高木浩光＠自宅の日記

■ NETWORLD+INTEROPのRFID実験で見た虚偽表示

今月はじめ、NETWORLD+INTEROP 2004 TOKYOに行ってきた。会場の受付に、こういう看板が立てられていた。

そこにはこう書かれていた。

Q2 "IC Chip PASSPORT"にはどのような情報が含まれているの？

A 全ての"IC Chip PASSPORT"には、異なるナンバーだけが記入されています。このナンバーはご来場の皆様の入場登録（事前/当日）とは一切結びついておりません。（略）

Q4 "IC Chip PASSPORT"無くしたときはどうするの？

A 入場受付までお越しください。紛失された"IC Chip PASSPORT"を無効にすると共に、再発行いたします。

「入場登録と一切結びついていない」のに、どうして紛失したときに「紛失された"IC Chip PASSPORT"を無効にする」ことができるのだろう？ という疑問がわく。再発行というのは、別の番号で発行されるという意味だろうか？ という疑問もだ。

帰り際に受付に行って、「紛失したときに無効にするとか再発行するというのは具体的に何をするということなのですか？」と問い合わせてみた。すると、仮に私が紛失したと想定して、実演して見せてもらえた。

専門の係員さんが呼び出され、彼がやってみせてくれたのは、無効にするというのは、RFIDタグをリーダライタに置いて内容を消去するという操作で、再発行するというのは、名札のバーコードを読み取ってそれをRFIDタグに書き込むという操作なのだという。どうも変だ。

名札のバーコードには「208316」という6桁の番号が書かれていた。係員さんが言うには、その番号をRFIDタグに書き込むのが再発行なのだという。それって、「一切結びついておりません」というのが虚偽だということになるのでは？

ITmediaの記事によると、

入場者にはバッジとともに、名刺大の無線ICタグ「IC Chip PASSPORT」が配布される。入場時にはバーコードで情報を読み取るとともに、同一の情報をICタグに書き込み、それをゲート型のリーダーで読み取るという流れだ。同じ情報をバーコードとICタグの両方で扱うことにより、ICタグの信頼性を検証する。 ITmediaエンタープライズニュース, 来場者を対象にした大規模ICタグ実験をN+I Tokyoで実施, 2004年7月1日

とあるので、RFIDタグに書き込まれたデータがバーコードの番号だというのは間違いないようだ。

ここで、N+IのこのRFIDタグ付き名札で起こり得るプライバシーの問題を整理してみると、主に以下の可能性が懸念されるところであろう。

1. 会場内で、出展者が来場者の意思に反して、ブースに立ち寄った来場者の番号を読み取り、後日セールスのコンタクトをとる。
2. 会場内または会場外で、第三者が、RFIDタグの固有IDを読み取って人々の移動をトラッキングする。

2番目の懸念は、ユビキタス社会が未到来の現時点においては、ほとんど問題にならない。使用されたタグも通信距離が長くないものであるから、アクティブタグを小学生児童に取り付けて電波発信させるような実験と違って、直ちに危険が生じ得るという状況ではないだろう。今回の実験で懸念されると想定すべきは1番目の問題である。

展示ブースにはバーコードの読み取り機があり、来場者が出展者からの後日のコンタクトを希望すれば、自分の連絡先を出展者に伝えるために、名札のバーコードを読んでもらうようになっている。こうした仕組みは多くのイベントで採用されている。後日、出展者がバーコードで読み取った入場者番号リストを主催者に提出すると、主催者から対応する来場者の連絡先個人情報をその出展者に提供するようになっているのだろう。受付のところにも、「バーコードを差し出すことは名刺を渡すことと同じになります」といった注意書きがされていた。従来の方式では、連絡先を出展者に渡すか渡さないかの選択権は来場者にあるので、プライバシー的に妥当なものであった。

ところが、名札にRFIDタグが取り付けられ、目に見えない電波で、ある程度の距離から勝手に読み取られ、連絡先個人情報を知られてしまうとなると、それは少なくない来場者が許さないであろう。

バーコードでも最近の高性能なバーコードリーダなら、1メートルくらいの距離から読めるが、赤いレーザー光がチカチカ走ることになるので、それを見たら嫌だと感じる人は少なくないだろうし、カメラを使って名札を撮影することもできるだろうが、密かにそういうことをしていたと発覚すれば、問題となるだろう。RFIDタグを無線で読むのはそれと同じだ。

だからこそ、「このナンバーはご来場の皆様の入場登録とは一切結びついておりません」というお断りが必要だったのだろう。だが、「結びついていない」というのは虚偽で、バーコードと同じ番号が電波でも読み取れる状態になっていたというのが真実のようである。日経RFIDテクノロジーの記事には、以下のように、そのことがハッキリと書かれている。

無線ICタグとバーコードに格納したIDは，来場者の個人情報とヒモ付けた形で，主催者のメディアライブジャパンがこれまでのイベントと同じように厳重に管理する。

日経BP RFIDテクノロジー, 「プライバシはどうするの?」，Interopの来場者管理に10万枚の無線ICタグを利用, 2004年6月30日

「出展者がRFIDタグの番号を読み取って入場登録と結びつけることはありません」というのなら理解できる。主催者と出展者の間の契約で、そうした行為を禁止していればよい。実際に禁止していたかもしれない。だったらそれを書くべきである。もし契約で禁止していなかったのなら、論外だ。

「一切結びついておりません」の文章は、受動態表現とすることで、行為主体を明らかにすることを避けた文章になっている。誰が何をしないことになっているのか。契約なのか単なる期待なのか、そこをハッキリさせる必要がある。それこそが固有IDのプライバシー問題解決の本質であるのに、Auto-IDラボ・ジャパンの人はそれをいまだに理解していないようだ。

なお、ITmediaの記事によると、

メディアライブ・ジャパンでは、来場者の動線分析のほか、名刺交換や資料請求にICタグを利用するといったアプリケーションも想定しており、実験の結果次第では、来年のN+Iではバーコードをやめ、ICタグのみで入場管理を行う可能性もあるという。

ITmediaエンタープライズニュース, 来場者を対象にした大規模ICタグ実験をN+I Tokyoで実施, 2004年7月1日

となっているが、それはどうだろうか。

自分の意思と関係なしに近寄っただけで名刺を取られるというのは、受け入れられないだろう。よほど通信距離の短いタグにするか、読み取り機の方で、ボタンを押さないと読み取らない仕組みにする（出展者には契約で遵守させる）などの対策が必要だろう。しかし、それだったら、これまで通りのバーコードで十分なのではないか。

動線分析をするなら、動線分析用のIDと名刺交換用のIDを分離する必要があるだろう。名札発行時には、両者の番号を同時に書き込むわけであるから、突合せは可能な状態になる。「突合せしません」と来場者に約束するしかないが、そこまでして得た匿名のままの動線分析の結果はそれほど役に立つのものか疑問だ。やはり、「この動きをした人にコンタクトしたい」という狙いがあってこそなのではなかろうか。

ちなみに、日経BP RFIDテクノロジーの記事には次のようにある。

無線ICタグを無効にする方法としてはまず，会場の出口に設置したリーダー・ライターでIDを消去する方法を示した。もっとも無線ICタグの製造時に焼き付けられているユニークIDは，リーダー・ライターでは消去できない。消去されるのは無線ICタグのユーザー・メモリー領域に書き込まれた来場者管理用のIDだけである。タグの読み取りそのものを嫌うユーザーに対しては，タグを入場者バッジから取り除いて捨ててしまう方法を示した。

, 2004年6月30日

「消去する方法を示した」というのは、「組み込みネット」の記事「10万人規模の展示会を利用してRFIDの実証実験を行う」に掲載されているこの看板のことだろう。そこにはこう書かれている。

バッジが不要の方はこちらに破棄してください。（バッジは3日間共通になりますので2日目以降もご来場の方はお持ち帰りください。）

“IC Chip PASSPORT”を無効化する方は隣のリーダに読み取らせてください。LEDが点灯して無効化されます。

この表示は、無効化処理をすればすべてのIDが消去されるかのように誤解させているだろう。「タグを入場者バッジから取り除いて捨ててしまう方法を示した」というが、「無効化されます」という表示は、「無効化すれば捨てる必要がない」という思考を誘導している。

■ 魂胆スケスケのAuto-IDラボのアンケート

後日になって、この実験のWebページ「The Real Space Auto-ID Challenge」に行ってみると、

Auto-IDに関してのアンケート募集サイトをオープンしました。

という案内が出ていた。

さて、そのアンケート募集サイトであるが、アクセスしてみると、SSLのサーバ証明書が署名されていない（自己署名のテスト用証明書が使われている）ため、ブラウザが警告を出す。

これでは、通信の間に盗聴者が割り込むman-in-the-middle攻撃や、DNS spoofing攻撃等による偽装サイトを許してしまい、SSLを使う意味をなしていない。安全な鍵交換なしに暗号通信は成り立ち得ないという基礎的なセキュリティ知識に欠けているようだ。

それはともかく、アンケートの質問内容に問題が多い。

ここで「不便」と答える人がいるだろうか？ はじめから期待する答えが用意された設問である。

たとえば「べつに便利というほどのものではない」という回答選択肢があってもよかろうに、それがないのは意図的なのだろう。意図的でないのなら、頭がそこまでまわらないパープリンがアンケートを作ったということになってしまう。

現状で情報提供は行われていないのだから、「満足していると思うか？」と聞かれたら、「思う」と答えるわけがない。次の質問文だったら回答が違うものになるだろうし、そもそも本当に聞きたいのはこの内容のはずだ。

スーパーなど小売店で、生産者や商品の詳細な情報を提供することについて、顧客は期待していると思いますか？

○思う ○やや思う ○どちらとも言えない ○あまり思わない ○思わない

「店側の判断で」の指す意味が不明瞭だ。「お客さまの同意を得る前に店側の判断で」とハッキリ書かないのはなぜなのか。聞きたいことはそれだろう。

この下には以下のように項目が並んでいる。

(9) 以下「会社の名刺」の情報はプライバシーでしょうか。 会社の名刺情報：名前
会社の名刺情報：メールアドレス
会社の名刺情報：携帯電話番号
会社の名刺情報：肩書き
会社の名刺情報：部署名
会社の名刺情報：会社名
会社の名刺情報：会社住所
会社の名刺情報：会社電話番号

(10) 以下の情報はプライバシーでしょうか。 名前
個人のメールアドレス
個人の携帯電話
自宅住所
自宅電話番号

「プライバシーでしょうか」という質問が意味をなさない。これらの情報がプライバシーになるのかならいのかは、誰にどういうときに提供するかによるのであって、一概に「プライバシーでしょうか」と尋ねることはナンセンスである。「どの情報がプライバシーか」という考え方では駄目だということは、去年の7月30日の日記にも書いた。Auto-IDラボの人らはいまだに理解できていないのか。

設問者は、「会社の名刺情報ならあてはまらない」という回答を期待しているのだろう。少なくとも、(10)の設問よりは(9)の設問の方が「あてはまらない」の回答が多いという結果になるのは明白だから、期待通りの結果が得られるであろう。

「※シリアルナンバーは数字の意味しかありません」の意味がわからない。たとえば、N+I 2004 TOKYOでの来場者番号は「数字の意味しかありません」なのかどうか。

「※シリアルナンバーは数字の意味しかありません」を、質問本文に入れずに注釈の形にした意図は何か。設問では「数字の意味しかありません」と断りながら、回答をまとめた報告書ではそれを書かないでおくことを予定しているのか。

この下には以下の項目が並んでいる。

(12) 以下の行動の情報は、「共有したい情報」ですか、「知られたくない情報」でしょうか。

仕事でイベントへ来た
仕事上の関心分野
個人でイベントへ来た
個人の関心分野
仕事で来て○社の△△さんと面会
個人で来て○社の△△さんと面会
仕事で来てカレー屋で昼食を食べた
個人で来てカレー屋で昼食を食べた

ここに肝心のことが質問されていない。上で書いたように、このような展示会でのRFIDタグ利用で、主要なプライバシー懸念となるのは、展示ブースで出展者が無断で来場者のIDを収集して連絡先個人情報を主催者から得ることだ。

それを気にするのか、気にしないか、なぜアンケートで質問しないのか？

「共有したい」or「知られたくない」という選択肢も稚拙だ。「共有」って何？ 誰と共有するのか？ 出展者なのか、主催者のみなのか、一般来場者なのか、非来場者も含むのか。

「ない」と答えるのが普通だろう。なぜなら、今回は、強制的に読み取られるものとしては、出入口ゲートに設置されたリーダしかなかったからだ。ゲートではいずれにせよ、バーコードで入退場を管理されている。

ITmediaの記事によると、

今回の実験結果は、8月末をめどにホワイトペーパーとしてまとめられる予定だ。それも、技術面でのまとめに加え、プライバシー面からの検証が行われるという。 ITmediaエンタープライズニュース, 来場者を対象にした大規模ICタグ実験をN+I Tokyoで実施, 2004年7月1日

こんな糞アンケートの結果が「プライバシー面からの検証」になるのか。なら私が先に「検証」結果を予測しておこう。

アンケートの結果、99.5パーセントの人が非接触の読み取りを「便利」と答えた。スーパーなどの小売店での情報提供に不満があると答えた人が半数を超え、その有用性と必要性が認められた。プライバシーに対する意識の問いには、ほとんどの人が、自宅住所をプライバシーであるとしながらも、会社の住所はプライバシーではないと答えており、展示会イベントで名札のバーコードをRFIDタグに置き換えることに対して、プライバシーの問題があるとはあまり考えられていないことがわかった。今回のN+Iでの実験における感触として、プライバシーが心配になることがあったと回答した人は 0.5パーセントしかいなかった。

こんなところだろう。

■ ICカードの安全イメージにタダ乗りするAuto-IDラボ

N+Iの会場で配布された名札のRFIDタグには、「IC@Card」というマークが描かれていた。手元にある名札にはこう説明が書かれている。

“IC@Card”ロゴは、ICチップがカードに入っていることを示します。

このマークについて「組み込みネット」の記事「10万人規模の展示会を利用してRFIDの実証実験を行う」に次のように書かれている。

経済産業省と総務省は，電子IDタグを利用する事業者に対して，2004年6月に『電子タグ（ICタグ）に関するプライバシー保護ガイドライン』を発表し，その徹底を呼びかけている．このガイドラインでは，「電子タグを装着していることを表示する」，「情報の読み取りについて消費者が可否を選択できる」といったことが定められている．

今回の実証実験は，このガイドラインにのっとって行われた．例えば，「IC Chip PASSPORT」には「IC@Card」という文字が書かれており，RFIDタグが装着されていることが明示されている（写真5）．

組み込みネット, 10万人規模の展示会を利用してRFIDの実証実験を行う ――NetWorld+Interop 2004 Tokyoレポート

「ICカード」といえば、SuicaやEdyカード、住民基本台帳カードや、最近のICカード型のキャッシュカードやクレジットカードのように、暗号機能を搭載した安全なカード（なりすましが困難で、無権限での情報読み出しが困難）というイメージがある。

しかし、N+Iで配布されたRFIDタグにそのような機能はないだろう。ここでも、12月8日の日記に書いた「RFIDカードが築き上げた高セキュリティな印象にRFIDタグが土足でタダ乗りする」と同じ思惑が垣間見える。

そもそも、「ICチップが入っている」という表現が、虚偽紛いの表示と言わざるを得ない。「ICチップ」とは何か？ ICチップなら電気炊飯器にだって入っているが？

ICチップが入っていることがプライバシー懸念の本質なのか？ 違うだろ。「電波で非接触で読み書きされる」ということを指す言葉を使わなければ、説明したことにならない。たとえば最低でも「無線ICタグ」などと書く必要があろう。

真面目にプライバシーの実験をしていると言いながら、どうしてこうも隠したがるのか理解に苦しむ。

接触型のICカード（最近のキャッシュカードやクレジットカード）には、RFIDと同様のプライバシー問題は存在しない。「IC@Card」というマークは、それらの安全イメージにタダ乗りするものであって、到底、認められない。

経済産業省・総務省は、このようなマークでは「装着されていることの表示」に当たらないという見解を示して、適切なマークを制定するなどするべきである。