4月のトレーサビリティー勉強会で「本来ミューチップのコンセプトはアンテナを組み込むことだったので現在試作を行っている」とうかがっていたものが発表された。
ただしアンテナが小さい分、ICタグのデータを読み書きする装置であるリーダー/ライターとの通信距離は短くなる。データを読み取る際にはリーダー/ライターと数ミリの範囲で「密着」させることが必要だ。その一方で、セキュリティ上のメリットもあると井村氏は指摘する。「離れた機器から自動的に読み取られることがなくなるので、心配されるプライバシの保護にも役立つはずだ」(同)。
このように事業を推進する側がプライバシー上のメリットを示すことは重要だ。
それでもなお、「電波を強く」したらなどという不安の声が出てくる。いくらリーダの出力を大きくしたところで、タグの応答の出力は制限されているのだろうから、距離がそんなにのびるとは思えない。それでもリーダの感度を上げれば少しはのびるのかもしれない。それがどのくらいなのか、1ミリなのか、5ミリなのか、1センチなのか、5センチなのかよくわからない。
そこで思ったのだが、RFIDの製品仕様には、運用時の標準通信距離だけでなしに、悪用された際を想定した最長応答可能距離も併記するようにしてはどうだろうか。
昨日もRFIDを推進する立場のある方のお話をうかがっている際に、プライバシーの話の流れの中で、「Suicaだって1センチに近づけないと読めないんです。他のクレジットカードとかと重ねていたらそれだけで読めなくなるんです。」という発言が出てきた。
Suica改札機の事例では、距離が利用者にとって明白になっていないとエラーが発生する使い方をされてしまいがちなため、「タッチアンドゴー」という利用者に明白な方法にしたという話をよく耳にする。運用時の実用通信距離が短いからといって、カードが能力として持つ最長応答可能距離が短いとは限らない。
近接型規格(ISO/IEC 14443)は通信距離が10センチ以下とされているが、こういう話もある。
1.5メートルというのは言い間違いか聞き間違いではないかという気もするが、13.56MHzで最大50センチという数字はしばしば目にする。たぶんこれは方式としての最大能力であり、個別のタグやカード製品はもっと短い距離に制限されているのかもしれない。ICカードとリーダ/ライタとの通信距離は、Suicaが約10センチ、Edyが3ミリと意外に短い。
「実はこの数値は、ユーザーが非接触型ICカードを“能動的”に使うための最適な距離。FeliCa自体は、技術的には1.5メートル離れても届く仕様になっているが、通信範囲があまりにも広いと別のユーザーのカードにも反応してしまう」(ソニー担当者)。
たしかにSuicaをPaSoRiやCLIEで使うと、カードを裸にした状態で1センチの距離からしか読めない。しかし、PaSoRiを分解して裸のアンテナで試すと2センチの距離から読める。FeliCaのリーダ/ライタのカタログスペックによると、RC-S480Aは2センチと書かれている。しかし、RC-S440Cの方は10センチとなっている(アンテナサイズは10.4 x 6.7センチ)わけで、カードの能力としては少なくとも10センチはあるということになる。カードの方のカタログスペックを見ると、RC-S440C使用時が10センチで、RC-S440A使用時は5ミリと書かれている。この表示方法だと、10センチより遠くからの読取が不可能なのかどうかがはっきりしない。
「他のクレジットカードとかと重ねていたらそれだけで読めなくなるんです。」と発言した人物にとっての「読める/読めない」は、確実に読めるかどうかを話している点に注意したい。しばしば、事業を推進する側から、「そんな夢のような使い方ができたらこっちが嬉しい。そんなうまくはいかないものだ。」という発言が出てくることがあるが、一般に、セキュリティを語る上でそういう思考をしてはいけない。実用の話と悪用の話は別だ。10パーセントの確率でエラーになるのが実用にならないのだとしても、悪用されるのを避けたい消費者にとって、90パーセントの確率で読み出し可能な事態を許容できるのかという議論だ。
以前にも書いたが、私はあくまでも技術が普及することを願ってこうした議論を続けている。デジタルコアはあくまでも日経なのだからそうであるはずだ。消費者に不安を抱かせることなく事業を展開するには、突っ込まれる余地のある不用意な発言を推進側がしないことが重要である。最悪時のスペックを示すことは他の工業製品でも一般的に行われていることであり、プライバシーの懸念が出ているからには、RFIDでもそれを示すことは消費者を納得させるために必要なことではなかろうか。
ちなみに、念のために補足しておくと、RFIDのプライバシー懸念は、第三者のリーダで遠いところから読まれることだけではない。もうひとつの、第二者が設置したリーダが消費者の期待と異なる目的でIDを使用する懸念(4月のネット時評の安ホテルと高級ホテルのシナリオ)を忘れてはならない。
8月10日の日記に書いた、
の件、それに言及した資料が、総務省情報通信政策局技術政策課のユビキタスネットワーク時代における電子タグの高度利活用に関する調査研究会第2回会合の配布資料2-4にあった。未確認情報であるが、「同定不能プロトコル」として坂村先生の講演で紹介されているようだ。
38枚目のスライドに次のようにある。
■新しいプロトコルが必要
不正なアクセスに対しては、毎回異なる同定不能の回答をする必要
同会合の議事要旨にはつぎの記録がある。
・電子タグの普及に何年かかるかという話は、私はどうやっても10年はかかると思う。それくらいかけなければ、セキュリティポリシーや、セキュリティの問題に関してコンセンサスが得られないし、リーズナブルな価格にもならない。電子タグを様々な用途に用いると、プライバシーや、セキュリティが問題となるので、十分な時間をかけてセキュリティポリシー等をディスカッションする必要がある。
・タグのセキュリティの問題と、リーダーライターのセキュリティの問題が、往々にして混同されてしまう。リーダーライターのセキュリティの問題は、別途ユビキタス端末のセキュリティの問題として考えなければならないが、この場で議論しなければならないのは、タグそのもののセキュリティの問題だろう。
・様々な物にタグが付き、至る所にリーダが設置されると、特定の持ち物の番号から特定の人物が同定できてしまい、問題だと言われている。それらに対応するセキュリティポリシーを丹念に作っておく必要がある。それをわかった上で、さらにコストを掛ける等の対応をしなければならない。言い方を少し間違えただけで、大きな産業になるマーケットになるものをだめにしてしまう。
総務省情報通信政策局技術政策課, ユビキタスネットワーク時代における 電子タグの高度利活用に関する調査研究会 第2回, 議事要旨
すばらしい。安心した。「言い方を少し間違えただけで」……そう、そこだ。
その一方で、いまだにこんなことを言っている有識者の方もおられるようだ。
・電子タグのIDセンターの話は住基ネットの番号を付番しているところと似ている。住基の番号自体はなんの意味も持たず、属性情報が付くから意味があるのであり、タグの問題も同じだろう。
住民票コードの民間利用禁止の意味も理解しておられないようだが、どの委員だろうか。
日立
パスポートやビザの個人情報が電子化されることに対して外国では反対が起きないのでしょうか。アメリカでは「9.11」があって、ホームランド・セキュリティということになれば、個人情報が行政側に把握されるのはある程度仕方がないと考える人も多いのでしょう。それに、海外では個人番号を付けるのは当たり前ですね。 海外から見ると、日本で行われているセキュリティや個人情報についての議論はある意味異様に思われているのかもしれません。ただ、まだ理解できない個人の安心としては、横浜方式はなかなか良いやり方だといった意見が聞かれます。住基ネットにつなぐかつながないかを本人が選べるわけですから。
海外では早い時期から個人番号が普及した結果、濫用されるようになって問題が指摘されているという状況なんだがなあ。日本はそこから学んで住民票コードの民間利用を禁止にしたわけだが。
大山教授
搭載されているマイクロチップとアンテナで無線通信を使う識別技術のRFID (Radio Frequency IDentification)も重要ですが、タグ(荷札)ですから機能的には単純です。利用者の意思を反映できるチップがセキュアチップとすれば、RFIDタグは意思を反映できないチップと言えます。ICカードは、持っている人の代わりにその人の意思に従って機能します。ネットワークで、カードが本人の行動を代行するわけです。たとえば、ネットワーク申請時に電子署名をカードでするのは、本人の意思が伝わるからであって、RFIDタグでは本人の意思は伝わりません。
ですから、RFIDタグは物を識別するには適していますが、人の意思を識別するのはタグではないと思っています。意思表示ができない状態での患者さんの取り違いがないように、センサーに対してRFIDタグで本人情報を送るのは良いのですが、正常な意識状態で使うのはどうでしょう。
そう、まずは本人の意思によるものかそうでないかだ。だから、「セキュアチップ」もカード固有の固定IDが意識なしに取り出されることのないようにしないといけない。固定IDを持たないようにすればよい。