固定IDは"デジタル化された顔"――プライバシー問題の勘所 - NIKKEI NET:IT-PLUS 
高木 浩光 産業技術総合研究所 グリッド研究センター, 2003年4月22日
以下は、過去に it.nikkei.co.jp に掲載されていた私のコラムで、2010年4月の日経新聞社サイトの改編に伴って消失したため、日本経済新聞社の承諾を得て転載するものです。
転載元:http://it.nikkei.co.jp/it/njh/njh.cfm?i=20030421s2000s2
RFIDとプライバシーの議論が始まると、たいていこんな発言が出てくる。「接近しないと読み取れない程度のものなのだから、その場で何を所持しているか知られたからといって、気にするほどの問題ではない」、「IDは単なる番号であり、番号からは個人を特定できない」、「IDはこれまでも使ってきたし、店の会員証と違わない」――これらはいずれも典型的なミスリード発言である。
プライバシーを定義しない
「プライバシー」という言葉を使っただけで、「定義が明確でない」と言い出す人がいる。確かに、個人情報保護法など、法律案の議論においては、それをどう定義するかがかなめであろう。しかし、技術の議論においては、それを狭く定義する必然性はない。むしろ可能な限り広く仮定して、技術がもたらし得る影響を個別に洗い出しておくことが必要である。
私は何かの「反対派」ではない。恥ずかしながら個人情報保護法案の議論に興味がないし、誤解を恐れず白状すれば、背番号制に反対ではない。本来こうした個人的信条の表明は、技術の議論には不必要なことだが、最初にこれを述べたのは、この種の議論がとかく情緒的になりがちだからである。「反対派アレルギー」の方には、背番号制賛成派すら危惧する話だとご理解いただければ幸いである。
その使用履歴はだれのものか
今年4月1日、経済産業省から「商品トレーサビリティーの向上に関する研究会中間報告書」 が公表された。「トレーサビリティーに共通する社会的課題の解決」として、「個人情報の保護について」が書かれている。そこから引用すると、
無論、それ単体では個人名まで特定できない使用者の使用履歴情報などは個人情報には該当せず、そうした情報を商品に添付しておくことには何ら問題がないことはいうまでもない。
とある。これは、認識不足が原因で導かれた誤った結論の典型例である。
確かに、RFIDタグが無造作に置かれている場面を想定すれば、それがだれの情報なのかは不明かもしれない。しかし、ある人が目の前にいる場面で、その人の持ち物に付いているらしきRFIDタグから「使用履歴情報」が送られてきたならば、その履歴情報がその人のものであることは自明である。つまり、研究会の結論は、「環境が既に個人を特定している場面」を想定できていない。
例えば、非接触型ICカードの「Suicaイオカード」には、何月何日にどの駅を利用したかが記憶されており、市販の携帯端末でもそれを閲覧できる。ただし、1センチ程度の距離に近づけないと読み取れないようになっている。もしこれが1メートルの距離から読み取れるとしたらどうだろうか。電車内で隣の人の乗車履歴を読めることになる。
商品トレーサビリティー用のRFIDでは、従来のバーコードになかった利点として、1メートルほどの距離から読めることを挙げているのだから、「何ら問題がない」とするのは誤りである。
物だけでなく人が追跡される
オートIDセンターの「クラス1」規格は、RFIDタグを極限まで単純化し、64~96ビットの固定ID番号だけを持たせ、タグ内に属性情報を記録しない方式だという。そのため、オートIDセンターのQ & Aには、「プライバシー保護の取り組み」として次のように書かれている。
EPCには固有のコード番号が記載されているだけで、それ自体は重要な意味を持ちません。EPCに関連付けられる固有のアイテムに関する重要なデータはセキュリティのかけられたネットワークシステムに保存されており、これらのデータへのアクセス権は厳重に管理されています。
確かにこの方式ならば、電車内で他人に属性情報を読まれることはない。RFIDの研究者が「RFIDのUIDから商品の特定は困難」と発言することがあるのはこのためである。
このように、RFIDのプライバシー問題が語られるとき、どんな属性の物を所持しているかを他人に知られる問題がクローズアップされがちである。はいているパンツの色、所持している本のタイトルが、街を歩くだけで知られてしまうといったように。
しかし、最大の脅威は、そこではなく、ID番号そのものにある。ID番号の付いた物を所持して街を歩くだけで、それがだれなのかを特定されてしまうおそれがある。
未だかつてない追跡の現実性
IDをめぐる議論は昔からあった。国民に住民票番号を付けることには、その番号による名寄せが可能になるとして反対の声があった。しかし、「住民票番号で名寄せなんて本当にするの?」とか、「氏名と住所があれば元々名寄はできる」といった反論があったし、改正住民基本台帳法で、民間による住民票コードの活用が罰則付きで禁止された。
IDは既にいろいろなところに付いている。携帯音楽プレーヤーを持ち歩いているなら、電池の蓋の裏あたりに製造番号シールが貼られているだろう。ハイテク製品を持ち歩く人は、IDと共に歩いていると言ってよい。だが、それらのIDは、離れたところからは見えない。持ち主が提示しない限り見えない。
携帯電話だって電話機固有の識別番号を電波で飛ばして局と通信している。だが、その通信手順は非公開であり、一般の人が傍受して番号を得られるわけではないだろう。
これらに比べて、RFIDの脅威が新しいのは、
- IDの発行や収集に法的制限がない。
- 離れたところから、所有者の意思に反して読むことができる。
- 安価な市販の装置でだれでも読むことができる。
発行者以外がIDを便乗利用する
RFID研究者が、ID番号がもたらす脅威について、「会員証やポイントカードと違わない」と反論することがある。会員証には会員番号が書かれており、店はそれがだれなのかをPOSシステムに登録しているのだから、その店で買い物をすると、だれが何を買ったかを記録されることになる。家電量販店や百貨店などがそうした会員カードを発行しているが、消費者はそうした記録を受容して利用していると考えられる。会員証の持ち主がだれかはその店しか知り得ないはずであるから、人々は受容できるのだろう。
会員証の場合では、所有者が提示しない限り番号を読み取られないので、IDは発行者によってのみ活用される。それに対し、RFIDは、所有者の意思と無関係に読み取られるので、IDの発行者以外によって活用され得る。
ユビキタスコンピューティングの未来像を語るとき、財布(流通の都合でRFIDを埋め込まれて、そのまま消費者の手に届いた財布)のIDを、個人が自宅のホームサーバーに登録しておくと、玄関を出るときに財布を忘れていることを警告してくれる便利システムの話が出てくる。これは、ID発行者以外によるIDの有効活用の一例である。
先に挙げたオートIDセンターのQ & Aは、こう続いている。
無線タグ上のEPCは製品などのアイテムを認識するためのもので、人を認識するためのものではありません。そのためこのシステムでは、購入された商品と購入者を結び付けることは出来ませんので個人情報は保護されていると言えます。
確かに、オートIDセンターに人を認識する意図はないのだろうし、「このシステム(だけ)では」、商品と購入者を結び付けることはできないのだろう。しかし、普及したRFIDタグに便乗する他の事業者のシステムが、それらを結びつけようとする可能性がある。
名簿業者のビジネスチャンス
街にIDスキャナー(リーダー)が遍在する社会を想像してみる。例えば、安ホテルに設置されているとする。ホテルではチェックインの際に住所氏名を記入するが、これは、現在ではプライバシー上妥当な行為だと考えられている。安ホテルが宿泊者名簿を売却する心配はあるものの、そんな名簿はたいした取引価格にはならないので、現実に売却されることはあまりないと考えられる。それに対し、RFIDタグのIDと住所氏名を関連付けた名簿はどうだろうか。
IDから住所氏名を検索できる名簿が手に入ると、半径1メートル以内の人の住所氏名を特定できるようになる。この名簿は高く売れるのではなかろうか。名簿が高く売れるなら、情報提供者への報酬も十分なものとなるだろう。安ホテルで記名すると、同時に、財布に埋め込まれたRFIDをスキャンされ、そのIDが私のものである事実がデータベースに登録されてしまうかもしれない。
安ホテルを信じられなくなり、次からは高級ホテルに泊まるとする。そこでもチェックイン時にRFIDをスキャンされるが、高級ホテルは、「お客様の個人情報を大切にします」という「安心マーク」を掲げていて、住所氏名を売却されることはないとする。しかし、持っていた財布のIDと、着ていた服のIDと、鞄の中の本のIDをひと組の情報として記録され、売却されてしまうかもしれない。
こうなると、もう、財布を捨てるだけでは追跡から逃れられない。服も本も捨てないといけない。他に何を捨てればよいのかさえ、わからなくなるかもしれない。一つでも「汚染されたRFID」(追跡記録されてしまったRFID)の付いた物を持って街を歩くと、同時に所持している別の物のRFIDも汚染されていく。
後日その高級ホテルに抗議しても、ホテル側の言い分はこうかもしれない。「IDは単なる番号であって個人情報ではないと考えています」と。
固定IDは「デジタル化された顔」
RFIDがなかったとしても、同じように個人を追跡することは不可能ではない。RFIDスキャナーの代わりにカメラを至る所に設置し、常時、顔を撮影して、蓄積していくシステムを使っても同じことはできる。
カメラによる監視システムは、治安上の目的で既にいくつかの場所に設置されている。現在のところ人々がそれを受容しているのは、設置場所が、公共の場所や現金自動預払機の近くなどの妥当な場に限られているからであろう。カメラが記録していると知っている場では、人々は一定の行いをするよう心がけるだろうし、プライバシーが重要となる行いをする際には、そうした記録の行われていない場を選んで行動しているだろう。
それが、至る所にカメラが設置されるとなると、どうだろうか。人々は「嫌だ」と、問題点を直感的に理解できるだろう。顔を記録されても、顔を知っている人にしかだれなのか判別されないのだから、有名人でない限り、あるいは、犯罪を起こすつもりでもない限り、気にすることはないはずなのにだ。
顔は、知らない人にとってはただの人の顔でしかない。同様に、ID番号も知らない人にとってはただの番号でしかない。顔を記録されるのを嫌だと感じるのは、その顔が、だれの顔なのか知られてはまずい人に知られる可能性があることを、人々は感づいているからだ。
同様に、ID番号も、誰のIDなのか知られる可能性がある。コンピューターの記憶力は人よりも的確だ。顔画像はアナログ情報であるため、確実に個人を特定できるわけではないが、ID番号からならばズバリ特定できる。つまり、RFIDは持ち物に埋め込まれた「デジタル化された顔」なのだ。
しかも、警察などの一定の信頼ある組織が収集するのでなしに、未承諾広告を無差別に送る業者などの、他人の迷惑を顧みない人たちによって、ID収集ビジネスが展開されるかもしれない。そして、身近な人がID名簿を入手するかもしれない。
クッキーの歴史に学ぶ
3月10日のネット時評で、「オープン化によるユビキタス普及・促進とプライバシー確保のジレンマ」と題するコラムを書いた。そこでは、インターネットのWebの標準機能である「クッキー」を、暗にRFIDと対比させて、プライバシーについて考察している。
クッキーのプライバシー問題は、数年前から繰り返し海外ニュースで報道されており、多くの人が、クッキーに何らかのプライバシーへの悪影響があることを知っているだろう。近ごろは、ほとんどの商用サイトに「プライバシーポリシー」なる掲示があり、そこに「クッキーについて」という説明を設けているところも多い。
クッキーで問題視されたのは、サイト横断的に張り付けられたバナー広告が、クッキーを発行し、そこに閲覧者に固有のID番号を埋め込んだことだった。このIDにより個人が追跡されかねないと懸念された。
クッキーのプライバシー問題を理解しながら、RFIDのプライバシー問題を理解しない人がいるようだが、なぜだろうか。クッキーは、サーバー側から送りつけられてくるものだ。ブラウザーの設定を変更しておくと、その様子を警告ウインドウによって目で見ることができる。そのために、なんとなく実感できるのだろう。
RFIDはクッキーよりも性質が悪いのだということに気付いてほしい。クッキーではサーバーが事前にブラウザにIDを覚えさせておく必要があるのに対し、RFIDは、初めて出合ったスキャナーに対しても自分のIDを送ってしまうし、クッキーと違って、RFIDはどのスキャナーに対しても同一の番号を送るし、クッキーと違って、番号が永久に不変だ。
技術的な解決手段を検討しよう
再び無用な個人的信条の白状をすると、私とて技術オタクであり、ユビキタスIDインフラの普及による、想像を絶する便利サービスに囲まれた未来を夢想することもある。「RFIDは危険!絶望的!」と悲観するのでなしに、RFIDがもたらし得る危険性を整理することで、その回避策を検討しておきたい。
技術的回避策は、クッキーの仕組みから類推することができる。クッキーのように、ID発行者しかその値を読めないようにしたり、「セッション限りのID」の概念を取り入れることはできないだろうか。
発行者しか読めない仕組みは、ハッシュ関数(暗号技術の一種)で実現できるかもしれない。RFIDチップは固定の番号を持つが、スキャナーに対してそのままその値を応答するのでなしに、スキャナーからの「チャレンジコード」に応じて異なる値を返すようにすることが考えられる。そうすれば、秘密のチャレンジコードを知っている者にしか同じIDを得られないことになる。製品に取り付けたRFIDをトレースする必要のある業者間では、このチャレンジコードを秘密情報として共有する。(ただ、この方法では、名簿業者が情報提供者と結託してチャレンジコードを共有し、IDを悪用する危険性は残るし、秘密コードが漏れた場合の危険性も残る)。
「セッション限りのID」は、RFIDに何らかの操作を加えると、IDが別の番号に変化してしまう仕組みで実現できるだろう。番号の変更はオフラインで行いたいので、物理乱数を用いてチップ内で生成する。RFID技術の標準化に取り組むグループが、IDを世界的に一意な値とするために番号体系を取り決めようとしているが、IDの長さを1024ビット以上にしておけば、IDの重複は、(公開かぎ暗号による電子証明書がそうであるように)起きないと考えてよい。
しかしこれらを実現するとなると、RFIDチップにコスト増が発生する。RFIDは数円程度までに低価格化されなければ、実用に見合わないのだから、これらの回避策が実現可能となるのは、もうしばらく先かもしれない。
技術専門家の責務
恐ろしいのは、誤った認識の技術者によって先走って実用化されてしまうことである。一度普及してしまうと後戻りできない事態は、どこの業界でもしばしば見られる。
3月10日のネット時評で、ある事業者の携帯電話が「subscriber ID」という契約者固有番号を常時Webサーバーに送出している問題を紹介したが、事業者は「個人を特定できる情報が外部に送出される事はありません」と説明している。固定IDの問題は一般の消費者には難解であるため、問い合わせがあっても、そう回答しておけば、当座をしのげてしまう。
日本の消費者は、米国などと違って不買運動を展開するようなことはしない。大規模な被害が明るみに出て初めて対策をうつのだろう。それまでに原因不明で起きた小規模な被害で失われたものは、元に戻らない。
総務省のインターネット利用高度化委員会の議事録によると、技術者を代表する先生がこう発言なさったと記録されている。
何がプライバシーで、何を守るべきかという議論を専門家によってしっかりしていただかないと、テクノロジーに携わる側も技術的にどこをどうすればいいのかという判断がつかないし、何かを作ろうとした時に、作ろうにも作れない。
プライバシーの定義を示してくれということだろうか。プライバシーの概念が技術に左右されないのならばそれもよかろう。しかし、ここまでに述べてきたように、「何が(どの情報が)プライバシーか」という考え方では、正しい結論を導き出せない。「IDはプライバシーか」と問われたら、「それ単体では個人名まで特定できないので個人情報には該当しない」ということになってしまう。
プライバシーの定義を示してくれということだろうか。プライバシーの概念が技術に左右されないのならばそれもよかろう。しかし、ここまでに述べてきたように、「何が(どの情報が)プライバシーか」という考え方では、正しい結論を導き出せない。「IDはプライバシーか」と問われたら、「それ単体では個人名まで特定できないので個人情報には該当しない」ということになってしまう。
一般に、新しい技術を社会に導入しようとすると、技術を理解している人にしか予想できない脅威が生じ得る。その危険性を事前に分析して提示し、解決策を準備しておくのが技術者の責務であろう。