高木浩光＠自宅の日記

■ 事業者が今すぐできるフィッシング詐欺対策

ここのところフィッシング(phishing)詐欺に注意を呼びかけるニュース記事や、メールマガジンが多くなってきた。Yahoo! BBのニュースレターでも、「フィッシング詐欺の対策を大紹介！」というサブジェクトで、「ヤフーBBマガジンクリップ ―― フィッシング詐欺に気をつけろ！」というコンテンツを流しているようだ。

国内で大流行する前にこうして消費者に注意を呼びかけることはよいことだ。だが、消費者の意識改革を促すよりも前に、事業者側で今すぐ可能な対策がある。それは昨年の6月14日の日記「HTMLメールマガジンのもうひとつの危険性」に書いていた、以下の話である。

偽メールの危険性を重視して、メールマガジンに電子署名するようにしてはどうだろうか。認証局方式の署名付きメールは今ひとつ普及していないが、これは、署名に必要な証明書が有料であるため、個人ではあまりコストに見合っていないためと思われる。メールマガジンは事業者が発行するのであるから、https: 用のサーバ証明書を購入するのと同じように、メールマガジンのFrom:アドレスに対応するメール署名用証明書を購入して使用してはどうだろうか。信頼性に重きをおく事業者であるとアピールできるばかりでなく、これによって署名メールの一般への普及も促進されるかもしれない。なお、プレインテキストメールにも署名した方がよいだろう。

HTMLメールマガジンのもうひとつの危険性

当時は「phishing」という言葉を耳にすることがなかった。手口自体は古くから細々と実在していたと思われるが、英米を中心に大流行し始めたのは、2003年夏ごろからのようだ。今年3月のIT Proの記事「phishing――だましのメールに釣られるな」によると、米国FTCが注意喚起したのが2003年7月で、Anti-Phishing Working Groupが設立されたのもそのころだそうだ。同グループのアーカイブには、2003年9月21日の手口から事例が掲載されている。「The Word Spy」のphishingのページによると、単語の初出は1996年ごろに既に見られるという。

IT Proの記事では、対策として、消費者が偽メールに騙されないよう心構えを持つことと、事業者側がアドレスバーを隠すようなことをしないよう呼びかけている。しかし、メールに電子署名することについては触れられていない。

メールに電子署名する方法には、PGPによる方法とS/MIMEによる方法がある。PGPによる方法では、事前に相手の公開鍵を安全に入手して登録しておく必要があるので、一般人には敷居が高い。phishing詐欺に騙されるような人たちにPGPを正しく使えるとは考えにくい。その一方、S/MIMEならば、受信者側は何も準備なしに署名を検証することができるので、phishing詐欺対策として使えるだろう。

S/MIMEは、phishing詐欺に騙されそうな人達が多く使用していると思われるOutlook Expressではかなり昔から対応している。最近では、Becky!もVer2.11からS/MIMEに対応したし、ジャストシステムのShuriken Pro 3は、日本ベリサインと提携して、メール署名/暗号化用証明書付きのセットでの販売を今年6月から開始している。主な日本語対応メーラーのS/MIME対応状況については、以下のサイトが参考になる。

• PGP,PGP/MIMEへのWindows版MUAのサポート状況

Outlook Expressの場合、S/MIMEで署名されたメールを受信すると、以下の図の矢印の部分のように、正しく署名されたメールであることを示すマークが表示される。

信頼できる企業が発行する多くのメールマガジンがこのように電子署名された形で発信されるようになれば、消費者が常にこの署名を気にかけるようになることで、署名されていないメールマガジンはphishing詐欺の可能性があると疑って警戒することができるようになるだろう。

ただし、「正しく署名された」とはどういう意味なのかに注意する必要がある。現在のところ、VeriSign社が提供している電子メール署名用の証明書は、「Class 1 Digital ID」と呼ばれるもので、Class 1とはどういう意味かというと、日本ベリサインの解説によると、Class 1とは「電子メールアドレスのみを検証（メールでの証明書発行通知によって認証）」というものだそうだ。つまり、そのメールアドレス宛のメールを確かに受信できたという事実でもって、そのメールアドレスの利用権者本人であるとみなすというものだ*1。それに対して、Class 3とは、認証局へ出頭するなどして身分証明書を提示して本人確認がなされるものだ。SSLのサーバ証明書はClass 3である。

上のOutlook Expressの図で、マークをクリックすると以下のウィンドウが現れる。

「デジタル署名者」欄が、この署名が「takagi@mail1.accsnet.ne.jp」というアドレスの利用権者によってなされたものであることを示している。

メールマガジンが電子署名されているとき、受信者は、この「デジタル署名」欄が、自分が知っている（信頼している）メールマガジンのメールアドレスになっているかどうかを確認することになる。

つまり、残念ながらこの方法では、メールアドレスを覚えておかないと、本物らしいと確認することはできない。ただ、メールマガジンの署名者アドレスのドメイン名が、信頼できる事業者のドメインになっている*2なら、たいていの人は確認できるだろう。

上の図で「証明書の表示」ボタンを押し、「署名の証明書」ボタンを押すと以下のウィンドウが現れる*3。

「発行先」に書かれてるものは、メールアドレスの名前部分である。たとえば、ソニースタイルの「Style Memberメール」ならば、From: は「Sony Style <info@mail.jp.sonystyle.com>」となっているので、「デジタル署名者」が「info@mail.jp.sonystyle.com」で、「発行先」は「Sony Style」となる。

このことからわかるように、「発行先」には任意の名前を使えてしまうので、その部分は信頼性の確認に使えない。もし、メールの電子署名用にClass 3の証明書が使えるならば、ここに「Sony Marketing (Japan) Inc.」という表示ができる*4のではないか。

このことについて、NETWORLD+INTEROP 2004 TOKYOの日本ベリサインの展示の場で、同社の営業の方に少しうかがった。「phishing詐欺の流行が懸念されている今だからこそ、メールマガジンを発行する事業者に、メールに電子署名することを勧めるのがよいのではないか」と言ってみたところ、「メールにはClass 1のサービスしかしていない」というお返事だった。事業者の信頼確認には、Class 3でないと意味がないというお考えがあったのかもしれない。ぜひともメール用のClass 3 Digital ID発行サービスを始めてもらいたいものだ。

ところで、S/MIMEは今ひとつ利用が普及していない。その原因は有料だからだろう。PGPは無料で使うことができるためいくらか普及しているようではあるが、使いこなしはそう簡単ではなく、IT強者向けのものだと言わざるをえない*5。

しかし、有料だといっても、1年あたり2,500円〜3,000円程度が相場のようだ。米国VeriSignから直接購入すれば、14.95 USドルで、クレジットカードで即座に決済できる。個人が、メールを暗号化したり署名したりすることに、月額200円ほどを支払ってまでする価値を感じていないのが、普及しない原因なのかもしれない。

だが、事業者がメールマガジンを信頼できるものとアピールするのに、年間3,000円というのは激安だ。証明書の価格は、メールマガジン発行コストのうち誤差にしかならないはずだ。

「フィッシング詐欺に気をつけろ！」とか言ってる暇があるなら、なぜ今すぐメールマガジンに電子署名しないのか。

ひとつ考えられるのは、メールマガジンの発行が、メールマガジン業者に委託されていて、メールマガジン業者がそのようなサービスに対応していないため、始められないという可能性がある。

事業者向けのメールマガジン配信サービス業者は、昨年、世論をHTMLメールを受け入れるよう仕向けるのに必死だったが、そんなことをやっているより、「フィッシング詐欺対策に効果的！」などと宣伝して、電子署名付きメールマガジンサービスを始めたらよかろう。一通あたりいくらかの料金を上乗せできるだろう。HTMLメールマガジンが反社会的だったのに対して、署名サービスは儲かる上に社会貢献になるではないか。

Yahoo! BBのニュースレターにしろ、IT Proのニュース配信にしろ、phishing詐欺に注意を呼びかけるくらいなら、率先してメールマガジンに電子署名をしてみてはどうだろうか。

ただ、メーラーソフトがもう少し、署名の証明書の発行先をわかりやすく表示するよう、ユーザインターフェイスを改善しないと、phishing詐欺に遭うような人たちには本物確認が難しすぎるかもしれない。

最初のうちは、署名があれば本物と信じられる状況となるだろうが、しだいに偽メールも署名をするようになる（本物アドレスに対する偽署名はできないが）だろうから、そういう状況が到来したら、そのときは「デジタル署名者」を容易に確認できるようになっている必要がある。

Becky!のS/MIMEのユーザインターフェイスも、IT強者向け*6で、改善の余地がある。Shuriken Proはどうなっているだろうか。

■ 「フィッシング」に替わる適切な日本語は何か

国家公安委員会の7月の定例委員会で委員からこのような発言があったようだ。

大森委員より、「『フィッシング』という新しい犯罪形態が生まれつつあるというのは憂慮すべきことであるが、『フィッシング』という名称は、少し聞いただけでは、一体どのような犯罪なのかぴんと来ない。したがって、例えば、『オレオレ詐欺』ように、一般の方にもよく分かるような名称に翻訳するなどして、注意喚起を促していく必要があると思う。また、（略）」旨、発言があった。

国家公安委員会, 定例委員会の開催状況, 平成16年7月1日

そのとおりだと思う。専門家向けではなく消費者向けの用語の場合は、英語のカタカナ輸入ではよろしくない*7。しかも、phishingはカタカナにしてしまうと魚釣りと区別がつかなくなってしまう。手口が大流行してからならば用語は自然と定着するだろうが、流行前に注意喚起するには、言葉から手口をある程度想像できる必要がある。

かといって、響きのよい言葉がなかなか思いつかない。思いつくのは以下のような平凡なものばかり。

• 偽サイト詐欺
• オレオレサイト詐欺
• サイバー釣り師
• 個人情報騙し取り
• うそはうそであると見抜ける人でないと（インターネットを使うのは）難しいよ詐欺
• インターネットの方から来ました詐欺

ところで、phishing以外にも、4月24日の日記でふれた、アクセスしただけで契約成立とみなして高額請求する手口についても、ひとことで表現する言葉がまだ整理されていないのではないか。仙台市消費生活センターが「ワン切りメール」などという変な呼び方をしていたが、その後どうなっただろうか。

国民生活センターでは以下のように表現しているが、いまひとつ特徴を表しきれていない。

• ご注意 携帯電話のショートメッセージサービスを悪用する料金請求

この手口の最大の特徴は、アクセスしただけで誰からのアクセスか（電話番号など）が相手に特定されているにもかかわらず、被害者は自分が特定されているとはつゆ知らず、個人情報さえ入力しなければ請求されることはあるまいと信じてボタンを押すところにある。一言で表現するのは難しい。

■ 垣間見える文部科学省関係者の著作権意識程度

三重大の奥村先生のところの「いろいろ」コーナーの2004-07-24のところから、次のことを知った。

文部科学省の「小・中・高校教育に関すること（情報化への対応）」と題するページに掲載されている「校内ネットワークを活用しよう！」というコンテンツの、調査研究報告書「校内ネットワーク活用ガイドブック」の第3章に、次の記述がある。

(3)著作権の保護

●リンクについて

ホームページのリンクについてはホームページの性格が万人に公開を前提としているものであり、ホームページのリンクには著作権がないものと考える、とするのが一般的である。しかし、リンク集などには作成者がいるわけで、作成したリンク集に著作権があるとする主張もある。従って、リンクを張る際には、該当ホームページの作成者に許諾を得ることを原則とすることが望ましい。許諾の際には「リンクに際し回答がない場合は許諾されたものと見なします」といったことをよく電子メールで行うが、この場合もきちんと作成者から回答があったもののみにリンクを張るといった習慣を徹底しておく必要がある。いざトラブルとなった際には、書面できちんと許諾がなされていたかどうかが焦点となるからである。

文部科学省委託事業 校内ネットワーク活用ガイドブック, p.39

このばかばかしさかげんには、どう誤りを指摘したらよいのか途方に暮れてしまう。

おそらくこの文章は、「ホームページのリンク」というものを作ったことも、触ったこともない人が書いているのだろう。ただし見たことだけはあると思われる。（そのように理解しないのでは、書いた人が馬鹿者だという結論が導かれてしまう。馬鹿者がこのような部類の文書の作成に携わるはずがない。）ようするに、リンク先とリンク元の区別もできていない人が書いたと思われる。

そして、リンクに許諾が必要かどうかをガイドブックに記載するにあたり、「必要である」という結論がまず先に打ち立てられ、その根拠として著作権法を持ち出すことを誰かが選択したために、「ホームページのリンクに著作権はあるか？」という（設問自体が無意味な）問いに対して答える文章を書くという仕事が与えられてしまった。

回答文を作る役割の人は、既存の主張を調べて、「無断でリンクを張ることは著作権侵害とはならない」といった考え方の存在を知ったが、これを、「ホームページのリンクに著作権がないからだ」という誤った根拠で理解してしまった。

そのうえ、「ホームページの性格が万人に公開を前提としているものであり」というのは、閲覧を助けること（= リンクを張ること）が著作権侵害にはならないとすることの根拠であるのに、誤って、「公開しているのだから著作権がない」とでも言っているかのように曲解したのだろう。

そもそも、「ホームページのリンクに著作権はあるか？」という誤った設問の課題を解決しようとするからそういう勘違いが生まれる。

一旦は「リンクには著作権がないものと考えるとするのが一般的である」と書いたものの、「リンクにだって作成者がいるはずだ」「リンク集なら間違いなく作成者に著作権があるはずだ」と考えるに至り、「やっぱりおかしい」「作成したリンク集にも著作権がある」ということで、上のように書いた。

……とか、まあそんなところではないかと憶測する。

こういう仕事に携わる人は、とにかく一度くらい自分で実際にそれをやってみてからにしてはどうか。

■ キャッシュと嘘とファイル放流

まえおき

Winny作者が著作権侵害の幇助罪に問われている事件について、当人の意図がどうだったかは別として、Winnyというコンピュータプログラムの性質に着目する場合に、Winnyのどの技術要素が他のプログラムにはない特殊性を帯びているかを明らかにしようとするのは、個人的に無罪判決が出ることが望ましいと期待する立場からすれば、不用意にそのようなことはしない方がよいとする考えにたどり着きかねないものである。ようするに、電波系サヨク運動家流に言えば、「どうしておまえはそういうことを言うのか？ 黙りなさい！ キー！」ということだ。

しかし、もしこの事件が有罪という結果になったときのことを考えてみると、何がその理由で、何が理由でないか、その双方が明確にはなされない（情報技術者や一般の市民たちが理解できるレベルで明確にされない）事態となった場合には、それこそ、技術革新に対する萎縮効果が現れてしまう（特に日本のような法体系・執行制度の国では、自発的に必要以上の自粛ムードが現れることを避けにくい）であろうから、それを避けるための一つの手段として、Winnyのどの技術要素が特殊だったのかを事前にはっきりさせておくことは有益だと考える。

また、特定事件の裁判所判断に関わらず、また、法規制のある・なしにも関わらず、Winnyと同様の性質を持つプログラムは、倫理的に人々に受け入れられるものと言えるかどうか、言えないとしたら、どの技術要素が原因であるかを明らかにしておくことは、いずれにしても重要なことであろう。

すなわち、H_Ogura氏のblog「BENLI」に書かれている、

ですから、「Ａという行為は、ａという要素がある故に、可罰性がある」という見解（甲）に対し、「同じくａという要素を有しているＢという行為は、罰せられるべきでない。従って、見解（甲）は間違っている」という批判（乙）は正しい批判です。

BENLI, 議論の仕方, 2004年8月14日

の表記に従えば、もし（作者の意図とは別に）プログラムの技術要素 aに可罰性の根拠があるのだとしたら、その aは何かを明らかにすることである。

何が aとして該当し得るかは、当然ながら複数のものが可能性として検討に値する。そのそれぞれの候補 aについて、「同じく aという要素を有している B」を満たす Bを検討したとき、Bが少ないほど（究極的には、BがWinny以外に存在しない）、その aはWinnyの特殊性を示すものであり、可罰性があるとする根拠として有力だということになる。

Winnyに類似した新P2P型ファイル放流プログラム「MARIE」

さて、ここで一旦Winny事件から離れて、つい先日新たに登場したP2P型の自称「ファイル共有」プログラムを例にとって、その性質を検討してみる。

「信州大学工学部公認サークル kstm.org」が、今月1日、「MARIE」という名の新しいP2P型「ファイル共有」プログラムをリリースした。

このプログラムは、ユーザから見た使用感と、ファイル検索の方式は概ねWinnyと同様で、ファイル転送方式については、「細かい仕様(暫定版) 08/02-23:46」の説明によると、次のように説明されている。

ファイル情報には、ファイル名、サイズ、更新日時、MD5値、ファイルやキャッシュを持っている(可能性の高い)ノードのIPなどが含まれます。ダウンロードをした場合、MD5値をもとに自分の持っているファイル情報リストから検索し、データを保持しているであろうノードにダウロードのためのコネクションを張りダウンロードをします。

ファイル情報には、ファイルやキャッシュを保持している可能性が高いノードのIPが含まれますが、あくまで「可能性が高い」だけです。ダウンロードの接続を受け取ったノードがそのファイルを持っていなかった場合には接続を切りますが、自分以外にそのファイルを持っているノードを知っていた場合には、そのノードに対して、ファイル転送クエリを送信します。

kstm@信州大学, Project MARIE, 細かい仕様(暫定版) 08/02-23:46

このプログラムは、Winnyにない機能として、パスワードと称するクラスタ識別子を用いて「共通のパスワードを持った端末同士でしかファイルを共有する事ができません」という機能を追加しているそうである。（この点は今回の本題ではない。）

ここで確認しておくのが重要となるのは、MARIEの次の特性である。

☆暗号

• 通信はRC4とRSA(256bit)で暗号化
• キャッシュファイルはRC4

全てのネットワーク上を流れるデータはRC4で暗号化されます．

（略）

☆キャッシュについて

キャッシュは暗号化されていますが，暗号鍵は固定なので，解析すれば中身は読めます．

kstm@信州大学, Project MARIE, 細かい仕様(暫定版) 08/02-23:46

「キャッシュ」とは、「./Cluster/<クラスタ識別子>/Cache/」のフォルダに保存される、ダウンロード中あるいはダウンロード済みのデータおよび、中継中あるいは中継済みのデータが格納されるファイルのことで、これがRC4で暗号化されると説明している。

通信はさらに別途暗号化されるので、交換するファイルのデータは、二重に暗号化されることになる。また、キャッシュファイルのファイル名は、MD5ハッシュ値か何かが使われており、検索やダウンロード済みファイルで見られるファイル名とは異なる名前が付けられている。

ここで、MARIEの作者らが次のように主張している点に注目する。

著作権について

著作権で保護されたデータを，著作者の承諾なしに，不特定多数の人がアクセス出来る状態で共有しないでください．これ以上，P2Pによるファイル共有に対する違法なイメージを植えつけるのは避けるべきです．

今のところ機能として実装はされていませんが，プロトコル的には強制アップロードが可能なので，自分でダウンロードした覚えの無いファイルがキャッシュに入る可能性があります．もし，違法と思われるファイルがキャッシュに入っているのに気付いた場合，削除してください．知っていて放置していた場合は，損害賠償を請求される恐れがあります(プロバイダ責任法)．

共有されたデータを監視したり，一度広まったデータを削除したりすることは，誰にもできませんので，各自で注意して運用してください．

kstm@信州大学, Project MARIE, 細かい仕様(暫定版) 08/02-23:46, 著作権について

これによれば、利用者が適法に利用することを作者として期待していると、作者は主張していることになる。

しかしここで一点、疑問がある。なぜキャッシュファイルを暗号化するのだろうか。

「違法と思われるファイルがキャッシュに入っているのに気付いた場合，削除してください」というのであれば、違法かどうか確認しやすいように、キャッシュファイルを暗号化せずにおけばよいのではないか。

さらに、キャッシュファイルのファイル名も、MD5値にせず、検索結果やダウンロード済みファイルと同じファイル名をそのまま使えばよいのではないか*1。

このプログラムの開発は、ファイル交換する人のプライバシーが保護されることを意図していると考えられるが、通信は既に暗号化されているのであるから、その目的において、ファイルをさらに暗号化して流すことには、必然性がないのではないか。

キャッシュファイルは他人から直接に見られるところではないし、通信することで相手が何を持っているかを知られる可能性については、ファイルを暗号化していなくてもリスクは違わないのだから、キャッシュファイルを暗号化された状態で置く目的は、ファイル交換者のプライバシー保護ではないということになる。

また、ファイルを最初に放流したのが誰であるかが隠されるようにしたいという意図もプロジェクトの目的としてあるのだろうが、この方法でファイルを暗号化しても、それがばれるリスクは、暗号化しない場合と違わないのだから、やはり、暗号化する意図を説明できない。

私はひとりのユーザとして作者の方々にMARIEの改善案を述べたい。

• 違法と思われるファイルがキャッシュに入っていれば削除するようにしたいので、キャッシュファイルを暗号化しない仕様に変更してほしい。
• 違法と思われるファイルがキャッシュに入っていないか確認しやすいよう、（ダブル）「クリックしても開きませんでしたので」とならないようにしてほしい。
• 違法と思われるファイルがキャッシュに入っていないか確認しやすいように、キャッシュファイルのファイル名を、ハッシュ値ではなく、本来の名前（+番号）+拡張子という形式にしてほしい。

もし、これらが「改善」にあたらないというのであれば、その理由を説明することはできるだろうか。

「ファイル共有」ではなく「ファイル放流」

WinnyもMARIEと同様に、キャッシュファイルを暗号化して、ファイル名もハッシュ値にしているため、違法ファイルを自分がキャッシュしていないか確認しようにも、（ダブル）「クリックしても開きませんでしたので、普通の状態では見ることも動かすもできない」ということになる。

この性質が可罰性の根拠となるかどうかは別として、この性質を aとしたとき、「同じく aという要素を有している B」を満たす Bのプログラムには、他に何があるだろうか。他にはほとんどなかったのではないか。

私は、この性質が、Winny等の特殊性を示す技術要素の最有力候補（同じ要素を有する Bがあまり存在しない）であると考える。

もちろんこれ以外にも検討すべき性質 aの候補は複数存在する（そしてそのいくつかは、検討に値しないどうでもよいものである）わけであるが、まずは、H_Ogura氏は、この最有力候補を aとした場合について議論を進めてみられてはいかがだろうか。

もし上に書いたMARIEの改善案が改善にあたらないというのであれば、なぜそのような性質を持たせる必然性があるのかについて、H_Ogura氏にも説明を試みて頂くとよいのではないか。

私はWinnyの特性を、6月8日の日記「良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム」にて次のように書いた。

違法なファイル交換行為をする人々の心境を指して、「赤信号、皆で渡れば怖くない」が持ち出されることは多そうだが、Winnyの場合は、それだけでは説明しきれていない部分がある。

（略）

一般に、議論中にしばしば見かける「完全に○○することは不可能なのだから」という理屈。こういう主張は意味がない。なぜなら、「完全に」を冠すればあらゆる事象は「不可能」であるのが自明であり、自明のことを主張することには価値がない。つまり、「程度」こそが議論の対象たり得るのであって、それを排除した主張には存在価値がない。

Winnyでは、流通の仕組みが受け取る行為と切り離せない構造になっている。受け取る行為によってファイルが拡散するのであり、各ユーザの受け取る行為のひとつひとつが流通の仕組みを支えている。しかし、ユーザはそのことを認識していない。「自分は単に受け取っているだけだ」と勘違いしている。一部の専門的ユーザは認識しているだろうが、大半は理解していない。あるいは、理解することを避けながら使っているだろう。 これはうまく作りこまれた仕掛けである。Winnyでは、5月30日の日記にも書いたように、（日本ではWinMXによる「ファイル共有」としての利用がいまひとつ普及しなかった経緯から、）ファイルを暗号化してキャッシュさせるという仕組みによって、「ダウンロードするとそれが新たな拡散に加担することになる」という事実を、ユーザに認識させにくくする工夫がなされている。

これにより、「これは他の人には見せるべきでない」と良心の働くような真に悪質な映像であっても、「これ以上拡散することは避けられるべきだ」という倫理観を持つ人でさえ、自分だけは見ておきたい（見てみたい、自分だけは見てもよいだろう、見てみないと本当に悪質かどうかわからない、見ておく必要がある）と行動することによって、当人の倫理観とは無関係に侵害規模を拡大させていく。

（略）

そこに見えるのは、自分は侵害行為に加担したくないという倫理観（あるいは安全意識）を持ちながら、自身の欲望は達成しておきたいという考え方だ。Winnyは、まさにそういう人たち向けなシステムだったと言えよう。

良心に蓋をさせ、邪な心を解き放つ ―― ファイル放流システム

また、5月30日の日記「P2Pの価値とは何なのだろうか」では、次のように書いている。

「ファイル放流システム」の誕生

これによって、Winnyは、誰か一人がファイルを一旦uploadフォルダに入れれば（後に削除しても）、あとは、人々に意識されることなくデータが拡散していくという、「ファイル共有」を超えたシステム（共有しているという意識さえ存在しにくいシステム）「ファイル放流」システムを実現してしまった。

（略）

WinMX等で、uploadフォルダとdownloadフォルダを同一にした使い方をする場合であっても、自動的にファイルが拡散していくとはいえ、まがりなりにも自分が何を送信可能化しているかを意識可能だろう。良心の呵責にさいなまれる内容のファイルが流通しているのが目に留まれば、削除するという行動をとるかもしれない。本音と建前を隔てたりせず、宗教的あるいは文化的倫理観ないし強迫観によって削除を自ら迫られる人達であれば、消してくれるかもしれない。

Winnyユーザははたしてどうだろうか。自分が何をキャッシュしているか知っているだろうか。薄々感付いていながら「明確に認知してはいない」と言い訳しつつあえて認知しようとしないとか、「自分だけ削除してもどうせ皆が削除するわけじゃないのだから自分も消さなくてよいのだ」などと正当化して、感心を持つことからさえ逃げていないだろうか。

「ファイル共有」システムではデータの拡散に人の意識が介在する。「ファイル放流」システムでは人が介入する余地がなくデータは完全に機械的に拡散してゆく*2。

「どんな方法であれ、いったんネットに公開されてしまった情報は回復できない」「それはＰ２Ｐやウィニーに固有の現象でしょうか？」だの、「Winnyが無ければ情報の拡散は阻止できるのか？」だの、「メーリングリストプログラムについても同様である」だの*3と、詭弁を振り回す輩が予想通り現れてきたが、拡散に人の意識が介在する余地があるかないかが肝である。

P2Pの価値とは何なのだろうか

端的に言えば、キャッシュファイルが暗号化されていないならば「ファイル共有」システムであり、暗号化されているならば「ファイル放流」システムであるということだ。

なお、念のため述べておくと、これは、現行法で処罰の対象となるかの議論ではなく、将来の法規制のあり方、あるいは法規制とは別に、人々の倫理はどの位置に収束するだろうかという議論である。

ただ、必要のない機能をわざわざ設けたのはなぜなのか、プログラム作成・提供者の意図を問われる材料にはなるかもしれない。しかし、「たいして意図はなかった。その機能の搭載を避けることもできたであろうが、実装上の細かい都合でたまたまそういう実装を選択してしまっただけだ」という主張はあり得る……と言っておく。

■ 不幸の手紙とチェインメールとコンピュータワーム

不幸の手紙は大昔からあった。「3日以内にこれと同じ手紙を5人に送らないと不幸になるよ」といった内容の手紙を郵送するのが「不幸の手紙」だが、「そういうことはやめなさい」といった話はあまり聞くことがなかった。

インターネットが普及し始めるとすぐに、不幸の手紙の電子メール版が軽く流行した。これは「チェインメール」と呼ばれ、後に、希少な血液型の献血を求めるという、それなりに有益性も理解できなくもないメールが、チェインメール化し、その是非が問われた。さらには、「読んだだけで感染するウイルスメールが存在するので気をつけよ」という噂のメールがチェインメール化したこともあった*2。

チェインメールは比較的早い時期から、いわゆる「ネチケット」において、「絶対にやってはいけないこと」とされてきた。たとえ献血が必要であっても、すべて駄目だとされている。これに反対する人はほとんどいない。ネチケットなどという、個人の主観に左右されがちなブレブレの道徳モドキにおいて、これほどまでに全員一致で「絶対やってはいけない」とされているものも珍しい。だが、チェインメールが法律で規制されているわけではない。

そして、コンピュータワームは、次の刑法改正で新設されようとしている「不正指令電磁的記録作成等の罪」によって、その作成、提供、取得、保管が刑法によって罪悪として規定されようとしているが、多くの人はこれを是認していると思われる。（個人的には、作成罪については疑問の余地を感じるが。）

これらの間にこのような違いが生ずるのはなぜなのか、だ。

■ 最高裁の最高ダサいホームページ

5月末に、最高裁判所の事務官採用一次試験の合格者が発表日より前にWebサイトに掲示されているのが発見されて閲覧され、公平性が問われるという情報漏洩事故があったが、この事故の顛末を内閣官房情報セキュリティ対策推進室に報告した、最高裁判所事務総局の報告書が、奥村弁護士のところに掲載されている。

これによると、

（2）今回の合格者一覧表の編集作業は，5月27日及び同月28日に実施したものであり，合格発表（6月8日）までにまだ時間的余裕があったことから，本来は，上記データべース・ローカル上で編集作業を行い，合格発表予定時刻の直前に，ホームページヘアップする手続を行うべきであった。

しかしながら，この編集作業の担当者においては，この点を誤信し，直接， ホームページのデータベースで編集作業を行ったことから，5月27日の作業により作成作業中の合格者一覧表の一部が同日午後6時に，また、5月28日に行った作業により作成した最終的な合格者一覧表の全部が作業直後の裁判所ホームページの更新時刻である5月28日午後6時に，それぞれホームページヘアップされるところとなり，外部から閲覧できる状態になった。

というのが原因だそうだ。「直前にアップする手続きを行うべき」とは、具体的にどういう操作のことだろうか。この事故をふまえて、「最高裁判所ホームページへの記事掲載に当たっての留意事項について」という事務連絡が出ているとのことだが、それによると、

1 掲載記事の編集（新規登録，変更）作業に数日，数時間を要する場合は・編集権限を有する各端末の「データベース」（アイコンに■」との表示があるもの）ではなく，「データベース・ローカル」（アイコンに「Local」との表示があるもの）を使用する方法がある（留意事項の記4参照）が，その記事を公開させないためには，データベース・ローカルを作成する際に，サーバーとデータベース・ローカルとのリンクを切断する作業を行う必要がある。この作業を行わないまま編集を行った場合，直近の更新時刻（毎日，午前2時，午後零時及び午後6時）にそのデータがサーバーに送信され，公開されることとなる。

なんとまあカスなシステムだことか。この仕様だと、更新時刻の直前から編集作業をしていると、編集途中の不完全なコンテンツが公開されてしまうではないか。デフォルトが「リンク切断」でないということがおかしい。

そもそも、「リンク」などという機能からして、組織内向けのグループウェアの発想であって、一般公開用のコンテンツを作成するシステムで使うものではなかろう。

いかにも前時代的発想に引きずられ続けるロータスノーツ・ドミノらしいシステムだと言えよう。

そもそも、最高裁のWebページの構成からしてカスだ。たとえば、「裁判所の組織」というページのURLは以下だ。

http://courtdomino2.courts.go.jp/soshiki.nsf/1f945a20634ef37849256b14001d7da7/d83aaf8844cda42249256b26003a9742?OpenDocument

ディープリンクさせる気のないアドレス形式である。

URLというのは機械が解釈するためだけのものではない。人が読んだり書いたりするためのものだ。「/」で区切った階層構造により、情報を大分類から詳細分類へと整理し、ファイル名がその情報の概要を示すように構成するべきだ。よその省庁は皆そうしているじゃないか（文化庁を除いて）。それを見ておかしいとか思わないのだろうか。文化庁もそうだが、FRAMEを使っているせいで、URLが隠されるため、自分達さえ気付けない状態なのかもしれない。まずFRAMEの使用をやめるのがよかろう。そうすれば自ずと過ちに気付くだろう。

それ以前に、そもそも「domino」などという製品名がホスト名に出ていることからして信じがたい。「2」というのもすごい。

日本国最高裁判所トップページ
http://courtdomino2.courts.go.jp/home.nsf

出版物等に判例のURLを載せるたびに、ロータスノーツ・ドミノの宣伝をすることになるが、もしかして、「courtdomino」というのは何かの法曹用語なのだろうか？

しかも、トップページにはタイトルがない。ここは「courtdomino2」という名のサイトらしい。

「最高裁判所」を検索した結果などは悲惨だ。

そして、http://courtdomino2.courts.go.jp/ にアクセスすると、マヌケな画面が現れる。

ちなみに、情報セキュリティ対策推進室への報告書によると、

ホームページへのアクセス状況

（1）5月29日午後0時ころ，職員から「『最高裁ホームページで1次試験の合格発表を見ることができる。』旨の情報が出回っており，実際に見ることができた。」との連絡があったことから，前記担当者において「2チャンネル」というインターネット掲示板の裁判所事務官試験受験者等が書込みをしているホームページを閲覧したところ，実際に，そのような書込みのなされていたことが確認された。また，同担当者が「2チャンネル」で記載されている方法で検索したところ，実際に，合格者一覧表を閲覧できることを確認できた。

（2）（1）の時点で見た「2チャンネル」によれば，5月29日午前2時26分の時点の書込みが掲載されており，遅くともこの時点までには合格者一覧表を閲覧した者がいたことになる。また，各種試験地の合格者名簿をそのまま「2チャンネル」のホームページにコピーして表示した者もいたことから，これによって，裁判所ホームページを閲覧しなくても，合格者一覧表と同様のものを見られる状態になっている。

なお，合格者一覧表を実際に閲覧した人数については把握しきれていない。

とあるが、もしかしてアクセスログが存在しないのだろうか？

以下、参考資料。

• 悩み1． ノーツを使い続けても大丈夫なの？

  「ノーツはなくなるから、他のシステムに移行しないと．．．」といったメッセージが流布されていますが、それは完全に誤りです。ノーツはなくなりませんし、新しいテクノロジーへの対応も進めていきます。

• Lotus Notes/Domino 最新シェア

  国内の官公庁の多くが、Lotus Notes/Dominoを利用しています。中央省庁はもちろんのこと、東京都庁をはじめ、多くの都道府県庁にも浸透しています。

「国内の官公庁の多くが利用している」というのは、はたして宣伝文句としてどうなのか。

■ ソフトウェア科学会大会でP2Pのチュートリアルとパネル討論

日本ソフトウェア科学会第21回大会の併設チュートリアルで、「P2P コンピューティング−基盤技術と社会的側面−」というのがあるもよう。

概要： 日本ソフトウェア科学会では，最近大きな話題を集めているP2P(Peer-to-Peer)コンピューティングについて、チュートリアル「P2Pコンピューティング −基盤技術と社会的側面−」を開催いたします。

本チュートリアルでは、P2P コンピューティングの基礎から最新の技術・研究動向の解説に加えて、P2P技術に関わる社会・法律面の基礎や問題点に関しても解説が行われます。また、講演による解説の後にパネルディスカッションを開催し、今後 P2P 技術をどのように発展させていくべきかを参加者と一緒になって議論することで、P2Pコンピューティングに対してより深く理解することを目指します。

日時： 2004年9月14日 13:00〜17:00

P2P コンピューティング−基盤技術と社会的側面−

■ フォローアップ1

一昨日の日記「キャッシュと嘘とファイル放流」に対して、トラックバック付きでコメント頂いた点について、まずは簡単なことだけ指摘を。

「BENLI」の「キャッシュと暗号と幇助」の中で、事実関係について次の仮定がおかれている。

逆に、Winnyを違法ファイルを「放流」するためのシステムとして位置付けたときは、却って、キャッシュファイルを暗号化しないような仕様にするのではないかという気がします。このような仕様であれば、アップロード用のフォルダに暗号化されていない違法ファイルが蔵置されていた場合に、そのコンピュータの使用者が積極的にその電子ファイルを送信するためにアップロード用のフォルダに蔵置したのか、キャッシュファイルとして知らない間に自動的に生成されてしまったものか区別が付かない方が都合がよいからです。

そう考えると、（略）

BENLI, キャッシュと暗号と幇助

「暗号化しない仕様の方が、Upフォルダに置いているのか、単にキャッシュにあるのかの区別がつかなくてよい」とのことであるが、理由がない。

Winnyの場合、Upフォルダに置かれたファイル（放流用の原本なので暗号化されていない）は、他のノードからの要求によって通信路を流れ出ていくときに、自動的に暗号化されるようになっている*1。（暗号化はそのときに一度行われるのみで、あとはそれがそのままキャッシュファイルとなり、コピーされていく。）

接続された他のWinnyノードのコンピュータから見ると、受信しているデータが、相手ノードのキャッシュから取り出しているものなのか、それとも、相手ノードのUpフォルダから暗号化と同時に取り出しているのかは、区別できない。そのようにプロトコルが設計されている。

よって、外部から見る限りにおいては、キャッシュファイルを暗号化した状態で置くか、暗号化しない状態で置くかは、「区別が付かない方が都合がよい」ということに関係しない。

内部から見た場合についてまで言及されているのか、わからないが、一応検討してみると、内部から見た場合を心配するというのは、捜査員にパソコンを押収されたときのことであろう。Upフォルダにファイルが入っているなら、それは暗号化の有無に関係なく、そこにファイルが入っているのはあきらかである。

それを防ぐためにUpフォルダを廃止するという設計もあり得る。この場合、直接キャッシュに原本ファイルを投げ込むことになる*2が、このとき、キャッシュファイルを暗号化しておくなら、暗号化して投入することになるし、暗号化しないでおくなら、そのまま投入することになるだけであり、暗号化の有無が設計に影響を及ぼさない。

よって、暗号化の有無は「区別が付かない方が都合がよい」ということに関係しない。

次に、「NetWind」の「高木氏が答えていない点。」において、次のように書かれている。

高木氏が求めていることは、（略）他人が「放流」したものであっても、自分の計算機に放置されたもので削除すべきものは削除しなければならないというモラルを持っているように思えるからである。

NetWind, 高木氏が答えていない点。

そのようなことは言っていない。MARIEの作者が、「違法と思われるファイルがキャッシュに入っているのに気付いた場合，削除してください」と言っているので、ならば暗号化しなければよいのではないか？ と言っているのであり、逆に、「違法と思われる……場合，削除してください」と注意書きするのを取り止めるという選択肢もある。（その場合は、なぜ当初その注意書きをしていたのかが議論の対象となる。）

私は、できるだけ価値に対して相対的な書き方となるよう心がけているつもりだ。ある背景を前提としたときに、いくつかの事実に基づいた分析を加えて推論すると、こういう結果が導かれる――ということの積み重ねをしているだけだ。積み重ねからどのような方向性を感じ取るかは読者しだいであり、当然ながら他の主張と結合されたうえで判断されるだろう。また、私自身がそうした読者と同じ位置で方向性を模索しているところである。

そういう基本的なことを理解していない人とは議論するに値しない。

次に、「6"（ログ）」の「知財ウォッチ」では次のように書かれている。

誰かがWinnyに簡単な機能追加を施すとします。それは、ファイルを未暗号化状態で放流することもできる、という機能です。（略）

そして、あくまで仮定ですが、もしデータの大部分、あるいはある程度大きな量が暗号化状態で流通すると仮定すると、結果として現れる著作権侵害事態は現行Winnyと基本的に何も変わりません。

（略）

暗号化と中継を別レイヤと考えれば、単なる中継は特殊な機能でも何でもなく、NetNewsやIRCでも可能なことです。実際、暗号化されたファイルをNetNews等で放流されれば、中継ノードの管理者はその中身を見ることはできませんね。もちろん中身を見ずに一律削除することなら可能ですが、それならWinnyでもできます。

6"（ログ）, 知財ウォッチ

機械的動作はその通りだが、実際には、そのような利用方法が人々の間に普及しないからWinnyが作られたのだろうから、そんな話をして「何も変わりません」などと主張しても意味がない。

47氏が書いたとされている２ちゃんねるでの書き込みを引用しておく。（5月30日の「P2Pの価値とは何なのだろうか」でも既に引用しているのだが。）

117 名前：47 投稿日：02/04/16 15:18 ID:mPL0z40j
Winnyはぶっちゃけたこと言えば、必ず串経由でMX使って
ファイルは自分で全部暗号化してファイル名を適当なルールつけて
そのままじゃ中身が分かり難くしてやり取りするという文化が広まれば
今のMXそのまま使えばいいんですけど、そうはならんだろうから
それを目指した専用ツールを作ろうってことですね。 

■ リンク管理脳に蝕まれた新聞社たち

著作権のあり方がいろいろな意味で問われている昨今である。行き過ぎたプロパテント指向、あるいは硬直した様式作成事務員脳が、かえって新たな文化の創出にパスワードブレーキをかけてしまっているのではないかとの指摘もある。

そんななか、産経新聞に先進的かつ文化的な記事が掲載されていた。

• 産経新聞, 【横車】著作権意識, 2004年8月16日

  子供文化の歴史を紹介する本で、「赤い鳥」の創刊号の表紙を掲載しようとしたところ、表紙絵の版権継承者から許可が下りず掲載できなかったという話を、担当編集者から最近聞いた。

  （中略、本文参照）

  キャラクターコンテンツがビッグビジネスとして成立する現在である。だからなのだろうか、新聞の文化欄での紹介であっても、掲載料を支払わなければならないとは、いささかびっくりした。

  （中略、本文参照）

  著作権意識の徹底は重要だが、記事や論評的な紹介については、キャラクターや図版の掲載許諾を版権所持者や継承者の考え方だけにゆだねるのではなく、しかるべき場で明確な判断基準を示すべきではなかろうか？（獲）

ぜひ一度まず全文に目を通してもらいたい記事だ。

これを論評した、「高森太郎の日記。」の「産経新聞記事『著作権意識』についてちいと雑感。」も興味深い。

この記事では、文化を紹介する記事、新聞の文化欄にてさまざまな著作物や記事を扱うのに、著作権の壁に阻まれて、表紙などを利用できなかったり、または利用料を求められたことがあったが、これでは具体的な場面を紹介しながら展開する記事がかけなくなってしまう、しかるべき場でちゃんとした判断基準を作るべきだ、という論調になっている。詳しくは元記事を。

が、これを見て（略）

高森太郎の日記, 産経新聞記事『著作権意識』についてちいと雑感

さて、この産経新聞のコラムのパロディを創作してみたので以下に掲載する。

【前車】リンク管理権意識

個人情報漏洩の事例などを紹介し議論するメーリングリストで、産経新聞の事件報道の記事へディープリンクしようとしたところ、産経新聞社デジタルメディア局管理部からの許可が10日待っても下りず、議論することさえままならないところだったという話を、あるメーリングリストのアーカイブで見た。

昭和初期に創刊された日本を代表する報道紙として「産経新聞」の果たす役割は絶大で、その記事は、事実関係の確かさを証明するものとして外すわけにはいかない。

なんとも釈然としない気分であったが、国民的新聞 YOMIURI ONLINE の記事も、同様にディープリンクには了承が必要だという。個別の事件を議論する中での紹介であっても、著作権管理事務員の判断如何（いかん）でリンクできないというのはいかがなものか？

たしかに、読売新聞のような人気新聞になると、それにリンクするだけで商売されてしまうという危惧（きぐ）はあるだろう。勝手に、毎日継続的に全部の記事へリンクしてしまうというのは、編集著作権の侵害になるとする考え方もありなのかもしれない。

しかし、新聞記事の原文がないと、議論の参加者が議論の内容を理解しがたいことも少なくない。一考の余地がありそうだと、ある一流新聞の偉い方に話したら、個人的には全く同意だし、以前から口をすっぱくして言っているのだが、会社は硬直していてどうともならないという返事が返ってきた。

現在掲載中の事件報道記事を、その内容の信憑性の確かさから一場面を紹介して引用すべく、出典明示のためリンクの許諾を得ようとしたら、なんと10日間も放置プレイに遭ったという。

インターネットコンテンツが広告収入ビジネスとして成立する現在である。だからなのだろうか、庶民の噂ばなしの席でリンクするのさえも、事前に許諾を得なければならないとは、いささかびっくりした。

こうなると、具体的な事件を紹介しながら議論する学術論文の公表さえも、ネットでは成立しえなくなってしまう。

著作権意識の徹底は重要だが、記事の論評的な紹介については、個別記事へのディープリンク許諾を、新聞協会や新聞社管理部門の考え方だけにゆだねるのではなく、しかるべき場で明確な判断基準を示すべきではなかろうか？（爆）

参考検索:

• ゲーム脳
• ゲーム脳脳
• 新たな文化
• 様式作成事務員

予告:

• 拡大するリンク管理脳汚染

■ 建前論議を避けられない難儀な職業に同情と敬意を表しつつ

情報処理学会と情報ネットワーク法学会共催で6月に開かれた「Winny事件を契機に情報処理技術の発展と社会的利益について考えるワークショップ」のレポートが情報処理学会誌8月号に掲載されているが、つまらないレポートだ。議論が深まらず期待外れだとする指摘にはある程度は同意するところであるが、その原因が会場からろくに質問が出なかったせいだとするのは誤りだろう。このレポートは、講演者のスライドの紹介を中心にしていて、パネル討論の内容についてほとんど報告していない。

私がこのワークショップに参加して感じたことは、今の状況でWinnyについてきちんと議論することはそもそも困難だということだった。これは、パネル討論での、会場からの最初の質問に対するやりとりでそう感じた。

最初の質問とその回答はこうだった。

質問者（慶応ロースクールにいるイタクラ氏）:

ソフトがすばらしいというのはよくわかるんですが、なぜ彼は、２ちゃんねるのダウンロード板で発表しなきゃいけなかったのかということを疑問に思っているんです。彼は研究者なのですから、自分のホームページで公開することもできた。あるいは情報処理学会に投稿することもできて、それが論文として投稿されれば研究としても意味があると思うのですが、なぜ彼はわざわざ２ちゃんねるのダウンロード板で発表しなくてはいけなかったのか。たとえば、すばらしい薬を発明したら、厚生省の認可を受けて薬として配布するのと、ブラックマーケットで麻薬として流通させるということは、使い道という点では同じだと思うんです。弁護団の方にお聞きしたいのですが、なぜ彼はあそこで公開しなくてはいけなかったのでしょうか。

回答者（壇弁護士）：

２ちゃんねるはブラックマーケットじゃないと思うんですけどね。（会場笑い） 事件の関係があるので詳しくは述べれませんが、ダウンロード関係者のあの場所は、非常にネットワークに慣れた方がいると。そこで広報するとよく使うと。一万人のネットワークを作るためには、一万人に使ってもらうのが一番よいという理由です。

質問者：

両方同時にやってもよかったわけですよね。でも彼は名前を出さずにずっと続けたというのは。

回答者：

２ちゃんねる上で実名を明かして公表するとどれだけ危険か。私のところにはウイルスが山ほどきていいます今。彼が本名を明かすとどんなことになるか考えてみていただければわかると思うんですけれども。

このときの壇弁護士はとても堂々となさっていた*1。

上のような議論は不毛だ。「嘘ばっかり」と思った人も少なくないだろうと私は思うが、弁護人としてはこうのような回答をするのが正しいことは皆承知しているので、これ以上そこを突っ込むことは誰もしない。この議論においては、少なくとも何かしらのタブーがある。

パネル討論のこの後の議論は、司会の佐々木先生により、「ここでは逮捕が是か非かの議論それだけでは不毛なので」という理由で、「P2Pは有望な技術だということで企業でのうまい使い方はあるか」という議論へと方向が変えられて続けられた。それ以降の議論については、INTERNET Watchの6月28日の記事の後半にいくらか紹介されている。

さて、このように困難ではあるけれども、8月14日の日記のまえおきに書いたように、Winnyについて今議論しておくことは重要である。これに対してトラックバックを頂いた壇弁護士も、ご自身のblogで次のように補足なさっている。

注意して欲しいのは、Ｗｉｎｎｙは情報流通の効率化に対する１つの試案に過ぎないのであり、決して、最終形ではないと言うことである。Ｗｉｎｎｙのようなファイル共有ソフトに、どの様な装置を実装するべきか、そのような装置の実装は可能なのかそれとも、ある装置を実装すべきでないかを検討することは、有意義と思う。その中でこそ、ガイドラインや法律が生まれてくるのである。もしかしたら、Ｗｉｎｎｙに盛り込まれていたかも知れない。

壇弁護士の事務室, Winnyの特殊性, 2004年8月16日

その通りである*2。

結局のところ、今回のWinny作者氏の意図や責任を問う議論と、「Winnyのようなもの」のあり方に関する議論は、常に分離させておく必要があるということだ。

その点で、小倉秀夫弁護士*3のblogでの主張は、これらがごちゃ混ぜになっていることがあって、真意を汲み取り難くなっている。

小倉弁護士のblogエントリ「プライバシー情報放流装置」において8月20日に書かれたご自身のコメントには、

「匿名性を保障すべき」という意見にも一理あり、「トレーサビリティを保障すべき」という意見にも一理あるわけで、「最低この程度は匿名性を保障すべき」とか「最低この程度はトレーサビリティを保障すべき」というふうに国民の代表者である議会が「法律」という形で基準を決めるのであれば、（略）相矛盾する要請を調整していけばよいわけです。

とある。これには誰もが納得するところであろう。これは、「Winnyのようなもの」をどうしていくべきかの議論の流れにあると見ることができる。しかしその一方で、このコメントは次のように締め括られている。

（略）そういう意味で、「トレーサビリティを裁ち切り、権利侵害行為を行いやすくした」ということを理由にＷｉｎｎｙの開発者を処罰するということは、むしろ、反資本主義的所業ということができます。

一番の問題点は、そこにあるのではないでしょうか。

こちらは、Winny事件に関する議論になっている。

そもそもおかしいのは、このエントリ「プライバシー情報放流装置」での話は、著作権侵害についてではなく、プライバシー情報が簡単に放流できてしまう問題について話題にしているのだから、これは、Winny事件の議論ではなく、「Winnyのようなもの」のあり方の議論でしかあり得ないはずだ。なのに、主張されていることはこうである。

実は、「プライバシー情報の放流」という点に関していえば、そもそも発信者のＩＰアドレスを隠す必然性は余りありません。プライバシー権侵害は刑罰の対象ではないので、それだけだと警察が介入できないからです。（略）

匿名性こそが問題だという論者は、Winnyが云々以前に、ＩＳＰの態度の方を問題としないといけないのではないかと思うのです。

（略）そもそもアクセスログの保管義務をＩＳＰに負わせるところから始めないと、Winnyのような技術を禁圧してみたところで、「匿名の発信者による権利侵害情報の放流」を防止することなどできやしないということが言えます。（略）

benli, プライバシー情報放流装置, 2004年8月17日

ようするに、「プライバシー云々と言うなら、ISPのログ取りを義務付けることになるが、そんなのは嫌だろ？ だったらつべこべ言うな」と言われている。

もしこれがWinny事件に関する主張であるならば、「はいはい、お立場上そう主張することになるでしょうから、了解です。」で終わるのだが、先に書いたように、これは「Winnyのようなもの」のあり方を議論しているはずであるから、何ら遠慮することなく批判してよいだろう。

まず第一に、ログ保存が法律で義務付けらることと、実態としてほとんどのISPがログを保存する状態になることとは別である。

第二に、ISPが発信者情報開示を拒否したとしても、ISPが発信者にデータ削除のお願いをする余地はある（さらに、規約違反で退会させるという選択肢もあるかもしれない）のであるから、「発信者のIPアドレスを隠す必然性はない」とする主張は誤りである。

第三に、「Winnyのようなもの」のあり方の議論においては、発信者のIPアドレスを隠すということだけが問われているわけではなく、他に、削除のコントロールの及ばないデータ配布方式であることが問題とされている。削除のコントロールの存在する方式としては、Webサーバや、P2P方式であればBitTorrentがそれに該当し、それらが使われている場合は、ISPが、発信者情報開示をすることなく、強制的にデータを消すということが可能で、現にそうした対応がとられてきている。したがって、「Winnyが云々以前に、ISPの態度の方を問題としないといけない」とする主張は誤りである。

第四に、「Winnyのようなもの」のあり方の議論においては、程度問題（いかに簡単に「放流」できてしまうか）を議論しているにもかかわらず、完全に防止することができないという理由をもって「Winnyが云々以前に、ISPの態度の方を問題としないといけない」と主張するのは、もしこれがWinny事件に関する主張であるならば、「お立場上そう主張することになるのでしょう」となるのだが、そうでないならば、思考が論理性を欠いていると言わざるを得ない。

■ 植物状態のITゼネコンが国家をデザインする

総務省:「住民のプライバシー保護に関する新しい考え方」

あまり報道されることがなかったようだが、5月19日に総務省の「住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な担保の仕組みについての研究会」の報告書が公表されている。これは大変すばらしい内容になっている。

いろいろ書かれているが、パッと見で肝を理解するには、参考資料III「電子政府・電子自治体におけるセキュリティーの構築とプライバシー保護」の、p.17にある「カナダ・アルバータ州政府のプライバシー・アーキテクチャーの例」の図などを見るとよい。図の直前部分には次のように書かれている。

このような種々の策を適切に配置するのは、難しいことではない。一般的なアーキテクチャーのなかにも、こうした事項に対処できるものがある。例えば、カナダ・アルバータ州政府により設計されたプライバシー・アーキテクチャーでは、データベース所有者は、外部アクセスと内部アクセスや関連業務からのアクセスなどのように、複数のレイヤー及びアクセスのためのフィルターを通してデータを交換する構成になっており、情報の詳細度を低下させることで危険性を下げ、プライバシーを保護するように考えられている。以下のURL から資料が入手できる。
http://www.sharp.gov.ab.ca/ppa/documents.htm
http://www.sharp.gov.ab.ca/ppa/documents/AlbertaPrivacyArchitectureOverview.pdf

例えば、カナダ・アルバータ州政府により設計されたPrivacy Architecture(プライバシー・アーキテクチャー)では、データベース所有者は、複数のレイヤーまたはフィルターを通してデータを送信し、情報の精度及び危険性を低下させることで、プライバシーを保護できる。

（注: このアルバータ州政府の例では、システムには、外部からのアクセスのための公開された「パブリックID = PID」と、それぞれのシステム内部のみで使われる「内部ID = IID」、そして複数の政府部門のシステム間で使われる「フェデレーテッド(連携)ID = FID」の3 種類が使われる。これらのID の関連性は、極めて安全な領域に置かれた相互の連携情報を与えるサーバーにより、毎回の条件ごとに組み合わせが与えられる。以下の図を参照。）

総務省, 住民のプライバシーの保護に関する新しい考え方と電子自治体におけるそのシステム的な担保の仕組みについての研究会報告書, 参考資料III, p.17

サービスごとに番号を切り分けるICカード

同様の効果を目的とした技術開発は、国内でも既に行われている。九大安浦研で研究開発が進められてきた「PID」と名づけられた方式のICカードだ。

詳細は掲載されている論文を読むとして、おおまかにこれがどういうものであるかは、朝日新聞西部版の2004年6月22日夕刊1面に掲載された以下の記事が参考になるであろう。

報！ サービスごと番号切り分け
1枚のカードに1000〜1万ケタ 九大が開発
情報漏れのリスク減る

1枚で様々なサービスが利用できるカードに潜むプライバシー漏洩の危険を減らす技術を九州大システムLSI研究センターが開発した。あらゆるサービスを同じ会員番号で利用するのではなく、割り振られた長大な番号の一部をサービス別に切り取って使う仕組み。同大は福岡市西区に来秋完成する新キャンパスで、学生や教職員のIDカードに新技術を試験導入する。

クレジットカードのほか、定期券と電子マネーを組み合わせるなど、多機能のカードが相次いで登場しているが、多くは番号が固定されている。

例えば1枚のカードが電車の定期券や金融機関のキャッシュカード、店での買い物に使えるとする。すべて同じ会員番号で取引すると、番号を通じて個人の行動や預金残高、購買履歴といったサービスの使用記録が結合され、一度に個人情報が漏れる危険性が高い。 11桁の番号で管理する住民基本台帳ネットワーク（住基ネット）も同じ仕組みで、市民団体などが個人データ漏洩の可能性を理由に、導入に反対してきた経緯がある。 サービスごとに異なる番号のカードを使えばリスクは分散するが、枚数が増えて不便になる。

そこで同センターでは、カードに会員番号として1千〜1万ケタの大きな番号を与え、各サービスの提供者にはうち30ケタ程度の部分数列（サブID）を抜き出して知らせる方式を提案。サービスの提供者は、利用者が提示したカードのサブIDと照合する。万一、サブIDの一部が漏れても、他の情報は保護される。

（略）

サービスの提供者にとっても、効率的な個人情報の管理が可能になる。例えば、販売する商品が安価な鉛筆と高価な自動車では扱う個人情報の量も異なるため、商品やサービスに合わせたコスト管理ができる。

（略）

安全かつ実用的

産業技術総合研究所グリッド研究センターの高木浩光チーム長の話

大変重要な技術だ。サービスごとに違うカードを持つのは究極の安全策だが非現実的だ。この技術なら、1枚のカードで非常に多くのカードを使い分けるのと同じ効果があり、実用性がある。共通の番号を使うリスクを避ける考え方はこれまでにもあったが、対処されていないカードが普及しつつある。行政や民間のサービスには今後、こうした配慮が求められる。

朝日新聞2004年6月22日夕刊1面 西部版

記事中の「扱う個人情報の量も異なるため」という文章はちょっと変だが、IDに紐付けられる情報の重みが異なるということだろう。どの店でも同じIDで買い物する方式では、どの店も最大限にそのIDを丁重に扱わなくてはならなくなる。それに対して、このPID方式であれば、鉛筆しか売らない店ならば、ID漏洩にかける対策コストは小さめで済むことになる。

また、住民基本台帳のことが比較に挙げられているが、住基カードでも、複数のアプリケーションを入れられるのだから、店ごとに異なるアプリケーションを付けば、店ごとに異なる番号ということを当然、実現できる。しかし、アプリケーションは数個〜十数個程度しか入らないだろう。

それに対し、このPIDでは、記事によれば「番号は将来、10万〜100万ケタに増やすことも考えている」とされており、100万桁 / 30桁 ≒ 3.3万であるから、3万か所で別々のIDを使うことができる。

つまり、現状のICカードではせいぜい、銀行と電車と電子マネーを別々にする程度のことしかできないところ、このPIDならば、電子マネーの取り扱い系列店ごとに、さらには、その店舗ごとに別々のIDを使うようにすることができるということだ。

植物状態のITゼネコン

さて、これらを踏まえて、次の記事を読んでみる。

• 日本ユニシス最高技術責任者兼先端技術企画部長 保科 剛, 「住基カードは本当に危険なのか，その可能性を改めて問う」, 日経BP, RFIDテクノロジ, 2004年8月6日

  RFIDの普及・浸透に対する今後の課題を聞くと，プライバシに関する意見が多く挙がってくる。しかし前回述べたように，それは利便性の説明が足りないからではないかと私は常々思っている。（略）

  住民基本台帳カード，いわゆる住基カードは，“国民背番号制”というネガティブな言葉で語られることが多い。（略）エキセントリックに言う人たちが，“国民背番号”という非常に嫌な印象を受けるような言葉を付けて，「そんなものを付けさせてはいけない！」という流れにしてしまった。

  （略）

  住基はそもそも，国民一人ひとりにIDを付けることによって，さまざまな官の手続きを一本化してスムーズにし，さらに同じIDを使って，民の色々なプロセスもスムーズにできるというものだったはずだ。（略）官・民ともにそのようなIDがあれば，色々面倒なことを考える必要がなくなり便利になるだろう。住基とプライバシに関する議論がこれほど偏った方向に白熱していなければ，官民協同による新しい基盤が，一意の識別子によって作られていたのではないだろうか。

  （略）

  メディアにも責任の一端がある。確かに「住基カードとプライバシ問題」をテーマにすると面白い記事が書けるだろう。しかし彼らが本当の意味をわかって書いていたのかは疑問だ。

  （略）

  前回の記事で触れたが，日本人は本来，利便性やメリットをしっかり理解できれば，フレキシブルにチャレンジする国民であると思う。プライバシが保護された上で便利であるとわかれば浸透するのは早いのではないだろうか。住基については何らかの形での仕切り直しを切望してやまない。

（前回はそれとなくにしたが）今回ははっきり言うことにする。これほどまでに無能ぶりを堂々と曝け出して大丈夫ですかと心配だ。

まず、一部の電波系市民運動を敵として位置づけることで自己の主張の正当性を印象付けようというのが拙い。

住基について仕切り直しをするのは結構であるが、当然ながら、指摘されてきた問題点を解消した上で、本当の意味での「仕切り直し」をすればよいのだから、まず問題点の解消方法を検討するのが技術者の役目だろう。

しかし、保科氏の議論はすべて一意の固有IDありきで始まっており、「民の色々なプロセスをスムーズに」することに、なぜ「同じIDを使う」ことが必須なのか、その理由さえ何ら説明されていない。これでは単なる思い込みでしかない。

総務省の報告書にあるカナダ・アルバータ州政府の事例を知らないのか？ 九州大学が研究開発した事例の報道を知らないのか？

営業職の人や体育会系出身のコンサルタントが言うのならまだわかる。情報技術の基礎を知らない人からすれば、複数のIDを関連付ける方式や暗号を使った方法に想像が及ばないのはしかたのないことかもしれない。

しかし、この記事の著者は、日本国を背負って立つ代表的ITゼネコンの最高技術責任者である。経歴を拝見すれば、「数理計画・人工知能分野の研究，アプリケーション開発を担当」「オブジェクト指向開発環境」などに携わってこられたそうだ。どうしてわからないのだろう？

たとえば、擬似固有PICC識別子が裏住民票コードとして働いてしまう問題を回避する*1ため奔走するなどは、本来あなた方の役目でしょう？ 非接触型ICカードである住基カードのPICC識別子が、何メートル以内からしか電波読み取りできないといった安全確認実験をしましたか？

そもそも、ICカードのプライバシー問題は、RFIDタグ（ICタグ）のそれより解決はずっと容易である。なぜなら、ICタグほどに低コスト性が求められないため、暗号機能等を搭載し、様々な工夫を凝らせられる余地があるからだ。RFIDタグの推進記事で苦悩するのはしかたないにしても、ICカードの話題で同じように開き直って見せるのには、呆れるほかない。

日本の政府の役人さん達が、ITゼネコンの技術力を正しく評価する術を持っていないのが、この種の問題の根源ではなかろうか。本来ならば、今回の総務省の研究会のような報告書は、電子政府を設計する前の段階で調査しておくべきものだったと思うが、おそらく、ITゼネコン各社に任せておけば大丈夫だろうということだったのではないか。

たしかに、富士通にせよ、日立、NEC、NTTデータ、日本IBMにせよ、それぞれに中央研究所（ないし子会社や関連会社の研究所）があり、そこにはこの種の問題を解決し得る要素技術の研究を追いかけている研究者達がいる。しかし、去年の8月1日の日記にも書いたように、そうした人材が「研究のための研究」だけに費やされていて、電子政府のような重要な仕事に関与させられていないのではないか。

納税者フェデレーテッドID方式の可能性

こういう事例もある。日経BP社が、昨年12月に「新雑誌の試作版モニターを募集します」という告知を出していた。新雑誌の創刊を準備中とのことで、記事の見本を数本収録した試作版をモニターに提供するという。その記事の一つのタイトルが「納税者番号なくして税制改革なし」というものだった。

これを入手して読んだ。冒頭には次のように書かれており、期待に胸が膨らむ。

国家のデザイン

制度と情報システムを議論する時

島田 直貴, 納税者番号なくして税制改革なし, 日経BP 経営＋技術 特別編集版

著者は、日本IBMで金融業界担当の営業・営業企画・コンサルティング部門に勤務され、退職して独立された方だそうだ。

さて、内容を読むと、冒頭はこう書かれている。

わが国には幾つかのタブーが存在する。その一つが「納税者番号制度」である。（略）タブーになってしまったのは「納税者番号は、国民総背番号の導入につながり、国民のプライバシーが侵害される」と指摘する声があるからだ。 しかし、強い反対意見があるからといって、納税者番号制度の議論すらできないという状況はいかがなものか。

島田 直貴, 納税者番号なくして税制改革なし, 日経BP 経営＋技術 特別編集版

まったくである。ざっと目を通すと、次の見出しがある。

• なぜ番号が必要か
• 長期的な視点でコード体系を設計する
• 最新のコンピューター技術の活用を検討すべき
• 情報システムの課題と解決方法
• プライバシーの保護
• 他の公的番号との並存

これは期待できそうだ。

……だがしかし、期待したような内容のことは書かれていないのである。

それを端的に示しているのは次の部分だ。

1. プライバシーの保護

納税者番号を他人に知られる程度ではプライバシー侵害の恐れはあるまい。問題は、当該者の氏名・住所・電話番号などの基本情報や、取引内容や財産情報などの納税情報が漏れることである。

島田 直貴, 納税者番号なくして税制改革なし, 日経BP 経営＋技術 特別編集版

やれやれ、まったくおわかりでない。

では、「長期的な視点でコード体系」とか「最新のコンピューター技術の活用」というのは何のことを言っているのかというと、どうでもいいことが書いてある。

コード体系の話は、ようするに、

単純に対象者数（例えば十億人分でケタすうと文字種類で決めてしまうと、将来に課題を残すことになる。番号に様々な意味を持たせすぎると後々困る。

（略）

コンピューターの技術は進歩してきており、コード体系の利便性と後々の修正のしやすさを両立させることが可能になってきた。具体的には、コンピューターハードウェアの高速化・低価格化と、大容量のデータを超高速処理できる「データベースエンジン」と呼ばれるソフトウェアの出現である。（略）

こうした最新技術の動向を勘案すると、納税者番号のコード体系は、順次自動採番方式が簡便であろう。これらはコード自体にあまり意味を持たせず、主として対象者の識別のためだけにコードを使う考え方である。（略）

何らかのデータを分析する場合、ハードウェアとデータベースエンジンの高速処理を活用して、別々に保管してある属性情報を呼び出して集計すればよい。実は、国産のデータベースエンジンは優秀であり、これらを複数使えば数億件程度のデータを即座に処理できる。

島田 直貴, 納税者番号なくして税制改革なし, 日経BP 経営＋技術 特別編集版

ということなのだが、そんなのは当たり前だ。いったい何十年前の話をしているのか？

結局、この記事のIDのあり方に関する主張はこれだけなのである。

では、どうすればよいのか。

もし納税者番号制度が導入されれば、人々は自分の納税者番号を暗記するか、カードに記されている番号を見て、あらゆる場面でそれを手書き記入することになるだろう。

住民基本台帳法で住民票コードの民間利用を禁止したのは、ひとたび許可してしまうと、ささいな民間サービス（信用性の高くないサービス）にまでその番号が使われるようになり、やがてプライバシーやセキュリティの問題が生じてくるであろうことは、米国のSSN（ソーシャルセキュリティ番号）の実情を見れば明らかであり、同じ轍を踏まないようにしたものだ。

そもそも、納税者番号を書けば本人確認とするなどという番号の使い方が誤りなのであるが、民間はそれをやってしまうだろう。米国では、コンピュータ技術の進歩とともに、他人のSSNを使った詐欺が増え、昨年からはフィッシング詐欺によるID窃盗（SSNを含む）が大流行して、深刻な問題になっている。

• MYCOM PCWEB, ブッシュ大統領がID窃盗罰則強化法に署名, 2004年7月16日

  Gartner Researchの調査によると、2003年4月から2004年4月の間にID窃盗件数は3倍に増加。インターネットユーザーをおとりサイトに誘い込んで、個人情報を盗み取るいわゆるフィッシング詐欺の被害は12億ドルになるという。ソーシャルセキュリティ管理局によると、98年に1万1,000件だったソーシャルセキュリティ番号を使った詐欺は、前回調査の2001年には6万5,000件に増加。今年の調査ではさらに飛躍的な増加になることが予想される。

こうした問題を避けるために、複数の番号を使うという方法が考えられる。しかし、複数の番号を人が暗記することは難しいだろうし、カード上に読めるように書ける番号の数は限られてしまう。

もし、国民全員にICカードを発行し、税に係る業務を行う事業者のすべてがICカード読み取り機を導入できるなら、解決方法はあるかもしれない。

例えば、すべての事業者・金融機関に固有番号を発行しておき、国民がICカードを事業者に提示すると、カード内の固有番号と事業者・金融機関の固有番号とから、何らかの暗号演算等により、別の番号を生成して、これを事業者・金融機関に渡す。事業者・金融機関はその番号でその人を識別して記録し、税務処理をするのだが、税務を担当する行政機関のセンターでは、暗号の復号演算等により、元の人を識別するID番号を得て、それを元に集計できるようにする――という方法が考えられる。

行政機関側でも、必要最小限の突合せしかできないように、行政サービスを細かく区分けして、区分ごとに異なる番号を用いるようにすることもできるだろう。

暗号を使う方法の他にも、PIDのように、事前に登録された長大な数字列の一部分を使用して、センター側では、検索により集計するという方法も考えられそうだ。

「最新のコンピューター技術の活用を検討すべき」とは、こういうことについて言ってもらいたいものだ。どうしてこうも不勉強な、十年遅れの人達ばかりが、「国家のITデザイン」を口にするのだろうか。

読み直してみて追記

ごめんなさい、言葉が過ぎました。謝っておきます。でも、黙っているわけにもいかない。誰もブレーキをかけないので。

■ ブ日記を書くことのリスクと覚悟

7月15日の日記などにコメントを頂いたことのあるHakkaAmePさんの関連で騒動が起きているとのことで、「高木さんも俎上に上がっていますよ」という垂れ込みメールを頂いた。これが私のことを指しているというのだが、その前のメールからの続きであることや、その次、別の次、さらにその次を見ると、Oさんのことのように読めるのだけど……。嫌だなあ。

さすがにリアル学会では普通にしているつもりだが、振り返れば、情報処理学会の席で休憩時間に泣きながら議論したこともあった。そんなのはそれ一回だけだったはず。ネットではいろいろやってきたのはご存知の通りだが。

いずれにせよ、昨日シュッ・シュッする日記を書いたばかりで辛い。あーもう止めよう、と何度か思ってきたけれど、書きたいことはまだいっぱい積み残している……。そして次々と新ネタが沸き出ている……。

いろいろな専門職の方がblogに参戦なさるようになって、貴重な専門的な話を手軽に拝聴できて有難いと感じる一方で、大丈夫？と心配になるような職業の方や、特定の立場を堅持せざるを得ない方までもが参戦される状況が、このところ起きていた。

これも、「blogブーム」がプロデュースされたおかげで、そうした情報発信スタイルが世間に許容されるようになった（ように見えている）からだろうが、本当に許容されているのかどうか……。

■ 正直者が苦悩してしまう普及推進はどこに誤りがあるのか

今日から文体をですます調に変えてみる。

6月にこういう記事が出ていました。

• -立見信之, 「アマチュア路線？」でタグの可能性を広げる, 日経BP RFIDテクノロジ 識者の眼, 2004年6月10日

  僕は無線ICタグを推進する立場にある。そんな人間が言うのは問題かも知れないが，今回はあえて，無線ICタグを巡る最近の動向について心中を告白したい。

  お客様から無線ICタグの導入プランを聞いたときに，「それってバーコードでもできるよな」と思うことがよくある。僕としては，無線ICタグを利用するメリットを正当化するために，無理やりに理由を作ることはできる。しかし，何となく心の中にモヤモヤが残って気持ちが悪いので，そうした時はお客様に「無線ICタグを使うのは極力やめたほうが良いと思います」と正直に申し上げることにしている。

著者の立見さんとは、昨年度の日経デジタルコアのトレーサビリティ研究会の席で何度かお会いしたことがあります。彼の招待講演を聴いたときの印象は、「現実から眼を逸らせない人なんだな」というものでした。RFIDタグ推進派の他の講演者が、「プライバシー？ 何が問題なのかわからんね」とか、顔を赤らめて否定に躍起になる人ばかりだったのに比べると、違っていました。何が問題とされているかを勉強なさっていたし、必要のないものにまでRFIDタグを使おうとすることの問題点についても話されていました。ただ、気になったのは、講演の冒頭でこういうエピソードを話されていた点です。

上司からこう聞かれた。「頭良く見せるにはどうしたらよいかね？」 私はそれにこう答えた。「何でも悲観的に考えてみせることです。」

会場は笑いに包まれましたが、私は何か胡散臭いものを感じたのを覚えています。

さて、その彼の日経BP「RFIDテクノロジ 識者の眼」の記事は、4月にもこういう記事が出ていました。

• 立見信之, ICタグで出会い系サービス!? 〜 冗談交じりの柔軟な発想が可能性を引き出す, 日経BP RFIDテクノロジ 識者の眼, 2004年4月6日

  　そんな状況下で付き合っていて安心できるのは，先を見通す能力を持った頭の良い人たちだ。「この1年，2年で何が起こるか」という短期的な視点で右往左往せずに，「十年の計」で先を見据えたうえで現状を認識している。僕なんかは頭が悪くて，ぼんやりとしか未来を想像できないので，戦略を考える際に彼らの洞察力がどれだけ役に立っていることか。

  　僕が付き合っている頭の良い人たちは，概して理系出身が多く，豊富な技術知識に基づいて今後のトレンドをざっくりとつかんでいる。プライバシの問題が騒がれる前から，人や人の持ち物にIDが振られるとどのような問題が生じるかを指摘していたし，部品ごとにIDが付くと製造業でどんなメリットがあるか瞬時に把握する。

けっこうですね。

しかしそんな彼の6月の記事は、次のように続いているのです。

プライバシ問題も考え方次第

無線ICタグのプライバシ問題について，技術の専門家が危険性について理論を展開するのを聞くと，「おいおい，そんなことほとんどの消費者は心配していないよ。あなたやあなたの家族は特別かも知れないけどね」と言いたくなることが少なくない。新しい技術が出てきたときに，その技術がもたらす負の現象を，専門家が技術的な視点で消費者に説明して警告するメリットはある。ただ僕のような極めて現実主義の人間の目には，「専門家が深みにはまってしまい，空理空論を振りかざしている」と映ってしまう。 立見信之, 「アマチュア路線？」でタグの可能性を広げる, 日経BP RFIDテクノロジ 識者の眼, 2004年6月10日

これはイタダケませんね。

「消費者は心配していない」というのは、その消費者たちが、「十年の計で先を見据える」だけの専門性を有していないからでしょう。そのことは立見さんもご存知のはず。

「あなたやあなたの家族は特別かも知れないけどね」というけれど、実際のところ、専門家は、自分個人では気にしていない事柄を問題点として指摘することもあります。プライバシー問題というのは、人それぞれの価値観や生き方によって、何を気にして、何は気にしないかが異なるからです。例えば、私や立見さんはこうして自分の氏名をWebに載せて個人的意見を公表してしまっていますから、ある種のプライバシーを放棄する生き方を選んでいるわけですが、そういうのを望まない生き方の人たちもたくさんいます。

ですから、専門家が指摘する問題点について、「そんなの心配するのはおまえ（と家族）だけだ」なんて口にしてしまうのは、アレです。

専門家がする仕事というのは、この場合はこうなるという前提付きの推定の列挙です。それらについて、脅威の現実性をどの程度と見積もり、どの程度の脅威なら受け入れてもよいとみなすかは、それぞれの市民が判断することです。専門家の指摘のうちのいくつかについて、それが現実性の低いものであるというのであれば、その根拠を市民に示して判断を求めればよいのです。

ただ、論理的根拠を欠いた、結論ありきの極端な否定論を展開する人もたしかにいます。そういう人に出くわしたら、論理的に反論してあげればよいのです。

僕は無線ICタグがはらむプライバシ侵害の危険性について考えると気が滅入るので，どちらかというと「プライバシを開示すると，どんなメリットが得られるのか」を消費者の立場で考えるようにしている。

立見信之, 「アマチュア路線？」でタグの可能性を広げる, 日経BP RFIDテクノロジ 識者の眼, 2004年6月10日

正直な人がRFIDタグ推進の仕事に携わると、精神的な負担となるようです。何かが間違っていると思うのですが、それは何でしょうか。

私としては、6月26日の日記「現実的な落とし所」に書いたような議論を、事業的推進派の方々自身ですることが事態の解決であると考えているのですが、なかなかそういう話は見えてきません。

■ さすがマイクロソフトは違う

マイクロソフト社のサイトに、「RFID Solution: RFID とは ?」というページがあります。そこには次のように書かれています。

ヒトの認証において そのメリット

（略）

このように、ヒトの認証における RFID の導入は、利用者の利便性の向上や関連設備の保守、管理コストの削減につながるものと期待されています。（略）

次に複数同時認証ですが、実のところヒトを認証対象とした利用目的で複数同時認証機能が使用されることはあまり多くはありません。技術的な問題もさることながら、プライバシーの問題から実利用に至らないケースが多いからです。なぜならヒトに対して複数同時読み取りを行おうとする場合、読み取り側で一方的に (認識対象者の明示的な意思表示無く) 情報を読み取るような運用スタイルになるケースが多く、実験などの特殊なケースを除き、ビジネス上のメリットを見出すことは難しい状況にあります。このような運用はヒトを対象とするのではなく、動物を対象とした場合に有効であることが多く、野生動物の調査や家畜の管理などに利用されています。

Microsoft, RFID Solution: RFID とは ?

さすが、セキュリティとプライバシーに造詣が深いマイクロソフトさんは言うことが違います。物事をきちんと正面から見据えています。

■ 「日本でならプライバシ問題をクリアできる」

6月の「RFIDテクノロジー 記者の眼」に「日本でならプライバシ問題をクリアできる」という記事が出ていました。それによると、

このような状況をみると，日本人は利便性が向上しないのにただ単に管理されている，自分が追いかけられていると思った場合は「それはNOです」と言う一方で「便利だと思えるならばOKです」と柔軟に対応しているように見える。これに対して，米国人は管理と利便性を天秤（てんびん）にかけるようなことはせず，とにかく「プライバシを侵害されたら，便利であろうがそれは許せない」という国民のように見える。

保科剛, 日本でならプライバシ問題をクリアできる, 日経BP RFIDテクノロジ 識者の眼, 2004年6月17日

というのです。

一方、米国の専門家からは日本人は次のように見えているそうです。

• 誤解されている「プライバシー」――コロンビア大名誉教授のアラン・ウェスティン氏に聞く, 日本経済新聞 IT最前線, 2004年4月8日

  ――日本では昨年、初の個人情報保護法が成立しましたが。

  「この法律によって、日本は個人情報保護法のある他の50の民主国家にやっと並んだと言える。日本のように成熟した市場を持ち、消費者意識も高い国でこうした法律がなかったことには驚きを隠せない。（略）

  ――米国と日本の消費者の態度に違いはありますか？。以前あなたがされた調査では、６割以上の米国人は企業は自分たちの個人情報を適切に管理していると考えているという結果が出たようですが。

  「その考えは明らかに変わってきている。1999年に実施した調査ではそうだったが、今そのような考えは半分以下に減っているはずだ。米国人の個人情報に対する意識は、日本人の意識に近づきつつあるといってもいいのではないか」 （略）

  ――日本ではいつ、どのような調査を実施したのでしょうか。

  「1999−2000年に個人情報に関するユーザー調査を実施したが、昨年12月の内閣調査と似た結果になった。日本人の６割以上は企業や政府機関が収集・利用する個人情報に自分たちでは関与できないと考えている。こうした人たちの不安に企業は注目するべきだ。（略）

ところで、元の記事ですが、

ウォルマートの無線ICタグ実験に対して反対意見が出たのは，無線ICタグが出てくる前に起きた事象と関係があると思っている。近年ものすごい勢いでCRM（顧客関係管理）が広がったが，CRMが普及するなかで，多くの人が，自分が買い物をした業者とはまったく別の見ず知らずの業者から，ダイレクト・メールや電子メールを受け取るという経験をしていると思う。こうした状態のなかで無線ICタグが登場したため，一般の人々の間ではCRMと無線ICタグが完全にオーバーラップしてしまい，必要以上に防衛心が働いたのではないだろうか。CRMやマーケティングの乱用・悪用が原因であるにもかかわらず，見ず知らずの業者からダイレクト・メールが来るような状況が，無線ICタグを製品に付けることにより，さらにひどくなり，「自分の生活を誰かに見られてしまうのでは」という警戒心を持たれてしまった。

保科剛, 日本でならプライバシ問題をクリアできる, 日経BP RFIDテクノロジ 識者の眼, 2004年6月17日

その通りですね。よく問題点を理解なさっている。それをどうやって解決するのかが問われていています。

その点についてどのような回答をお持ちなのか、それを紹介してもらいたいところなのですが、回答は示されないまま、「日本でならプライバシ問題をクリアできる」というのです。

たとえば、「個人情報保護法の施行で、事業者が個人情報を横流ししないようになるから解決される」かというと、RFIDタグの場合はそう単純な問題ではありません。なぜなら、ID番号だけは、離れたところから誰にでも読めてしまうという点で、従来のCRMでもなし得なかった事態が起きてきます。たとえば、以下の記事にそのような危険性について書かれています。

• 木下真吾, RFIDプライバシを考える（第4回）, 日経BP RFIDテクノロジ 真価を探る, 2004年6月3日

  立ち寄ったことを知られたくない場所，例えば風俗店や病院などに行ったあと，脅迫メールが届いたらどんな感じがするだろうか。現在でも，成人向けサイトの利用料金を催促する偽代行徴収業者からの脅迫メールに恐怖を感じ，身に覚えがなくても料金を振り込んでしまう人がいるという。こうした脅迫メールの被害がまだそれほど大きくなっていないのは，そのメールが不特定多数に対して送信されているからだろう。もし個人名と立ち寄った場所が書かれた脅迫メールを受け取ったらどうだろうか。とても恐ろしくないだろうか。料金催促メールや携帯電話のワン切りなど，我々が想像すらできなかった技術の悪用が現実に起こっている。無線ICタグも現在は想像もできないような方法で悪用されるかもしれない。

さて、元の記事ですが、

では日本ではどうなるのだろうか。先に述べたように，利便性とプライバシについて，ある意味フレキシブルに考えられるような日本においては，プライバシを保護した上で利便性を追及する技術を進歩させることと，その技術の運用方法について感情論抜きに話し合うことが可能だろう。メトロのようなビジネス・モデルもうまく受け入れられる可能性が高いと私は考えている。

保科剛, 日本でならプライバシ問題をクリアできる, 日経BP RFIDテクノロジ 識者の眼, 2004年6月17日

というのですが、推進派の人からは、感情論以外の主張があまり聞こえてこないというのが現状です。

なお、4月には以下のような記事もありました。

• ICタグを使った「子供見守り」サービス、需要はあるが抵抗感も大きい, インターネットコム, デイリーリサーチ, 2004年4月28日

  インターネットコム株式会社と株式会社インフォプラントが行った調査によると、子供にICタグをつけて、位置を把握したり、映像を見たりするサービスに対して、67％が「便利だと思うが抵抗がある」と答えた。（略）

  便利だと思うが抵抗がある、と答えた63％（188人）に、どのような抵抗があるかを尋ねたところ、「情報を悪用されないか気になる」が67％、「子供にタグをつけて管理することに抵抗がある」が65％で多かった。 また「意図しない情報まで取られるのではないかと思う」（53％）や、「子供のプライバシーを侵害することになる」（52％）も多くの回答者が挙げていた。

意外と、消費者は問題点を認識しているのですね。

やっぱり、日記なのにデスマス調は気持ち悪いので、次回からは元に戻すことにする。

■ フィッシング詐欺防止のためMUAのS/MIMEユーザインタフェイスの改良を

8月7日の日記「事業者が今すぐできるフィッシング詐欺対策」で、事業者のニュースレターやメールマガジンに電子署名してはどうかと書いたが、

MUAがもう少し、署名の証明書の発行先をわかりやすく表示するよう、ユーザインターフェイスを改善しないと、phishing詐欺に遭うような人たちには本物確認が難しすぎるかもしれない。

とも書いた。

Outlook Expressの場合、8月7日の日記にも書いたように、正しく署名されたメールと、署名されていないメールとの違いは、署名されていることを示すマークの有無だけであるが、メールが改ざんされている場合や、無効な証明書で署名されている場合は、背景が黒のギョッとするような警告画面が現れるようになっている。

以下の図は、署名者のメールアドレスと異なるメールアドレスを送信者として偽っている場合の画面だ。「送信者と署名者が合いません」と表示されている。

別のMUAではどうか。

Becky! 2.11.02 に付属の「Becky! S/MIMEプラグイン Ver.1.01」では、以下の図のように、「正当性が検証されました」と表示されるだけで、From: のアドレスとの一致検査は行っていないようだ。ユーザが自力で目視確認する必要がある。これは改善の余地があると言える。

Winbiff Version 2.43 PL1 では、以下の画面が現れた。

2行目に、「電子署名に使われた証明書のメールアドレスとメッセージの発信者がことなります」と警告が出ているのだが、ウィンドウの幅が狭すぎて右端が切れており、スクロールしないと肝心の言葉を読めない。また、これが警告であることがちょっとわかりにくい。いちおう×印はついているが、もう少し結論だけわかりやすく表示することはできるのではないか。

また、Becky!もWinbiffも、ユーザが自力でメニュー操作をしない限り、署名の検証は行われない。Outlook Expressのように、メールを表示しただけで署名検証が行われるようにすることはできないだろうか。

また、Outlook Expressのように署名の有無をマークで示すだけでなしに、ヘッダ表示部の色をかえて、署名なしならば赤、署名ありならば緑にするといった工夫*1もできるのではなかろうか。

■ 最小限の責任だけで済ます携帯電話会社たち

こういう記事が出ていた。

• 携帯各社、個人情報を入手したと偽るサイトについて警告, ケータイWatch, 2004年8月27日

出会い系サイトなど一部の携帯電話サイトにおいて、携帯電話の機種などを識別する個体識別番号や製造番号をサイト内に表示し、あたかもユーザー個人を特定したように見せかけて架空請求を行なうケースが確認されているとして、携帯電話各社が注意を呼びかけている。（略）

NTTドコモは次のように述べている。

• 個人情報を入手していると偽って請求行為を行うサイトについて, NTTドコモ

  弊社のシステムにおいては、携帯電話の製造番号（FOMAをご利用の場合はFOMAカード識別番号を含み、以下、「携帯電話情報」と呼びます）が接続先に送信される場合、必ず事前に確認画面が表示されますので、お客様がこれに承諾されない限り、「携帯電話情報」が接続先に送信されることはありません。

これはその通りで、NTTドコモは他の携帯電話事業者に比べて、プライバシー配慮への考え方が（相対的に）しっかりしていると言える。

しかし、続く説明はこうなっている。

また、お客様の承諾のもと「携帯電話情報」が送信されたとしても、その中にはお客様の携帯電話番号、メールアドレス、住所、氏名など、お客様の連絡先についての情報は含まれておらず、また弊社から開示することもありません。

嘘を書かないよう慎重に書かれているが、書くべきことがあえて書かれていない。本当に顧客の安全を想う企業ならば、次のように説明するはずだろう。

お客様の承諾のもと「携帯電話情報」が送信されたとしても、その中にはお客様の携帯電話番号、メールアドレス、住所、氏名など、お客様の連絡先についての情報は含まれていません。

弊社からそれらの情報を開示することはありませんが、お客様が、iモードサイトに対して正規の目的でそれらの情報を開示し、かつ、「携帯電話情報」を送信し、そのサイトがお客様に断りなくそれらの情報を第三者に提供していた場合には、その第三者のサイトにアクセスしたときに、「携帯電話情報」を送信することは、お客様の連絡先についての情報も第三者に知られることになります。

個人情報をiモードサイトに提供するときは、提供先が信頼できる相手であるかを十分に見極めるよう注意してください。

また、「携帯電話情報」を接続先に送信するか否かの確認画面が現れたときは、接続先の運営者が信頼できる相手であるかを十分に考慮して、信頼できない段階では、送信をキャンセルするようにしてください。確認画面は以下の図のようになっています。

（確認画面の写真）

ボーダフォンは次のように述べている。

• 携帯電話の端末シリアル番号（製造番号）を表示して請求する出会い系サイト等にご注意ください。, ボーダフォン, 2004年8月26日

  このボーダフォン携帯電話の機種や端末シリアル番号は、Vodafone Live!ウェブの接続先コンテンツを正しく表示するために接続先ウェブサイトに通知している情報です。

  なお、この情報は、お客様自身がユーザーID、製造番号などの通知設定をしていた場合に限り通知されますが、これら通知される情報には、お客様個人を特定し得るような携帯電話番号、メールアドレス、住所、氏名などは含まれておらず、これらのお客様個人を特定し得るような情報を弊社から開示することはありません。

  （略）

  安心してボーダフォンをご利用いただくために、みなさまのご理解とご協力をお願いいたします。

顧客の安全を真に願う企業ならば、ここで「ユーザーID、製造番号などの通知設定」の確認・変更方法を説明するはずだろう。

ここで説明しないのはまことに理解に苦しむ。説明したくない事情があるのだろうか。

• 技術資料 ユーザーエージェントについて, ボーダフォン

  ※ ユーザID通知がOFFの設定になっている端末からは、端末シリアル番号を取得できません

その設定をする方法の説明はサイトには見つからなかった。

なお、au、ツーカーからは、この件に関する告知はみあたらない。

■ 携帯電話のコンテンツ業界はサブスクライバーIDをどう認識していたか

検索してみたところ、2001年に書かれたと思われる「モバイル・コンテンツ・フォーラム会員企業の意見整理」というページが見つかった。これは、「次世代移動体通信システム上のビジネスモデルに関する研究会」報告書（案）に関する意見書として用意されたものだったようだ。

そこには次のような意見が出ている。

Ｑ７（P65） 通信キャリアのコンテンツプロバイダ等に対するユーザＩＤの提供に関しては、問題解決の方向性は正しいか。

モバイル・コンテンツ・フォーラム会員企業の意見整理, モバイルコンテンツフォーラム

という問いに対し、

一部方向性をかえるべきである

ブラウザをcookie対応にする、IP接続にするなどの別の方向性を検討するべきである。

---

一部方向性をかえるべきである

IDの提供そのものは正しいと思うが、コンテンツプロバイダにそのまま提供する点には危惧を感じる。ID自体は、第三者機関（公益機関 等）が管理し、悪意のあるプロバイダからユーザを保護する等の手段を講ずるべきと感じる。

---

全面的に正しい

ユーザーＩＤの公開に関しては、ユーザー保護の観点から行くとあまり望ましくはない。しかし、コンテンツプロバイダーからすればもっともほしい情報であることは確かで、携帯コンテンツ市場が活性化する事が望まれる。

---

全面的に正しい

公式サイトの掲載しているコンテンツプロバイダ、一般サイトであっても個人情報の保護を適切に行っているコンテンツプロバイダに対しては、ユーザIDを提供することは正しい。

と、サブスクライバーIDの無条件送信の問題点を認識している意見が多い。しかし、

全面的に正しい

IDが判別可能になることで、様々な不正利用を防止する事ができるため、早く公開すべきだと考えている。

とかいう馬鹿もいたようだ。不正使用を増やすことにもなることに理解が及んでいない。

■ 続・MUAのS/MIMEユーザインターフェイスの改良案

一昨日の日記「フィッシング詐欺防止のためMUAのS/MIMEユーザインターフェイスの改良を」では、電子署名されたメールと、署名されていないメールの区別を、色などでわかりやすく表示してはどうかと書いたが、それよりもいっそ、次の図のように、フォルダで振り分けてしまうのがよいのではないだろうか。

一昨日は「メールを表示しただけで署名検証が行われるように」とも書いたが、それより前に、メールの受信と同時に検証も実行してしまってよいのではないか。

同じメールに対して何度も署名を検証する必要がある場面はそう多くはない*1ので、受信時に検証して、フォルダに振り分けてしまってよいように思える。

また、8月7日の日記「事業者が今すぐできるフィッシング詐欺対策」では、VeriSignの発行するメール署名用証明書が「Class 1」であることの不十分さとして次のように書いた。

Class 1とは「電子メールアドレスのみを検証（メールでの証明書発行通知によって認証）」というものだそうだ。つまり、そのメールアドレス宛のメールを確かに受信できたという事実でもって、そのメールアドレスの利用権者本人であるとみなすというものだ。（したがって、（引用時補足：認証局から送信され、当該メールアドレスの到着先に届くまでの間で）メールを盗み取られる状況では、攻撃者がなりすまして証明書を注文し、受け取ってしまうリスクはある。）

（略）

メールの電子署名用にClass 3の証明書が使えるならば、ここに「Sony Marketing (Japan) Inc.」という表示ができる（ただし、受信者が、これがClass 3であることを確認しないと意味がないが。）のではないか。

このリスクを回避するため、受け取った署名メールの証明書を登録して、次回以降は「署名検証・署名者信頼確認済み」フォルダに振り分けるようにしてはどうか。

証明書の登録は、ユーザがメールの内容から本物だと確信したときに手操作で登録する。具体的には、たとえば、メールマガジンの配信を申し込んだときに、自動的に送られてくる配信開始通知メール（事業者側は、この通知メールの送信者アドレスをメールマガジンの送信者と同じにして、電子署名しておく）を受け取ったときに、「署名者信頼確認済み」として登録すればよい。その場合は、タイミングから言って、偽メールである可能性は十分に小さいと確信できるだろう*2。

証明書の登録は、Windowsの証明書ストアに登録するのでもよいし、そこまではせずに、MUAがアドレスとフィンガープリントの組を記憶して処理するのでもよいだろう。

そうすると、フォルダ構成はこんな感じになる。

あるいは

署名の検証で問題点が見つかったメールは、別のフォルダに入れるようにするか、通常の受信箱に入れるようにするか、ゴミ箱に捨てるようにするという選択肢が考えられる。 また、メールを受信と同時にフォルダへ振り分ける設定で使う場合には、上の図の方法ではだめなので、次のどちらかの機能を設けることが考えられる。

• 振り分け条件として「正しく電子署名されている」を選択できるようにする
• フォルダごとの設定に「このフォルダでは電子署名されていないものは表示しない」を加える

このとき、フォルダへの振り分け条件にはFrom:アドレスを使うようにする。あるいは、署名の署名者アドレスで振り分けるのでもよい。

■ 東京新聞の記事に補足

先週、勤務先で東京新聞の取材を受けたものが、一昨日記事になっていた。

• 批判派『プライバシー侵害ソフト』 擁護派『次世代のネットシステム』 ウィニー論争さらに過熱, 東京新聞 2004年8月29日朝刊

私のコメントとなっている部分のうち、最後の段落（「外国人が作った」〜「と手厳しい」）は、やや私の本意からは外れているので補足しておく。

取材の終盤で、Winnyが日本で生まれたことは技術力の高さとして誇るべきことなのかといった話題になったと記憶している。そこで私が述べたことは次のような趣旨の内容だったと思う。

日本の著作権法は諸外国に比べて強いものだと聞いている。送信可能化しただけで刑事罰が科されるというのは日本とオーストラリアだけだと聞いた。米国では、現行法では民事で争うしかないために、法執行機関の強制捜査が可能なようにする法案が提出されているところだと聞いた。強制捜査ができない国では、IPアドレスが判明しても責任を逃れられる可能性が小さくないために、WinMXのような、IPアドレスを明かしてファイルを交換するソフトウェアであっても、十分にそうした目的の利用ができるのだろう。それに対して日本では、2001年にWinMXユーザが逮捕されたこともあって、そのようなソフトウェアでは、日本ではそのような目的で使うことはできないという認識が高まったのだと思う。そこで、「MXの次は何か」ということが議論されるなかで、Winnyが登場したようだ。米国等では、ここまでの仕組みを備えたものがまだ必要とされていないというだけのことではないか。Winnyの技術は必要がもたらしたものだと思う。

ただ、「法律関係のことは専門の方に確認してほしい」ということも伝えたので、上から法律の話を除いて、調整すると、記事のようになるのだろう。

また、「被告つまり４７氏も盛んにこの点を宣伝していた」とあるが、それらの発言が本当に当人によるものであるかどうかは、裁判で争われるところであろうから、私から断定することは当然できない。あくまでも、「47氏による発言とされているものによれば」である。

「新しいビジネス展開などという理屈は後付けだ」というのは、INTERNET Watchの6月28日の記事にレポートされている以下の話と同じ趣旨のものだと思う。

Winnyの可能性についても意見が交換された。瀬川氏がWinnyを活用した分散型バックアップシステムのアイディアを示したほか、九州大学の岡村耕二氏はWinnyのキャッシュがIXに集中しがちなトラフィックを分散する仕組みにも似ていると指摘。合法的に使う技術が出てくれば、今後、Winnyに関連する問題が乗り越えられるのではないかと期待が寄せられた。

（略）

高木浩光氏は、Winnyを合法的に使う方法もあるという議論が47氏を養護（原文まま：擁護の誤記か）するために巻き起こっているが、「それは本当にWinnyでなければできないのか？」を問わなければならないという。（略）

“世界に誇るべきソフト”Winnyに合法的利用の未来はあるのか？, INTERNET Watch, 2004年6月28日

■ 続・最高裁の最高ダサいホームページ

8月15日の日記「最高裁の最高ダサいホームページの続き。

Googleで検索したところ、こんなページが見つかった。

給与課長交渉では、専門業者にシステム監査を行った結果として「基盤となっているロータス・ノーツは、大量かつ複雑なデータ処理が要求される裁判事務と適合しない面があり、ユーザー数やデータ量の増加に伴ってレスポンスがさらに低下することが予想される。」「特大規模庁を含む全庁展開を進めることは再考すべきである」との評価がされたことを受けて、「ロータス・ノーツを基盤とする裁判事務処理システムを全国展開することは中止する」との経過と必要性を明らかにしました。

そのうえで「迅速なレスポンス確保、操作性に優れたシステムにするために、今後、大規模な改修を行う」との回答を行いました。（略）

全司法新聞, 民刑裁判事務処理システムを方針転換, 2004年6月5日

だそうだ*3。裁判事務処理システムの大改修が、最高裁ホームページの改修につながるかは不明だが、「courtdomino」はやっぱりまずいだろう。

判例をWebに掲載することは、論文や書籍にそのURLを記載されることにも意義があるのだから、例えばこういうURLで示せるようにするのがよかろう。

http://db.courts.go.jp/jd/SC/H16-0831-PB3-1/

というかそれが普通だ。たとえれば、書類の識別番号の様式を決めるのに、一人の末端職員の一存で決めるということはしないだろう。URLは、閲覧にあたって外部から指示される書類の識別番号であるのだから、その様式は組織の責任者の決済を経て決めるべきものだろう。