昨日はIC CARD WORLD 2005の展示を見に行ってきた。通りがかりに上野駅のコンコースを 通ると、「Suicaポスター」というイベントが展開されていた。 これのことらしい。
すぐさま嫌な予感がしたので、とりあえず登録を試してみると、まず、プライ バシーポリシーが存在しない。
Suica番号を入力するサイトに「利用規約を読む」というリンクがあるが、 「1.適用範囲」から始まって「2.期間」「3.サービス内容」「4.登録(利用開 始)の申し込み」「5.登録内容変更」「6.登録解除(利用終了)の申し込み」 「7.禁止事項」「8.免責」「9.規約の変更」「10.配信の停止」とダラダラダ ラダラと長文が書かれており、携帯電話画面でスクロールさせるだけで相当な 時間がかかるところまで進めてやっと「11.登録情報の取り扱い」という条項 があるだけだ。そして「12.準拠法および管轄裁判所」「13.規約の発効」と続 く。読ませる気があるとは到底思えない。「登録情報の取り扱い」よりも、 「禁止事項」の方が上にあることが何を意味するか考えてみるとよい。
「11.登録情報の取り扱い」には次のように書かれていた。
(1) 当社は、登録ユーザが本サービスの申し込み時に登録した登録情報(変更 情報を含みます。以下「登録情報」とします。)を、合理的な範囲内でセキュ リティの強化に努めるものとします。
(2) 当社は、登録情報を、原則として秘密保持契約を締結した協力会社以外に 開示いたしません。ただし、以下に該当する場合、登録会社以外の機関に開示 することがあります。
a. 登録ユーザの同意がある場合
b. 法令等により開示を求められた場合
c. 公共の利益の保護その他正当な理由がある場合
d. 当社が(ユーザを特定しない形式での)統計資料を作成する場合
(3) 当社は、本サービスの終了期間後2005年3月末日をもって、本サービスで 取得した登録ユーザデータは全て消去抹消いたします。
ようするに、何も書いてない。
ここでなすべきことは、このメールアドレスとSuica番号がどのように使われ るのか、その使用目的を示すことである。「秘密保持契約を締結した協力会社 以外に開示しない」というが、当然ながら、このポスターの広告主も「秘密保 持契約を締結した協力会社」であり得るわけだから、ポスター広告主に私のメー ルアドレスが渡るのかどうかが気になる。
現場の担当者にそれを尋ねると、今回の実証実験では広告主にメールアドレス は渡さないという。
今回は実験なので、ポスターにSuicaをかざしただけで詳細情報がメールで届 くというシステムを動かすためだけに、メールアドレスを必要としているのだ ろう。しかし、実用化された際にはどうだかわからない。当然ながら、広告主 は自分のポスターに関心を持ってくれた人のメールアドレスが欲しいだろう。
しかも、Suica番号は、日ごろの電車利用で記録される入退場履歴と結び付け られて、JR東日本の巨大データベースに蓄積されている。これまで、この入退 場履歴データベースは番号だけで管理される半匿名情報だった(定期券の場合 を除く)のが、今回とうとうメールアドレスと結びつけられるのだ。
これはとても美味しいマーケ情報となるはずである。あるポスターに関心を持っ た人が日ごろどの駅をどんな頻度であるいはどんな順序で利用しているかの 分析に利用できてしまう。しかも特徴あるものについて、その人のメールアド レスを特定することも可能となる。
そのことを担当者に言うと、担当者は「住所、氏名は頂いていませんので……」 と定番のことを言い始める。たしかに、携帯電話のメールアドレスは秘密にし ておく人が多い(迷惑メールを避けるため)かもしれないが、メールアドレス は本来公開して使うものであって、人によっては氏名と合わせて公開している ものだ。
さらに言えば、Suicaは今や、駅構内の店や一部のコンビニで、物を買うのに 使えるようになっている。どのSuica番号の人がいつどの店でいくら買い物を したか記録しているし、何を買ったかまで記録しようと思えば可能だろう。
それらが、「JEXXX XXXX XXXX XXXX」というひとつの固定ID番号によって結び 付け可能になっているところに、とうとうメールアドレスまで結び付けられそ うになっている。
個人情報保護法では、本人の了解なしに個人情報を流用することを禁じている が、今回の実験では利用目的が示されていないので、何が流用に当たるのかさ えわからない。第三者に提供しないのだとしても、JR東日本自身が巨大なデー タベースを持っているので、そこにメールアドレスが結び付けられることその ものが、個人のプライバシーリスクに大きな影響を及ぼすのだから、第三者に 渡さなければそれでよいという話でもない。
この実験では登録手順が面倒すぎたので、実用化には登録をもっと容易にする 必要があるだろう。今回は実験終了と同時にメールアドレスは破棄されるとの ことだが、実用化されたら、一回の登録で継続的に記録されていくことになる だろう。もしかすると、Suicaカードを購入する時点でメールアドレスを登録 するようになるかもしれないし、モバイルSuica(携帯電話をSuicaカード代わ りにするシステム)がスタートすれば、メールアドレスは自動的に登録となる かもしれない。そのときには、電車の乗り降りも、店での買い物も、メールア ドレスと結び付けられる可能性が懸念されることになる。
懸念はまだ他にもある。Suicaリーダがいつ読取りをしているか、保証がない。 今回のシステムでは 2センチメートルの距離まで近づけないと「プー」と鳴ら なかったが、50センチくらいの距離からだって読もうとすれば読めるはずで、 担当者にそれを言ってみると、技術的に可能ではあると認める。もし、50セン チの距離から読むようにすれば、ポスターの前に立った人のSuica番号を集め ることもできるので、魅力的なシステムであるはずだ。
もちろん、「プー」という音を出している以上、音が鳴らない距離でこっそり 読み取るなどということを、JR東日本がするはずはなく、そこは信じてよいだ ろう。だが、他社がそれをやるとしたらどうか。それをJR東日本が止めること はできるだろうか?
肝心のIC CARD WORLDはどうだったかというと、今年は、RFIDタグを使ったシ ステムの展示が少なくなっていたようで、これといって問題のありそうな怪し い展示は見つけられなかった(2時間半しかなかったので見つけられなかった だけかもしれないが)。
流行っていたのは、非接触ICカード(RFIDカード)を認証に使うものだった。 そのような目的には暗号演算能力を持ったICカードを使うのが本来の姿である。 EdyやSuicaなどとして使われているFeliCaは、現状で最も普及したICカードで あり、これをこの際いろいろな目的に使ってみようとする展示が目についた。
たとえば、ドアの電気錠の開錠に社員証を使うのでなしに、手持ちのEdyカー ドを使う(事前にEdyナンバーを登録するとドアが開けられるようになる)と か、同様に金庫や貴重品ボックス(ゴルフ場とかの)の鍵に使うといったもの。
磁気ストライプカードやRFIDタグと違って、ICカードは暗号演算機能を持つの で、たとえEdyナンバーが誰でも読み出せるものであっても、リーダとの通信 プロトコルにおいて、そのEdyナンバーとしてリーダに認識させるように振舞 うことは困難になっているのであるから、このような応用は技術的には正しい といえる。
しかし、Edyナンバーは、Edy対応ショップでの買い物履歴と結び付けられてい る固定ID番号であるのに、このような用途に流用してよいのだろうか?
Edyナンバーを使ったサービスが、Edyを運営するビットワレット社の管理下に ある組織のみによって運営されているときは、プライバシーについて信用をす ることもできるかもしれないが、こうした流用サービスが誰でも提供できるよ うになってきたとき、何が起きるだろうか。
たとえば、展示会場では「 Edyポイントラリー」というイベントが展開されていた。これは以下のよ うに報道されている。
ようするに、上野駅で展開されている「Suicaポスター」と同じ仕組みで、 携帯電話のメールアドレスとEdyナンバーを結びつけて登録しておくと、 いいことがあるよというものだ。
ここでもやはりプライバシーポリシーが見当たらない。まあ、上野駅のイベン トが一般人向けであるのとは違って、展示会場に来る業界関係者向けの実験な ので、こんなものだろう。
また、他にも、「Edyチャージで 5万円当たる」という類似のイベントも展開されていた。こちらは、携帯 電話に限らずPCからも申し込みが可能で、以前から実施されているもののようだ。
ここでもやはり、メールアドレスがEdyナンバーと結び付けられる。ここでは、 なぜか生年月日の登録も必要なようだ。ただし、こちらにはちゃんとプライバシーポリシーのページ が用意されており、以下のように利用目的が示されていた。
(2)個人情報の利用目的
弊社は、お客様からご提供いただく個人情報を下記の目的で使用させていただ きます。また、弊社は、個人情報の使用目的の範囲内で必要な業務を 委託する協力会社に 対し、厳重な個人情報の管理を求めたうえで個人情報を 開示することがあります。なお、弊社及び協力会社は、お 客様からの問い合わせ対応歴などのお客様に関する個人履歴を記録する場合が ありますことをご了承願います。
1.電子マネー「Edy」5万円分が当たる!Edyチャージキャンペーンの抽選、 当選の連絡、及び統計的な集計
2.(メルマガ購読を希望した方)電子マネー「Edy」に関する情報提供
ただ、「統計的な集計」の意味が不明確だ。「それぞれのメールアドレスにつ いてその人がどんな趣味を持っているかの統計的な集計」ということだってあ り得る。文章として練られていない。上の強調部分は「利用目的」について書 いたものではないだろう。「開示することがあります」は、次の節「個人情報 の提供」に書くべきだし、「問い合わせ対応歴」の話もここに書くことではな い。法律家に相談せずに作られたものだろうか。
IC CARD WORLDの展示会場では、電子パスポート(e-Passport)の読取り装置の デモを見ることができた。
パスポートの電子化については、米国では暗号機能を搭載しないという報道が 出ている。
18日(米国時間)発表の新規定案によると、米国政府はチップ内蔵のパスポートのデータを暗号化するつもりはないという。だが、このような形でのパスポートのハイテク化は新たなセキュリティーリスクを生むという批判が、セキュリティー専門家の間で広く起こっている。
日本の電子パスポートもRFID方式による非接触無線読取りとなるのだが、展示 ブースの説明員さんによると、日本のものでは、光学式読取りを併用した 「BAC」(Basic Access Control) という機能が搭載されるからそうした問題は ないのだという。
どういう仕組みかというと、パスポートには現行のものでも、写真のある ページの下の部分に、なにやら番号が書かれている。「機械読取り式」と 呼ばれるもののようだ。 外務省のサイトに説明がある(図の「機械読取り式旅券」と矢印で示され ている部分)。 この部分は光学式スキャナのようなもので読み取るようだ。コピー機のような 装置の上にパスポートを開いて乗せると、この番号が読み取られるというデモ がIC CARD WORLDで展示されていた。 そして、BAC付きのe-Passportでは、ここで読み取った番号からあるアルゴリ ズムで生成した暗号鍵を使って、通信するのだという。
なるほど。ちなみに、最近小耳に挟んだところによると、この方式は、日本か ら提案して、一部を除く各国で採用された方式なのだそうだ。
さて、海外ニュースで流れてくる米国のパスポートの話は他人事として、米国 に入国するときの日本のパスポートはどうなるのだろうか? 米国がBACなしを 強行した場合に、他の国もBACなしのパスポートを強制される(あるいは機能 はあっても無効にすることを強制される)といったことは起こり得ないのだろ うか。
ところで、このあたりの話は日本では全く報道されていないように記憶してい るが、どうか。ちょっと検索してみたところ、外務省が以下のQ & Aを 公開していた。
Q5.日本はいつ「IC旅券」を発給するのですか。アメリカの定めた期限に間に合いますか。
A 外務省では2006年3月までの「IC旅券」導入を目指して取り組んでおり、所 要の法改正手続きも進めていますが、アメリカの定めた期限には間に合いませ ん。したがって、現状では2005年10月26日から日本が「IC旅券」を発行する日 までに発行される旅券は、現行の「機械読み取り式」であってもアメリカに入 国する場合はビザが必要となります。(後述の参考3.を御覧ください。)
(略)
参考 3. 2005年10月26日のIC旅券導入期限が再延期される可能性は?
ほとんどの国にとってこの新たな期限までに「IC旅券」を発行するのは難しい 状況であり、アメリカ議会が再度の導入期限延長を行わない限り、多くの国で は2005年10月26日以降に発行された「非IC旅券」を所持してアメリカに渡航す る者はビザを取得しなければならないことになります。外務省はそのような事 態を避けるために今後も最大限の努力をしてまいります。
もし米国がおかしなことを強制してきて日本の外務省も困るような状況が生じ 得るとすれば、日本国民の総意として(たとえば暗号化なしの電子パスポート を拒否するといった)世論形成をしておく必要があるだろう。
しかし日本のマスコミは、後戻りできなくなったころに糾弾する能力しかない。 少なくとも役所にはそう思われているので、役所は密かに自力で問題解決を図 るのだろう。日本の優秀な官僚さんたちに安心してまかせようというわけだ。 ただ、それが万が一失敗したときは痛いことになる。
聞くところによると、米国が暗号なしのパスポートを採用し、今も強行しよう としている理由について、「どうせ見せるための情報なんだから」ということ を言っているらしい。その感覚がプライバシー的に受け入れられるものかどう かは、それぞれの国の国民性によって左右されるものであるのだから、役所が なんとかするだけでなく、日本国民がそのような方式をどう考えるのか、世論 を形成しておくことは必要だろう。
まあ、マスゴミはプレスリリースでも流してろって。
電車、喫茶店、自販機、ロッカー、ポスター情報配信、ラーメン。携帯上で乗車履歴も見れる。 これだけいろんな場所で使えれば"Life Caching" の新しいプラットフォームにもなりえるかもしれない。しかし、いろいろ微妙なところもある。 高木浩光さん@自宅の日記に、プラ..
<FONT size=2>まずは土曜日の分。</FONT>
<FONT size=2>ずいぶん前の記事で、「</FONT><A target='_blank' class='c
高木浩光大先生のパンチは強烈だ。
先日の「俺俺証明書」といい今回の「マスゴミ」といい、併記されている言葉をむりやり脳裏に刻む羽目になる。
セキュリティと利便性は反比例するものとよくいわれるけれど それにさらに、個人情報保護法の施行によっていプライバシー と3次元で考えなければならないのか。 Suicaにしろ、Edyにしろ便利なのでもちろん私も使っている しかし、Edyは登録しておくとWebで全購入履歴(レ..
有名なセキュリティ専門家である、高木浩光さんのブログ「高木浩光@自宅の日記」に「
いくつかのメディアの報道を見てみてもRFIDという言葉は決して出てこないのだが、高木浩光さん@自宅の日記にも以前こう書かれていたし、国際的な流れからもRFIDパスポートのはずだ。 政府のテロ対策の一環として、顔写真のデータなどを記録した「IC旅券」(パスポート..
10月26日以降に取得したパスポートがICパスポートでない場合、米国の短期入国でもビザが必要になるというので、日本でも顔写真データ入りICパスポートを来年3月以降に発行するという話。