最新 追記

高木浩光@自宅の日記

目次 はじめに 連絡先:blog@takagi-hiromitsu.jp
訪問者数 本日: 251   昨日: 3006

2004年06月08日

良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム

違法なファイル交換行為をする人々の心境を指して、「赤信号、皆で渡れば怖くない」が持ち出されることは多そうだが、Winnyの場合は、それだけでは説明しきれていない部分がある。

「ファイル交換」あるいは「ファイル共有」と呼ばれる行為を、5月30日の日記「P2Pの価値とは何なのだろうか」では、より細分化して整理してみた。これを表にまとめると次のようになる。

事例

特徴

仲間から仲間へ

初期段階のNapsterなど

家族や知人など特定の相手との「貸し借り」をネット上で実現した行為。

ファイル交換

WinMX等でuploadフォルダの中身を把握して動かしている場合

不特定多数が相手であるが、何を自分が提供しているかを意識する。

ファイル共有

WinMX等でuploadフォルダとdownloadフォルダを同一にしている場合など

何を自分が提供することになるか通常は意識しないが、ときどきフォルダの中身を確認したとき、自分が提供することになるのが嫌なファイルがあれば削除する。

ファイル放流

Winnyなど

「キャッシュは単なる通信路の一部であってキャッシュからのデータ送出は自分が提供しているわけではない」と主張することが可能なため、そのように自身を説得しているユーザは、自分がどんなファイルの拡散に加担しているかを意識することから積極的に逃れようとする。

ファイル供給

BitTorrentなど

ファイルの提供元が誰であるかがユーザに意識される。ユーザのネットワークおよびディスク資源は、他のユーザのために活用されるが、どのファイルの供給のために活用されているかをユーザは認識する。(自分が過去にダウンロードしたファイルの供給のためだと認識する)

RubyのまつもとさんによるMatz日記の6月8日に、次のようにあった。

しかし、これってP2Pやらファイル交換に特有の問題なのだろうか。高木さんは「それは詭弁。人の意識が介在するかどうかが肝」とおっしゃる。 Winnyが特に悪質であることを示すためには、確かにそうかもしれない。が、人の意識が介在しようがしなかろうが、侵害されてしまったことと回収不能であることには変わりがない。

たとえば、私の恥ずかしいビデオ*1がどこかのWebページで公開されてしまった、とする。HTTPは別に匿名を意識したプロトコルではないので、理屈では(官憲の力を使ってでも)だれがそのページを管理しているかを特定して、そのページの公開をやめさせることは可能である。しかし、そんなことは簡単にできることではないし(作中にもあったように海外でホスティングしてたら、とか)、たとえできたとしてもすでにタウンロードされてしまったファイルを消すことは(作中の「非常手段」を使いでもしない限り)不可能だ。

テクノロジーの進歩により、個人が大衆に直接アクセスできる手段ができたことそのものが、この問題の背景にある。インターネットは便利さを提供し、人にパワーを与えたが、そのパワーは悪意のある個人にも届けられたのだ。

現時点での私にはこの問題に対する解答はない。

(以下略)

Matz日記 2004年6月8日

「不可能」と「簡単にできることではない」とは異なる。「侵害されてしまったこと」と「侵害され続けること」あるいは「侵害が拡大すること」とは異なる。

まつもとさんは、インターネットがそもそもそのような性質を少なからず持っているということに主張の力点をおいているのだろう。だが、それはいまさら言うまでもないことではないか。

一般に、議論中にしばしば見かける「完全に○○することは不可能なのだから」という理屈。こういう主張は意味がない。なぜなら、「完全に」を冠すればあらゆる事象は「不可能」であるのが自明であり、自明のことを主張することには価値がない。つまり、「程度」こそが議論の対象たり得るのであって、それを排除した主張には存在価値がない。

崎山伸夫のBlog」の5月18日「Winnyの存亡より匿名性の存亡が心配だ」に寄せられたコメントに、次のものがあった。

「詭弁を振り回す輩が予想通り現れてきたが、拡散に人の意識が介在する余地があるかないかが肝である」と高木氏のブログであるが、意識レベルを問題にするのであればWinnyであっても意識は介在している。

情報に対する人の意識は情報を出す行為ー情報を流通させる行為ー情報を受け取る行為という一連の行為のそれぞれに介在する。 高木氏はこの「情報を流通させる行為」にのみにおいて言及しているのにすぎないのであって、「受け取る行為」にも着目しなければ情報に対する論議としては不十分であろう。

(以下略)

高木氏の意見は流通レベルだけにしか言及していない

Winnyでは、流通の仕組みが受け取る行為と切り離せない構造になっている。受け取る行為によってファイルが拡散するのであり、各ユーザの受け取る行為のひとつひとつが流通の仕組みを支えている。しかし、ユーザはそのことを認識していない。「自分は単に受け取っているだけだ」と勘違いしている。一部の専門的ユーザは認識しているだろうが、大半は理解していない。あるいは、理解することを避けながら使っているだろう。

これはうまく作りこまれた仕掛けである。Winnyでは、5月30日の日記にも書いたように、(日本ではWinMXによる「ファイル共有」としての利用がいまひとつ普及しなかった経緯から、)ファイルを暗号化してキャッシュさせるという仕組みによって、「ダウンロードするとそれが新たな拡散に加担することになる」という事実を、ユーザに認識させにくくする工夫がなされている。

これにより、「これは他の人には見せるべきでない」と良心の働くような真に悪質な映像であっても、「これ以上拡散することは避けられるべきだ」という倫理観を持つ人でさえ、自分だけは見ておきたい(見てみたい、自分だけは見てもよいだろう、見てみないと本当に悪質かどうかわからない、見ておく必要がある)と行動することによって、当人の倫理観とは無関係に侵害規模を拡大させていく。

2ちゃんねるには、しばしば人を「神!」と呼ぶ風習がある。京都新聞にこんな記事が出ていた。

書き込み順が47番目だったため「47氏」と呼ばれるようになり、ウィニー完成後は利用者から「天才」「神」と賞賛された。

京都新聞 2004年5月28日, winnyの衝撃(2)伝説の47氏 「天才」「神」と賞賛され

2ちゃんねるにおける「神!」という表現は、単純に純粋な賞賛の意味で使われるのとは違うだろう。しばしば軽犯罪を犯した有名人などに対して「神!」と言うこともある。「祭」を楽しみたい人たちが、祭を起こしてくれるネタを提供してくれる主を「神!」と呼ぶのである。神と呼ばれるに値する行為は、誰にでもできるわけではないことでなくてはならない。その一つが、犯罪、あるいはそれに類する行為ととられかねないリスクを犯す行為である。リスクを犯してまで自分たちを楽しませてくれる人、それが「神!」である。自分たちはリスクを被らないで済む。簡単なところでは、たとえば、テレビの特定の番組を話題にしている場で、注目のシーンをキャプチャしてアップロードしてくれる人を、「神!」と呼んだりする。

そこに見えるのは、自分は侵害行為に加担したくないという倫理観(あるいは安全意識)を持ちながら、自身の欲望は達成しておきたいという考え方だ。Winnyは、まさにそういう人たち向けなシステムだったと言えよう。

そして、そういう考え方は今も増長し続けている。

本日のリンク元 TrackBack(0)

2004年06月09日

IP meetingのパネル討論のビデオが公開

昨年12月のIP meetingのパネル討論の様子がビデオで公開された。

面白い。けっこうあちこち見所があるよ。(いろんな意味で。)

このときの様子については、12月7日の日記で補足を書いたとおりだ。

その12月7日の日記では、じつは書き始めたもののカットした部分があった。改めてビデオで確認して書き直した上で、カットした部分を復活させてみる。


中村さんが「それは技術の勝利」と発言なさった部分があった。そのとき、じつはちょっとぼんやりしていたので、話の流れがよくわからなかったのだが、今ビデオで確認してみると、山口モデレータがどこかで話題になったネタをふって、それに同調して答えられたものだったようだ(ビデオでは 1:05:42 からの部分)。

文章にするとこういう発言になっている。

山口: あのーすごくね、spamの議論て別のところでもいろいろやってんですけど、ほんっとうに中村先生の行動様式ってのが、うまく解析されてですね、ワントゥーワンマーケティング、ビシッとくるようになったら、それはそれで……

中村: ぼくは、ハッピーです。

山口: 技術の勝利?

中村: うん勝利。

これは、One to One マーケティング自体を否定するプライバシー強硬派?に対する嫌悪の念があるように感じられた。続く部分で佐野さんからもamazon.comの話が出てくるわけだが、私もamazon.comで買い物をしているわけで、それはamazon.comを信用しているからだ。

許可していない者にプロファイリングされて宣伝される話とは話が別だ。現在のポイントカードやクレジットカードではそういう事態にならないようになっているのが、RFIDが人々の持ち物に必ず付くような社会が到来すると、そういうことが起き得る状態になるのだ。そこに問題が指摘されているのに、One to Oneマーケティングが技術の勝利だと言ったところで、議論の本題とは関係がない。


その後、このときの思いから書き起こしたのが、2月1日の日記「混同して語られ続ける、プライバシー問題の6種類の原因要素」だった。

しかし、今ビデオを見て改めて考えてみると、信頼していないところにプロファイリングされることも個人的には勝利だと思うということだったのかもしれない。

あるいは、完璧な行動様式の解析、すなわち、「こういうことをすると嫌がられる」ということまで解析されて、余計なコンタクトをしないようにするというシステムのことを指していたのかもしれない。しかし、そのシステムは誰が管理するのものになるのだろうか。「余計なコンタクトをしないようにする」というのは誰がそう願うのだろうか。

ポジティブキャンペーンが必要なのか

MYCOM PC WEBに「RSA Conference 2004 - RFIDに残る課題」という記事が出ていた。記事前半の、日立の宝木氏の話は、セキュリティがご専門なので問題点が整理されている。

これらの問題の解決方法だが、ローエンドRFIDに暗号システムを乗せるという考えについては「確かに現在のミューチップレベルでも数千ゲートは載せられるし、実際5,000ゲート程度でRSA暗号を実装している例もあると聞いている」と述べたものの、やはり耐タンパ性に不安が残るとの認識を示したほか、

MYCOM PC WEB, RSA Conference 2004 - RFIDに残る課題, 2004年6月1日

なるほど。ミューチップ規模でもどうにかRSA暗号を実装できる可能性はあるのですか。

耐タンパ性については、そのRFIDの用途が持ち主の認証ならば、秘密鍵を入れないといけないので耐タンパ性が必要になるが、そうではなく、用途が個体識別(信頼性は低くてよいが、トラッキングを防止したい)で、ID番号にスクランブルをかけるのが目的ならば、公開鍵で暗号化すればよいので、そのときは耐タンパ性は必要ないのではないか。

それはともかくとして、後半では、上のビデオにも登場した中村氏の講演についてレポートされているのだが、ずいぶんとひどい内容だったように書かれている。講演は聴いていないので実際にどういう発表だったのかはわからないが。

続いて登場した慶応大学の中村修・助教授は、RFIDのセキュリティについて「プライバシーの問題を心配するのもいいがSFの世界でしか語られなかったような夢物語が既にあと3〜5年程度で現実になる可能性があることを考えると、あまりあれはやるな、これはやるなとネガティブキャンペーンをされたくない」と語り、まずはシステムを作ってからセキュリティを考えるべきという考えを展開した。

MYCOM PC WEB, RSA Conference 2004 - RFIDに残る課題, 2004年6月1日

日本ではネガティブキャンペーンはまだ起きていないと思うのだが。(櫻井よし子氏も何も言っていないようだし。)

キャンペーンではないが、ローカルなところで「あれはやるな、これはやるな」という声がそろそろ出始めていることはあるのかもしれない。その意味では、一昨年あたりから活発だった「ポジティブキャンペーン」の勢いが、そろそろ衰え始めてきているということはあるのかもしれない。それは正常なことだろう。ポジティブキャンペーンがないと進まない研究開発というのもいかがなものかとも思うし。

あるいは、ネガティブキャンペーンが今起きていて困るという意味ではなく、今後にネガティブキャンペーンが起きるようなことは避けられるべきという意味なのかもしれない。そのあたりは、記事を書いた記者の表現しだいなので、なんともわからない。ネガティブキャンペーンは避けられるべきというのは、私も賛成だ。

ちなみに、「まずはシステムを作ってからセキュリティを考えるべき」というのは、村井さんからもよく耳にすることだ。たしかに、インターネットのいろいろな仕組みは、まず作って問題が出たら解決するという方法で進んできている。cookieにしても、問題が出てからP3Pの仕組みが設けられたし、脆弱性の多いOSがまず普及尽くして被害が出まくってからセキュリティ対策がとられるようになった。

ただ、気になるのは、RFIDの話の場合、インターネット関連とは異なる文化の企業コミュニティが主役となるという点だ。問題が起きてから解決するという行動がはたして期待できるのか。また、リアル世界に普及してしまったタグつき消費財というものが、問題が起きた後でどうにかなるのかといった性質の違いがあるのではいか。

「今やICカードでトラッキングされるからと言ってSuicaを使わない人はいない」「高速道路のETCだって、あれでいちいちトラッキングされるとか考えていたらきりがない」などと、現在既に使われているICカードなどの例を引き合いに出した上で

MYCOM PC WEB, RSA Conference 2004 - RFIDに残る課題, 2004年6月1日

Suicaの場合は、JR東日本という比較的信用度の高い企業体だけがトラッキング情報を握っている(はず)なので問題は小さいというのと、第三者が読み出してトラッキングする可能性もあるものの、数センチの距離からしか読めないリーダしか普及していないため、問題が顕在化していないだけだし、ETCについては、自動車にはもともとナンバープレートが付いていてプライバシーがないので比較に当たらない。(ETCのIDを第三者が読む可能性についてはまだ調べていないが、たぶん対策されているのではないか。)

「プライバシーの侵害というが、具体的にどんなプライバシーがどう侵害されるかもわからない」と述べ、

MYCOM PC WEB, RSA Conference 2004 - RFIDに残る課題, 2004年6月1日

これはまずい。こういう失言をすると、このように書き立てられて、それこそネガティブキャンペーンを巻き起こしかねないので、発言に気をつけないといけない。

本日のリンク元 TrackBack(0)

2004年06月12日

ブ日記の活用特性

先月、日経デジタルコア勉強会「ブログの未来」に参加してきた。

引き続き行われた討論では、ブログの持つ社会的意義やビジネスモデルなどについて会場からの発言を交えて活発な意見交換が行われた。

意見が相次いだのは、ブログのメディアとしての特性について。会場からは

(略)

「ブログはそれぞれ発信者の土俵の上で意見を表明する世界なので、共通の場で意見を闘わせるメーリングリストなどと違い、議論に向かない」

NIKKEI NET, ブログはネットを変えるか――日経デジタルコア勉強会「ブログの未来」から, 2004年6月7日

私もこの発言をした。たしか「議論できない」と述べたと思う。

ブログの利点は、議論する価値のない相手と議論せざるを得なくなることを自分の意思で(ある程度)避けられる点にある。

対照的なのは、USENET(あるいはfj.*という特定の運営方針に基づくその一部)やメーリングリストなどであろう。

かつて学部生時代に fjを体験したとき、参加者が対等な立場で徹底的に議論を尽くすという世界に、驚きと、苛立ちと、可能性を感じた。

苛立ちを感じたのは、それまでの自分には、「自分と異なる意見を持つ人がこちら側の考え方に配慮せずに持論だけ展開するという態度に対して、嫌悪感を感じるだけで、それ以上の行動に出られない」という未熟さがあったためだった。

この苛立ちは、自分も議論に参加するようになって、すぐに解消されることになる。議論には技術が必要だった。fjという場は実名主義であり、発言のひとつひとつにはとても慎重さが求められた。他の人たちがやっているたくさんの喧嘩を観察して、どう言うとどうなるかを学習しまくった。議論の技術を身に付けると、そこは理想郷のようにも思えた。身分に関係なく事の本質だけを問題にでき、時間の制約なしに議論が尽くせる場だ、と。しかし、そこは不毛の地でもあった。互いに議論の技術を切磋琢磨し合うという意義はあったものの、それ以上の何か目的といったものはあまりなかった。どんな目的で発言しようが自由であるという完全にフラットな世界だったためだろう。

次に、参加が自由なメーリングリストを経験した。そこは、対等な議論という特性は維持しつつも、一定の目的を持った場であり、目的から外れる発言はある程度抑制される場であった。これは、全員にメールで届けるという仕組みから、発言は半ば強制的に全員に読ませることになる(実際には読み飛ばす人がいるにしても)という特性から得られる抑制効果であろう。

これらの場でうまくやっていくには、発言に対して何らかの指摘があったら、それは必ず最後まで反論(もしくは一部には同意)し尽くさねばならない(メーリングリストではその場の目的を逸脱しない範囲で)。「反論がなければ同意したものとみなされる」というのは極論かもしれないが、読者の何割かは、論点を自力で追えなくなると、最後の主張が「正しいらしいんだ」ということにして済ましていると考えられる。その割合が小さかったとしても、後に蒸し返されたり、水面下で不満が溜まり続けていつか爆発するという事態を招きかねない。

たとえ揚げ足を取る指摘(大半の読者はそれが本論に影響しないとわかっていると予想されるつまらない指摘)であっても、ひとつひとつ論理的に否定していくことは、読者のすべてを説得するつもりがあるならば、それは不毛なことではなく、重要な作業である。

それに対してブログではどうか。コメント欄を使わず、リンク元の表示だけをするという使い方をする場合では、揚げ足取りを相手にする必要性が十分に小さくなる。

誰かがリンクしてしてきてどこかで揚げ足を取っていたとしても、それを読みに行く人の数は、自分の記事を読んだ人の数よりかなり少なくなる。この割合は、日ごろ何を書いているかによって左右されるだろうし、あるいは相手が日ごろ何を書いているかによる。

相手先の指摘に反論しなかったとしても、メーリングリストの場合と異なり、反論できないからだと解釈する人は少ないだろう。そうであるが故にいちいち反論しないのであり、そうなのだから「反論できないからだと解釈する人」はますます減ることになる。

同じブログでも、コメント欄を積極的に活用している場合はそうはいかない。指摘がたとえ揚げ足取りなものであっても、きっちり反論し尽くしておかなくてはならなくなるのは、同じ文章を全員が目にするという、メーリングリストと同じ状況となるからである。しかし、コメント欄で突っ込んだ議論を展開するのは無理がある。他の方のところで、それが破綻している例をいくつも目にした。

あるいは、破綻を避けて、コメント欄の指摘をほとんど無視するという使い方もある。本文とコメント欄を対等でない関係としてとらえる場合だ。ブログの主が著名人である場合は、そうした使い方も成り立つであろう。著名人に対してコメントを述べる行為には、少なからず甘えが生ずる。この甘えから、つまらない揚げ足取りや、誹謗中傷が書き込まれる可能性は高くなっていくが、それが誰の目にも明らかであれば、それを相手にしなくても済まされるわけだ。日経IT Proの読者コメントと記者の関係などはそうしたものだろう。

自分の場合は、そのような関係に甘んずることが性に合わないので、むしろコメント欄での議論はしないと表明し、長いものは削除するという方針で使っている。

これがデジタルコアの席で「議論できない」と述べた趣旨である。トラックバックしあってゆったりと意見を出し合うという意味での議論ならば、「できない」ということはない。細かい論点を全部出してひとつひとつ潰していくというタイプの議論が「できない」という意味のつもりだった。コメント欄やトラックバックの応酬では、それはできないと思う。そういう部類の議論は、メーリングリストを活用したほうがよい。

そういう状況の中でブログを使っているのは、既にわかっていることを、まだ知らない人々に見せるという目的でやっているからだ。議論することが目的ではない。議論の余地のあることはできるだけ書きたくない。

逆にこれをメーリングリストで展開することは難しい。一方的に最初から全部の論点を挙げて長文の主張を流すという行為は不自然であるから、何らかの突込みどころをわざと設けて、議論を誘って自らの主張を少しずつ出していくというスタイルをとらざるを得ない。

無題

崎山伸夫氏が次のように述べている。

前回、私はWinnyについての高木さんのコメントについて、いくつか問題点を指摘した。しかし、高木さんには読んで頂けていないようで、認識をあらためることなくさらにその先へとすすんでいるようだ。この高木さんのスタンスについて、私は率直にいって失望しているし、高木さんが誠実な議論を行っているようにも思われない。あらためて、具体的な問題点を前回以上に指摘したい。

崎山伸夫のBlog, 5月31日

その「指摘」は取るに足らないものばかりだったのでそのままにしていた。しかし、次の反応も出てきた。

[追記]2004.06.11

「圏外からのひとこと」経由で知った、崎山さんの記事「技術者の倫理を問う」の中で、高木さんの記事「市民の安全を深刻に害し得る装置としてのWinny」には多くの嘘があることが指摘されています

私は、同じ記事の中で

IPv6を使うなどして、ひとつのコンピュータで多数のIPアドレスを保有し、アプリケーションごとに別々のソースアドレスを使用することで解決できる。これが、将来の理想的なプライバシー維持型消費者向けインターネット環境であろう。

という部分を見て、これは嘘ではないかなあと思っています。さらに、技術者がこの程度の単純な勘違いをするとは思えないので、故意に嘘を言っているのだろうかという印象を受けました。

この方は、別の日の記録で「技術に詳しい方に方法を考えていただければ嬉しいです」と述べられているくらいなので、技術に疎い方なのだろう。そうした方が、崎山氏の文章によって、「技術者がこの程度の単純な勘違いをするとは思えないので、故意に嘘を言っているのだろう」とまで考えてしまう影響を受けているようだ。

というわけなので、崎山氏の指摘に反応しておくことにする。

高木さんはたとえ完全な匿名性の提供が必要であるにしてもテキストだけで十分ではないかとしている。しかし、それも誤りではないか。テキストさえ扱えるなら画像や映像も扱える。高木さんが、まさかMIMEのbase64 encodingなどの手法を知らないということはあるまい。

崎山伸夫のBlog, 2004年5月18日

話はすべて程度問題である。不可能にする必要はない。使い勝手が悪ければ十分。ファイルサイズに上限があれば、分割して流さざるを得なくなり、受け手がある程度限定される。

また、「十分ではないか」と言っているように、システムの設計意図のことを言っているのであって、どう使い得るかの話ではない。

また、テキストだったらプライバシーの被害が全くでないということを言っているわけでもない。

他のエンコード方法はいくらでも作ることができる以上、「テキストに限る」ことができなければ刑事罰、という話ではアンマリではないか。

崎山伸夫のBlog, 2004年5月18日

そんな話はしていない。

さて、あとは蛇足だが、高木さんは「Winnyの脅威」を強く述べるためか、やや現実から遊離した話をしているように思われるので指摘しておく。

「積極的に他人のプライバシーを侵害する目的」で、「そこそこ名を知られた人がトイレで用を足しているところをビデオカメラで撮影し、その映像を放流するといった行為」がWinnyで行われるのではないか、とある。が、それはWinnyに限定されない話だ。各種報道によれば、昨年秋に芸能人のトイレや温泉での盗撮だとされる裏ビデオが登場し、最終的には少なくない週刊誌に掲載され、「上品でない」一部の雑誌はそれらの映像そのもの(略)をDVD-ROM に収めて一般の書店で販売した、という実績がある。

(略)

少なくとも出版物で許されているものをインターネット上のものでは許されないとする理由は乏しい。

崎山伸夫のBlog, 2004年5月18日

その反論は予測済みだったので、「有名人が」とは書いてない。

たとえば、そこそこ名を知られた人がトイレで用を足しているところをビデオカメラで撮影し、その映像を放流するといった行為がそれに該当する。

と書いている。週刊誌に掲載されたりすることまでは至らない一般の人のことを想定している。(週刊誌に掲載される事例には別の原因構造が絡んでいるだろう。)

一般の人を例にすると今度は、「まったく名を知られていない人ならば、悪意を持って流す動機がないじゃないか」などという反応もあり得ると考えたので、「ある程度知られた人がトイレで用を足しているところ」という例を代表例として抽出した。もちろん、他にもいろいろのケースがあり得る。漫画雑誌月刊アフタヌーン連載の「アキバ署!」で出てきた例も実は浮かんでいたのだが、「最初に撮らせる奴の自業自得」という反応が来ることが予測されたので、代表例から避けている。

少なくとも出版物で許されているものを」と言うからには、特定の事例で指摘したところで全部を否定することにはならないことは、当然ながらご自身お気づきのことだろう。

また、「Winnyに限定されない話だ」とかいう点については、6月8日の日記にも書いたとおりだ。

次にUsenetについて。たしかにUsenetでは記事のキャンセルはできた。しかし、高木さんも認識しているように、不正キャンセルが相次いだ結果、記事のキャンセルを無効とするサイトが少なからず出現したことも事実であり、初期の理想はともかく、現実のUsenetではキャンセルは「やらないよりまし」というコントロールに過ぎず、一度送出した記事の完全な取消は期待できない。

崎山伸夫のBlog, 2004年5月18日

システムのその時点での設計意図のことを言っているのであって、完全性があったかどうかは議論に影響しない。

また、Pathによる発信者記録にしても、 mail2newsゲートウェイと anonymous remailerの組み合わせによってトレースが限定される状況を許容してきたのも、現実のUsenetだ。その匿名性は、現在でもコードが保守され運用が続いているmixmaster remailer であればかなり強力なものだ。remailerの場合、受信者が匿名でなかったり最終段でUsenetあての平文になったりするため、そこでメッセージをコントロールできる余地があるという意味ではWinnyとは同一視できない部分もあるが、しかしUsenetを持ち上げつつWinnyをことさらに悪く述べてみるという手法には、違和感を感じる。

崎山伸夫のBlog, 2004年5月18日

ゲートウェイや、anonymous remailerが責任を問われ得るという点が異なる。もちろん、匿名性の提供を売りにして覚悟を持って運用するのはそれはそれでけっこう。要は、そうしたバランスがとられる余地があるかどうかだ。

「同一視できない部分もあるが」とあるように、ご自身お気づきのことだろう。

このように、5月18日の指摘は反応するに値しないものばかりだったので、特にコメントする必要性を感じなかった。しかし、31日には、

いくつか問題点を指摘した。しかし、高木さんには読んで頂けていないようで、認識をあらためることなくさらにその先へとすすんでいるようだ。

崎山伸夫のBlog, 2004年5月31日

などと言われている。

Winnyと比較されている USENET はそもそも高木さんが述べているようなものなのか?高木さんの説明には多くの嘘がある。Path: ヘッダは、そもそも 「発信者追跡」のためにあるのではない。

(略)

その目的は発信者追跡ではなくループ防止である。

(略)

このように Path: ヘッダの利用は当時の技術的水準においてニュースシステムを実装するにあたっての技術的合理性からもたらされたものであって、「追跡可能性」は単なる副産物であった。

崎山伸夫のBlog, 2004年5月31日

目的は常に唯一つに限定されるというわけではあるまい。複数の目的があってよい。また、仮に当初の意図として目的に含まれていなかったとしても、後に結果的にその目的で機能していたことによって普及が確保できたのであればそれでよい。私の論には影響しない。

さらに述べるなら、NNTP以前はホストコンピュータ上でのアカウント管理と結びつくこの追跡可能性は個別ユーザへの追跡可能性となっていたが、それは NNTP 導入とともに即座に喪われた。投稿ホスト表示である NNTP-Posting-Host ヘッダの導入は NNTP 導入よりも後であるし、また、NNTP-Posting-Host ヘッダがあっても記事の日付はクライアントで設定するものが優先されることがプロトコル上の動作であり、また個別の NNTP daemonの挙動として投稿者のトレースが容易であるようなログが長期にわたって保存されるという状況は、確立したのはかなり時代が下ってからであり、投稿者をより確実に特定できるような情報をヘッダに導入するという工夫は個別に試みられたケースは少なくないもののどこのサイトでも標準的に利用するということにはならなかった。

私の論に影響しない。NNTP-Posting-Hostフィールドを追加した意図、ログを保存するようにした意図があれば、私の論には十分である。「確実に特定」という話もしていない。

cancel機能についても、荒らし以前の問題としてそもそもニュース配送は信頼性がないことが前提とされ、それは記事のcancelも同じである。

崎山伸夫のBlog, 2004年5月31日

私の論には影響しない。設計において導入を当然に検討してしかるべき機能の話をしているのであって、USENETの事例においてそれが必ず有効に機能することが保証されていたかどうかは、関係がない。

cancelというのは所詮その程度のものとしてしか作られていない。現実に、誰かがプライバシー侵害を目的としてニュースシステムに記事や画像データを放流した場合、そのデータが完全に削除される見込みはほとんどないだろう。

崎山伸夫のBlog, 2004年5月31日

「完全に○○ないのだから□□」という話は無意味である。(6月8日にも書いた。)

また、USENETでは一度通過したものが逆流してくることがない。完全に削除される見込みがないといってもその場に残るだけであり、それに対してWinnyの場合では、どこかにある限り、検索されれば再び拡散し始める。このように、「完全に削除できる/できない」とかいうレベルの思考はどうでもよく、その先にある性質の違いが重要である。

また、情報発信者の匿名性については、高木さんは基本的に代理人を立てることで十分とする立場のようだ。しかし、それは前回も書いたが、誤りだ。「情報窃盗」という犯罪を作ろう、という動きが経済産業省の手によって現実の政治の舞台にのぼりつつある。しかし、例えば内部告発者というのは、多くの場合、形式的には情報窃盗を行っている。そのうえで、内部告発者がどれだけ保護されるかといえば、ほとんど保護されない。

崎山伸夫のBlog, 2004年5月31日

当然ながらそうならないように「情報窃盗」を定義することにならざるを得ないだろう。定義に無理があるならこれまでのように見送られるだろう。

高木さんはワームとWinnyを並べて『取り返しのつかないプログラム』だとしている。しかし、それらは全く別のものだ。ワームは、計算機の脆弱性を利用した自律エージェントとして、ワーム作者以外は誰も望まないコントロール不能な増殖を続ける。一方、Winnyの『取り返しのつかなさ』は、単に人々の欲望通りに動き、法執行機関の能力によってさえもいかんともしがたいことを『取り返しのつかなさ』と呼んでいるに過ぎない。

崎山伸夫のBlog, 2004年5月31日

それは浅はかだ。6月8日の「良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム」にまとめたように、Winnyは、人々を自分が何をやっているのか正しく意識させない工夫をしている。努力すれば気づくかもしれない人達でさえ、気付こうとすることからあえて逃げてしまう、そういった心理的作用が働いている。

追記

この高木さんのスタンスについて、私は率直にいって失望しているし、高木さんが誠実な議論を行っているようにも思われない。

崎山伸夫のBlog, 2004年5月31日

正直、「失望している」などと言われるのは蕁麻疹が出る思いだ。「失望している」と言って浴びせかけるからには、そう言われた私ががっかりすることを期待しているのだろうが、そのような的外れな期待が一方的にされていることに吐き気をもよおす。

なぜ私があなたと同じスタンスに立たって期待されなければならないのか。そんな必然性は最初からない。私は、個々の事案について個々の論点をただ積み重ねているだけであって、原理的な原則論の朗読には全く興味がない。

リベラリストは、多様な判断と、世の中の不完全さを許容する。

崎山伸夫のBlog, 2004年5月31日

私の知ったことではなかろう。

追記2

上で引用した、

[追記]2004.06.11

(略)

私は、同じ記事の中で

IPv6を使うなどして、ひとつのコンピュータで多数のIPアドレスを保有し、アプリケーションごとに別々のソースアドレスを使用することで解決できる。これが、将来の理想的なプライバシー維持型消費者向けインターネット環境であろう。

という部分を見て、これは嘘ではないかなあと思っています。

だが、これは、引用部の直前に書いてある部分を読まずに言われているのだろう。引用部の直前を復元するとこうなっている。

そういうこともあるので、IPアドレスは固定でなくするべきである。このことについては、去年の5月25日の日記などで書いてきた。さらに特定される可能性を避けるためには、 2月8日の日記で書いたように、IPv6を使うなどして、ひとつのコンピュータで多数のIPアドレスを保有し、アプリケーションごとに別々のソースアドレスを使用することで解決できる。これが、将来の理想的なプライバシー維持型消費者向けインターネット環境であろう。

HSKI's, 6月9日

おそらく2月8日の日記を読んでいないのだと思われる。「アプリケーションごとに別々のソースアドレスを」と書いたのは説明として省略しすぎで失敗だったかもしれない。2月8日の日記では次のように書いている。

つまり、各個人が、使用するサービスごとに異なるIPアドレスを取得して使うのだ。各サービスの独立したユーザIDに一対一対応するIPアドレスを取得するというわけだ。Webブラウザであれば、アクセス先ごとにアクセス元のIPアドレスを異なるものにすることになる。一人が数千個のIPアドレスを使うとしても、IPv6ならばアドレスは枯渇しないだろう。

(略)

メーリングリストはどうなのか

ここからさらに、そもそもmailには発信者側からの削除機能が一切存在せず、それはたとえばメーリングリストプログラムについても同様である(アーカイブが削除可能であることは別問題とする)、ということが思い出される。「分散型情報共有システム」において、「一度広がり始めた情報が取り消しできなくなることに恐怖感を覚え」て、「データを削除する機能を取り付けること」が「普通の技術者が当然に考えること」かといえば、それは嘘であろう。少なくとも高木さんが偽の歴史を書いているとは言える。

メーリングリストは分散型ではない。分散型でないものは規模が限定される。程度問題を議論しているのであるから、同列に扱うものではない。

メーリングリストに、ときどき、仕事上の部外秘メールを誤って流してしまう人がいる。そうした事故が起きたときは、事故を起こした者が、他の購読者に削除をお願いして呼びかけることになる。購読者の人達は、受信したそれをどう扱うかは、人それぞれの良心にまかされることになる。

購読者でない人達にまで拡散していくかどうか(「一度広がり始めた情報が取り消しできなくなる」かどうか)には、人の良心が働く余地がある。

良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム

Mailing List はどこに入るんだろう、と考える今日このごろ。

セキュリティホールmemo, 2004.06.11

良心に蓋をさせるものではないでしょう。一度流れたらそれっきりで、さらに拡散するかは、通常の手渡し等での拡散とかわらない。

本日のリンク元 TrackBack(0)

2004年06月14日

無題2

先日の続きになるが、崎山伸夫氏が「決別」なるものを書いている。

これまでに付き合いがあったかのように誤解させるものであり、迷惑である。私は崎山氏と何ら親しい関係を持ったことがない*1

高木さん、もう不誠実さへの憤りとか通り越して、哀れですよ。

崎山伸夫のBlog, 6月15日

なんら問題ない。

高木さん、刑事罰云々について

そんな話はしていない。
というが、ではあなたが今、現実にWinnyの作者が刑事裁判の被告であるという状況で、Winnyがいかに悪を助ける性質を持っているか、という形で議論を続けるのは、いったいいかなる意図なのか?

崎山伸夫のBlog, 6月15日

ようするに、たとえ真実であっても語らずにおけ、ということか。Winnyがどういう性質のものか、知ろうとするなと。(そもそもお前は知っているのか?と問いたいのだが。)

(個人的な心情を書くと、Winny作者の幇助の罪での立件は個人的に予想外であり、募金も考えたが、それとは関係がない。関係ないべきである。)

何人もの人たちが、「Winnyはすばらしい技術」だとか「画期的な技術」だと言ったり、「P2Pの芽が摘まれてしまう」などと言ったりしている。技術を知らない人たちはそれを真に受けている様子がある。(政治的な目的に囚われていない)プログラマーの認識はそれとは違うだろう。私はそれを、深く掘り下げて言葉でまとめているだけだ。

いかなる場合であれ、より豊富な真実を広く伝えることによって、人々の判断はより正しくなると考えるべきである。


高木さん、「そこそこ名を知られた人」が「有名人」でないなどという後出しジャンケン的否認が意味をもつと思うのですか?「上品でない」雑誌についてサーベイしたほうがいいのでは?

崎山伸夫のBlog, 6月15日

先日書いたとおり、本当に芸能人のその事例(雑誌掲載の事例も)が頭に浮かんだ上で、意図して避けたものだ。「後出しだ」などと嘘呼ばわりされても困る。

それに、芸能人の事例が不適切だとしてそれが何だというのか。「そこそこ名を知られた人」の事例や、月間アフタヌーン「アキバ署!」の事例が有効であれば、私の論は成立する。

高木さん、Usenetについて

システムのその時点での設計意図のことを言っている
と言ったり、
また、仮に当初の意図として目的に含まれていなかったとしても、後に結果的にその目的で機能していたことによって普及が確保できたのであればそれでよい。
と言ったり、ダブルスタンダードそのもの。

崎山伸夫のBlog, 6月15日

システムは改良を繰り返しながら様々な変化を遂げつつ人々に動かされてきたわけだから、改良時の設計意図も含まれる。何ら矛盾していない。先日述べたとおりだ。「ダブルスタンダード」という言葉の使い方が狂っていはしないか。

ソフト技術者は取り返しのつかないプログラムは動かさないという倫理観を漠然と持っているだろう

などと言えるほどの根拠は何も示されていない。

崎山伸夫のBlog, 6月15日

読者がどう思ってくれるかで十分だ。「取り返しのつかない」は、6月8日の「良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム」にまとめたとおり。

ゲートウェイや、anonymous remailerが責任を問われ得るという点が異なる。もちろん、匿名性の提供を売りにして覚悟を持って運用するのはそれはそれでけっこう。

高木さん、あなたはremailerがメッセージに自動的につけるdisclaimerを読んだことがないんですね。

崎山伸夫のBlog, 6月15日

disclaimerなぞ関係がない。「もちろん」以降は、そのanonymous remailerのことを指しているわけではない。

また、USENETでは一度通過したものが逆流してくることがない。

高木さん、あなたは USENET 上の一部のニュースグループについて third party cancelに対抗するreplay botが存在していたことも知りませんね。

崎山伸夫のBlog, 6月15日

本論には影響しない。各ノードにreplay botが設置されていたわけではあるまい。

(「時として尻尾が2本ある犬が生まれることもある」ならそうかもしれないが。)

高木さん、多くのGUIベースのMUAで、複数のメッセージのテキストからバイナリを自動抽出・結合して画像等として表示するという機能が実装されていたり、あるいは逆にそのような形で(略)

崎山伸夫のBlog, 6月15日

どうでもよい。

当然ながらそうならないように「情報窃盗」を定義することにならざるを得ないだろう。定義に無理があるならこれまでのように見送られるだろう。

高木さん、あなたは内部通報者保護法の制定経過をみてもなお、そう単純に判断できるのですか?

崎山伸夫のBlog, 6月15日

情報窃盗と内部通報者保護法とは同一でなかろう。

私は、個々の事案について個々の論点をただ積み重ねているだけであって、原理的な原則論の朗読には全く興味がない。
高木さん、「個々の論点」なるものをいかにして選びとったかこそがあなたの意志表明であるわけであり、そこで「原則論」に「興味がない」とあなたが本気で述べているのであれば、あなたはRFIDについての中村修氏と同列に非難されるべきであろう。

崎山伸夫のBlog, 6月15日

ぜんぜん意味がわからない。私は中村氏を「非難」などしていないし。(崎山氏は人を非難するのが目的の人なのかもしれないからそう考えがちなのかもしれないが。)

区別することなく「もともとプライバシーがない」と表現するのは、これまた誠実な議論とは思われないのだが。

崎山伸夫のBlog, 6月15日

またゼロ・イチ論議か。すべてが程度問題、相対的な比較の論理なのだが。

正直、「失望している」などと言われるのは蕁麻疹が出る思いだ。

高木さん、私が失望しているのはあなたの「Winnyに対する」スタンスではなく、あなたが事実についての率直な指摘に対して認識を改めないスタンスだ。そしてもうその失望は覆らないものだという確信を私は抱いたし、あなたが不誠実さについても確信した。

崎山伸夫のBlog, 6月15日

気持ち悪いので蕁麻疹が出ると書いた。

加えておくと、昨年10月15日のこのときから既に吐き気がしていた。

崎山伸夫のBlog, 2003年10月16日, 「さらにもう一つの努力を」

なぜお前に「もう一つの努力を」などと言われなくちゃならんのかと。お前の期待に沿うために書いているわけではなかろうが。

説明をサボっても得られる共感は何を目的としたものか」と書いたのは、ようするに彼がやっていることは、自分たちの経典があって、もともと既にその経典を信仰している人々に対して、それを朗読したり、解説してみせて、仲間内で共感しあって満足しているだけ。だから、理由の説明もなしに人を非難して見せることが、妥当な行為だと彼は考えてしまうわけだ、ということを言いたかった。結局そのときは書くのをやめておいたが。

続・追記2

先日の追記2に対してHIKI'sに追記があった。

[追記2]2004.06.14

1.私は、P2Pの仕組みにおいて匿名性が失われることには反対です。

(略)

ここまでで、高木さんご自身も、IPv6を使うなどしてIPアドレスの数を増やすことでは、IPアドレスから個人を特定することを防げないこと、について自覚されていることがわかりますので、「IPv6を使うなどして・・・解決できる」と言い切ってしまったのはやや行き過ぎと思います。(略)

HSKI's, 6月9日

そこまでの文脈が理解されておらず、当該部分の言葉尻だけが取り出されているようだ。私のその部分は、発信者の匿名性のことを言っているのではなく、受信者の匿名性のことを言っている。文脈を紹介すると、まず、

だが、そうした目的の利用においては、最初の提供者に匿名性は不必要だろう。 コンテンツ提供者の匿名性と閲覧者の匿名性は別である。それについては去年の5月29日の日記に書いた。

市民の安全を深刻に害し得る装置としてのWinny

から始まり、

匿名性にも複数の段階がある。誰にも特定できないレベルの匿名性と、一定の条件がなければ特定されないレベルの匿名性がある。

(略)

そのIPアドレスからISPに契約者の連絡先を求めるというステップを踏むことになる。それぞれの場面で開示請求の妥当性がそれなりに判断されるので、つまらないことでなら、匿名性が暴かれる可能性は小さいといったバランスが形成される。

市民の安全を深刻に害し得る装置としてのWinny

という区分けをした上で、

閲覧者の匿名性は確保されるべきものだろうから、(略)

現在のWinnyでも隣のノードの人のIPアドレスは知ることができる。ISPに開示請求しなくても、たまたまそのIPアドレスの人が、別のアプリケーションでそのアドレスを公開してしまっている事態は有り得る。

市民の安全を深刻に害し得る装置としてのWinny

という文脈があって、

そういうこともあるので、IPアドレスは固定でなくするべきである。このことについては、去年の5月25日の日記などで書いてきた。さらに特定される可能性を避けるためには、2月8日の日記で書いたように、IPv6を使うなどして、ひとつのコンピュータで多数のIPアドレスを保有し、アプリケーションごとに別々のソースアドレスを使用することで解決できる。これが、将来の理想的なプライバシー維持型消費者向けインターネット環境であろう。 市民の安全を深刻に害し得る装置としてのWinny

と述べたものだ。

[追記2]2004.06.14

IPv6は一般の新聞でも取り上げられるなど、社会の関心もそれなりに高いようです。そのような状況の中で、高木さんの主張を読んだ人達が、「IPv6を使えば匿名性は確保できるのかぁ。それはよかった」という誤った認識を持ってしまいかねないことは、(略)

HSKI's, 6月9日

普通のIPv6利用がむしろプライバシーを損ねるという指摘は、昨年の5月25日の日記や、11月24日の日記に書いてきた。

2月8日の日記の話は、現在考えられている通常のIPv6の使い方ではなく、私が考えるそうあるべき使い方の話であって、このアイデアはIPv4では実現できないので、IPv6ならばそれが可能ということを言っている。

*1 強いて挙げれば、1998年ごろあったジョーク団体の「日本イソターネット協会」で、崎山氏が協会の名前を使って講演したり書いたりしはじめて主宰者が困りだしたときに、聞き分けのないことを言って場が凍ったときに、「いい加減にしろ」という趣旨のことを言って一喝したときくらいが、知人関係にあったといえるか。

本日のリンク元 TrackBack(0)

2004年06月21日

「消費生活の匿名性」論議を人質にして「表現の匿名性」を求める市民運動は「市民のため」か?

長野弘子氏による5月19日の日経ネット時評には、(長野氏自身による他の部分での主張は別として、)他の誰かの発言を引用して紹介した、次の部分がある。

社会的責任を考える開発者の業界団体CPSR/Japanのメンバーの1人は、今回の逮捕は警察が「追跡困難な匿名性システムを作り上げたこと」にほう助性を見出していることが問題だと指摘する。

同氏はCPSRのメーリングリストで「匿名での情報発信やコミュニケーションの自由は、言論の自由や通信の秘密の重要な一要素」と述べる。さらに、近い将来、ICタグがあらゆる商品に組み込まれ、どの街角にも監視カメラが設置されるという側面を持つユビキタス社会の到来に向けて、「匿名化技術は個人が意識・無意識にばらまく多くの個人情報の集積を制限するという方向で重要になるので、匿名性を確保する技術への萎縮はユビキタスネットワークでのプライバシー確保を高い水準で行えなくなるかもしれない」と警鐘を鳴らす。

長野弘子, 日経ネット時評5月19日

この主張を一言で批判すると、「表現の匿名性のために、存在の匿名性を人質にするようなもの」と言える。

「表現の匿名性」と「存在の匿名性」という言い回しは、東浩紀氏が中央公論に連載した「情報自由論」の第9回「表現の匿名性と存在の匿名性」(中央公論2003年4月号)で知った。

私も5月29日の日記で「「匿名性」とは何なのか」という題で、

「匿名化技術」と聞いて嫌悪感を抱く人が少なくないように思われる。犯罪捜査が困難になるなどと危惧するためなのかもしれない。しかし、(略)

匿名性の話をすると、掲示板における匿名性ばかりが注目されてしまうかもしれないが、そのことよりも、電子商取引サイトなどへのアクセスについて、それがあったほうが良いということを言っていることに注意してほしい。

ということを書いてみたが、このときうまく表現し切れなかった両者の区別を、東氏は「表現の匿名性と存在の匿名性」という形で見事に示してくれた。

「表現の匿名性」とは、言論活動など能動的に何かを表現するときに著者の名前を隠すことを指しているのに対し、「存在の匿名性」とは、ユビキタス社会の到来によって、一般市民が生活の場で情報発信の意思がなくても油断すると名前が明らかになってしまうのを、避けることを指している。

「存在の匿名性」は「消費生活の匿名性」と言い換えてもよいかもしれない。

さて、匿名と一口に言っても、その達成度によって異なるレベルがある。このことについて、5月29日の日記でも次のように書いた。

しかし、「匿名」といっても、個人の特定を不可能にするものだけを指すわけではない。複数の主体に分割して管理される情報が、何らかの権限発動によって集積されて初めて個人を特定できるようにするシステム(一部の主体の意思だけでは特定できない)も匿名化技術のひとつである。裁判所の令状に基づいて容疑者を特定するといった余地を残すことのできる方法だ。

(略)

ダイヤルアップ接続の場合、電話をかけて接続する毎に、異なるIPアドレスが割り当てられる。IPアドレスから電話局や地域を特定可能なプロバイダもあるが、IPアドレスが変化するため個人を追跡することは困難になっている。しかし、犯罪捜査にプロバイダが協力すると、IPアドレスと時刻から契約者を特定されることがある。そのプロバイダが接続時の認証の記録を保持していればだが。(記録を保持すべきかという議論とは独立であることに注意。)

どんなときに記録を開示するか(あるいはそもそも記録をしないでおくか)は、ISPによって様々な方針があってよいだろう。断固として開示せず訴訟リスクを背負う代わりに、利用料金が高いISPとか、ホイホイと開示する代わりに利用料金の安いISPがあってもよいのではないか。そのときその方針が利用者に予め示されていればよい。

匿名の達成レベルを、たとえば次のように分類してみる。

  • 匿名レベル A: ログを記録しない
  • 匿名レベル B: ログを記録するが、裁判所の令状があっても開示しない場合がある
  • 匿名レベル C: ログを記録し、裁判所の令状があった場合にだけ常に開示する
  • 匿名レベル D: ログを記録し、警察署の捜査関係事項照会があった場合には開示する
  • 匿名レベル E: ログを記録し、弁護士等からの照会があると開示する
  • 匿名レベル F: ログを記録し、誰からの照会でも開示する
  • 匿名レベル G: ログを記録し、自らそれを第三者に提供するなどする

接続プロバイダは電気通信事業者なので、レベルG〜Eということはあり得ないが、一般の掲示板運営者をISPととらえれば、どのレベルの可能性もある。ネットショップなどの利用記録を想定した場合は、Gのような会社もかつては存在したし、利用者の承諾を得て第三者に提供するというビジネスもある(IPアドレスが提供されるということはないだろうが)。

消費生活の匿名性(存在の匿名性)を考えたときに、IPアドレスが誰のものなのかISPに照会して個人を特定できるかというと、それはあり得ないことのはずだと多くの人が考えているだろう。たとえば、「商品を閲覧してくれたお客さんにリーチしたいがために、そのアクセス者のIPアドレスからISP(接続プロバイダ)に照会して連絡先個人情報を得る」などということはあり得ない。あってはならないことという常識がある。

ところが最近になって、その常識が覆ってしまうおそれが出てきた。低コストRFIDタグの消費財への埋め込みであり、長野氏が誰かの発言を引用しつつ紹介した、

近い将来、ICタグがあらゆる商品に組み込まれ、

長野弘子, 日経ネット時評5月19日

という状況である。これは、固定された固有IDが誰にでも読めてしまうために「共通ID」として機能してしまうという、アーキテクチャ上の脆弱性が原因であり、それがどういうものなのかは、ここではもう説明の必要はないだろう。

もっとも、すべての人がそれを危惧するわけではない。商品を閲覧しただけで自分が誰であるか把握されてしまうことが、どんな相手の場合であっても気にならないという人もいるかもしれない。

信用できると確認済みの相手ならかまわないが、任意の相手に把握されるのは困るという人は多いだろう。また、どんな相手であっても、自分が許可したときだけ(注文を発行したときだけなど)にしか把握してほしくないという人もいるだろう。あるいは、いかなる場合も匿名のまま消費生活を送りたいという人もいるかもしれない。

このように、消費生活の匿名性も、どの状況によってそれを求めるかは、人それぞれの価値基準により異なる。

一方、表現の匿名性も、どれだけ求めるかは人それぞれ異なるだろう。匿名での発言そのものを嫌悪する人もいれば、匿名での議論の方がより深く議論できると主張する人もいるし、告発のために表現の匿名性は確保されねばならないと考える人もいれば、たとえ犯罪の温床となろうとも完全な匿名表現の場は用意されていなくてはならないと考える人もいるのだろう。

表現の匿名性にとっては、先に述べた匿名レベルの違いが重要となる。「犯罪の温床になろうとも用意されていなくてはならない」という考えの人は、Aの匿名レベルを求めるのだろうが、「匿名での議論の方がより深く議論できる」という必要性においてのみ匿名性を求める人にとっては、DかC程度の匿名レベルがあれば十分と考えるかもしれない。

この中からどの立場を選択するかは人々の自由であり、いよいよ社会としてどれを選ぶかを決めざるを得ない時がきたなら、それは民主的に選択されるべきとしか言いようがない。

問題なのは、人々が、自分がどの立場にいるのかを理解していないかもしれないという危惧である。

一昔なら、人口の1割未満の人しかインターネットに接したことがないために、たとえば、匿名による議論というものがどういうものか想像が及ばずに、掲示板を忌み嫌うシーンが多かったのが、このところかなりの割合の人がインターネットに触れるようになったせいか(マスコミも2チャンネルを頼りにするようになったせいか)、マスコミにおけるネットに対する態度にも変化が訪れているように感じられる。

大半の人が未経験であるが故に理解していないことを、経験前に理解できるよう情報を提供するのが「専門家」(あるいは「先走った経験者」でもよい)の役割であろう。

求める立場を理解した上で選択するにあたっては、選択は誰にでもできることであって、「専門家」が選択してみせる必然性はない。

私は、RFIDタグやサブスクライバーIDのプライバシー問題について、多くの人々に理解されていないであろう論点を整理して見せることに注力してきたのであって、最終的にどの立場を選択すべきかなどといったことは(ほとんど)主張していない。

それに対して、冒頭に引用した「メンバーの1人」の主張はどうだろうか。

同氏はCPSRのメーリングリストで「匿名での情報発信やコミュニケーションの自由は、言論の自由や通信の秘密の重要な一要素」と述べる。さらに、近い将来、ICタグがあらゆる商品に組み込まれ、どの街角にも監視カメラが設置されるという側面を持つユビキタス社会の到来に向けて、「匿名化技術は個人が意識・無意識にばらまく多くの個人情報の集積を制限するという方向で重要になるので、匿名性を確保する技術への萎縮はユビキタスネットワークでのプライバシー確保を高い水準で行えなくなるかもしれない」と警鐘を鳴らす。

長野弘子, 日経ネット時評5月19日

「ICタグがあらゆる商品に組み込まれ」ることによってもたらされるプライバシー上の問題点を懸念するのは、どの立場を選択する人達が該当するかというと、先に述べたように何種類もの立場が該当する。「匿名での情報発信の自由」を求めない人でありながら、「ICタグがあらゆる商品に組み込まれ」ることには懸念を示す人は多いはずだ。

最近ようやくテレビなどでも、RFIDタグにプライバシーの問題が存在することが紹介されるようになり、消費生活の匿名性を求める人々が、ちょうどこの種の問題に目覚め始めたところと思われる。

上の主張は、そこに便乗する形で、「匿名での情報発信」までもが必要だと主張しているように見える。匿名での情報発信を阻害すると、ユビキタス社会でのプライバシー(消費生活の匿名性)も必然的に失われるかのように暗に言っている。

未だ、消費生活の匿名性におけるRFIDタグの問題を理解していない人々が、この主張を聞かされると、「匿名での情報発信の自由」を無差別に求めることを是認しない立場の人は、問題の整理ができておらず理解が足りないが故に、すべての種類の、すべての状況での、すべてのレベルの匿名性は不必要であり、悪しきものだと考えてしまうおそれがある。

ユビキタス社会での消費生活上のプライバシーを確保するには、Winnyを擁護し認めなくてはならないのか? そのような直感から、価値判断としてWinnyを否認する人が、結果として、RFIDタグを受け入れるという判断をしてしまうことになりかねない。

そういった展開は避けられるべきことである。

「匿名化技術は個人が意識・無意識にばらまく多くの個人情報の集積を制限するという方向で重要になるので、匿名性を確保する技術への萎縮はユビキタスネットワークでのプライバシー確保を高い水準で行えなくなるかもしれない」と警鐘を鳴らす。

長野弘子, 日経ネット時評5月19日

これは乱暴なこじつけである。

Winnyの「匿名性を確保する技術」は、発信者(Upフォルダに入れてファイルを放流した人)を匿名にする、つまり「表現の匿名性」を確保することを主眼に置いている。

中継者の自覚を避けるためにファイルが暗号化されているため、結果的に、消費生活の匿名性(ダウンロードする者の匿名性)も確保されたが、また、検索リクエストが暗号化されることでもダウンロード者のプライバシーが保護されたが*1、これは、Winny固有の話ではなく、ネットショップにSSLで接続する(消費者の通信内容を暗号化する)の話と違いがない。

仮にWinny事件の影響で「匿名性を確保する技術への萎縮」が起きたとしても、SSLの利用に対する萎縮が進むはずがないわけであり、上の点での消費生活の匿名性には何ら影響しない。

次に、P2Pによる通信は、消費者が直接通信する先が、サーバではなく隣のpeerとなるため、サーバ(情報提供者)に消費者側のIPアドレスを知られなくて済むという点で、匿名化されていると見ることはできる*2

しかし、IPアドレスから個人を特定されるかというと、消費生活の匿名性として求められるレベルの匿名性であれば、先に整理したように、ISPがそのような目的のために開示することはあり得ない。

残るは、IPアドレスが固定の共通IDとして機能してしまうことによって、トラッキングによりプライバシーが損なわれる危惧であるが、これは元々回避されるべきことであり、どうすればよいかについて、これまでにも何度も書いてきた。2月8日の日記や、昨年5月25日の日記に書いた通りである。

P2Pや多段中継によって消費生活の匿名性をさらに高めるということも考えられるが、それは必須のものではないし、また、それは中継点でログをとることを前提としたものであってもかまわないのであるから、仮にWinny事件の影響による「匿名性を確保する技術への萎縮」が起きたとしても、それらが否定されることにはならない。

にもかかわらず、萎縮する萎縮すると言い続けることは、むしろ、技術を知らない人達に、「それは萎縮してしかるべきことなんだ」と感じるようにさせてすらいる。いったい何がしたいのか。

同氏はCPSRのメーリングリストで「匿名での情報発信やコミュニケーションの自由は、言論の自由や通信の秘密の重要な一要素」と述べる。

長野弘子, 日経ネット時評5月19日

1対1の通信が行われている場合については、憲法が定めた通信の秘密は当然ながら最大限に配慮されるべきである。では、ミクロには1対1の通信で構成されるものの、マクロな様態としては放送に類似するような、不特定多数への情報発信(自動公衆送信可能化)行為は、憲法の通信の秘密にどのように関係するだろうか。

ダウンロードする側には、同様の通信の秘密が確保されるべきと言ってよいかもしれないが、自動公衆送信可能化している側には関係がないだろう。Winnyに当てはめれば、少なくとも、Upフォルダに入れた行為に対して、通信の秘密云々言うのは妥当とは思えない。(キャッシュを自動公衆送信可能化している状態については、わからない。)

したがって、このWinnyの話の文脈で、「通信の秘密」を持ち出すのは不当である。「匿名での情報発信」「言論の自由」だけを言うべきである。

以上のことから、この主張は、「表現の匿名性のために、消費生活の匿名性を人質にするようなもの」であり、害を有している。

もっとも、この発言は1個人がCPSRのメーリングリストで発言したものを、別の人が取り上げたに過ぎないのであり、CPSR/Japanの公式見解というわけではないと信じている。(私はそのメーリングリストを購読していないので、実際にどのような流れでの発言だったのかは知らない。)

CPSRとは、「Computer Professional for Social Responsibility」すなわち「社会的責任を考えるコンピュータ専門家の会」だという。CPSR本部の活動の内容やこれまでの歴史を詳しく知らないのだが、名前から感じられるところからは、(非限定的自由を優先するといった価値判断を含まずに)コンピュータ専門家として社会的責任の観点から、非専門家の気付かない部分の情報を提供していく団体のように私には見える。というか、そのように期待している。

私も4年ほど前だっただろうか、CPSR/Japanが設立準備の段階のとき、山根さんに口頭で参加をそれとなく呼びかけられたが、私の期待するものと違って、価値判断を剥き出しにし、個人的基準を主張のベースとして外さない輩が、必ずや参加してきて大きな声を出すだろうと予想したので、今まで団体へ参加することなしにいる。

Winnyの負の面に関するコンピュータ専門家の考える社会的責任というものも、聞こえてきてしかるべきだと、私は思うし、期待している。


崎山伸夫氏がblogで6月16日に次のように述べている。

ETCにおける決済はクレジットカードのシステムが利用されている。高速道路におけるクレジット決済については

つまり、誰が何月何日にどこからどこへ移動したかが、カード会社に伝達されているのだ。(中略) 日本道路公団だけが違う。どうしてこうなっているのだろうか。たぶん、何も考えていないが「マジメ」な人が仕事をしているんだろうと思う。

という秀逸な指摘が存在するわけだが、同目的の同様のシステムに関して、「ナンバープレートはプライバシーではない」から問題ないという形で「ETCになんとなく疑問をもつ人」の関心が遮断されるような話になるのはいったいいかなることなのだろう?

これは、私の6月9日の日記「ポジティブキャンペーンが必要なのか」で、次のように書いたことに対する指摘である。

「今やICカードでトラッキングされるからと言ってSuicaを使わない人はいない」「高速道路のETCだって、あれでいちいちトラッキングされるとか考えていたらきりがない」などと、現在既に使われているICカードなどの例を引き合いに出した上で

MYCOM PC WEB, RSA Conference 2004 - RFIDに残る課題, 2004年6月1日

Suicaの場合は、JR東日本という比較的信用度の高い企業体だけがトラッキング情報を握っている(はず)なので問題は小さいというのと、第三者が読み出してトラッキングする可能性もあるものの、数センチの距離からしか読めないリーダしか普及していないため、問題が顕在化していないだけだし、ETCについては、自動車にはもともとナンバープレートが付いていてプライバシーがないので比較に当たらない

これは、「今やICカードでトラッキングされるからと言ってSuicaを使わない人はいない」とか、「高速道路のETCだって、あれでいちいちトラッキングされるとか考えていたらきりがない」というプロパガンダ的手法によって、人々の論点整理を妨げて混乱させる行為(指摘されている問題の本質から目を逸らそうとする行為)に対する、批判としての目的で書いたものなのだから、こういう書き方となるのは当然だ。

つまり、ここでは、Suicaを使うことをためらわない立場を選択する人、および、ETCを使うことをためらわない立場を選択する人だけを対象に、私は呼びかけている(RFIDタグの消費財への埋め込みは別問題なのだと)のであって、それ以外の立場を選択する人たち(ETCの履歴が道路公団に把握されることに問題なしとは感じない人)は、ここの文脈では呼びかけの対象ではない。

自動車の走行履歴が道路公団を通すなどして捜査目的等で警察に取得されることについて、ためらいを持たない立場を選択している人は、少なからずいる(私がそうだということではない)だろう。そうした人が、「高速道路のETCだって、あれでいちいちトラッキングされるとか考えていたらきりがない」と考えるわけであって、その人達の価値基準における「プライバシー」という意味で、「自動車にはもともとナンバープレートが付いていてプライバシーがない」ということを言っているだけだ。「比較に当たらない」と書いているではないか。あくまでも比較の論理の積み重ねである。

そういう簡単なことがわからない崎山氏は、どうかしていると言わざるを得ない。一時的に血が昇って錯乱しているのでないのならば、根本的に議論スキルが欠けていると言わざるを得ない。この能力が改善されるまでは、議論の相手に値しないし、他の読者もそれに引きずられないように気をつけるとよいだろう。

崎山氏が「秀逸な指摘」として参照した、私の2月28日の日記「日本道路公団がクレジットカード会社に伝える個人の位置移動履歴」では、6月9日とは別の価値基準で立場を選択している人達向けに書いたものだということになる。

私の個人的価値判断としては、道路公団からクレジットカード会社に走行履歴が渡されていることは、受容できるものであるが、そのことは関係がない。別の立場を選択する人からすれば、そのような道路公団は糾弾されるべきと感じる人もいるだろうから、この事例について書いたまでである。

また、5月16日の日記「市民の安全を深刻に害し得る装置としてのWinny」において、後半で、

コンテンツ提供者の匿名性と閲覧者の匿名性は別である。それについては

で始まる、匿名性に関することを書いているが、この部分については、その直前に、

昨今、P2Pによる分散型ファイル共有(流通)システムの有益性を主張する人が少なくない。(略)

そして現時点では、ビデオ映像のような大きなデータを瞬時に多くの人達で共有するには、サーバ・クライアント方式では実用にならないと考えられているため、P2P(というか分散型アーキテクチャ)が再び脚光を浴びているわけだ。(略)

そのような場合においてP2Pが有意義だと言われている。DRM(デジタル著作権管理)機構を備えたファイル形式によって、映像コンテンツをどんどんP2P型ファイル共有ネットワークに流通させたうえ、閲覧時にライセンスの購入が必要なようにするといったことが試みられている。

だが、そうした目的の利用においては、最初の提供者に匿名性は不必要だろう。

という文脈がある。

つまり、表現の匿名性を確保することによる言論の自由を求める立場とは独立に(関係ななしに)、ファイルサイズの大きなコンテンツの効率的な配布のためにP2Pが必要だとの立場をとる人々だけを対象として、「そうした目的の利用においては、最初の提供者に匿名性は不必要だろう」と言ったものだ。

続く、

とはいえ、コンテンツ発信者の匿名性を完全に確保するための技術が不要だとは言わない。

から始まる部分は、別の価値を選択する人向けの立場を紹介しつつ、異なる立場どうしで妥協できる点はないかと模索して見せたものであり、「なかろうか」という程度のことを言っているにすぎない。

ちなみに、私がWinnyの件で、自分の価値判断に基づく主張をしたのは、削除機能が欠如している点についてである。発信者特定機能については、考察しただけで、必須だとは言っていない。

価値判断からどの立場を選択するかは、それぞれの人々の自由である。私が言っていることを鵜呑みにするのは、当然ながら危険なことであろう。

*1 これらの暗号化による保護は破られてしまっているが、ここでの議論には関係がない。

*2 逆に、管理されていない、得体の知れないpeerにIPアドレスを知られてしまうことの方が、プライバシーリスクが高いとする判断もある。

本日のリンク元 TrackBack(0)

2004年06月26日

IC CARD WORLD 2004に行ってきた(3か月前の話)

2月29日の日記に書いていたとおり、3月4日に、「IC CARD WORLD 2004」に行ってきた。セミナープログラムのパネル討論「ユビキタス社会を支えるICタグの現状と課題」にパネリストとしての登壇を依頼されたからだ。

RFIDタグの推進側とプライバシーの問題を提起する立場の者が、この問題について直接討論して見せるというのは、日本ではこれ一回しか行われていないと思う。私は、「糾弾する」とか「非難する」というようなことをする立場ではなく、問題点の整理することと、今回はそれに加えて現実的な落とし所を示して見せる(このときが初公開)ということをやった。そのとき使ったスライドは以下に公開している。

全体としてなかなかよい討論になったと思うのだが、その後、この様子はどこでも報道されなかったようだ。司会は日経エレクトロニクス副編集長の方だったが、日経エレクトロニクスにも掲載されなかったようで、残念だ。

会場の聴衆は百数十人くらいだっただろうか。皆さん黙々とメモをとっていらした。

議論の全体の流れはおおむね坂村健教授のトークによって決定付けられていた。その内容は、今月18日にCNET Japanで報道された最近の坂村さんの講演のレポートに報告されているのと、ほぼ同じだったと言える。

  • CNET Japan, 「技術はグローバルに、適用はローカルに」--東大 坂村教授、RFIDについて語る, 2004年6月18日

    坂村氏は、米国でプライバシー問題が叫ばれる理由について、「欧米におけるRFID導入の基本は、常時監視用であるためだ」と述べる。RFIDで常時監視されることによる心理的反発やデータ管理の問題、また電波による健康問題への不安などが原因となっているという。

    常時監視が導入の根元となることについて坂村氏は、米国独自の事情があることを説明する。それはシュリンケージ(万引きなどによる商品の減少)の被害だ。

    (略)

    いっぽう日本では、「流通過程の都合だけでRFIDを導入するにはコストが見合わない」と坂村氏はいう。日本でのRFID採用例について同氏は、「食品や薬品のトレーサビリティを管理し、消費者に安全な食品を届けたり薬品情報を提供するといった利用法がある。また、冷蔵庫や洗濯機などと連動して、モノとモノ同士が情報をやりとりする通信方法もひとつだ」と述べ、米国とは違った利用法が求められるだろうとした。

この考え方は、坂村さんだけのものではなく、日経デジタルコアのトレーサビリティ研究会の終盤での論調も同様であった。どうも、日本においてはサプライチェインの効率化という目的では、対費用効果があまり望めないという観測が業界にあるらしい。そういう話がちらほら聞こえてくる。

月刊ロジスティクス・ビジネス誌の2004年5月号の特集は「ICタグは使えない」となっていて、目次には次のようにある。

第2部 導入効果を得られない理由

米ウォルマート、英テスコといった欧米の流通大手が相次いでICタグの実用化に踏み切る。最大の狙いは「シュリンケージ」。流通過程での盗難や万引きによる損害の防止だ。これまでロスが大きかった分、投資効果も期待できる。しかし、日本の場合は全く事情が異なる。

月刊ロジスティクス・ビジネス 2004年5月号 目次

この雑誌は入手が難しく、まだ読んでいないので、その根拠など信憑性はわからない。

それはともかく、IC CARD WORLD 2004のパネル討論では、坂村教授の主張する「日本ではSCMよりも消費者の便益のために使うのだ」という話に、他のパネリストである日立の井村氏も同調していた。

プライバシー問題についてはもうしっかりと認知されているらしく*1、私が整理して見せたプライバシーの話に誰も異論をはさまないし、会場の聴衆も、要所要所で頷いたりメモするなどして的確な反応があった。

パネリストは皆、プライバシーの懸念がある応用のことを口にしない。「日本ではSCMよりも消費者の便益のために使うのだ」という話の流れに、誰もが異論なしという形で討論は進んでいった。

たしかに、NHKで放送された、3月13日の週刊子供ニュース5月20日のクローズアップ現代においても、RFIDタグの応用事例のメインとして紹介されたのは、坂村先生のところの、「ユビキタスコミュニケータ」で薬のビンのタグを読み取って「同時に服用してはいけません」という警告を喋らせるデモだったり、クローズアップ現代でも、視覚障害者の歩行を支援するシステムが大きく扱われており*2、これらは、プライバシーの懸念から遠いところにある応用だ。

「持ち物にタグ + 場にリーダ」ではなく、「場にタグ + リーダを持ち歩く」という構成ならば、プライバシーの問題は解決される*3のであり、このことは、昨年8月22日の日記にも書いていた。この、街にタグを埋め込むプロジェクトは、先日の日経新聞の報道にあったように、秋の臨時国会に「ユニバーサル社会創造法案」というものが提出される形で具体的に進みはじめたそうだ。

  • 日本経済新聞, 街のインフラ、情報基地に、政府・50社参加――歩道にICチップ、携帯へ発信。, 2004年6月21日朝刊

    政府は二〇〇六年度を目標に、情報技術(IT)を活用した新たな情報インフラ整備に乗り出す。道路や電柱、住居表示板などにICチップを埋め込み、携帯端末に音声や画像で目的地までの経路や施設などの情報を提供する。(略)

    新たな「ユニバーサル社会創造法案」(仮称)を来秋の臨時国会に提出する方向。(略)

    産官学でつくる「自律的移動支援プロジェクト推進委員会」(委員長・坂村健東大大学院教授)がシステムを開発する。すでに国内の情報通信、携帯機器メーカー、鉄道、航空、自動車など大手五十社強が開発に参画を表明している。

というように、このところ、RFIDタグは、日本ではプライバシーの懸念のないところで進んでいくかのような論調がある。「欧米におけるRFID導入の基本は、常時監視用である」に対して、日本では消費者を追跡するような目的で使うことはないといった論調だ。

そういう空気で終わったパネル討論の会場を出て、私は展示会場に向かった。しかしそこで目にしたのは……それとは全く違う様子だった。

RETAILTECH JAPAN 2004で見たものは……

IC CARD WORLD 2004は、RETAILTECH JAPAN 2004と、SECURITY SHOW 2004などとの同時開催であった。IC CARD WORLDの展示を見に行ったはずが、隣のブロックのRETAILTECH JAPANの方が興味をそそられた。

会場の真ん中あたりで大きなスクリーンに流されていたビデオでは、ホテル経営者が「お客様がいつどこで何を食べられたか」云々と語っている。この会場では、客の購買行動をいかにして取得するかが公然の狙い所となっているのだ。

そして、どこのブースに行っても同じような装置が目に付く。小規模店舗向けのポイントカードのシステムだ。11月24日の日記で、

つい先日、私の行きつけの小さなレストランでも、この書き換え式の磁気カードを使いだしていて、びっくりしました。

という話を書いたが、その店にある装置と同じタイプのものだ。やはりこのところのブームであるらしい。

そうした装置の宣伝はGoogleで「ポイントカード」で検索してみるとたくさん見つかる。たとえば、適当に検索で見つけたひとつは、次のような謳い文句で宣伝している。

顧客管理がインターネットでラクラク、効率よく簡単にできる!

ポイントカードをWebとバーコードでラクラク活用! 最新の顧客管理システム

手軽さが違う!Web活用の顧客管理システム

WEB顧客管理システム POCM(ポコム)

会場で見たのはこのシステムではなく、これとか、これのようなシステムだったのだが、ブースで係員の説明をうかがって、いろいろ質問してみた。

「来年4月に個人情報保護法の完全施行がありますよね、お客様の情報を収集するには、お客様の同意を得ないといけないとかなるみたいなんですけど、そのへんどうなっていますか? お客様からの開示請求があった場合には対応していますか?」などと聞いてみたところ、「スルドい質問ですね」という反応はあったものの、何も答えはもらえなかった。

大丈夫なのだろうか。

こういう装置が、数年後には、適切なデータの消去措置なしに廃棄されたりはしないかという点も心配だが、廃棄時の回収ルートはきちんと整備されているのだろうか。

ブースで頂いたカタログには、「勝ち組物販業、成否は顧客情報の一元管理」とか「お客様の買い物データを集積」、「顧客情報はスマートメディアに!」という文字がある。

最近のこの種の装置では、どうやらハードディスクではなく、スマートメディアに個人情報を記録するようなのだが、なくしたり、容易に盗まれたりはしないのだろうか。たとえば、ここに掲載されているこんな写真なんかはどうか。ロック機構は当然あるべきに思えるが、どうか。

そういう話は別として、とにかく、今や、中小店舗にいたるまで、小売店は消費者の購買行動を収集したいという、消費者「追跡」の動機があり、そうしたシステムの売り込みが盛んであるということだ。

もちろん言うまでもなく、消費者が望んで自分の購買履歴を店舗に提供するのは、問題ではない。適切な宣伝や特別サービスを期待してポイントカードを利用するのは結構だ。実際、私も11月24日の日記で書いた行き着けのイタリア料理店では、住所氏名を登録したポイントカードを利用していて、誕生日の月には会員特別サービスを受けている。

しかし、たとえば、ドラッグストアチェーンのマツモトキヨシのポイントカードは私は使っていない。カードを作るには住所氏名等の登録が必須で、利用規約には、購買履歴を収集しているかは書かれていないが、

また、メールアドレスを登録しなかった方は、グーポンの準会員となります。秘密保持及び会員情報の保護に関しては、グーポンの正会員・準会員ともにグーポン利用規約が適用されます。詳細はグーポン利用規約をご参照ください

マツキヨ現金ポイントカード会員規約

と書かれており、「グーポン」とやらの利用規約を検索して探す(リンクされていない)と、

会員が入会申込等の際に当社に届け出た情報およびグーポンサイトの利用に関する会員の情報、そして会員がグーポン加盟店にてお買い上げ頂いた情報(以下、購買履歴という)の一部または全部は、当社のシステムに登録されるものとします。

グーポン利用規約

となっている。結局、マツキヨで買ったひとつひとつの商品の購買履歴が、住所氏名と結び付けられて記録されるのかは、これらの利用規約を見てもいまひとつ不明瞭なのだが、さすがに、コンドームとか育毛剤とかの購買行動を蓄積されるのは嫌だから、ポイントカードを使わないというのが私の選択だ。

ここでひとつの問題は、消費者はポイントカードで何が起きているかを理解した上で、カードを使っているかどうかである。

住所氏名を登録するタイプのポイントカードについては、来年4月の個人情報保護法の完全施行によって、何をやっているかを消費者に理解させないでのカード発行は、違法となるのではなかろうか。同法がきちんと守られるようになれば、この問題は解決していくものと言える。

では、住所氏名を提供しないタイプのポイントカードはどうなのか。個人情報保護法の適用外となるだろう。

しかし、11月24日の日記「ポイントカードは何を記録しているのか」で次のように書いた。

しかし幸いなことに、ポイントカードの場合では、同じポイントカードを複数の店で使わない限り、IDが独立しているため、購買行動記録が共有されてしまうことはない。

さて、RFIDタグは、ポイントカードのIDと同じ役割を果たしかねない。RFIDタグの付いた服や靴、鞄を身につけた人が何かの消費行動をした際、それが記録され蓄積されて、FSPだの、1 to 1マーケだの、CRMだのに活用されることが起こり得る。そのとき、ポイントカードと異なるのは、(固定IDのRFIDタグの場合)そのIDが全ての店舗、事業者、業界をまたがって共通だということだ。

さらに悪いことに、ドラッグストアのポイントカードのIDが住所氏名と結び付けられることはないかもしれないのに対し、RFIDタグの場合は、そのタグを身にまとっている間に住所氏名を提供すると、それが名簿となって闇で流通してしまうかもしれない。誰のものかわからないはずということで蓄積されてきた膨大な購買行動(人生の記録)が、闇の名簿と付き合わせた瞬間、過去にさかのぼってそれが、どこに住む何という名前の人の記録かが判明してしまう。

これが、RFIDタグのプライバシー問題の最も根幹の部分(従来にないRFIDタグならではの問題)である。「プライバシー問題の6種類の原因要素」の第六の問題のことだ。

RETAILTECH JAPANでは、いかに顧客の情報を集めるかの最新技術が競われていた。店舗側は顧客の情報を集めたいと願っている。あるいは、「願っているはずだ」とシステム屋に売り込まれて説得されている。

しかし、現状のポイントカードの処理は小売店や客にとって結構な手間になっているはずだ。わざわざ財布から出して店員に渡し、店員も十数秒間かけてカードを装置に出し入れして処理をする。店員と客は「ポイントカード、お持ちですか?」「ありません」「お作りしますか?」という無駄なコミュニケーションに時間を費やしている。

この手間の問題が、数年後の「RETAILTECH JAPAN 2010」のころには解決されているかもしれない。すなわち、消費者の持ち物にRFIDタグ(1メートル程度の距離からユニークIDを読めるタグ)が付いているのが普通な時代が到来すれば、それらのIDをキーにして顧客情報を管理するシステムが出てくるだろう。無駄な手間をかけずに、同一人物の購買動向をつかめるうえ、見返りとしての割引ポイントを出さなくてもよくなる。

ポイントカードでは、消費者の意思で記録を拒否できる。カードを作らない、あるいは、カードを作っても記録が嫌なときは提示しないことで、情報のコントロールが消費者にある。それに対して、身に付いたRFIDタグのIDで記録されるシステムでは、拒否ができない。にもかかわらず、個人情報保護法ではそうした装置の普及を止めることができない。

政府の「電子タグに関するプライバシー保護ガイドライン」に足りないもの

今月8日に、経済産業省と総務省から「電子タグに関するプライバシー保護ガイドライン」が発表された。これは、1月に経済産業省が案を発表してパブリックコメントを募集し、それを踏まえたガイドラインを3月に発表していたものが、総務省と共同で改定されたものだ。

さて、上で、個人情報保護法では止めることができないと書いた問題は、このガイドラインでなら解決できるだろうか。

たぶん、解決されない。

このガイドラインは、主に次の努力をするよう求めている。

  1. タグの装着事実を表示または説明、掲示すること
  2. 消費者が望めば読み取り不能にできるよう、その方法を説明または掲示、表示すること
  3. 読み取りを不能にすると社会的不利益がもたらされる場合は、それについて情報提供すること
  4. 個人情報データベースと連携して用いる場合は、個人情報保護法に従うこと
  5. タグ内に個人情報を記録する場合は、件数にかかわらず個人情報保護法に準ずる対応(利用目的の通知、同意、正確性確保等、漏洩防止)をすること

小売店に住所氏名を登録して、RFIDタグのIDで顧客管理をしてもらうケースでは、このガイドラインの「個人情報データベースと連携して用いる場合」に該当し、個人情報保護法に従う必要があるため、記録は消費者の同意を得た上で行わねばならないだろう。

しかし、小売店に住所氏名を預けない場合では、その小売店が努力すべきことは、このガイドラインには何ら規定されていない。

私は、勤務先の仕事として、1月のパブリックコメントに意見を提出した。そのときの提出意見を先日、勤務先のサイトで公開している。

提出した意見は6件で、受け入れてもらえそうな現実性の高いものから順に並べている。このうち、1番目と3番目の意見、そして2番目の意見の一部が受け入れられた。

上に述べた、小売店がRFIDタグのIDで購買動向を記録してしまう問題を解決するため、以下の意見(4番目)を提出している。

(4) 電子タグの読み取り機を設置する際には、読み取り機の存在を表示する必要があるとすべきである。

意見

電子タグの読み取り機を設置する際には、読み取り機の存在を表示する必要があるとすべきである。また、読み取り機の通信距離に応じて、読み取り可能な最大距離から見えるように表示する必要があると規定すべきである。

理由

消費者に気づかれない場所に読み取り機が設置される可能性がある。たとえば、床に読み取り機を仕掛けて、靴底に埋め込まれた電子タグの固有IDを読み取り、人の動きを追いかけてマーケティングに活用するという構想がある。これは、ビデオカメラで人の動きを撮影して画像分析するのと、プライバシー上の問題点は同等である。(顔が誰の顔かの判別と固有IDが誰のIDなのかの判別は同じ。)

光学式のカメラであれば、カメラが存在することが消費者の目でわかる場合が多く、もし隠しカメラが仕掛けられているとなれば、一定の社会的批判を浴びることになるため、それは避けるべきという社会通念ができあがっているが、それに対し、電子タグの読み取り機は、見えないように設置することが容易であり、また、見えても、消費者にはそれが電子タグの読み取り機だと認識できないだろうと考えられる。仮に認識できたとしても、それがプライバシー上のどのようなリスクをもたらすものであるか、まだ十分に理解されていない現状では、隠して設置するのが批判されるべき行為だとの社会通念ができていない。

したがって、読み取り機を公共の場所に設置する場合には、そこに電子タグ読み取り機が設置されていることを表示する必要があるとすべきである。

SecurIT, パブリックコメント提出意見: 「電子タグに関するプライバシー保護ガイドライン(案)」に対する意見 (4)

この意見に対する研究会の回答(「提出された意見とそれらに対する考え方」より)は次のようになっており、これは受け入れられていない。

◆回答

本ガイドライン案では、最終的に消費者のプライバシーを保護するため、商品に電子タグを装着したまま手交する場合には、(1)電子タグの装着されている事実を表示等、(2)消費者が電子タグの読み取りを停止すべきかどうかの選択権の留保を基本としており、これにより、読み取り機の設置場所に関わらず消費者のプライバシー保護を図ることを基本としています。 本研究会では、読み取り機の設置場所に関して、表示義務など、何らかの義務的なものを業界横断的に一律に規定することは、本ガイドライン案以上の効果が認められるのかどうかについて、関係者のコンセンサスが得られていないことから、原案通りと致します。 なお、個別のケースにおいては、事業者の事業形態により、読み取り機の設置場所を消費者が認知できるよう表示するなどのことが望ましいケースもあると考えられ、その場合は、事業者や事業者団体において個別に判断することがふさわしいと考えられます(第8参照)。

商品トレーサビリティの向上に関する研究会, 提出された意見とそれらに対する考え方

つまり、「タグ付き商品を消費者が受け取った時点で嫌なら無効化する」ということで、問題は解決するというのだ。

これはかえって消費者の不安を増長させる。なぜなら、「嫌なら無効化しろ、利益があると思うなら嫌だと思わずに残せ」と、消費者に二者択一の選択を迫っているからだ。

消費者は、どこに読み取り機が設置されているかわからないままに、拒否するか受け入れるかを選ばなくてはならない。どうやってリスクを評価しろというのか。ようするに、消費者は独自にリスク判断などせずに、右へ倣えでどちらかを選べということになる。

読み取り機に対する努力規定を盛り込めなかった理由は、「業界横断的に、関係者のコンセンサスが得られていない」とされている。小耳に挟んだところによると、これは、経済産業省の「商品トレーサビリティの向上に関する研究会」が打ち出したガイドラインにすぎないため、タグを取り付ける事業者に対してしか影響力を及ぼすことができず、読み取る側に対して努力させるような影響力(ないし権限を)持ち得ないためだそうだ。それはいたしかたないことかもしれない。

しかし、今月に発表された改訂版のガイドラインは、総務省と経済産業省が出すガイドラインとなっているのだから、影響力は拡大しているはずではなかろうか。特に、読み取り機は電波を発する装置(タグも受動的に発するわけではあるが)であり、電波行政を司る総務省が打ち出すガイドラインなのだから、読み取り機側に対する努力規定も設けることはできたはずではなかろうか。

残念ながら、新しいガイドラインでも、読み取り機の設置について何ら規定は盛り込まれていない。

唯一関係しそうなのは、第9の部分だろうか。

第9 (情報管理者の設置)

事業者は、電子タグに関するプライバシー保護に係る情報の適正な管理及び苦情の適切かつ迅速な処理を確保するため、これらに責任を有する情報管理者を設置し、連絡先を公表する必要がある。

経済産業省・総務省, 電子タグに関するプライバシー保護ガイドライン

これは、読み取り機を取り扱う事業者に対して言っているのだろうか? それとも、タグを取り付けたり、取り付けた商品を消費者に手渡す事業者に対して言っているのだろうか? 個人情報を含む場合はその取扱者であるのは明白として、個人情報を含まないIDに紐付けされたプライバシー情報の場合はどうなのか。「情報」の定義が不明である。

どうも、このガイドラインの策定にあたっては、タグを読み取る事業者とタグを取り付ける事業者が同一であることが暗黙的に想定されていたように思えてならない。3月の回答でも、

個別のケースにおいては、事業者の事業形態により、読み取り機の設置場所を消費者が認知できるよう表示するなどのことが望ましいケースもあると考えられ、その場合は、事業者や事業者団体において個別に判断することがふさわしいと考えられます(第8参照)。

商品トレーサビリティの向上に関する研究会, 提出された意見とそれらに対する考え方

とあるが、参照せよという「第8」は、「電子タグの取扱いについて、事業者団体の場における検討などを含め、適切な対応を取ることが望まれる」とされており、あくまでも「電子タグの取り扱い」であって、読み取り機の取り扱いに踏み込んでいない。

何度も言っているように、RFIDタグのプライバシー問題の根幹は、「タグを付けた人(企業)だけがそのIDを使うとは限らない」というところにある。

もし、タグの持ち主の許可なしにIDを読み取って使うことを禁止したならば、プライバシー問題はスッキリと解決*4され、消費者は(おおむね)安心してタグを有効にしたまま残すことになるかもしれない。

しかしそれはできないらしい。許可なしにIDを読み取って使いたいという勢力がいるからだろうか。

そのあたりは予想できることであるし、法的根拠がないのに制限しすぎとも言えるので、私としては、現実的な路線として、読み取り機が設置されていることの表示を提案したのだったが、それも受け入れられていない。

そんなに無理のある提案ではないと思うのだが、なぜできないのだろうか。

「本人に気付かれないようにさりげなくIDを識別する」ということを、どうしてもやりたいのだろうか。

読み取り機の設置表示が無理であるならば、読み取った後の情報の取り扱いをきちんとすればよいので、私としては次の意見も提出した。

(5) 個人情報を含まないデータベースと連携する場合にも、個人情報保護法に準ずる取扱いが必要であるとするべきである。

意見

第6において、「個人情報データベース等と電子タグに記録された情報を連係して用いる場合には、当該情報は個人情報保護法上の個人情報としての取扱いを受ける」としているが、個人情報を含まないデータベースと連携する場合にも、個人情報保護法に準ずる取扱いが必要であるとするべきである。

理由
 個人情報保護法の「個人情報」の定義には、「他の情報と容易に照合することができ」とあるが、電子タグのIDが「容易に照合する」ことのできる情報であるという社会通念はまだ形成されていないと考えられる。

「4情報(氏名、住所、性別、生年月日)と結びつかなければ誰だかわからないのだから、かまわないではないか」とする主張がある。その主張にしたがって、匿名のまま、ありとあらゆる個人の行動履歴がIDでひも付けされて蓄積、売買、共有される可能性がある。4情報(個人情報)が含まれないため、これは「個人情報データベース」に該当しない。

個人情報保護法の適用外であるからといって、無秩序に、そうした匿名のIDと結び付けられた匿名のデータベースが拡大して行き、蓄積される情報が増えれば、そのデータの価値は高まり、それらと4情報とが付き合わせられるリスクはしだいに増大することになる。

4情報と付き合わせる行為をする者が個人情報保護法違反となるにしても、匿名のままのIDと行動履歴情報等のデータを他者に提供する行為の側には、違法性が問われない可能性がある。

そうした、提供行為は避けられるべきであるので、個人情報を含まないデータベースと連携する場合にも、個人情報保護法に準ずる取扱いが必要であるとするべきである。

SecurIT, パブリックコメント提出意見: 「電子タグに関するプライバシー保護ガイドライン(案)」に対する意見 (5)

予想通り、これは受け入れられなかった。理由は次とされている。

◆回答

個人情報を含まないデータベースであれば、個人情報保護法の適用対象とはならないと考えられます。また、具体的にどのようなデータベースが個人情報保護法の対象となるかについては、個人情報保護法全体に係わる議論であることから、本研究会の検討の範囲を超えることになると認識しております。

商品トレーサビリティの向上に関する研究会, 提出された意見とそれらに対する考え方

今回の研究会の範囲を超えているとのことなので、いたしかたない。だが、ならば、今後はどういう施策のあり方があり得るのだろうか。

現実的な落とし所

上の(4)や(5)の提案が無理らしいことは知っていたので、当面どのようにして解決を促していくかも考えた。それが提出意見の(2)である。

これについては、1月に発刊された、日経デジタルコアトレーサビリティー研究会編著の書籍「デジタルID革命 ICタグとトレーサビリティーがもたらす大変革」の中で、私の執筆担当節の一部として次のように書いた。(以下は提出原稿からの抜粋で、本の文章とは異なる。)

実用化を進めつつ対策を促すための施策

(略)

理想論としては、ICタグの技術に線引きをして、消費者の手元まで流通させる場合には、一定の技術水準を満たすタグしか取り付けてはならないとする、技術ガイドラインを示すのが最善であるが、現段階でそのような規制をすることは、業界および技術の発展を阻害しかねず、現実的ではない。しかし、ICタグがどのような技術的特性のものであるかを表示する義務を課すことは、業界の発展を阻害することはないのではなかろうか。

ICタグの技術的特性の表示方法としては、(1)最大通信距離の表示、(2)タグ内に記憶する情報のタイプの表示、(3)セキュリティ機能の有無の表示が考えられる。

通信距離が数メートルのタグと数ミリのタグとでは、プライバシーに与える脅威の度合いは大幅に異なる。どの程度の距離からしか情報を読めないという事実を表示することは、消費者に安心感を与えると同時に、商品の性質とタグの通信距離を考慮して、商品ごとに無力化するかしないかを消費者が判断できるようになる。

タグ内にどんな情報が記憶されているかは、それを保有することになる消費者に知らされるべきだが、消費者が商品を買う時点でそれを詳細に確認するというのも現実的でない。そこで、情報を3つのタイプに分類し、色分けして表示するということが考えられる。たとえば、固有IDだけが記録されている場合は「黄色」、所有者ごとの嗜好に関わる情報が直接書き込まれている場合は「赤色」、製品型名など個人ごとに同じ情報しか書かれておらず、かつ固有IDを持たない場合は「青色」とするなどの案が考えられる。

このようにしてタグの性質が数値や色で表示されていれば、消費者は論理的に納得してタグを受け入れられるだろう。たとえば、自動車の部品に取り付けられたICタグの最大通信距離が50センチであるなら、プライバシーを気にしないでよいことは納得できる。家電製品に取り付けられたリサイクル目的のタグが、青色タグであるなら、やはりプライバシーの問題が起きないことを納得できる。

また、現状では、ほとんどのICタグにセキュリティ機能が搭載されていないが、セキュリティ機能の有無の表示が義務付けられていれば、消費者が各商品の性質とつき合わせて、タグを許容できるかを判断するようになるだろう。そうすれば、プライバシー保護に向いた電子タグの技術開発を促進することにもなる。逆に言えば、技術的特性の表示のない状況では、消費者に評価されることがないため、技術開発競争が生まれず、低価格性だけが優先され、プライバシー保護レベルの低い技術だけが残ることになりかねない。

EPCglobalのガイドラインのように、ICタグが取り付けられていることの表示を義務付けるのであれば、そこに技術的特性も表示するのは、さほど困難なことではないのではなかろうか。

デジタルID革命 ICタグとトレーサビリティーがもたらす大変革

これを具体化して図で見せたのが、3月のIC CARD WORLDのパネル討論の席で見せたスライドだった。

パネル討論を終えて、坂村教授は「高木さん、こういうマーク表示、いいですね!」と話しかけてくださった*5

この提案の狙いは、消費者が感情的にしか判断しなくなるのを避けることにある。

現行のガイドラインのままでは、読み取り機がどこに設置されているかはわからないし、どのくらいの距離から読まれるのかもわからないし、セキュリティ対策されているかもわからないので、消費者にはリスクを判断する材料がない。

そういう状況では、RFIDタグのことを「気にする」者と「気にしない」者という、2つのグループに分かれ、どちらを選択するかは感情的に判断されることになる。

そうなれば、事業者はタグのリスクを消費者に説明することを控えたくなり、悪循環が生まれる。

この提案を、1月のパブリックコメントに意見提出したが、回答は次のようになった。

◆回答

本ガイドラインは、業界横断的な基本的考え方を定めたものであるため、対象となる業態も様々であり、扱われる商品についても、自動車や大型の家電製品から書籍や食品など様々な種類の商品があり、電子タグを利用する目的も様々であることから、効果的に電子タグが装着されていることの具体的な表示方法について、本ガイドライン案で特定の表示方法を定めることは適切ではないと考えます。

◆回答

電子タグの通信距離に関して、電池の無いタイプの電子タグの場合、運用時の標準距離に関しては、貼り付けられた物品の材質、周囲の構造物の状況、電子タグのアンテナの向き、読み取り機から発射される電波の出力など、様々な要因により異なってくるものであると考えられます。このような状況から、通信距離の評価方法を標準化する必要があり、現在国際標準機関により評価方法の標準化が行われている段階です。また、最大距離に関しても、同様に評価手法が確立されておらず、また、読み取り機から発射される電波の出力は、世界各国の規制により異なることから、国際的に流通する物品については一意に決定することが困難な状況にあります。従って、距離の表示を本ガイドラインで定めることは困難であるとの認識です。 また、セキュリティ機能の有無に関する表示についても、現在電子タグに関するセキュリティ技術の評価手法が定まっていないことから、どのようなセキュリティ機能であれば「セキュリティ機能あり」と言えるのか判断材料がなく、本ガイドラインで定めるのは困難と考えます。

商品トレーサビリティの向上に関する研究会, 提出された意見とそれらに対する考え方

現時点でガイドラインとして表示方法の標準をいきなり示すことは、たしかに無理だろう。今後、そのような標準を設けるべくガイドラインが発展していけばよいのだと思うのだが……。

「似非ICカード」を野放しにしてよいのか

受け入れられてもらえる現実性が最も低いと思いつつ、パブリックコメントに提出したのが、以下の6番目の意見である。

(6) 電子タグを個人認証に使うには、当該タグが一定水準のセキュリティ機能を搭載していなくてはならないと規定すべきである。

意見

一定水準のセキュリティ機能を持たないタグを個人認証に使ってはならないとするか、もしくは、セキュリティ機能を持たないタグを個人認証に使う場合には、それによって利用可能になる処理が、本人の権利を侵害しないものとなるよう限定しなくてはならないと規定するべきである。

理由
 安価な電子タグがもたらすプライバシーの問題には、タグそのものがもたらすもの以外に、読み取り機側のシステムがプライバシーを毀損する懸念がある。

電子タグの固有IDを個人の認証に使うことが計画されている。たとえば、情報端末に持ち物をかざすと、その人にカスタマイズされた情報が表示されるという仕組みが構想されており、端末に表示される情報に個人情報が含まれていたり、個人の嗜好情報などプライバシー性のある情報が含まれる可能性がある。

こうした個人認証には本来ならば人間向けに設計されたICカードを使うべきであるにも関わらず、物品向けに設計されたタグを流用しようと計画されており、タグにセキュリティ機能が搭載されていないならば、この認証は、簡単になりすましできてしまうという問題がある。他人のタグに電波をあてて固有IDを読み取り、リプレイ装置でそのIDを情報端末に対して発信すれば、情報端末は他人にカスタマイズした情報を表示してしまう。

したがって、一定水準以上のセキュリティ機能を持たないタグを個人認証に使ってはならないとするか、もしくは、セキュリティ機能を持たないタグを個人認証に使う場合には、それによって利用可能になる処理が、本人の権利を侵害しないものとなるよう限定しなくてはならないとするべきである。

SecurIT, パブリックコメント提出意見: 「電子タグに関するプライバシー保護ガイドライン(案)」に対する意見 (6)

これに対する回答は次であった。

◆回答

本研究会としては、ご意見のような利用形態に伴うプライバシー上の問題が想定されていないことから、本ガイドラインによる対応は適切ではないと考えます。

商品トレーサビリティの向上に関する研究会, 提出された意見とそれらに対する考え方

まあ、いたしかたない。これは、システムのセキュリティ脆弱性という観点から取り扱うべきことかもしれない。

IC CARD WORLD 2004の展示会場では、さっそく怪しげな製品を見つけた。

「Paper IC card System」と称し、サンプル品として配られていたのはハガキで、透かして見ると中にRFIDタグが埋め込まれているのがわかる。そこにはこんな宣伝文句が書かれている。

安全性が高く経済的。だから、
「ICカードはハガキで送る」が
これからのスタンダード

....その形状・仕様から優れたユーザインターフェイスとセキュリティ性を持ち、

「セキュリティ性」って何だ? まさに、12月8日の日記「RFIDカードが築き上げた高セキュリティな印象にRFIDタグが土足でタダ乗りする」で懸念していたことが現実になってきているように見える。

展示会場のブースでは、同じシステムをハガキではなく社員証の紙に埋め込んで、会社の入退室管理に使うことを提案していた。「認証」という言葉が使われていたので、それはさすがにマズいだろと思い、会場の担当者に、「このタグは、なりすまし対策のための暗号機能を搭載していますか?」と尋ねた。すると、搭載していないとの回答だった。「それではセキュリティシステムにならないではないか」と問い詰めたところ、守衛さんによる顔の確認(社員証の顔写真との目視照合)も併用して本人確認するのだという。ならば何のためのICタグなのかと問い詰めると、入退場履歴を機械的に記録するためだという。まあ、一応、話の筋は通っているが、誤解する客は多いのではないか。

もっとも、この話は、その場の担当者の誤解によるものである可能性もある。つまり、安いRFIDタグを使っているように見えて、実は暗号機能を搭載したものだった可能性はあるので、本当のところは公式回答を求めないとわからない。

こういう安全性が不明瞭な製品と応用提案も現実に出てきているので、RFIDの販売には、そろそろ、セキュリティ機能の有無を(嘘偽りなく)表示するよう義務付けるべきときではないか。

日経BPの「RFIDテクノロジ」のサイトにこういう記事が出ている。

モノにサービスをヒモ付けた実際の例に,エクソンモービルの「スピードパス」がある。RFID内蔵のスピードパスをガソリン給油機に付けたリーダーにかざすと,ランプが点灯して給油が始まる。給油が完了すると,ネットワーク上のデータベースでスピードパスに内蔵されたRFIDの番号と顧客のカード番号が照合されて,顧客のカード口座で決済される。決済というサービスがRFIDにヒモ付けられた形だ。

山本修一郎, [識者の眼] RFIDは消費者にどう役立つのか, 2004年3月16日

このRFIDは、SuicaやEdyなどと同様に、当然、なりすましできないよう暗号機能搭載になっているはずだ。スピードパスのサイトのQ & Aには、「スピードパスの通信には、高度な暗号処理が施されているので、SSに設置されている専用リーダー以外で読み取ることができないほか、クレジットカードのように複製することもできません。」と書かれている。

「識者」なら、そろそろこういったポイントをおさえた解説をすべき時期ではないか。

別の方もこの区別の重要さをあまり認識しておられない様子がある。

本稿では,いくつかの企業で既に導入が始まっている社員証の電子化について述べてみたい。(略) 非接触ICカードは,無線ICタグと技術的な仕組みはほとんど同じ。違いは,非接触ICカードは人が持ち,無線ICタグはモノに貼り付けるという点である。どちらもRFID(無線を使った識別)技術の一種である。

保科剛, [識者の眼] 実用化進む電子社員証,無線ICタグの先を行くその理由は?, 2004年4月13日

そうではないだろう。違いは、非接触ICカードはセキュリティ機能(リプレイ攻撃によるなりすまし防止を含む)があるのが普通で、無線ICタグにはそれがないのが普通。電子社員証の話を語る文脈でこの違いを書かないのは、「識者の眼」としては問題があると言わざるを得ない。次のページでは、

また仮にICカードのメモリーに個人情報などを入れたとしても,ICカードが備えているセキュリティ機能により,第三者が容易には不正にアクセスできない。

保科剛, [識者の眼] 実用化進む電子社員証,無線ICタグの先を行くその理由は?, 2004年4月13日

と書かれており、セキュリティ機能が、中身の盗み出し防止だけのものと理解されている(なりすまし防止のことが考えにない)ふしがある。続く段落には、

なお不特定多数に対して配る無線ICタグも一部では実用化され,定着の段階に入っている。「イベント会場での来場者管理」のための無線ICタグある。これは“社員証の不特定多数版”のような感覚で利用者に受け入れられていると思われる。

保科剛, [識者の眼] 実用化進む電子社員証,無線ICタグの先を行くその理由は?, 2004年4月13日

とあるが、これは、なりすましできるタグではないのか?

たしかに、なりすましは磁気ストライプカードでも簡単に可能だった。スキマーを使ったスキミングでカードは複製可能であり、クレジットカードでは被害が多発している。(刑法第18章の2「支払用カード電磁的記録に関する罪」参照。)

しかし、磁気ストライプでは、カードが相手の手に渡らない限りスキミングされることはない。非接触スキミングなどというのは不可能だろう。それに対しRFIDでは、離れたところからIDを読み出せるのであり、スキミングされるリスクは格段に高くなる。しかも、離れたところから勝手にIDを読むのが当たり前な世の中では、それが刑法犯になることはありそうにない。

セキュリティ機能を搭載していない安価なRFIDタグのことを指して、磁気ストライプカードと同じように認証に使う話をするのは、よろしくない。

もっとも、イベント会場の来場者管理において、なりすましされても実害はないとか、なりすましするような動機がないというのはそうかもしれない。しかし、応用によって問題ないかは慎重に検討する必要があるのであり、応用によっては、利用者になりすましの可能性を通知して理解してもらった上で実施する必要があるだろう。

安易にICカードの代わりにICタグを使うという提案をするべきではない。

また、保科氏は、

社員証は元々人を識別するためのものであり,利用者側もプライバシが侵害されるという意識は薄いと言える。 保科剛, [識者の眼] 実用化進む電子社員証,無線ICタグの先を行くその理由は?, 2004年4月13日

とも主張しているが、それは、その社員証が社外で読みとらることが起きなければの話だ。

もし、その社員証が汎用のRFIDタグで、スクランブル機能(暗号機能)がなく、汎用の読み取り機でユニークIDを読まれるものであって、通信距離が1メートル以上あって、街にRFIDの読み取り機がたくさん設置されている世の中が到来していれば、プライバシー問題はこれまでの議論どおりに顕在化してくる。

社員証やカード鍵について、プライバシー問題があまり語られていないのは、たいていのカードには暗号機能が搭載されているか、通信距離が5センチ以下程度であるうえに、今のところまだ街中にRFIDの読み取り機がたくさん設置されているような状況はないからにすぎない。

*1 このときの井村氏は、プライバシー問題についてきちんと理解なさっていたようで、「何が問題なのかわからない」といった雰囲気はなく、おとなしい様子、というか、肩を落とされているようにも見えた。司会者の、「暗号機能を搭載してプライバシー対策したRFIDのICチップは将来作れそうですか?」という問い掛けに対して、「まあ当然できるんじゃないか」というような回答をなさっていたが、いまひとつ覇気のない感じだった。

*2 どちらも坂村さんのプロジェクトであり、NHKと坂村教授が旧知の仲だからなのかもしれないが。

*3 情報のコントロールがリーダを使う消費者に委ねられるため、プライバシー問題の6種類の原因要素の第六の問題は解決する。(そのほかは残る。)

*4 すべてが解決されるわけではないが。

*5 「マークのデザインやクラスの定義は別として」とのことだったので、ご自身で独自にお決めになりたいのだろう。私としては問題が解決しさえすればよいので、何でもよい。

本日のリンク元 TrackBack(0)

最新 追記

最近のタイトル

2017年02月18日

2017年01月08日

2017年01月04日

2016年12月30日

2016年12月04日

2016年11月29日

2016年11月23日

2016年11月05日

2016年10月25日

2016年10月10日

2016年08月23日

2016年07月23日

2016年07月16日

2016年07月02日

2016年06月12日

2016年06月03日

2016年04月23日

2016年04月06日

2016年03月27日

2016年03月14日

2016年03月06日

2016年02月24日

2016年02月20日

2016年02月11日

2016年02月05日

2016年01月31日

2015年12月12日

2015年12月06日

2015年11月23日

2015年11月21日

2015年11月07日

2015年10月20日

2015年07月02日

2015年06月14日

2015年03月15日

2015年03月10日

2015年03月08日

2015年01月05日

2014年12月27日

2014年11月12日

2014年09月07日

2014年07月18日

2014年04月23日

2014年04月22日

2000|01|
2003|05|06|07|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|02|03|04|05|06|07|08|09|10|11|12|
2008|01|02|03|04|05|06|07|08|09|10|11|12|
2009|01|02|03|05|06|07|08|09|10|11|12|
2010|01|02|03|04|05|06|07|08|09|10|11|12|
2011|01|02|03|05|06|07|08|09|10|11|12|
2012|02|03|04|05|06|07|08|09|
2013|01|02|03|04|05|06|07|
2014|01|04|07|09|11|12|
2015|01|03|06|07|10|11|12|
2016|01|02|03|04|06|07|08|10|11|12|
2017|01|02|
最新 追記