2004年06月26日
■ IC CARD WORLD 2004に行ってきた(3か月前の話)
2月29日の日記に書いていたとおり、3月4日に、「IC CARD WORLD 2004」に行ってきた。セミナープログラムのパネル討論「ユビキタス社会を支えるICタグの現状と課題」にパネリストとしての登壇を依頼されたからだ。
RFIDタグの推進側とプライバシーの問題を提起する立場の者が、この問題について直接討論して見せるというのは、日本ではこれ一回しか行われていないと思う。私は、「糾弾する」とか「非難する」というようなことをする立場ではなく、問題点の整理することと、今回はそれに加えて現実的な落とし所を示して見せる(このときが初公開)ということをやった。そのとき使ったスライドは以下に公開している。
全体としてなかなかよい討論になったと思うのだが、その後、この様子はどこでも報道されなかったようだ。司会は日経エレクトロニクス副編集長の方だったが、日経エレクトロニクスにも掲載されなかったようで、残念だ。
会場の聴衆は百数十人くらいだっただろうか。皆さん黙々とメモをとっていらした。
議論の全体の流れはおおむね坂村健教授のトークによって決定付けられていた。その内容は、今月18日にCNET Japanで報道された最近の坂村さんの講演のレポートに報告されているのと、ほぼ同じだったと言える。
- CNET Japan, 「技術はグローバルに、適用はローカルに」--東大 坂村教授、RFIDについて語る, 2004年6月18日
坂村氏は、米国でプライバシー問題が叫ばれる理由について、「欧米におけるRFID導入の基本は、常時監視用であるためだ」と述べる。RFIDで常時監視されることによる心理的反発やデータ管理の問題、また電波による健康問題への不安などが原因となっているという。
常時監視が導入の根元となることについて坂村氏は、米国独自の事情があることを説明する。それはシュリンケージ(万引きなどによる商品の減少)の被害だ。
(略)
いっぽう日本では、「流通過程の都合だけでRFIDを導入するにはコストが見合わない」と坂村氏はいう。日本でのRFID採用例について同氏は、「食品や薬品のトレーサビリティを管理し、消費者に安全な食品を届けたり薬品情報を提供するといった利用法がある。また、冷蔵庫や洗濯機などと連動して、モノとモノ同士が情報をやりとりする通信方法もひとつだ」と述べ、米国とは違った利用法が求められるだろうとした。
この考え方は、坂村さんだけのものではなく、日経デジタルコアのトレーサビリティ研究会の終盤での論調も同様であった。どうも、日本においてはサプライチェインの効率化という目的では、対費用効果があまり望めないという観測が業界にあるらしい。そういう話がちらほら聞こえてくる。
月刊ロジスティクス・ビジネス誌の2004年5月号の特集は「ICタグは使えない」となっていて、目次には次のようにある。
第2部 導入効果を得られない理由
米ウォルマート、英テスコといった欧米の流通大手が相次いでICタグの実用化に踏み切る。最大の狙いは「シュリンケージ」。流通過程での盗難や万引きによる損害の防止だ。これまでロスが大きかった分、投資効果も期待できる。しかし、日本の場合は全く事情が異なる。
この雑誌は入手が難しく、まだ読んでいないので、その根拠など信憑性はわからない。
それはともかく、IC CARD WORLD 2004のパネル討論では、坂村教授の主張する「日本ではSCMよりも消費者の便益のために使うのだ」という話に、他のパネリストである日立の井村氏も同調していた。
プライバシー問題についてはもうしっかりと認知されているらしく*1、私が整理して見せたプライバシーの話に誰も異論をはさまないし、会場の聴衆も、要所要所で頷いたりメモするなどして的確な反応があった。
パネリストは皆、プライバシーの懸念がある応用のことを口にしない。「日本ではSCMよりも消費者の便益のために使うのだ」という話の流れに、誰もが異論なしという形で討論は進んでいった。
たしかに、NHKで放送された、3月13日の週刊子供ニュースや5月20日のクローズアップ現代においても、RFIDタグの応用事例のメインとして紹介されたのは、坂村先生のところの、「ユビキタスコミュニケータ」で薬のビンのタグを読み取って「同時に服用してはいけません」という警告を喋らせるデモだったり、クローズアップ現代でも、視覚障害者の歩行を支援するシステムが大きく扱われており*2、これらは、プライバシーの懸念から遠いところにある応用だ。
「持ち物にタグ + 場にリーダ」ではなく、「場にタグ + リーダを持ち歩く」という構成ならば、プライバシーの問題は解決される*3のであり、このことは、昨年8月22日の日記にも書いていた。この、街にタグを埋め込むプロジェクトは、先日の日経新聞の報道にあったように、秋の臨時国会に「ユニバーサル社会創造法案」というものが提出される形で具体的に進みはじめたそうだ。
- 日本経済新聞, 街のインフラ、情報基地に、政府・50社参加――歩道にICチップ、携帯へ発信。, 2004年6月21日朝刊
政府は二〇〇六年度を目標に、情報技術(IT)を活用した新たな情報インフラ整備に乗り出す。道路や電柱、住居表示板などにICチップを埋め込み、携帯端末に音声や画像で目的地までの経路や施設などの情報を提供する。(略)
新たな「ユニバーサル社会創造法案」(仮称)を来秋の臨時国会に提出する方向。(略)
産官学でつくる「自律的移動支援プロジェクト推進委員会」(委員長・坂村健東大大学院教授)がシステムを開発する。すでに国内の情報通信、携帯機器メーカー、鉄道、航空、自動車など大手五十社強が開発に参画を表明している。
というように、このところ、RFIDタグは、日本ではプライバシーの懸念のないところで進んでいくかのような論調がある。「欧米におけるRFID導入の基本は、常時監視用である」に対して、日本では消費者を追跡するような目的で使うことはないといった論調だ。
そういう空気で終わったパネル討論の会場を出て、私は展示会場に向かった。しかしそこで目にしたのは……それとは全く違う様子だった。
■ RETAILTECH JAPAN 2004で見たものは……
IC CARD WORLD 2004は、RETAILTECH JAPAN 2004と、SECURITY SHOW 2004などとの同時開催であった。IC CARD WORLDの展示を見に行ったはずが、隣のブロックのRETAILTECH JAPANの方が興味をそそられた。
会場の真ん中あたりで大きなスクリーンに流されていたビデオでは、ホテル経営者が「お客様がいつどこで何を食べられたか」云々と語っている。この会場では、客の購買行動をいかにして取得するかが公然の狙い所となっているのだ。
そして、どこのブースに行っても同じような装置が目に付く。小規模店舗向けのポイントカードのシステムだ。11月24日の日記で、
つい先日、私の行きつけの小さなレストランでも、この書き換え式の磁気カードを使いだしていて、びっくりしました。
という話を書いたが、その店にある装置と同じタイプのものだ。やはりこのところのブームであるらしい。
そうした装置の宣伝はGoogleで「ポイントカード」で検索してみるとたくさん見つかる。たとえば、適当に検索で見つけたひとつは、次のような謳い文句で宣伝している。
顧客管理がインターネットでラクラク、効率よく簡単にできる!
ポイントカードをWebとバーコードでラクラク活用! 最新の顧客管理システム
手軽さが違う!Web活用の顧客管理システム
会場で見たのはこのシステムではなく、これとか、これのようなシステムだったのだが、ブースで係員の説明をうかがって、いろいろ質問してみた。
「来年4月に個人情報保護法の完全施行がありますよね、お客様の情報を収集するには、お客様の同意を得ないといけないとかなるみたいなんですけど、そのへんどうなっていますか? お客様からの開示請求があった場合には対応していますか?」などと聞いてみたところ、「スルドい質問ですね」という反応はあったものの、何も答えはもらえなかった。
大丈夫なのだろうか。
こういう装置が、数年後には、適切なデータの消去措置なしに廃棄されたりはしないかという点も心配だが、廃棄時の回収ルートはきちんと整備されているのだろうか。
ブースで頂いたカタログには、「勝ち組物販業、成否は顧客情報の一元管理」とか「お客様の買い物データを集積」、「顧客情報はスマートメディアに!」という文字がある。
最近のこの種の装置では、どうやらハードディスクではなく、スマートメディアに個人情報を記録するようなのだが、なくしたり、容易に盗まれたりはしないのだろうか。たとえば、ここに掲載されているこんな写真なんかはどうか。ロック機構は当然あるべきに思えるが、どうか。
そういう話は別として、とにかく、今や、中小店舗にいたるまで、小売店は消費者の購買行動を収集したいという、消費者「追跡」の動機があり、そうしたシステムの売り込みが盛んであるということだ。
もちろん言うまでもなく、消費者が望んで自分の購買履歴を店舗に提供するのは、問題ではない。適切な宣伝や特別サービスを期待してポイントカードを利用するのは結構だ。実際、私も11月24日の日記で書いた行き着けのイタリア料理店では、住所氏名を登録したポイントカードを利用していて、誕生日の月には会員特別サービスを受けている。
しかし、たとえば、ドラッグストアチェーンのマツモトキヨシのポイントカードは私は使っていない。カードを作るには住所氏名等の登録が必須で、利用規約には、購買履歴を収集しているかは書かれていないが、
また、メールアドレスを登録しなかった方は、グーポンの準会員となります。秘密保持及び会員情報の保護に関しては、グーポンの正会員・準会員ともにグーポン利用規約が適用されます。詳細はグーポン利用規約をご参照ください。
と書かれており、「グーポン」とやらの利用規約を検索して探す(リンクされていない)と、
会員が入会申込等の際に当社に届け出た情報およびグーポンサイトの利用に関する会員の情報、そして会員がグーポン加盟店にてお買い上げ頂いた情報(以下、購買履歴という)の一部または全部は、当社のシステムに登録されるものとします。
となっている。結局、マツキヨで買ったひとつひとつの商品の購買履歴が、住所氏名と結び付けられて記録されるのかは、これらの利用規約を見てもいまひとつ不明瞭なのだが、さすがに、コンドームとか育毛剤とかの購買行動を蓄積されるのは嫌だから、ポイントカードを使わないというのが私の選択だ。
ここでひとつの問題は、消費者はポイントカードで何が起きているかを理解した上で、カードを使っているかどうかである。
住所氏名を登録するタイプのポイントカードについては、来年4月の個人情報保護法の完全施行によって、何をやっているかを消費者に理解させないでのカード発行は、違法となるのではなかろうか。同法がきちんと守られるようになれば、この問題は解決していくものと言える。
では、住所氏名を提供しないタイプのポイントカードはどうなのか。個人情報保護法の適用外となるだろう。
しかし、11月24日の日記「ポイントカードは何を記録しているのか」で次のように書いた。
しかし幸いなことに、ポイントカードの場合では、同じポイントカードを複数の店で使わない限り、IDが独立しているため、購買行動記録が共有されてしまうことはない。
さて、RFIDタグは、ポイントカードのIDと同じ役割を果たしかねない。RFIDタグの付いた服や靴、鞄を身につけた人が何かの消費行動をした際、それが記録され蓄積されて、FSPだの、1 to 1マーケだの、CRMだのに活用されることが起こり得る。そのとき、ポイントカードと異なるのは、(固定IDのRFIDタグの場合)そのIDが全ての店舗、事業者、業界をまたがって共通だということだ。
さらに悪いことに、ドラッグストアのポイントカードのIDが住所氏名と結び付けられることはないかもしれないのに対し、RFIDタグの場合は、そのタグを身にまとっている間に住所氏名を提供すると、それが名簿となって闇で流通してしまうかもしれない。誰のものかわからないはずということで蓄積されてきた膨大な購買行動(人生の記録)が、闇の名簿と付き合わせた瞬間、過去にさかのぼってそれが、どこに住む何という名前の人の記録かが判明してしまう。
これが、RFIDタグのプライバシー問題の最も根幹の部分(従来にないRFIDタグならではの問題)である。「プライバシー問題の6種類の原因要素」の第六の問題のことだ。
RETAILTECH JAPANでは、いかに顧客の情報を集めるかの最新技術が競われていた。店舗側は顧客の情報を集めたいと願っている。あるいは、「願っているはずだ」とシステム屋に売り込まれて説得されている。
しかし、現状のポイントカードの処理は小売店や客にとって結構な手間になっているはずだ。わざわざ財布から出して店員に渡し、店員も十数秒間かけてカードを装置に出し入れして処理をする。店員と客は「ポイントカード、お持ちですか?」「ありません」「お作りしますか?」という無駄なコミュニケーションに時間を費やしている。
この手間の問題が、数年後の「RETAILTECH JAPAN 2010」のころには解決されているかもしれない。すなわち、消費者の持ち物にRFIDタグ(1メートル程度の距離からユニークIDを読めるタグ)が付いているのが普通な時代が到来すれば、それらのIDをキーにして顧客情報を管理するシステムが出てくるだろう。無駄な手間をかけずに、同一人物の購買動向をつかめるうえ、見返りとしての割引ポイントを出さなくてもよくなる。
ポイントカードでは、消費者の意思で記録を拒否できる。カードを作らない、あるいは、カードを作っても記録が嫌なときは提示しないことで、情報のコントロールが消費者にある。それに対して、身に付いたRFIDタグのIDで記録されるシステムでは、拒否ができない。にもかかわらず、個人情報保護法ではそうした装置の普及を止めることができない。
■ 政府の「電子タグに関するプライバシー保護ガイドライン」に足りないもの
今月8日に、経済産業省と総務省から「電子タグに関するプライバシー保護ガイドライン」が発表された。これは、1月に経済産業省が案を発表してパブリックコメントを募集し、それを踏まえたガイドラインを3月に発表していたものが、総務省と共同で改定されたものだ。
さて、上で、個人情報保護法では止めることができないと書いた問題は、このガイドラインでなら解決できるだろうか。
たぶん、解決されない。
このガイドラインは、主に次の努力をするよう求めている。
- タグの装着事実を表示または説明、掲示すること
- 消費者が望めば読み取り不能にできるよう、その方法を説明または掲示、表示すること
- 読み取りを不能にすると社会的不利益がもたらされる場合は、それについて情報提供すること
- 個人情報データベースと連携して用いる場合は、個人情報保護法に従うこと
- タグ内に個人情報を記録する場合は、件数にかかわらず個人情報保護法に準ずる対応(利用目的の通知、同意、正確性確保等、漏洩防止)をすること
小売店に住所氏名を登録して、RFIDタグのIDで顧客管理をしてもらうケースでは、このガイドラインの「個人情報データベースと連携して用いる場合」に該当し、個人情報保護法に従う必要があるため、記録は消費者の同意を得た上で行わねばならないだろう。
しかし、小売店に住所氏名を預けない場合では、その小売店が努力すべきことは、このガイドラインには何ら規定されていない。
私は、勤務先の仕事として、1月のパブリックコメントに意見を提出した。そのときの提出意見を先日、勤務先のサイトで公開している。
- SecurIT, パブリックコメント提出意見: 「電子タグに関するプライバシー保護ガイドライン(案)」に対する意見
提出した意見は6件で、受け入れてもらえそうな現実性の高いものから順に並べている。このうち、1番目と3番目の意見、そして2番目の意見の一部が受け入れられた。
上に述べた、小売店がRFIDタグのIDで購買動向を記録してしまう問題を解決するため、以下の意見(4番目)を提出している。
(4) 電子タグの読み取り機を設置する際には、読み取り機の存在を表示する必要があるとすべきである。
意見
電子タグの読み取り機を設置する際には、読み取り機の存在を表示する必要があるとすべきである。また、読み取り機の通信距離に応じて、読み取り可能な最大距離から見えるように表示する必要があると規定すべきである。
理由
消費者に気づかれない場所に読み取り機が設置される可能性がある。たとえば、床に読み取り機を仕掛けて、靴底に埋め込まれた電子タグの固有IDを読み取り、人の動きを追いかけてマーケティングに活用するという構想がある。これは、ビデオカメラで人の動きを撮影して画像分析するのと、プライバシー上の問題点は同等である。(顔が誰の顔かの判別と固有IDが誰のIDなのかの判別は同じ。)
光学式のカメラであれば、カメラが存在することが消費者の目でわかる場合が多く、もし隠しカメラが仕掛けられているとなれば、一定の社会的批判を浴びることになるため、それは避けるべきという社会通念ができあがっているが、それに対し、電子タグの読み取り機は、見えないように設置することが容易であり、また、見えても、消費者にはそれが電子タグの読み取り機だと認識できないだろうと考えられる。仮に認識できたとしても、それがプライバシー上のどのようなリスクをもたらすものであるか、まだ十分に理解されていない現状では、隠して設置するのが批判されるべき行為だとの社会通念ができていない。
したがって、読み取り機を公共の場所に設置する場合には、そこに電子タグ読み取り機が設置されていることを表示する必要があるとすべきである。
SecurIT, パブリックコメント提出意見: 「電子タグに関するプライバシー保護ガイドライン(案)」に対する意見 (4)
この意見に対する研究会の回答(「提出された意見とそれらに対する考え方」より)は次のようになっており、これは受け入れられていない。
◆回答
本ガイドライン案では、最終的に消費者のプライバシーを保護するため、商品に電子タグを装着したまま手交する場合には、(1)電子タグの装着されている事実を表示等、(2)消費者が電子タグの読み取りを停止すべきかどうかの選択権の留保を基本としており、これにより、読み取り機の設置場所に関わらず消費者のプライバシー保護を図ることを基本としています。 本研究会では、読み取り機の設置場所に関して、表示義務など、何らかの義務的なものを業界横断的に一律に規定することは、本ガイドライン案以上の効果が認められるのかどうかについて、関係者のコンセンサスが得られていないことから、原案通りと致します。 なお、個別のケースにおいては、事業者の事業形態により、読み取り機の設置場所を消費者が認知できるよう表示するなどのことが望ましいケースもあると考えられ、その場合は、事業者や事業者団体において個別に判断することがふさわしいと考えられます(第8参照)。
つまり、「タグ付き商品を消費者が受け取った時点で嫌なら無効化する」ということで、問題は解決するというのだ。
これはかえって消費者の不安を増長させる。なぜなら、「嫌なら無効化しろ、利益があると思うなら嫌だと思わずに残せ」と、消費者に二者択一の選択を迫っているからだ。
消費者は、どこに読み取り機が設置されているかわからないままに、拒否するか受け入れるかを選ばなくてはならない。どうやってリスクを評価しろというのか。ようするに、消費者は独自にリスク判断などせずに、右へ倣えでどちらかを選べということになる。
読み取り機に対する努力規定を盛り込めなかった理由は、「業界横断的に、関係者のコンセンサスが得られていない」とされている。小耳に挟んだところによると、これは、経済産業省の「商品トレーサビリティの向上に関する研究会」が打ち出したガイドラインにすぎないため、タグを取り付ける事業者に対してしか影響力を及ぼすことができず、読み取る側に対して努力させるような影響力(ないし権限を)持ち得ないためだそうだ。それはいたしかたないことかもしれない。
しかし、今月に発表された改訂版のガイドラインは、総務省と経済産業省が出すガイドラインとなっているのだから、影響力は拡大しているはずではなかろうか。特に、読み取り機は電波を発する装置(タグも受動的に発するわけではあるが)であり、電波行政を司る総務省が打ち出すガイドラインなのだから、読み取り機側に対する努力規定も設けることはできたはずではなかろうか。
残念ながら、新しいガイドラインでも、読み取り機の設置について何ら規定は盛り込まれていない。
唯一関係しそうなのは、第9の部分だろうか。
第9 (情報管理者の設置)
事業者は、電子タグに関するプライバシー保護に係る情報の適正な管理及び苦情の適切かつ迅速な処理を確保するため、これらに責任を有する情報管理者を設置し、連絡先を公表する必要がある。
これは、読み取り機を取り扱う事業者に対して言っているのだろうか? それとも、タグを取り付けたり、取り付けた商品を消費者に手渡す事業者に対して言っているのだろうか? 個人情報を含む場合はその取扱者であるのは明白として、個人情報を含まないIDに紐付けされたプライバシー情報の場合はどうなのか。「情報」の定義が不明である。
どうも、このガイドラインの策定にあたっては、タグを読み取る事業者とタグを取り付ける事業者が同一であることが暗黙的に想定されていたように思えてならない。3月の回答でも、
個別のケースにおいては、事業者の事業形態により、読み取り機の設置場所を消費者が認知できるよう表示するなどのことが望ましいケースもあると考えられ、その場合は、事業者や事業者団体において個別に判断することがふさわしいと考えられます(第8参照)。
とあるが、参照せよという「第8」は、「電子タグの取扱いについて、事業者団体の場における検討などを含め、適切な対応を取ることが望まれる」とされており、あくまでも「電子タグの取り扱い」であって、読み取り機の取り扱いに踏み込んでいない。
何度も言っているように、RFIDタグのプライバシー問題の根幹は、「タグを付けた人(企業)だけがそのIDを使うとは限らない」というところにある。
もし、タグの持ち主の許可なしにIDを読み取って使うことを禁止したならば、プライバシー問題はスッキリと解決*4され、消費者は(おおむね)安心してタグを有効にしたまま残すことになるかもしれない。
しかしそれはできないらしい。許可なしにIDを読み取って使いたいという勢力がいるからだろうか。
そのあたりは予想できることであるし、法的根拠がないのに制限しすぎとも言えるので、私としては、現実的な路線として、読み取り機が設置されていることの表示を提案したのだったが、それも受け入れられていない。
そんなに無理のある提案ではないと思うのだが、なぜできないのだろうか。
「本人に気付かれないようにさりげなくIDを識別する」ということを、どうしてもやりたいのだろうか。
読み取り機の設置表示が無理であるならば、読み取った後の情報の取り扱いをきちんとすればよいので、私としては次の意見も提出した。
(5) 個人情報を含まないデータベースと連携する場合にも、個人情報保護法に準ずる取扱いが必要であるとするべきである。
意見
第6において、「個人情報データベース等と電子タグに記録された情報を連係して用いる場合には、当該情報は個人情報保護法上の個人情報としての取扱いを受ける」としているが、個人情報を含まないデータベースと連携する場合にも、個人情報保護法に準ずる取扱いが必要であるとするべきである。
理由 個人情報保護法の「個人情報」の定義には、「他の情報と容易に照合することができ」とあるが、電子タグのIDが「容易に照合する」ことのできる情報であるという社会通念はまだ形成されていないと考えられる。
「4情報(氏名、住所、性別、生年月日)と結びつかなければ誰だかわからないのだから、かまわないではないか」とする主張がある。その主張にしたがって、匿名のまま、ありとあらゆる個人の行動履歴がIDでひも付けされて蓄積、売買、共有される可能性がある。4情報(個人情報)が含まれないため、これは「個人情報データベース」に該当しない。
個人情報保護法の適用外であるからといって、無秩序に、そうした匿名のIDと結び付けられた匿名のデータベースが拡大して行き、蓄積される情報が増えれば、そのデータの価値は高まり、それらと4情報とが付き合わせられるリスクはしだいに増大することになる。
4情報と付き合わせる行為をする者が個人情報保護法違反となるにしても、匿名のままのIDと行動履歴情報等のデータを他者に提供する行為の側には、違法性が問われない可能性がある。
そうした、提供行為は避けられるべきであるので、個人情報を含まないデータベースと連携する場合にも、個人情報保護法に準ずる取扱いが必要であるとするべきである。
SecurIT, パブリックコメント提出意見: 「電子タグに関するプライバシー保護ガイドライン(案)」に対する意見 (5)
予想通り、これは受け入れられなかった。理由は次とされている。
◆回答
個人情報を含まないデータベースであれば、個人情報保護法の適用対象とはならないと考えられます。また、具体的にどのようなデータベースが個人情報保護法の対象となるかについては、個人情報保護法全体に係わる議論であることから、本研究会の検討の範囲を超えることになると認識しております。
今回の研究会の範囲を超えているとのことなので、いたしかたない。だが、ならば、今後はどういう施策のあり方があり得るのだろうか。
■ 現実的な落とし所
上の(4)や(5)の提案が無理らしいことは知っていたので、当面どのようにして解決を促していくかも考えた。それが提出意見の(2)である。
これについては、1月に発刊された、日経デジタルコアトレーサビリティー研究会編著の書籍「デジタルID革命 ICタグとトレーサビリティーがもたらす大変革」の中で、私の執筆担当節の一部として次のように書いた。(以下は提出原稿からの抜粋で、本の文章とは異なる。)
実用化を進めつつ対策を促すための施策
(略)
理想論としては、ICタグの技術に線引きをして、消費者の手元まで流通させる場合には、一定の技術水準を満たすタグしか取り付けてはならないとする、技術ガイドラインを示すのが最善であるが、現段階でそのような規制をすることは、業界および技術の発展を阻害しかねず、現実的ではない。しかし、ICタグがどのような技術的特性のものであるかを表示する義務を課すことは、業界の発展を阻害することはないのではなかろうか。
ICタグの技術的特性の表示方法としては、(1)最大通信距離の表示、(2)タグ内に記憶する情報のタイプの表示、(3)セキュリティ機能の有無の表示が考えられる。
通信距離が数メートルのタグと数ミリのタグとでは、プライバシーに与える脅威の度合いは大幅に異なる。どの程度の距離からしか情報を読めないという事実を表示することは、消費者に安心感を与えると同時に、商品の性質とタグの通信距離を考慮して、商品ごとに無力化するかしないかを消費者が判断できるようになる。
タグ内にどんな情報が記憶されているかは、それを保有することになる消費者に知らされるべきだが、消費者が商品を買う時点でそれを詳細に確認するというのも現実的でない。そこで、情報を3つのタイプに分類し、色分けして表示するということが考えられる。たとえば、固有IDだけが記録されている場合は「黄色」、所有者ごとの嗜好に関わる情報が直接書き込まれている場合は「赤色」、製品型名など個人ごとに同じ情報しか書かれておらず、かつ固有IDを持たない場合は「青色」とするなどの案が考えられる。
このようにしてタグの性質が数値や色で表示されていれば、消費者は論理的に納得してタグを受け入れられるだろう。たとえば、自動車の部品に取り付けられたICタグの最大通信距離が50センチであるなら、プライバシーを気にしないでよいことは納得できる。家電製品に取り付けられたリサイクル目的のタグが、青色タグであるなら、やはりプライバシーの問題が起きないことを納得できる。
また、現状では、ほとんどのICタグにセキュリティ機能が搭載されていないが、セキュリティ機能の有無の表示が義務付けられていれば、消費者が各商品の性質とつき合わせて、タグを許容できるかを判断するようになるだろう。そうすれば、プライバシー保護に向いた電子タグの技術開発を促進することにもなる。逆に言えば、技術的特性の表示のない状況では、消費者に評価されることがないため、技術開発競争が生まれず、低価格性だけが優先され、プライバシー保護レベルの低い技術だけが残ることになりかねない。
EPCglobalのガイドラインのように、ICタグが取り付けられていることの表示を義務付けるのであれば、そこに技術的特性も表示するのは、さほど困難なことではないのではなかろうか。
これを具体化して図で見せたのが、3月のIC CARD WORLDのパネル討論の席で見せたスライドだった。
パネル討論を終えて、坂村教授は「高木さん、こういうマーク表示、いいですね!」と話しかけてくださった*5。
この提案の狙いは、消費者が感情的にしか判断しなくなるのを避けることにある。
現行のガイドラインのままでは、読み取り機がどこに設置されているかはわからないし、どのくらいの距離から読まれるのかもわからないし、セキュリティ対策されているかもわからないので、消費者にはリスクを判断する材料がない。
そういう状況では、RFIDタグのことを「気にする」者と「気にしない」者という、2つのグループに分かれ、どちらを選択するかは感情的に判断されることになる。
そうなれば、事業者はタグのリスクを消費者に説明することを控えたくなり、悪循環が生まれる。
この提案を、1月のパブリックコメントに意見提出したが、回答は次のようになった。
◆回答
本ガイドラインは、業界横断的な基本的考え方を定めたものであるため、対象となる業態も様々であり、扱われる商品についても、自動車や大型の家電製品から書籍や食品など様々な種類の商品があり、電子タグを利用する目的も様々であることから、効果的に電子タグが装着されていることの具体的な表示方法について、本ガイドライン案で特定の表示方法を定めることは適切ではないと考えます。
◆回答
電子タグの通信距離に関して、電池の無いタイプの電子タグの場合、運用時の標準距離に関しては、貼り付けられた物品の材質、周囲の構造物の状況、電子タグのアンテナの向き、読み取り機から発射される電波の出力など、様々な要因により異なってくるものであると考えられます。このような状況から、通信距離の評価方法を標準化する必要があり、現在国際標準機関により評価方法の標準化が行われている段階です。また、最大距離に関しても、同様に評価手法が確立されておらず、また、読み取り機から発射される電波の出力は、世界各国の規制により異なることから、国際的に流通する物品については一意に決定することが困難な状況にあります。従って、距離の表示を本ガイドラインで定めることは困難であるとの認識です。 また、セキュリティ機能の有無に関する表示についても、現在電子タグに関するセキュリティ技術の評価手法が定まっていないことから、どのようなセキュリティ機能であれば「セキュリティ機能あり」と言えるのか判断材料がなく、本ガイドラインで定めるのは困難と考えます。
現時点でガイドラインとして表示方法の標準をいきなり示すことは、たしかに無理だろう。今後、そのような標準を設けるべくガイドラインが発展していけばよいのだと思うのだが……。
■ 「似非ICカード」を野放しにしてよいのか
受け入れられてもらえる現実性が最も低いと思いつつ、パブリックコメントに提出したのが、以下の6番目の意見である。
(6) 電子タグを個人認証に使うには、当該タグが一定水準のセキュリティ機能を搭載していなくてはならないと規定すべきである。
意見
一定水準のセキュリティ機能を持たないタグを個人認証に使ってはならないとするか、もしくは、セキュリティ機能を持たないタグを個人認証に使う場合には、それによって利用可能になる処理が、本人の権利を侵害しないものとなるよう限定しなくてはならないと規定するべきである。
理由 安価な電子タグがもたらすプライバシーの問題には、タグそのものがもたらすもの以外に、読み取り機側のシステムがプライバシーを毀損する懸念がある。
電子タグの固有IDを個人の認証に使うことが計画されている。たとえば、情報端末に持ち物をかざすと、その人にカスタマイズされた情報が表示されるという仕組みが構想されており、端末に表示される情報に個人情報が含まれていたり、個人の嗜好情報などプライバシー性のある情報が含まれる可能性がある。
こうした個人認証には本来ならば人間向けに設計されたICカードを使うべきであるにも関わらず、物品向けに設計されたタグを流用しようと計画されており、タグにセキュリティ機能が搭載されていないならば、この認証は、簡単になりすましできてしまうという問題がある。他人のタグに電波をあてて固有IDを読み取り、リプレイ装置でそのIDを情報端末に対して発信すれば、情報端末は他人にカスタマイズした情報を表示してしまう。
したがって、一定水準以上のセキュリティ機能を持たないタグを個人認証に使ってはならないとするか、もしくは、セキュリティ機能を持たないタグを個人認証に使う場合には、それによって利用可能になる処理が、本人の権利を侵害しないものとなるよう限定しなくてはならないとするべきである。
SecurIT, パブリックコメント提出意見: 「電子タグに関するプライバシー保護ガイドライン(案)」に対する意見 (6)
これに対する回答は次であった。
◆回答
本研究会としては、ご意見のような利用形態に伴うプライバシー上の問題が想定されていないことから、本ガイドラインによる対応は適切ではないと考えます。
まあ、いたしかたない。これは、システムのセキュリティ脆弱性という観点から取り扱うべきことかもしれない。
IC CARD WORLD 2004の展示会場では、さっそく怪しげな製品を見つけた。
「Paper IC card System」と称し、サンプル品として配られていたのはハガキで、透かして見ると中にRFIDタグが埋め込まれているのがわかる。そこにはこんな宣伝文句が書かれている。
安全性が高く経済的。だから、
「ICカードはハガキで送る」が
これからのスタンダード....その形状・仕様から優れたユーザインターフェイスとセキュリティ性を持ち、
「セキュリティ性」って何だ? まさに、12月8日の日記「RFIDカードが築き上げた高セキュリティな印象にRFIDタグが土足でタダ乗りする」で懸念していたことが現実になってきているように見える。
展示会場のブースでは、同じシステムをハガキではなく社員証の紙に埋め込んで、会社の入退室管理に使うことを提案していた。「認証」という言葉が使われていたので、それはさすがにマズいだろと思い、会場の担当者に、「このタグは、なりすまし対策のための暗号機能を搭載していますか?」と尋ねた。すると、搭載していないとの回答だった。「それではセキュリティシステムにならないではないか」と問い詰めたところ、守衛さんによる顔の確認(社員証の顔写真との目視照合)も併用して本人確認するのだという。ならば何のためのICタグなのかと問い詰めると、入退場履歴を機械的に記録するためだという。まあ、一応、話の筋は通っているが、誤解する客は多いのではないか。
もっとも、この話は、その場の担当者の誤解によるものである可能性もある。つまり、安いRFIDタグを使っているように見えて、実は暗号機能を搭載したものだった可能性はあるので、本当のところは公式回答を求めないとわからない。
こういう安全性が不明瞭な製品と応用提案も現実に出てきているので、RFIDの販売には、そろそろ、セキュリティ機能の有無を(嘘偽りなく)表示するよう義務付けるべきときではないか。
日経BPの「RFIDテクノロジ」のサイトにこういう記事が出ている。
モノにサービスをヒモ付けた実際の例に,エクソンモービルの「スピードパス」がある。RFID内蔵のスピードパスをガソリン給油機に付けたリーダーにかざすと,ランプが点灯して給油が始まる。給油が完了すると,ネットワーク上のデータベースでスピードパスに内蔵されたRFIDの番号と顧客のカード番号が照合されて,顧客のカード口座で決済される。決済というサービスがRFIDにヒモ付けられた形だ。
このRFIDは、SuicaやEdyなどと同様に、当然、なりすましできないよう暗号機能搭載になっているはずだ。スピードパスのサイトのQ & Aには、「スピードパスの通信には、高度な暗号処理が施されているので、SSに設置されている専用リーダー以外で読み取ることができないほか、クレジットカードのように複製することもできません。」と書かれている。
「識者」なら、そろそろこういったポイントをおさえた解説をすべき時期ではないか。
別の方もこの区別の重要さをあまり認識しておられない様子がある。
本稿では,いくつかの企業で既に導入が始まっている社員証の電子化について述べてみたい。(略) 非接触ICカードは,無線ICタグと技術的な仕組みはほとんど同じ。違いは,非接触ICカードは人が持ち,無線ICタグはモノに貼り付けるという点である。どちらもRFID(無線を使った識別)技術の一種である。
そうではないだろう。違いは、非接触ICカードはセキュリティ機能(リプレイ攻撃によるなりすまし防止を含む)があるのが普通で、無線ICタグにはそれがないのが普通。電子社員証の話を語る文脈でこの違いを書かないのは、「識者の眼」としては問題があると言わざるを得ない。次のページでは、
また仮にICカードのメモリーに個人情報などを入れたとしても,ICカードが備えているセキュリティ機能により,第三者が容易には不正にアクセスできない。
と書かれており、セキュリティ機能が、中身の盗み出し防止だけのものと理解されている(なりすまし防止のことが考えにない)ふしがある。続く段落には、
なお不特定多数に対して配る無線ICタグも一部では実用化され,定着の段階に入っている。「イベント会場での来場者管理」のための無線ICタグある。これは“社員証の不特定多数版”のような感覚で利用者に受け入れられていると思われる。
とあるが、これは、なりすましできるタグではないのか?
たしかに、なりすましは磁気ストライプカードでも簡単に可能だった。スキマーを使ったスキミングでカードは複製可能であり、クレジットカードでは被害が多発している。(刑法第18章の2「支払用カード電磁的記録に関する罪」参照。)
しかし、磁気ストライプでは、カードが相手の手に渡らない限りスキミングされることはない。非接触スキミングなどというのは不可能だろう。それに対しRFIDでは、離れたところからIDを読み出せるのであり、スキミングされるリスクは格段に高くなる。しかも、離れたところから勝手にIDを読むのが当たり前な世の中では、それが刑法犯になることはありそうにない。
セキュリティ機能を搭載していない安価なRFIDタグのことを指して、磁気ストライプカードと同じように認証に使う話をするのは、よろしくない。
もっとも、イベント会場の来場者管理において、なりすましされても実害はないとか、なりすましするような動機がないというのはそうかもしれない。しかし、応用によって問題ないかは慎重に検討する必要があるのであり、応用によっては、利用者になりすましの可能性を通知して理解してもらった上で実施する必要があるだろう。
安易にICカードの代わりにICタグを使うという提案をするべきではない。
また、保科氏は、
社員証は元々人を識別するためのものであり,利用者側もプライバシが侵害されるという意識は薄いと言える。 保科剛, [識者の眼] 実用化進む電子社員証,無線ICタグの先を行くその理由は?, 2004年4月13日
とも主張しているが、それは、その社員証が社外で読みとらることが起きなければの話だ。
もし、その社員証が汎用のRFIDタグで、スクランブル機能(暗号機能)がなく、汎用の読み取り機でユニークIDを読まれるものであって、通信距離が1メートル以上あって、街にRFIDの読み取り機がたくさん設置されている世の中が到来していれば、プライバシー問題はこれまでの議論どおりに顕在化してくる。
社員証やカード鍵について、プライバシー問題があまり語られていないのは、たいていのカードには暗号機能が搭載されているか、通信距離が5センチ以下程度であるうえに、今のところまだ街中にRFIDの読み取り機がたくさん設置されているような状況はないからにすぎない。
*1 このときの井村氏は、プライバシー問題についてきちんと理解なさっていたようで、「何が問題なのかわからない」といった雰囲気はなく、おとなしい様子、というか、肩を落とされているようにも見えた。司会者の、「暗号機能を搭載してプライバシー対策したRFIDのICチップは将来作れそうですか?」という問い掛けに対して、「まあ当然できるんじゃないか」というような回答をなさっていたが、いまひとつ覇気のない感じだった。
*2 どちらも坂村さんのプロジェクトであり、NHKと坂村教授が旧知の仲だからなのかもしれないが。
*3 情報のコントロールがリーダを使う消費者に委ねられるため、プライバシー問題の6種類の原因要素の第六の問題は解決する。(そのほかは残る。)
*4 すべてが解決されるわけではないが。
*5 「マークのデザインやクラスの定義は別として」とのことだったので、ご自身で独自にお決めになりたいのだろう。私としては問題が解決しさえすればよいので、何でもよい。