるICタグ 個人のプライバシは守れるか」の記事を書かれた方で、日経バイトの方だ。日経コンピュータではない。

このコラムの結論は、

多くの人が納得できる簡単な解決策はないか。筆者は単純に，タグを物理的に取り外してから消費者に渡すのが一番と考えるようになった。タグを取り外すと，タグの導入メリットは小さくなる。しかし何よりも，消費者に受け入れられることを考えなければならない。

（略）

筆者は，まずは安心して使える限定的な場面/用途でスタートさせ，徐々にその適用場面を広げていく手法を選ぶべきと考える。タグを付けたままの運用は，プライバシ問題に対する効果的な解決策が出てきてから始めればいい。そこで得られるメリットは，あくまでボーナスと考えるのである。

日経バイト 安東一真, ICタグのプライバシ問題を解決する方法, 日経IT Pro記者の眼

というものだ。

これは、EPCglobalのプライバシーガイドラインに影響された発言なのだろう。12月13日の日記に書いたように、EPCglobalのガイドラインには、

ほとんど全ての製品の場合、EPCタグは使い捨てのパッケージの一部分となるか、または、破棄可能なものとなるだろうと予想される。

という文章が含まれており、EPCglobalとしては、当面の間はサプライチェイン管理目的にしか使用しないことを前提としているのがうかがえる。安東氏の主張はそれに沿ったものになっている。

で、問題なのはその記事に対する読者コメントのひとつだ。

[2004/01/09]

取り外すには手間も掛かればミスも出ます。それよりプライバシーを守るもっと簡単な方法があります。それは、RFIDの情報は一切の属性を持たないシリアル番号だけにして、企業側が管理テーブルを持てば良いのです。このことは、ある研究会でも述べましたが、多くの人が聞き入れようとしないで、既成仕様に捕らわれてしまっています。バカの壁がここにもあります。

(50代，ハード・ソフトベンダー，経営者 )

「バカの壁」という本がヒットしていることは、ある人が「まさに『バカの壁』というやつですな（ゲラゲラ」と会議で発言するまで知らなかった。個人的には読む価値を感じなかったが、こうもあちこちで馬鹿の一つ覚えのように「バカの壁」「バカの壁」という発言が出てくると、どういう内容なのかと知りたくなる。念のため買ってきて読んだ。まあ、この書評と同じようなことを感じた（全ての論点に賛同するものではないが）。著者の養老氏はこの本についてまえがきで、「結局われわれは、自分の脳に入ることしか理解できない。つまり学問が最終的に突き当たる壁は、自分の脳だ。そういうつもりで述べたことです。（中略）あるていど歳をとれば、人にはわからないことがあると思うのは、当然のことです。しかし若いうちは可能性がありますから、自分にわからないかどうか、それがわからない。だからいろいろ悩むわけです。そのときに「バカの壁」はだれにでもあるのだということを思い出してもらえば、ひょっとすると気が楽になって、逆にわかるようになるかもしれません。」と述べている。

「バカの壁だ」と口に出そうになったら、馬鹿だからそう口にしようとしているのではないかと、自分を疑ったほうがよい。そうしないのはまさにバカの壁だ。

……という主張も馬鹿が原因だ。……なんて書くのも馬鹿馬鹿しい。なんつったりして。

■ 「建設的な議論」とは？「正確な情報を伝えていく」とは？

日経コンピュータ12月号の特集「2010年 情報システム大予言」の「ICタグ：広がる適用範囲，安全性向上に貢献」という記事がWebで読めるようになっていた。YRPユビキタスネットワーキング研究所副所長の越塚登氏の「プライバシの建設的な議論を望む」というインタビュー記事が載っている。

あらゆるモノや場所にコンピュータが入るユビキタス社会を考えるうえで、プライバシの議論は欠かせない。知られたくない個人情報がネットワークを介して流通する、といった不安を取り除くために、法律を含めた社会制度や、それをITで支援する仕組みを整備していくべきだ。

日経コンピュータ, 2010年 情報システム大予言 ICタグ：広がる適用範囲 安全性向上に貢献, 越塚登, プライバシの建設的な議論を望む

ここまではよい。だが、続きはこうだ。

建設的な議論を進めるためには、「技術の限界」をきちんと理解してもらう必要もある。いくら技術が発達しても無理なことはある。そういう技術の限界を知らないと、えてして「その技術の存在自体を許さない」という極端な考え方に走りがちだ。

例えば「ICタグが普及すると、自分の持ち物がすべて“丸見え”になってしまう」というのは、かなり極端な見方の一つだ。センサーの距離や読み取り精度には限界がある。遠方から多数のICタグをすべて一発で正確に読み取るというのは、特殊な読み取り環境を用意しない限り、2010年の時点でも難しいだろう。

日経コンピュータ, 2010年 情報システム大予言 ICタグ：広がる適用範囲 安全性向上に貢献, 越塚登, プライバシの建設的な議論を望む

出た。またそれか。9月6日の日記に書いたことをコピーペーストしておく。

「他のクレジットカードとかと重ねていたらそれだけで読めなくなるんです。」と発言した人物にとっての「読める/読めない」は、確実に読めるかどうかを話している点に注意したい。しばしば、事業を推進する側から、「そんな夢のような使い方ができたらこっちが嬉しい。そんなうまくはいかないものだ。」という発言が出てくることがあるが、一般に、セキュリティを語る上でそういう思考をしてはいけない。実用の話と悪用の話は別だ。10パーセントの確率でエラーになるのが実用にならないのだとしても、悪用されるのを避けたい消費者にとって、90パーセントの確率で読み出し可能な事態を許容できるのかという議論だ。

最後はこうしめくくられている。

豊かで安全な技術社会を作るためには、私を含めた専門家が、一般の人々に正確な情報を分かりやすく伝えていくべきだと考える。プライバシに関して前向きな議論が行われている2010年であってほしいと願っている。

日経コンピュータ, 2010年 情報システム大予言 ICタグ：広がる適用範囲 安全性向上に貢献, 越塚登, プライバシの建設的な議論を望む

「センサーの距離に限界がある」と主張するのはよいだろう。最長応答可能距離を仕様として消費者に示せばよい。「精度に限界がある」というのはよくわからない。「すべて一発で正確に読み取るのは難しい」というのは「すべて丸見え」を否定しているにすぎない。「ときどきいくつかが見えちゃう」ということが消費者に許されるかどうかだ。

とはいえ、この記事を書いたのは日経コンピュータであるので、越塚氏がこの通りに発言したかどうかはわからない。「建設的な議論を望む」というタイトルは日経コンピュータによってつけられたものだろうし、発言にはこの続きがあった可能性もある。「すべて丸見え」を否定したいなら、見えてしまうのがどのような場合であるかを明らかにして、そしてその現実性を議論すればよい。

■ 10円でアンチコリジョン対応で70cm届く25mmのタグ

• 日経バイト, 単価10円の無線ICタグが登場，日本のベンチャーが使い捨ての用途狙い3月出荷, 2004年1月28日

によると、一円玉の幅ほどのタグで、

サイズが25mm×5mmと小型ながら，最大で約70cmまで通信間隔を空けられる（写真）。1台のリーダーで，複数の無線ICタグを同時に読み取れる。同時に読み取れる枚数は最大100個/秒。

■ プライバシー機能がRFIDタグ製品の競争力となりつつある

上の安東氏のコラムには、

2004年1月下旬に実証実験を開始するアパレル業界が実際にこの方法を採っている。無線ICタグは，紙の値札と同じような形状に加工して，値札と一緒にぶら下げる。商品を販売する際には，店員が無線ICタグを取り外す。取り外すのを忘れても通常は問題にならない。消費者自身が値札と一緒にあとから外すためだ。

日経バイト 安東一真, ICタグのプライバシ問題を解決する方法, 日経IT Pro記者の眼

とも書かれていた。関連するニュースが1月21日の朝日新聞に「店頭で外せるＩＣタグ　値札ヒモと一体、伊藤忠など開発」と出ていた。同じ内容の記事がRBB TODAYに「伊藤忠商事と日本バノック、アパレル製品向けのRFIDタグを開発」として出ている。

これまでRFIDタグは、追加コストの発生、取り付けることによってデザインが損なわれる、消費者に渡ったあとにプライバシーが侵害される恐れがある、などの点が問題視されていた。

今回、2社が開発したV-LOX IDは、アパレル製品にブランドタグや値札を取り付けるためのひもの部分にRFIDタグを組み込んでいる。そのため、取付のための追加コストが最小限に抑えられる、デザインを損なわない、簡単に取り外せるためプライバシーの侵害は発生しないなどのメリットがある。

RBB TODAY, 伊藤忠商事と日本バノック、アパレル製品向けのRFIDタグを開発

このように製品のメリットを主張できるのは、一般にRFIDタグにはプライバシーの問題が存在し得るのだということが、広く一般の消費者に認識されてこそである。認識されなければ競争も生まれない。

■ IPアドレス照合によるセッションハイジャック防止とプライバシー

「イーバンク、利用PCのIPアドレスを登録できるセキュリティサービス」という記事が出ていた。

登録外のIPアドレスからログインした場合、支払いや請求など資金の移動を伴う取り引きが制限され、不正利用を防止できる。

ITmedia, イーバンク、利用PCのIPアドレスを登録できるセキュリティサービス

というもの。これは、Webアプリケーションに不正操作を防止するのには効果の高い方法だ。この件ではおそらく、他人にパスワードを使われてしまう可能性を心配しての対策だと思うが、それだけでなく、9月28日の日記「絶対に見つけられないWebアプリ攻撃は存在する」で書いたセッションハイジャック攻撃を防止するのにも有効だ*1。

ただし、そのためには、すべての画面でIPアドレスをチェックしていないといけない。ログイン開始のパスワード照合のときだけでIPアドレスをチェックするというのがありがちな実装だが、それではセッションハイジャックを防げない。

それはともかく、この方法が有効だということで、消費者向けサービスでも採用されるようになり、ほとんどのサービスでIPアドレス登録・チェック機能が導入されるようになるとどうなるだろうか。常時接続あるいはIPv6が一般家庭に完全に普及し、一家に1アドレス（以上）という時代が到来すると、ついには、安全のためという理由で、IPアドレスを登録しないとどのサービスも使わせてもらえないという時代がやってくるかもしれない。

たしかにそれはセキュリティ的には安全性が高いが、プライバシー的にはリスクが大きくなっている。これまでの日記に書いたように、IPアドレスの固定化は、携帯電話におけるサブスクライバーID問題、スーパークッキー問題と同じプライバシー問題をひきおこす。

IPアドレスという下位レイヤーの識別子を人の識別のために使うというのは、手軽に利用できる（通信には必ずその識別子が存在するため）反面、識別されない自由が失われてしまう点で本質的に誤った考えだといえる。ただし……（後述）。

人の識別は下位レイヤーで「ついでに」行うのではなく、アプリケーションレイヤー（上位レイヤー）で識別手段を提供し、識別される人の自由意志に基づいて識別するべきである……という話は、5月25日の日記に書いた。

Webアプリケーションにおいて、上位レイヤーでの確実な識別手段を提供するのは、SSLのクライアント認証を普通に使うだけで可能だ。必要なときだけ、つまり、自分を識別してほしいという意思をユーザが示したときだけ、確実に識別してもらうことができる。

クライアント認証の利用はもう何年も前から可能な状態にあるわけだが、なかなか普及しない。原因は導入のコストとランニングコストが高いということだろうか。ユーザの手間（クライアント証明書のインストール）が問題なのかもしれないが、それを言うなら、上のニュースにある「IPアドレスの登録」の作業だって手間なはずだ。安全性の高いアクセス制御を希望するユーザにだけ、クライアント証明書を使わないとログインできないサービスを提供してはどうだろうか。上のニュースのサービスが有料なくらいだから、それは有料でもよいのかもしれない。

下位レイヤーで識別手段を提供するという発想は、上位レイヤーでの識別手段が現実的には費用がかかりすぎて普及しないという考えに基づくものかもしれない。しかし、そのコストはどうなのか。携帯電話のように特定の事業者なり公社なりに集中管理されるシステムでは低コストで実現可能かもしれないが、インターネットではどうか。

■ 無数のIPアドレスの使用によるプライバシー確保

さて、上では「下位レイヤーの識別子を人の識別に使うというのは本質的に誤った考え」と書いたが、IPv6のようにIPアドレスを無尽蔵に使ってよい状況では、無数のIPアドレスを個人が一人で使うことによって、プライバシーを確保したままで堅牢なアクセス制御の実現を達成できるかもしれない。

つまり、各個人が、使用するサービスごとに異なるIPアドレスを取得して使うのだ。各サービスの独立したユーザIDに一対一対応するIPアドレスを取得するというわけだ。Webブラウザであれば、アクセス先ごとにアクセス元のIPアドレスを異なるものにすることになる。一人が数千個のIPアドレスを使うとしても、IPv6ならばアドレスは枯渇しないだろう。

ただしこのとき、IPアドレスのビット列の一部が共通になっているようでは、プライバシー確保の効果はない。IPv6の現在考えられている通常の運用では、上位64ビット（の一部）は、同じ個人に対して同じサブアドレスが割り当てられると考えられる。それでは、いくら下位ビットがランダムでも、上位ビットでトラッキングができてしまう。

接続プロバイダが個人に対して、上位ビットが異なる多数のアドレスを割り当ててくれるなら、これは実現できる話かもしれない。ルーティングの効率性を確保したまま、そうしたアドレス割り当てができないものだろうか。

「数千個」が無理なら、数十個で十分かもしれない。同じIPアドレスをいくつかのサービスに使い回ししても、誰がどのサービスに使いまわししているかがサービス提供事業者に予測不能であれば、事業者がその人をトラッキングすることはほとんどできない。

重要なサービスにはそれ専用のIPアドレスを使用し、どうでもよいサービスには同じIPアドレスを使いまわすということも考えられる。リアル世界において、メインバンク用の銀行印は他の銀行で使わないようにし、少額しか預けない銀行には同じ銀行印を使いまわすのと同じように。

ただし、プライバシーを確保できるといっても、この方法では、サービスを越えたトラッキングの防止ができるだけだ。サービス内での一時的なトラッキングを拒否するためのプライバシー確保（たとえば、匿名で商品棚を閲覧して、決済のときだけ自分を識別してもらうなど）にはさらに工夫が必要となる。ログイン前とログイン後で異なるIPアドレスを使う必要があるだろう。その切り替えはユーザの意思で行うことになるかもしれないが、あるいは何らかの自動化ができるかもしれない。

■ 偽造防止目的のRFIDタグ応用は一部の用途に限定される

日経デジタルコアの「世界情報通信サミット2004 ネット会議」の議論が公開されていた。自分が書いたものにいくつかリンクを。

• 偽造防止目的のRFIDタグ応用は一部の用途に限定される

長いので要約すると、前半は「RFIDタグが偽造防止に使えるというのは、人の目視による物理形状の確認と合わせて初めて成り立つもので、同サイズで同機能の電子回路を製造することが困難（半導体製造設備を持つものにしかできない）という点でのみ偽造防止技術として成立している」という主張。後半は12月8日の日記「最低でもリプレイ攻撃は防げ」の焼き直し。

その後の議論で、「偽造防止が目的なのなら、RFタグにIDは不要」とも発言している。同サイズで同機能の電子回路を製造する技術を手に入れた偽造者は、本物のIDをコピーしながらタグを自動生産するだろうから、タグの製造困難性以上の偽造防止効果はない*1という主張だ。

ただ、今思えば、偽造品を作るためにある程度の数の真性品に触れる（IDを読む）必要があり、品物によっては（ブランド品など）それが偽造の利益に見合わない場合もあるかもしれないので、その場合には、万が一、同等の半導体製造技術を偽造者に握られたときのさらなる防止効果にはなっているかもしれない。

また、紙幣の場合は元々、光学的に読み取られるシリアルナンバーが付いているので、IDの重複判定による偽造検査をするのであれば、それで調べればよい。RFタグを使った装置の方が光学的数字読み取り装置より安価に実現できるというのであれば、バーコードにすればよい。バーコードよりもRFタグが優れている可能性は、札を一枚一枚機械に通さずに、札束ごと遠隔一括読み取りすることだろうが、そうしたタグでは、財布の外から現金量を知られてしまう問題がいよいよ大きくなってしまう。「バーコードなんて簡単に偽造できるじゃないか」というのは反論にならない。バーコードでシリアルナンバー重複判定をした上で、IDのないRFタグのすき込みにより製造困難性を確保すればよい。バーコードはRFIDチップと同じビット数にして、偽造防止用と称されるRFIDと同じ原理で暗号を使い、（コピーする以外に）真正パターンを生成できないようにする。

■ IDを持たないRFタグの可能性

もうひとつ日経デジタルコアから。

• Re:ディジタルIDの問題点は？

「属性情報をタグ内に含めるタイプのタグでIDなしにすれば、トラッキングされる懸念がなくなる。例えばリサイクル目的では、これで使えるのかもしれない。アンチコリジョンが必要な場合は、一時的に発生させる乱数で実現できる。ただし、低コストタグでは乱数生成回路すら搭載できないのかもしれないが。」という主張。

■ 小学生や園児にまで住所や電話番号を送信させる日本の教育政策

国立教育政策研究所が運営する「教育情報ナショナルセンター(NICER)」というサイトがある。「NICERとは？」の説明によると、次のようなサイトだという。

NICERの目標

教育情報ナショナルセンター(NICER)は、我が国における教育・学習に関する情報ネットワークの中心的役割を果たします。 NICER では、学校教育から、高等教育、生涯学習にいたる「教育の情報化」の推進を支援することを目的としています。

そこで、NICER では、インターネット上にある日本の教育・学習に関するあらゆる情報を収集し、体系的に整理します。

（略）

このようなNICERの機能を充実することによって、学校のIT環境の整備、教員のIT指導力の向上、並びに生涯学習におけるIT活用の推進に寄与することが目標です。 現在、子ども達の学力につきまして、多くの人たちが関心をもたれておられる時期ですので、NICERの情報提供と支援が、子ども達の確かな学力の向上に少しでも寄与できれば幸いと考えています。

NICERとは？, 教育情報ナショナルセンター

このサイトには、「登録した利用者のみが利用できる情報」というコンテンツがあるため、ユーザ登録機能が用意されている。「ユーザ登録」の画面の「新規登録」の部分を見ると、次のようにリンク先が分けられている。

下のカテゴリのうち、最も適するものを選んで登録をしてください。

• キッズ　　ほいくえんせい・ようちえんせい・小学生
• ティーンズ　　中学生・中等学生・高校生・高専学生
• 大学/生涯学習　　短大生・大学生・大学院生・その他の学生・会社員・会社経営・役員・団体職員・自営業・公務員・その他の業種・無職
• 先生　　幼稚園・保育園職員・小学校教員・中学校教員・中等学校教員・高等学校教員・高等専門学校教員・短期大学教員・大学教員・大学院教員・その他の教員

ユーザ登録, 教育情報ナショナルセンター

ここにある「キッズ」のリンク先 https://www.nicer.go.jp/register/kids.html はどうなっているだろうか。説明にルビのふられた個人情報登録画面が現れる。

ログイン名(めい)とパスワードを決(き)めよう！

１回(かい)決(き)めれば学校(がっこう)のクラスの仲間(なかま)と一緒(いっしょ)に使(つか)うこともできるよ。

でも、ログイン名(めい)やパスワードは仲間(なかま)の人(ひと)以外(いがい)には教(おし)えないようにしましょう。

新規(しんき)ユーザ登録(とうろく)　−キッズ−, 教育情報ナショナルセンター

この下の方を見ていくと、氏名のほか、自宅の住所、電話番号、FAX番号および、学校、幼稚園の住所、電話番号等の入力が用意されている。入力に際して、なされている説明は、以下の通りである。

これより下(した)は、入力(にゅうりょく)しても、しなくても自由(じゆう)だよ。「もっとナイサーを使(つか)いたい！」という人(ひと)は、入力(にゅうりょく)してね！

（略）

ここから下(した)の項目(こうもく)は、あなたが誰(だれ)なのか教(おし)えてもらわないと使(つか)えないコンテンツ(れじぶら、jMappy(ジェイマッピー)など)を使(つか)う人(ひと)は登録(とうろく)してね。なお、使(つか)う目的(もくてき)によって、それぞれの欄(らん)(自宅(じたく)・学校(がっこう))に記入(きにゅう)してね。

新規(しんき)ユーザ登録(とうろく)　−キッズ−, 教育情報ナショナルセンター

さて、はたして、小学生、ましてや幼稚園児に、自宅住所や電話番号を相手に渡すということの妥当性を判断できるのだろうか。このサービスが存在すること自体、「もっと使いたい人は入力してね！」というノリで、たいした理由説明もないのに、ホイホイと個人情報を提供するという行為に、子供たちをただただ慣れさせるということになりはしないのだろうか。

米国では、FTCの勧告を受けて、「児童オンラインプライバシー保護法（Child Online Privacy Protection Act）」が98年に法制化されている。この法律によれば、子供から個人情報を収集する際には事前に親の同意を得なければならないとされている。そのため、日本でも外資系企業のWebサイトのプライバシーポリシーには、子供の個人情報に関する特別な注意書きがされているのをよく見かける。「子供 プライバシー」で検索してみると、そうしたものがいくつか見つかる。いくつか引用してみる。

• Yahoo! JAPAN プライバシーセンターヘルプ

  Yahoo! JAPANはどのような方法で子供のプライバシーを保護しているのですか？

  子供の安全とプライバシーは、Yahoo! JAPANにとってたいへん重要な問題です。15歳未満の子供が個人情報をYahoo! JAPANに送信したり、オンラインで誰かに情報を送信する際には、必ず保護者の方の指導・監督の下で行われるようにしてください。

  （以下略）

• インテル プライバシーポリシー

  私たちは、13歳未満の子ども個人情報を意図的に収集しません。私たちは、13歳未満の子どもから個人情報を提供されたことが判明した場合、私たちのシステムからその情報を削除します。インテルは、保護者が子どもと一緒にウェブサイトを閲覧することを推奨します。以下は、子どものインターネット体験を安全なものにするためのヒントです。

  • 子どもたちには、親や責任ある大人の指導無しに、個人情報を提供してはならないことを教えましょう。（氏名、住所、電話番号、学校名など）

  （以下略）

それに比べて、我が国の教育情報ナショナルセンターのこれはいったいどういうことなんだろうか。

「ご利用にあたって」の説明によると、ユーザ登録の登録情報の利用目的について、

ユーザ登録

• NICERが取得した個人情報は利用制限情報の提供などの管理のために用いるもので、外部に漏らすことは一切ありません。

としか書かれていない。

何のために個人情報を登録させているのだろうか。私の憶測では、たいして必然性はなく、単に「この種のシステムを作ってみたかった」というのが実際のところだろうと推察する。

■ 小学生や園児を不正アクセス禁止法の崖に立たせる日本の教育政策

この教育情報ナショナルセンターのユーザ登録画面には、ぎょっとすることが書かれている。

ログイン名(めい)とパスワードを決(き)めよう！

１回(かい)決(き)めれば学校(がっこう)のクラスの仲間(なかま)と一緒(いっしょ)に使(つか)うこともできるよ。

でも、ログイン名(めい)やパスワードは仲間(なかま)の人(ひと)以外(いがい)には教(おし)えないようにしましょう。

新規(しんき)ユーザ登録(とうろく)　−キッズ−, 教育情報ナショナルセンター

なんと、識別符号の他人との共同利用を誘引しているのである。「ユーザ登録について」の説明には次のように書かれており、事実上、識別符号の共同利用を奨励している。

• ひとつのアカウントを、教室内等の複数の利用者または端末で共有することができます。その場合、ユーザ登録をした者はアカウントの管理者となります。アカウントの管理者はユーザIDやパスワードの管理を厳密に行う必要があります。これらの漏洩、不正使用などから生じた損害については、アカウントの管理者が負うこととなります。

ユーザ登録, 教育情報ナショナルセンター

もちろん、グループIDというアカウント形態が許されないものだというわけではない。アクセス管理者がそのような目的で提供している識別符号であれば、当然ながらそのように利用してもよい。

だが、はたして、小学生や幼稚園児にそのことを理解できるだろうか。ログイン名とパスワードとはそもそも何なのか。「仲間」の範囲とは何なのか。友達の○○ちゃんが隣で入力するログイン名とパスワードと同じものを、自分も入力して使う。そういう行為がごく日常的な行為だと、前提条件なしに理解してしまいはしないだろうか。

ログイン名(めい)やパスワードは仲間(なかま)の人(ひと)以外(いがい)には教(おし)えないようにしましょう。

「仲間の人以外に教えないようにしましょう」それは結構だ。だが、「仲間」以外の人のログイン名とパスワードを入手して、画面に入力してボタンを押したら、それは即座に不正アクセス禁止法第三条第2項第一号違反となる。目的に関係なく同法違反となる。ボタンを押した後で何もしなくても違反である。大人では常識だが、子供にとってはどうか。

教育情報ナショナルセンターは最低でも次の注意書きをするべきだろう。

仲間(なかま)以外(いがい)の人(ひと)のログイン名(めい)やパスワードを無断(むだん)で入力(にゅうりょく)すると、法律(ほうりつ)で処罰(しょばつ)されるよ！ （１年(ねん)以下(いか)の懲役(ちょうえき)又(また)は５０万円(まんえん)以下(いか)の罰金(ばっきん)）

誰(だれ)が仲間(なかま)で誰(だれ)が仲間(なかま)じゃないかには十分(じゅうぶん)注意(ちゅうい)してね！

そもそも、不正アクセス行為についての注意をうながすこと自体が、教育情報ナショナルセンターが目指すIT教育として避けられない必須の教育事項であるはずだ。だが、そうした教育はなされていない。以下のように、自分たちに責任がないことを明記しているだけだ。

アカウントの管理者はユーザIDやパスワードの管理を厳密に行う必要があります。これらの漏洩、不正使用などから生じた損害については、アカウントの管理者が負うこととなります。

ユーザ登録, 教育情報ナショナルセンター

■ 安易なパスワードリマインダ利用を助長する日本の教育政策

この教育情報ナショナルセンターのユーザ登録画面には、もっと驚くことが書かれている。パスワードリマインダが用意されていて、設定しないとユーザ登録ができないようになっている。

もし、後(あと)でパスワードが分(わ)からなくなってしまっても、ここで決(き)めた合(あ)い言葉(ことば)でパスワードを確認(かくにん)できるよ。

でも、合(あ)い言葉(ことば)も忘(わす)れてしまったら、パスワードの確認(かくにん)ができないので、決(き)めた言葉(ことば)は忘(わす)れないでね。 　 パスワードを確認(かくにん)するための合(あ)い言葉(ことば)(質問(しつもん))を入(い)れてね。

(半角(はんかく)で40文字(もじ)、全角(ぜんかく)で20文字(もじ)までだよ) パスワードを確認(かくにん)するための合(あ)い言葉(ことば)(答(こた)え)を入(い)れてね。

(半角(はんかく)で40文字(もじ)、全角(ぜんかく)で20文字(もじ)までだよ)

新規(しんき)ユーザ登録(とうろく)　−キッズ−, 教育情報ナショナルセンター

パスワードを確認(かくにん)するための合言葉(あいことば)

どのように入力(にゅうりょく)すればいいの？

質問(しつもん)と答(こた)えはセットで考(かんが)えてね。

例(たと)えば、質問(しつもん)を「好(す)きな食(た)べ物(もの)は？」にしたとすると、答(こた)えは「カレーライス」のようにするとよいですよ。

ユーザ登録について, 教育情報ナショナルセンター

ここのシステムでは、ログイン名を入力してボタンを押すと「合い言葉」（登録時の質問文）が表示され、答えを入力すると、新しいパスワードを設定できるようになっている。

11月23日の日記「警視庁は東京都にも要請したほうがよいのでは？」で書いたように、こうしたパスワードリマインダーは廃止するようにと、2002年2月に警視庁から事業者に要請がなされている。

インターネットのホームページ（ＨＰ）上で無料で電子メールを送受信できる「フリーメール」サービスの利用者から、メールをのぞき見されたとの相談が警視庁に相次いでいる。パスワードを忘れても、特定の質問に答えればパスワードが表示される「リマインダー（思い出させ）」機能を利用しているらしい。のぞき見は不正アクセス禁止法違反に当たり、同庁は近く、サービス提供業者にパスワードの再交付方法の見直しを要請する。

（略）

同庁ハイテク犯罪対策総合センターは「身近な人なら簡単にパスワードがわかるし、第三者でも質問の設定次第では知り得る仕組みには問題がある。パスワードを本人あてに郵送して知らせるなどの方法に変更してもらわなければ、のぞき見はなくならない」と話している。

朝日新聞 2001年12月15日夕刊

インターネットの「フリーメール」サービスの利用者がパスワードを忘れた際に使う「リマインダー（思い出させ）」機能がコンピューターの不正アクセスに悪用されている問題で、警視庁は８日、インターネット接続業者など２６社に対して、同機能を使ったパスワードの再交付をやめるように要請する文書を郵送した。

朝日新聞 2002年2月9日朝刊

「我が国における教育・学習に関する情報ネットワークの中心的役割を果たす」という教育情報ナショナルセンターが、こういうことをやっているのである。

こんな有害で無責任なシステムが提供されていても、誰も止めることはできない。どこにもルールがないのだ。

■ 真の情報モラルを自分の頭で考えない輩がリンクの許諾制を伝染させる

教育情報ナショナルセンターの「ご利用にあたってには、「NICERへのリンク」という項目で次のように書かれている。

• NICERのトップページ以外のページにリンクする場合は、必ずNICERの許諾を受けてください。

ご利用にあたって, 教育情報ナショナルセンター

「情報モラル」というものを真剣に考えた者であれば、Webという仕組みにおいてリンクを一律に許諾制にすることは、不適切と考えざるを得ないという結論に行き着くはずである。許諾なしのリンクを禁止することによって、自分たちの責任が何かしら軽減されると考えていない限り、このような強制をすることが「情報モラル」だとする結論に到達するはずがない。

安易なパスワードリマインダーを強制的に使わせたり、小学生に自宅住所まで書かせるといった、似非情報モラル感覚の人が、「リンクする場合は必ず許諾を受けるように」などと自らの「情報モラル」を振りかざすのは、まあ、しかたのないことかもしれない。

参考:

• 著作権/情報モラル, 教育情報ナショナルセンター

■ 追記

警察庁の「平成14年上半期の不正アクセス行為の発生状況等について」によると、

３ 検挙事例

５ リマインダ機能（※７）を利用して入手したパスワードを使用して他人の電子メールを盗み見した不正アクセス禁止法違反事件

男子中学生（14）が、平成14年１月、好奇心から、同級生である女子中学生の無料電子メール・サービス用のパスワードを、リマインダ機能を利用して不正に入手し、ＩＤ及び当該パスワードを使用してメール・サーバに不正にアクセスし、電子メールを盗み見た。14年４月、不正アクセス禁止法違反で検挙した（徳島）。

平成14年上半期の不正アクセス行為の発生状況等について, 警察庁

という事件があったそうだ。サービス提供者は何ら責任を問われることはないので安泰である。教育体制の不備が問われるといった話も聞いたことがない。

■ 日本道路公団がクレジットカード会社に伝える個人の位置移動履歴

RFIDなど、社会システムのプライバシー懸念の議論をしていると、「問題ない派」の人から、「クレジットカードだって同じだ」とか、「クレジットカードを使った時点で既にあなたの購買履歴は蓄積されているのだ」という主張が聞こえてくることがある。12月7日の日記「IP meetingパネル討論の報告」の中でも

村井先生からのご質問では、私が、クレジットカードの場合は契約でしばられているので問題が別だと話したことに対して、情報を他の目的で使うということが約款に書かれているカードもあるとのご指摘だった。後で見せていただけるとのことだったが、推察するに、それは、そのカードでどんなものを買ったかの記録がマーケに使われるという話ではないかと思う。その意味であるなら、それは当然あり得るだろう。私が述べたのは、それではなく、一般の店舗が、（略）

そのときは「それは当然あり得るだろう」と書いたが、自分の使っているカード会社がそれをやっているかどうかを確認してみた。ソニーファイナンスに電話で問い合わせたところ、そうしたことは現時点ではやっていないとのことだった。つまり、会員ひとりひとりの購買動向に応じた案内等は現時点ではやっていないとのことだ。もしやるにしても、会員の同意を得た上でないとやることはないとのことだった。

ついでにもう一点を確認した。加盟店からカード会社に送られてくる会員の購買情報には、どのような内容のものがあるのかだ。例えば、ある百貨店で買い物をしたとき、百貨店の名前は利用明細に書かれているが、その百貨店でどんな商品を買ったかは、カード会社に伝わっているのかどうかだ。

結論から言うと、加盟店からカード会社に伝えられる情報は、利用明細に記載されているものが全てだとのことだ。（ソニーファイナンスに電話で聞いたところでは。）

さて、本題であるが、高速道路の料金所でクレジットカード決済をすると、クレジットカードの利用明細に以下のように記載される。

つまり、誰が何月何日にどこからどこへ移動したかが、カード会社に伝達されているのだ。

たしかに、このように利用明細に詳細な情報が書かれていれば、「この請求って何のことだっけ？」といった疑問を感じることなく、「ああ、たしかにこの日はあそこに行ったね」と納得できるという意味で、便利ではある。デートで旅行した日の記録としてカードの利用明細を思い出にとっておくというような、粘着系ロマンチストもいるかもしれない。

だが、他の加盟店はこういうことをやっておらず、日本道路公団だけが突出している。

上の画像の明細にあるように、ジャスコで買い物をしても「イオン」としか記載されない。他の月の明細から例を探してみると、「石丸電気/ヤマギワ」、「ワンダーコーポレーション」、「playsation.comご利用代金」、「JTB」、「@nifty」、「So-net ご利用代金」、「ヤフージャパン」などと書かれており、何に使ったものだかは、時間が経つともうわからない。「こういうのは不便だ」と主張することは明らかに可能であるのだから、各社はあえて詳細を伏せているのだろう。

他に「摘要」欄に記載があるのは、私の場合では、「JOMO（共石）」に「○○○○店」と店名が摘要欄に書かれている事例しか見つからなかった。他に詳細なところとしては、西武百貨店が「ご利用店名」に「西武百貨店 筑波店」と店舗名まで記載している事例が珍しいくらいだった。

道路公団と同じ運輸系で言えば、JALのチケットレスサービスを利用したときは「JALチケットレスサービス」、ANAの場合は「ANAインタネットチケットレスサービス」としか記載されておらず、どこの空港からどこの空港へのチケットかという位置情報は記載されていない。JRの切符を購入したときは、「JRヒガシニホン ミドリノマドグチ」とだけ記載されていて、どの駅からどの駅なのかは記載されていない。

日本道路公団だけが違う。どうしてこうなっているのだろうか。たぶん、何も考えていないが「マジメ」な人が仕事をしているんだろうと思う。違法ではないし、加盟店規約にも違反していないだろうし、カード会社が情報を漏えいさせることはないはずなのだから。

ところで、同じ道路公団でも首都高速道路公団の場合はどうなっているのだろうか。以前は、カードで払おうとしてたら、取り扱っていないと言われたので、試しておらず、不明だ。

■ カリフォルニア州、ユタ州、ポルトガルのRFID規制

日経デジタルコアのネット会議で、夏井先生から、米国ユタ州下院で「RFID知る権利法」が可決されたとの情報を教えていただいた。上院でも可決されて法律として制定される見込みだとのことだ。

夏井先生のWebページで、ユタ州、カリフォルニア州、ポルトガルの法案等の夏井先生による邦訳が公開されている。

• アメリカ合衆国ユタ州の「RFID知る権利法案」
• アメリカ合衆国カリフォルニア州の「RFIDプライバシー保護法案」
• ポルトガルの「RFID利用規則」

ユタ州の法案では、RFIDタグを消費財に取り付ける場合には、その事実を表示することが義務付けられ、消費者が選択していないのにタグを有効にしたまま販売することが禁止されるという趣旨のものだと私は読んだ。

カリフォルニア州の法案には、次の条項があり、強い制約のように読める。

第22654条

消費者向け製品について小売店がRFIDシステムを使用する場合には，RFIDタグは，顧客が店を出る前に，取り外され，または，破壊されなければならない。

第22655条

本来の性質上収集されるものであり個人を個人識別するのではない情報をRFIDシステムを介して収集する行為は，このChapterの違反行為とはならない。

アメリカ合衆国カリフォルニア州の「RFIDプライバシー保護法案」, （仮訳）翻訳：夏井高人

ネット会議では夏井先生による解説と今後の予想が投稿されている。まだWebでは公開されていないようが、近々公開されると思われる。

■ Edyナンバーは易々と他人に知らせてよい番号なのか

日本経済新聞社主催の「IC CARD WORLD 2004」が3月2日から開催される。4日の10時からのセミナー「ユビキタス社会を支えるICタグの現状と課題」では、なんとおそれおおいことに、ユビキタスIDの坂村教授、ミューチップの井村事業部長、日本自動認識システム協会の柴田センター長の皆様に並んで、口だけ番長ことこの私がパネル討論に登壇することになっていたりする。

で、そのIC CARD WORLD 2004の「来場事前登録」なのだが、下のように、「Edyカードをお持ちの場合、カードに印字されている16桁の番号（Edyナンバー）を入力してください」と出てくる。

なんでも、これを登録すると、

当日、そのカードを会場にお持ちいただくと、総合登録所で並ぶことなく、東2ホール入口で入場登録してスムーズに入場できます。また、もれなく素敵なプレゼントを差し上げます。

だそうだ。

ああこりゃこりゃ、推進派の典型的な行動パターンがここにもだ。消費者にRFIDの便利さを感じさせようと無理やりベネフィットを作り出そうという、最近の流行である。

11月24日の日記「家畜の餌を人に食わせるような話」で書いた、「NETWORKERS 2003」会場で実演されたという受講者受付管理システムの「自分の首を締めるような」話や、世界初のRFID本「インターネットの不思議、探検隊！」の楽しい「ポイント交換システム」と同類の話だ。

しかし、今回はこれまでのそれらとは違う。Edyカードという既に立派に商用利用されているカードの番号を使うのである。実験やお遊びでは済まない。

まず第一に気になる点は、EdyカードのEdyナンバーは、誰でも読み出せる仕組みなのか？ ということだ。つまり、Suicaの入退場履歴がCLIEで読み出せてしまうように、特別な暗号鍵なしに誰でもFeliCaリーダさえあれば、Edyナンバーは読み出せてしまうのか？ という疑問だ。

もしそうではないのだとすると、IC CARD WORLDの会場に、暗号鍵を保有した特別権限を持つカードリーダが設置されているということになる。そんな重大な権限を持つリーダを、そういう場所に持ってきてよいのだろうか？ 誰の権限でそれをやっているのだろうか？ リーダの管理者はいったい誰なのだろうか？

私はこれまで、まさかEdyナンバーが特別権限のないリーダで読めるようになっているとは、想像もしなかった。Edyナンバーは当然、秘密情報なんだろうと思っていた。

だがどうだろうか、この展示会では、Edyナンバーを送信しろと指示されている。Edyナンバーというのは、そういう扱いをしてよいものなのだろうか？

上の画面にあるように、

クレジットカード番号や会員番号など、他の番号とお間違えのないようご注意ください。

Edyナンバーはクレジットカード番号や会員番号ではありません。

といった注意書きがされている。そりゃそうだろう。展示会の受付をスムーズにするために、「クレジットカード番号を入れてください」などというサービスをやっていたら、カード会社に怒られるだろう。どこでもそんなことは行われていない*1。間違って一方的にクレジットカード番号を送られてきても、主催者側も困るだろう。

そういう状況で、Edyナンバーだったら渡してもよいということらしい。Edyナンバーとはそういうものなのか？ 不用意に適当な相手に番号を渡してもよいものなのか？

クレジットカードなら慎重に扱わねばならない番号であることは皆が知っている。加盟店も番号の取扱いに注意を払っている。加盟店はカード会社との契約によって、いろいろと縛られているはずだ。

だが、Edyナンバーはどうか。誰でもこうやって自由に、「Edyカードをお持ちの方は、Edyナンバーを入力してください！」とやってかまわないのか？ 業界関係者のイベント「IC CARD WORLD」だから許されるのか？ 「業界関係者のイベントだからEdyナンバーを渡しても大丈夫なはずだ」という判断を消費者がしなくちゃいけないのか？

クレジットカードの加盟店規約のような契約で縛られているかが全く不明な、IC CARD WORLDという展示会の受付に対して、このようにEdyナンバーを渡してよいということは、Edyナンバーは公開しても何ら不都合はないということなのだろう。そういうことなら、私は自分のEdyナンバーを公開する。私のEdyナンバーは以下の通りである。

1001-0001-0001-0609

公開したことによって私に何か不都合が起きるようなら、Edyナンバーを不用意に入力させるようなIC CARD WORLDのこの企画者は、自らEdyナンバーの安全性を台無しにしていることが証明される。

ところで、私のEdyナンバーだが、上位12桁が、1001-0001-0001 と、ほとんど意味のない数字に見える。実質、下3桁しかない。こんな番号でいいのだろうか？ きっとよいのだろう。私に被害は出ないはずだ。

RFIDタグのリスクとは、まさにこういうことである。RFIDカードは暗号機能によって守られているが、RFIDタグは一般に守られていない。EdyナンバーはRFIDカードなわけだが、はたして暗号機能で守られているのだろうか。

ちなみに、受付をスムーズにしたいなら、RFIDなんか使う必要はない。受付完了画面にバーコード（「展示会ローカルな受付番号 ＋ 秘密コード」のハッシュ値）を表示するようにして、印刷した紙を持参した人は、バーコードリーダにかざすだけで入場できるだろう。

こういう目的に、グローバル固有ID（サービスや事業者を越えて共通のID）を使うのは根本的に間違っている。それすら心得ていない連中がこういう事業を推進しようと必死なのだ。