高木浩光＠自宅の日記

■ 「そんなことは既に考えていて手を打っている」とは？

11月24日の日記「家畜の餌を人に食わせるような話」で、

そもそも、人を識別するには高度なセキュリティが求められるという前提の下で、RFIDカードの開発が進められてきたところに、セキュリティ機構を一切省いたRFIDタグが注目を浴びて、「あんなこともできる」「こんなこともできる」と夢想しているのが現在の状況であろう。（略）

ここで問題は2つある。物を携行することによって物の識別子が人の識別子として働いてしまうという問題、これはこれまでにも述べてきた。もうひとつは、物の識別子を人の識別子として積極的に活用しようとしている輩がいるということだ。

と書いた。

ここで言いたかったのは、RFIDを推進している人の皆がプライバシーを蔑ろにしているわけではないということだ。RFIDカードの事業を進めてきた人たちからすれば、セキュリティ機能の削り落とされたRFIDタグが、どんな問題を引き起こし得るもので、どんな目的には使えないものであるかをわかっているだろう。

総務省の「ユビキタスネットワーク時代における電子タグの高度利活用に関する調査研究会」の議事録を見てみると、今年4月15日の議事要旨にこういう発言が出ている。

• 開催要項に、『モノや人の識別に利用される電子タグは・・・』とあるが、こう書くと電子タグが個人を特定する様に思われる恐れがある。この研究会では『モノや人の識別するタグ』を検討すると思われても良いか。
• 『モノや人の識別に利用される』という部分は削除しても研究会の意図は変わらないのではないか。

総務省 ユビキタスネットワーク時代における電子タグの高度利活用に関する調査研究会, 第1回 議事要旨

これがどなたの発言かはわからないが、古くからRFIDカード等の事業に携わってこられた方であれは、こうした危惧は自然なものだろうと思う。

7月に開催された「世界情報通信サミットミッドイヤーフォーラム」で、森ビル アカデミーヒルズ事務局長の礒井氏から、六本木ヒルズでのRFIDタグの活用について説明があったが、このとき、このプロジェクトではプライバシーに慎重に配慮したということが語られていたと記憶している。詳細は不確かにしか思い出せないのだが、パッシブタグ（電池を内蔵せず、リーダからの呼びかけに応じるタイプのRFIDタグ）を使うのではなく、アクティブタグ（電池を内蔵し、ボタンを押すアクションがあったときあるいは一定の間隔でなど特定のタイミングで自ら送信するタイプのRFIDタグ）を使うようにしたという話があったと思う。日経の開催報告記事によれば次のように発言が記録されている。

礒井純充氏

「森ビルのシステムでは、受けるサービスによって別々のシステムを運用しており、極端な話、同じ人間がサービスごとに別の名前で登録することもできる。また、ユーザーがサービスを受けるか受けないか、必ずユーザーの意志を確認するようにしている。今年10月から配布開始するICタグは、ユーザーがタグについたボタンを押さないと情報が流れない仕組みになっている」

パネルセッション　「トレーサビリティー：応用可能性と課題」「ビジネスモデル」「標準化」「セキュリティー」が共通課題

こうした方式は、産総研サイバーアシスト研究センターのマイボタンもそうだったと思う。

そういうところへ、流通の都合で取り付ける超安価タグの構想に便乗して、消費者にも便益をと、人に意識させずにIDを読み取る方式で、あんなこともできる、こんなこともできると、傍若無人に危なっかしい夢を語っているのは、つい最近に後からやってきた新規参入組の人達ではないのか。

森山和道氏が4月に「こんなことは事業者たちは既に考えていて、手を打ってる」としたのは、古くから取り組んでいた人達のことを見ていたのかもしれない。しかし現実には、新規参入組が幅を利かせている状況ではなかろうか。

■ IP meetingパネル討論の報告

IP meetingのパネル討論はけっこうもりあがった。普通、パネル討論というと、最初のパネリストの講演だけで時間の大半を潰して、ぜんぜん議論にならないというのがありがちなのだが、今回は違った。会場からも良い質問が多数飛び出してよかった。山口先生のモデレートもグッド。

私の使ったスライドは公開している。

最初のご質問は、個人情報保護法は高木が思っているほど弱くないというご指摘だった。私が懸念として話したことは、氏名を特定しないIDで私事性情報が蓄積されていき、あるとき、IDと氏名の対応表を販売する裏業者が現れると、蓄積された過去の情報までもが誰のものであるかわかってしまうというものなのだが、ここで脱法行為をするのは名簿を販売する裏業者だけという想定をしていた。それに対して質問者の指摘は、その名簿を買った事業者も、氏名を特定した時点で本人にその事実を開示する義務が生ずるというものだった。個人情報を本人から直接収集するのでなしに、他から後で収集して特定した場合も、個人情報保護法の対象となるというわけだ。なるほどそれは了解した。それでもなお心配なのは、IDが誰のものであるか突合せ可能になるのは事業者とは限らない（たとえば、目前にいる人については名簿を購入するまでもないし）わけで、IDだけだからという理由で無制限に私事性情報が蓄積されて、果てしなくポテンシャルが高まっていくが、それでよいのか？ ということを答えた。

次のご質問は、自分は自動車運転免許証を持たないので、いつも身分証明に苦労しており、住基カードに期待しているのだが、それの民間利用が禁止されるのは困るという話だった。質問者は住基カードが身分証明書として使えないと言っていたが、住基カード（住所が記載されている写真つきのタイプの場合）は、免許証同様に身分証明書として使えるはずだと答えた。改めて確認してみると、総務省の説明では次のようになっていた。

公的な身分証明書として使えます

現在、運転免許証などをお持ちではない方は、身分証明書を求められて困ることがあると思います。

住民基本台帳カードは、氏名のみが印字されたＡバージョンと写真と氏名・生年月日・性別・住所を印字したＢバージョンがあり、希望のカードを選択することができます。

写真付きの住民基本台帳カード（Ｂバージョン）は、市町村長が交付する公的な身分証明書として、パスポートの交付申請の際の本人確認などに使うことができると考えています。

総務省, 住民基本台帳ネットワークシステム, 住民基本台帳カード

民間利用が禁止されているのは住民票コードである。住基カードに住民票コードは印字されていない。カード内の住民票コードの読み出しは、役所の権限を持つリーダだけである（はず）。運転免許証のように使えるという総務省の説明からすれば、カードを見せるという方法で身分証明に使うのは推奨されているように読める。ただ、例として、「パスポートの交付申請の際の本人確認などに」という、公的な場面だけを挙げており、レンタルビデオ店の会員契約や、銀行での本人確認に使えるということは積極的には謳っていないようだ。だが、自治体の説明を見ると、

現在、運転免許証などをお持ちではない方は、身分証明書を求められて困ることがあると思います。（略）

写真付きの住民基本台帳カード（Ｂバージョン）は、公的な身分証明書として、金融機関で口座を開設するときや、携帯電話を新規購入する場合などに、運転免許証などと同様に身分証明書として利用できます。

つくば市役所, 住民基本台帳カード交付手続きのご案内

といったように、使えることになっている。

このご質問は、今回のパネル討論のテーマからはいささか外れたものだったと思うが、私が「共通IDを避けるべき」という主張をしたため、それでは困るということをおっしゃりたかったのだろうと思う。私が言いたかったのは、すべての共通IDを排除せよということではない。実際、住所氏名というものも共通IDであるわけだが、それを無くせというのはおかしいだろう。目的に応じて必要最小限の個人特定をなすべきなのに、あらゆる消費生活の場で共通IDが使われるようになってしまってよいのか？ というのが問題提起である。……ということを答えた。

他には、完璧を求めなくても適当なところで落ち着くのではないかというような趣旨のコメントを頂いた。たしかに、固定IPアドレスの件の個別論では、全部のIPアドレスを非固定にする必要はない。なぜなら、ある程度以上の割合のIPアドレスが非固定であるなら、どれが固定かわからない状況では、それを消費者追跡には使えないということになるからだ。現状がまさにそういう状況である。重要なことは、こうした技術の設計に携わる者が、こうした問題の存在を理解して、問題が起きる水準まで悪化することを避けるように行動することだ。……ということを答えた。

一般論として、「何事も中庸」で済むのかという点については、一般論で議論しても論理的な帰結は生まれないだろう。RFIDタグの場合ではどうか。RFIDタグのプライバシー懸念と対策を語る際に、中庸というのが具体的に何を意味するのかはよくわからない。

村井先生からのご質問では、私が、クレジットカードの場合は契約でしばられているので問題が別だと話したことに対して、情報を他の目的で使うということが約款に書かれているカードもあるとのご指摘だった。後で見せていただけるとのことだったが、推察するに、それは、そのカードでどんなものを買ったかの記録がマーケに使われるという話ではないかと思う。その意味であるなら、それは当然あり得るだろう。私が述べたのは、それではなく、一般の店舗が、顧客の購買動向を分析するにあたって、共通IDとしてクレジットカード番号を流用するということが、カード会社と店舗との間の契約で禁止されているのではないか？ ということだ。（といっても、私もそれを確認したわけではないので、本当にそうかはわからない。） この議論で重要なのは、事業者による私事性情報利用を消費者が契約で同意しているか否かの話と、社会インフラとなるシステムの設計として適切か不適切かの話とを、きっちり分けて議論することである。（それについてのスライドを用意していたが時間がなくて出せなかった。）

山口モデレータからは、対策にはコスト負担がかかりそれは消費者に跳ね返るが、利便性のためコストはかけなくてはならないのかというツッコミが入った。これには答えに窮してしまい、「私は何かに反対しているわけではなくてこういう論点があるということを整理しているだけであり、最終的にはコストと技術対策のバランスになるとしか言いようがない」というようなことを答えたと記憶しているが、当日言いそびれたのは、それはセキュリティ対策だって同じだということだ。

「セキュリティ対策をしっかりしなくてはならない」ということが叫ばれる一方で、それにはコストがかかるのであり、そのコストは消費者に跳ね返ってくる。いまだかつてない利便性をこれから実現するにあたって、それが本質的にコストのかかるものであるなら、それを見て見ぬふりして安かろう悪かろうのまま進めてしまうのはどうなのかということだ。Webアプリケーションのセキュリティが危ない実態の話だって同じで、多くの事業者はWebアプリが危なっかしいものだと知らずに、これは便利だと、セキュリティ対策をきっちりしないままに始めたと推定される。元々必要だったコストのことを知らなかっただけだ。

もうひとつは、Webサイトのセキュリティ対策の話では、対策とコストのバランスをサイトごとに自由に決められるので、安かろう悪かろうの店を選ぶか、信頼ある店を選ぶか、消費者に選択の余地があるのに対して、RFIDタグを消費財に埋め込む話では、それは社会インフラの設計の話であって、消費者に選択の余地がない（無効化の選択はできるにしても、タグを付けないメーカーを選ぶ余地はない）と思われる。

最後に、CASPIANの活動についてどう思うかというモデレータからの問いかけに対し、中村さんが、批判する勢力があることは大切という趣旨のことを述べられたことに関連して、マスメディアのあり方が話題にのぼった。それについて私が述べたのは、日本では国に対する批判は行われるが、民間のシステムに対する批判的な記事が出ることはほとんどないという点。日本では、反対を目的とする運動の中で指摘された問題点が見向きされないという問題があり、かつ、ITの高度化によって技術者でなくては問題点を論理的に指摘できなくなってきているため、技術者ひとりひとりが本当のことを言っていくことが大切。わかっている技術者は少なくないはずなのに声が表立って出てこない。「おまえら本当のことをちゃんと言ってください！」と述べた。

■ CASPIAN他のポジションステートメント

先月、ある方から、MITのRFID Privacy WorkshopでCASPIANが配布したポジションステートメントが、ダウンロードできる状態で公開されているとの情報を頂いた。

その後、賛同者が追加されて以下で公開されていると、山根さんに教えていただいた。

• Position Statement on the Use of RFID on Consumer Products

ここには、どのようなプライバシーの脅威があり、どんな責任が果たされるべきか、また、問題のない使い方としてどのようなものがあるかについて、具体的に整理されている。また、「RFIDタグには限界があるからたいしてプライバシーは問題でない」とする主張に対する反論と、現状で提案されている解決法に対する批評が添えられている。

■ RFIDタグは20年前の過ちを繰り返すか

11月27日の日記に書いたニュースの森の報道の件、その後番組の内容に進展があったので書いておくことにする。

まず暗証番号がどうしてわかったのかという点。11月28日の放送によると、誕生日もしくは誕生日の数字を並べ替えたものを暗証番号にしていた人が被害に遭ったのだという。そりゃだめだ。番組によると、ある銀行が被害をまとめた文書によると、犯人は同じATMで1時間に47回偽造キャッシュカードの挿入をしており、そのうち引き出しに成功したのは、4回だけだったという。それ以外は「暗証相違」だったという。これをみて驚いたのは、1割近くもの人が、予測されてしまうような数字を暗証番号に使っているという実態だ。そこまで酷い状況とは……。

しかし、暗証番号が知られた原因はそれだけではないようだ。12月1日の放送によると、クレジットカードの電話による「音声照会」の機能がパスワード探索に使われていたという。クレジット会社の調査で、それが利用されていたのが後でわかったという。音声照会とは、利用限度額まであといくらの余裕があるかを、電話で確認できるもので、カード番号と暗証番号をプッシュ音で送信すると、暗証番号が当たっていれば機械が24時間自動応答する仕組みだ。番組によると、暗証を間違えても何度でも試せるシステムだったという。被害者がクレジット会社に問い合わせたら「無制限にできる」「1日に5回以上あるとチェックする」という回答だったそうだ。犯人は、1日3回までしか試さないようにし、同じ人物について毎日2、3回ずつ試して、4日目で的中させた（9回目での的中）という。

「安全なWebアプリ開発40箇条の鉄則」の8番に書かれているように、パスワード認証機能はパスワード検証機能でもあるのであり、繰り返せばパスワード探索機能となってしまう。残高照会など、セキュリティをさほど厳しくしないでよいだろうというサービスで、このような仕組みにしてしまうと、セキュリティを厳しくしなくてはならないサービス用の暗証を漏らすことになりかねない。

やはり、いまどき4桁数字暗証はもう駄目だろう。

続いて番組によると、クレジットカードの電話照会機能で暗証番号を割り出した上、その人の銀行口座から同じ暗証番号で現金を引き出していたという事例が3件あったという。クレジットカードとキャッシュカードの暗証番号を同じにしていたという。どうやって、同じ人のカード番号と銀行口座の番号の対応表を得たのかは不明だが、自己防衛のためには、自分の暗証番号がどこのサービスで「検証」できる状態になっているのかを把握し、危ないところと大切なところとは暗証番号を異なるものにするしかなさそうだ。

キャッシュカードの非接触スキミングが本当に行われているのかという点については、その後番組ではとりあげられなかった。12月1日の放送では、自宅に侵入されて財布からカードを取り出してスキミングされたという話になっていた。被害者によると、財布が手元から離れるのは、2階の寝室に財布を置いて1階で食事などをしているときくらいだという。その間に侵入されたといい、ホンマかいなと思ったが、番組では「警察の調べでわかりました」と言っていた。

次に、キャッシュカードの磁気ストライプには何が記録されているのかという点。番組によると、1987年以前に発行されたキャッシュカードの場合、暗証番号、住所、名前、生年月日、電話番号まで入っているのだという。たしかに、昔のキャッシュカードではカードに暗証番号を入れていたという話はよく耳にしてきたが、住所や電話番号まで入っていたとは驚いた。何のために入れていたのだろう？

ちなみに、番組によると、現在ではほとんどの大手銀行のATMで、暗証番号の入った古いキャッシュカードを使うと、暗証番号を磁気ストライプから消去するように対策されているという。しかし、最近に被害に遭った人の古いカードにはまだ暗証番号が残っていたという。「ほとんどの大手銀行」という表現が微妙だ。どこか対応していない銀行があるということだろうか。そういう情報は預金者にきちんと伝えられているだろうか。

カードの磁気ストライプに暗証番号情報を入れないように対策がうたれることになったのは、次などの事件がきっかけだったようだ。東京地裁の富士銀行等不正キャッシュカード使用事件判決によると、

被告人は，（略）昭和63年6月22日ころ，神奈川県横浜市戸塚区＜番地略＞，Ａ電子サービス株式会社技術教育センターにおいて，あらかじめビデオテープを貼り付けたキャッシュカード大のプラスチック板8枚の各磁気ストライプ部分に，オフィスコンピューター，実習用ＡＴＭ等を用いて，「暗証番号」，「銀行番号」，「支店番号」，「口座番号」等の順に，別表の「作出」欄記載のとおり，「8600」，「0003」，「0124」，「0023571」等を表す印磁をそれぞれして，同銀行の預金管理等の事務処理の用に供する事実証明等に関する電磁的記録をそれぞれ不正に作出し，（略）

本件犯行は，（略）被告人が，その有するコンピューターに関する専門知識と技術を悪用して，キャッシュカードに関するコンピューターのデータの構造を解析して，正規の暗証番号に関係なくして他人の銀行口座から預金を引き出す方法を解明し，判示のとおり，キャッシュカードの磁気ストライプ部分の電磁的記録を不正に作出し，銀行の現金自動預入払出機から，合計362万5000円を窃取した事案であるが，

東京地裁昭和63年(わ)第2246号事件 判決

とある。

昔のシステムは、カードに暗証番号が書かれているから拾ったり盗んだカードから磁気カードリーダで読み出せば暗証番号がわかるというだけでなく、カードに暗証番号として適当な4桁数字を書き込んで、その番号をATMで入力すれば引き出せてしまう（オフラインでの認証）というものだった。

では、最近のカードではどうなっているのだろうか。11月27日の日記では口座番号と口座名義しか書かれていないのでは？ と思った。上の東京地裁判決に書かれている手口からすると、昔は、口座番号（銀行番号と支店番号を含む意味で）と暗証番号だけが認証に使われていて、名義すらチェックがなかったことがうかがえる。

安全性を高める方法としては、カード発行時に、乱数で第二の暗証番号を生成して、磁気ストライプに書き込むと同時にオンラインシステムに登録し、ATM使用時にはこの暗証もチェックするようにすることが考えられる。スキミング攻撃に対する効力はないが、スキミングなしのカード偽造は防止できる。こうした対策はとられているのだろうか。少なくとも、番組に出てきた専門家はそうしたことは言っていなかった。

「口座番号はカード面にも書かれているのだから、口座番号しか書かないのなら何のための磁気ストライプなんだ？」という発言をどこかで目にしたが、磁気ストライプは低コストで数字列を読む手段だったということだろう。今でこそ、CCDカメラと画像処理が低コスト化したため、カード面の静止画像認識でも低コストな読み取り機を製造できそうだが、昔は磁気ストライプが効率的で正確だったのだろう。

ちなみに、次の判例がある。古いタイプの本物のキャッシュカードから磁気ストライプの情報を読み出して暗証番号を得て、それを使ってATMから引き出したという、昭和56年（1981年）に起きた事件で、被害者が銀行に賠償を求めた民事訴訟の最高裁判決が平成5年（1993年）に出ている。

主文

本件上告を棄却する。

理由

（略）、銀行が預金者に交付していた真正なキャッシュカードが使用され、正しい暗証番号が入力されていた場合には、銀行による暗証番号の管理が不十分であったなど特段の事情がない限り、銀行は、現金自動支払機によりキャッシュカードと暗証番号を確認して預金の払戻しをした場合には責任を負わない旨の免責約款により免責されるものと解するのが相当である。（略）

当時被上告人が上告人を含む預金者に交付していたキャッシュカードの磁気ストライプ上には、預金者が被上告人に届け出た暗証番号がコード化されて記録されていたことは、原審の適法に確定したところであるが、所論中には、このようなキャッシュカードについては、市販のカードリーダーをパーソナルコンピューターに接続することにより、暗証番号を解読することができるから、支払システムとしての安全性を欠き、免責約款は無効であるとする部分がある。しかし、所論の方法で暗証番号を解読するためにはコンピューターに関する相応の知識と技術が必要であることは明らかである（なお、記録によれば、本件支払がされた当時、このような解読技術はそれほど知られていなかったことがうかがえる。）から、被上告人が当時採用していた現金自動支払機による支払システムが免責約款の効力を否定しなければならないほど安全性を欠くものということはできず、右の点に関する論旨は採用することができない　よって、民訴法四〇一条、九五条、八九条に従い、裁判官全員一致の意見で、主文のとおり判決する。

預金返還請求事件 最高裁平成5年7月19日第2小法廷判決

何が「相応の知識」かというのが、裁判官の技術センスによって左右されたりすることがなければよいのだが。

この件は、磁気カードリーダが汎用品として普及するとは予想されていなかった時点でシステムが設計され、汎用品が出回るようになってもそのままシステムを使い続けてしまったところに問題があるだろう。

これは、RFIDタグの議論にも共通する。RFIDリーダが現状で普及していないという理由をもって、システムの安全性の根拠とすべきではない。IT製品がオープン仕様で作られ、コモディティ化するのが必然なのはいまや常識であり、20年前と同じ過ちを繰り返してはならない。

■ 最低でもリプレイ攻撃は防げ

家畜の餌を人に食わせるような話で、

何のセキュリティ機構も搭載されていないのだから、リプレイ攻撃で簡単に個人情報を引き出せることになる。

すなわち、会場で目の前にいる誰だか知らない人に、RFIDリーダの電波を浴びせかける。すると、RFIDがIDを応答してくる。これを読み取ってもよいし、あるいは学習型赤外線リモコンの如く電波のパターンをそのまま記憶してもよい。そして、情報端末の前に行って、その電波を浴びせるのだ。そうすることによって、さっき目の前にいた人が、何と言う名前の人なのかを画面に出すことができるだろう。

ということを書いた。

他人のタグのデータを読み取って、正規の装置に対して使うというのは、磁気カードのスキミングと同じ話だ。磁気カードではおそらく遠隔からのスキミングは無理だろう。skimming（すくい取り）というくらいだから、表面をなぞって剥がし取るという感じだ。それに対してRFIDタグの場合は、何十センチか何メートルか先から「スキミング」できる。それに、磁気カードの場合は磁気カードを偽造してそこにデータを書き込む必要があったのに対し、RFIDタグの場合は非接触なのだから、物体として偽造する必要がない。同じ電波を応答するどんな形状の装置でもかまわない。

インプレス発行のIPv6styleの記事に、こんな事例が紹介されている。

ノキアジャパン・ノキアリサーチセンターのRF-IDタグ連携PDA

つまり、この端末は、ユーザが手にするだけで、ユーザ単位のアクセス制御を適用し、このユーザに許されたアプリケーションやコンテンツだけを見せることができる。強固なセキュリティを確保するための原則としてよく指摘されるのは、正規ユーザだけが持っているもの（デジタル証明書など）に正規ユーザだけが知っている情報（パスワードなど）を組み合わせることだ。その点では、この製品は正規ユーザだけが知っている情報を適用しないため、セキュリティレベルとしては若干低くなる。つまり、PDAとRF-IDタグ付きブレスレットを一緒に盗まれたとしたら、成りすましを防ぐには該当するIPv6アドレスやIPsec鍵を無効にするしかない。

IPv6style, Net.Liferiumに見たユニークな製品群

タグを物理的に盗まれた場合？ そういう問題なのだろうか？ このRFIDタグはリプレイ攻撃対策がされていたのだろうか？ 何らかの演算機能をタグ内に搭載しない限りリプレイ攻撃は防げない。RFIDカード（非接触スマートカード）並みの高セキュリティなRFIDを使えばよいのだが、はたしてそうなのか？

こういう記事を書く記者にはそういうところに切り込んでもらいたい。無理ですか？

■ RFIDカードが築き上げた高セキュリティな印象にRFIDタグが土足でタダ乗りする

どこが運営するサイトかよく知らないが、RFIDの解説としてこういう説明があった。

他人のクレジットカードの磁気記録情報を不正に読み出してコピーを作成し、使用するスキミングが横行しています。「スキマー」と呼ばれるカード情報を読み取る装置を用いてクレジットカード情報を複製し、偽造カードを利用して高額商品を購入し、換金するという犯罪であり、これらの被害の拡大に対しクレジットカード各社はセキュリティ性の高いICカードへの移行を検討・実施しております。

（略）

金銭情報・個人情報が書き込まれる可能性の高い13.56MHｚ帯ISO14443のカードには暗号化などの高度なセキュリティ機能が搭載されており、磁気カードと比べて偽造される可能性は非常に低いと考えられます。13.56MHｚ帯ISO15693のICタグに関しても、13.56MHｚ帯ISO14443のような高度なセキュリティ機能は搭載されておりませんが、磁気カードと比べると偽造される可能性は低いと考えられます。

RFID基礎知識 2章 RFIDの特徴（7）偽造が困難

「高度なセキュリティ機能は搭載されておりませんが、偽造される可能性は低い」だそうだが、いったいどういう根拠なんだろうか。チップを製造することが困難だとしても、リプレイ攻撃の可能性とは関係がない。

■ RFIDタグのすばらしい応用事例

http://www.jyantaku.com/~matsuoka/matsuoka111/radio.htm

点棒を店外に持ち出してはいけません。念のため。

■ CASPIANほかのポジションステートメントの公式日本語訳

「Position Statement on the Use of RFID on Consumer Products」の公式な日本語訳が、CPSR/Japanより公開された。

• 消費者向け製品でのRFIDの使用についての意見書, CPSR日本支部日本語訳

まだ途中のようで、付録については翻訳中とのこと。完成するとプレスリリースが出たりするのかな。

■ EPCglobalのガイドラインは日経コンピュータ級

今日は日経デジタルコアの「トレーサビリティー拡大討論会」に行ってきた*1。11月16日の日記でリンクだけしていた、EPCglobalの「Guidelines on EPC for Consumer Products」について夏井先生から解説があった。

このガイドラインは、ZDNet JAPANの10月31日の記事「Auto-IDのセキュリティスタンスが来週発表される見込み」で、

Auto-IDがRFIDで利用するコード体系の全世界的な策定や調整は、今後、全世界的組織であるEPC Globalが行うことになっている。EPC Globalは欧州を中心に活動を行っている国際EAN協会と、北米を中心に活動を行っているUCC（Uniformed Code Council）が協同で運営する非営利団体。

（略）

Auto-ID内部でもセキュリティは重要な問題として認識されている。しかし、「1〜2年での実用化開始」という主張にもかかわらず、27日の記者発表でも具体的な対策については、なにも明らかにされていない。

この指摘に対して、中村氏は「現在、内部で作業を進めている」と発言。すでに、セキュリティの具体策をまとめたAuto-IDの「セキュリティスタンス」に関するドキュメントがEPC Globalから各国のAuto-ID関連スタッフに配布され、現在ローカライズ作業を行っていることを明らかにした。

ZDNet JAPAN, Auto-IDのセキュリティスタンスが来週発表される見込み, 2003年10月31日

と予告されていたものと思われる。

ローカライズ版はまだ公開されていないのだろうか、今日の席では、夏井先生の仮訳が配布された。この仮訳は、先月の情報ネットワーク法学会の研究大会の席でも配布されていた。

先月の情報ネットワーク法学会では、このガイドラインの策定に夏井先生と共に携わられた、Alex Allan氏の講演があった。このガイドラインは、タグを付けている場合はその旨を消費者に表示することと、消費者にタグを無効にできる選択の余地を持たせることを柱としている。しかし、法的な理屈ではそれでよいのかもしれないが、実効性として、選択の余地を持たせればそれで解決とは思えない。そこで私は次のように質問した。

多くの消費者は、ユニークIDがどのようにして個人のプライバシーを侵害し得るか理解していない。そのため、RFIDタグの存在が表示されていても、それが何を意味するか理解しないだろうと思うが、どうか？

それに対する答えは、そこは「education」でどうにかするというものだった。

だが、EPCglobalのガイドラインを読み直してみると、educationのところに書かれているのは次の文だ。

3. Consumer Education

Consumers will have the opportunity easily to obtain accurate information about EPC and its applications, as well as information about advances in the technology. Companies using EPC tags at the consumer level will cooperate in appropriate ways to familiarize consumers with the EPC logo and to help consumers understand the technology and its benefits. EPCglobal would also act as a forum for both companies and consumers to learn of and address any uses of EPC technology in a manner inconsistent with these Guidelines.

EPCglobal, Guidelines on EPC for Consumer Products

夏井先生の仮訳からこの部分を引用させていただくと、

3. 消費者教育

消費者は、EPCとその技術応用に関する正確な情報並びに技術の発展に関する情報を容易に入手するための機会を持つ。消費者レベルでEPCタグを使用する企業は、消費者に対してEPCロゴを周知し、そして、消費者がその技術と利便性を理解することを支援するための適切な手段を講ずる。EPCglobalは、このガイドラインに適合したやり方によるEPC技術の利用を学び、そして、それに対応するための企業と消費者双方にとっての場としても活動する。

仮訳: 夏井高人

となる。

つまり、どういうリスクがあるかの啓蒙はEPCglobalのガイドラインの「Consumer Education」には含まれていないのだ。それどころか、「技術と利便性」を消費者に理解させるというのだ。MYCOM PCWEBのレポート記事から引用すれば、

Allan氏が最も重要視しているのは「Education」のようだ。同氏は「プライバシーの問題は確かに重要だが、一部ではそれが過大評価されている部分があり、正しい認識を持ってもらうためには(今回策定した)EPCのガイドラインを消費者に周知していかないといけない」と述べたほか、（略）

佐藤晃洋, ハイテクウォーカー 第93回, RFIDのプライバシー問題はどうなっている? , 2003年11月11日

ということだ。

ようするに、日経コンピュータの「消費者に理解されていない「ICタグ」」と同じ程度のスタンスがうかがえる。

■ EPCglobalのガイドラインを逸脱した例の本

「こりゃまた欺瞞に満ちたガイドラインだな」「所詮、推進事業者の自主規制はこの程度にしかなりようがないわな」と思ったのだが、今日の夏井先生の講演を聴いて、もう一度よく読んでみると、消費者選択の部分については評価できるものだと知った。

2. Consumer Choice

Consumers will be informed of the choice that they have to discard, disable or remove EPC tags from the products they acquire. It is anticipated that for most products, the EPC tags would be part of disposable packaging or would be otherwise discardable. EPCglobal, among other supporters of this technology, is committed to finding additional cost effective and reliable alternatives to further enable consumer choice.

EPCglobal, Guidelines on EPC for Consumer Products

2. 消費者の選択権
 消費者は、その取得する製品からEPCタグを破棄し、それを使用不能にし、または、それを除去する選択権があることについての情報提供を受ける。ほとんど全ての製品の場合、EPCタグは使い捨てのパッケージの一部分となるか、または、破棄可能なものとなるだろうと予想される。EPCglobalは、この技術を支援する者の中においてもとりわけ、消費者がより効果的で信頼できる選択方法を得ることができるようにするために更に努力を重ねている。

仮訳: 夏井高人

となる。つまり、ようするに、箱にタグを付けるようにするなど、消費者が意識しなくてもたいていは自然にタグが捨てられる事業の進め方を想定しているように読める。つまり、靴底や本の表紙に埋め込むといったことは、EPCglobalのタグに関しては、ほぼ行われないと読める。ただし、「discard, disable or remove」なので、disable、つまり、killコマンドなどで電磁的に無効化できる方法でも（取り外しできなくても）このガイドラインの条件を満たすわけであるが、実際問題として、店頭で消費者に希望を尋ねて処置するというのは、販売店の負担が増すので実施できないだろう。だから、「It is anticipated that for most products, the EPC tags would be part of disposable packaging or would be otherwise discardable」なのだろう。

これは、EPCglobal（旧Auto-ID）は、元々サプライチェインの効率化を目的として計画されたプロジェクトだったのだから、その目的のためには受容できる自己規制なのだろう。だが、冒頭のZDNet JAPANの記事には次のようにある。

もともとAuto-ID開発のスタート段階において、利用局面は流通段階における商品管理に限られていた。ID情報も小売段階でKILLコマンドを使って消去することになっていたのだが、マーケティング業界から、アフターセール段階でも活用できるように要望があってから、にわかにAuto-IDでもプライベート情報の保護に目を向けるようになった。

「それがセキュリティの立ち遅れの原因になっている」と中村氏が述べるように、Auto-ID内部でもセキュリティは重要な問題として認識されている。しかし、「1〜2年での実用化開始」という主張にもかかわらず、27日の記者発表でも具体的な対策については、なにも明らかにされていない。

ZDNet JAPAN, Auto-IDのセキュリティスタンスが来週発表される見込み, 2003年10月31日


 つまり、Auto-ID内でもマーケティング目的での利用をしたい勢力があるため、プライバシーガイドラインをはっきり決めるのが立ち遅れていたということなのだろう。にしては、今回のEPCglobalのガイドラインで、比較的はっきりと、外装や取り外せるところにしか付けないことを盛り込んだのは意外だ。今日の夏井先生の強い調子での「タグは消費者の手に渡る前で外すしかない」というお話しぶりからすると、これは夏井先生のご尽力によるものなのだろうかと思った。

ただ、このガイドラインが将来どうなるかわからない。次のように、将来の修正の可能性について書かれている。

Introduction
 （略）

Because EPC is an emerging technology in an early development stage, usage Guidelines supplementing or modifying those below will evolve as applications are developed and implemented. For example, if developments in the technology or its use provide consumers added flexibility in controlling EPC tags or record personal consumer information beyond that provided by conventional bar code technology, changes to notices required to consumers or to the Guidelines themselves may be appropriate. （略）

EPCglobal, Guidelines on EPC for Consumer Products

序文

（略）

EPCは、その開発の最初の段階にある新しい技術であるので、EPCの応用例が開発・実装されるにつれて、以下に述べる点を補足し修正するように利用ガイドラインも進化する。例えば、技術の開発または顧客に対するその技術の適用によって、通常のバーコード技術によって提供されるところを超えてEPCタグの管理と顧客の個人情報の記録についての柔軟性が増加すれば、顧客に対する通知の要件を変更して、ガイドラインが適正なものとなるように修正されることになる。（略）

仮訳: 夏井高人

ZDNet JAPANの記事にも次のようにあり、Auto-IDがこの時点でもアフターセールスの利用をしたがっている状況がうかがえる。

ただし、ユビキタスIDセンター方式が、センサーを利用した「環境認識」でシステム制御を行う機能をサポートしているのについては、「アフターセールを意識したAuto-IDでもセンサーを取り入れたシステム制御を意識している」とする方針も中村氏は示している。

ZDNet JAPAN, Auto-IDのセキュリティスタンスが来週発表される見込み, 2003年10月31日

さて、あらためて、例のEPCタグ付き書籍「 インターネットの不思議、探検隊！」の事例を見てみると、

そこで、このRFIDタグを、知らない人から知らないうちに読みとれなくする方法を説明します。

ここでは、２種類の方法を提案します。

　1. アルミホイルで包む

　2. 出版社で手続きをする

もちろん、本からタグをはがして捨ててしまう方法もありますが、せっかくの付録ですので私たちはお勧めしません。

『インターネットの不思議、探検隊！』についているRFIDタグと個人の情報について

となっており、今回のEPCglobalのガイドラインの「It is anticipated that for most products, the EPC tags would be part of disposable packaging or would be otherwise discardable」からは外れている。disableするには、往復の送料（本の価格の2割に及ぶ420円ほど）を消費者が負担しなくてはならないし、アルミホイルで包むのは「disable」に該当しないだろう。そして、取り外しについては、不明瞭な理由により「お勧めしない」とし、取り外し方を説明することをしなかった。この本は、EPCglobalのガイドラインを逸脱した世界初の実商品と言えよう。

■ 消費者の78パーセントがアイテムレベルタギングに反対

今日の拡大検討会の席では、経営コンサルタントの太田秀一さんから、次の情報を頂いた。CIO Magazineの最新号がRFIDの特集を組んでおり、そこに、「Customers to Retailers: Take Us Seriously」というコラムがあり、それによると、Auto-IDセンターが実施したアンケート調査で、78パーセントもの人がCASPIANらの主張の方に賛成したという。

About 78 percent of people polled by the Auto-ID Center at MIT agreed with Albrecht. (This Internet-based survey was confidential and released only to Auto-ID Center sponsors. CIO obtained a copy through Caspian.) "When 78 percent of people get together and lobby on this, you're going to see legislation," Albrecht says. "The message to retailers is tread with caution."

CIO Magazine, Customers to Retailers: Take Us Seriously

面白いことに、このアンケートはAuto-IDセンターのスポンサーにだけ渡した内密のもので、CIO Magazineは、そのコピーをCASPIAN経由で入手したのだという。

同じアンケート調査を日本の消費者に実施したらどうなるだろうか。私の予想ではこんなところだろうと思う。

■ 日本のマスメディアは今回も対岸の火事を眺めるだけか

EPCglobalのガイドラインがリリースされてから一か月が過ぎたが、日本のマスメディアがそれを扱ったのを見た覚えがない。どうしてだろうか。

IP meetingのパネルでも、3, 4か所からフラッシュが光っていたが、報道記事は出なかった（今のところ目にしていない）。唯一報道に近いものは、コラムとして書かれた、MYCOM PCWEBの「ハイテクウォーカー第97回 RFIDとトレーサビリティに関する技術者の視点」だけだ。

日本のマスメディアは、あくまで記者の個人的考えという立場でなければ、事業推進に否定的な議論を含む報道はタブーなのだろうか。そのくせ、始まって問題が起きてから、もはや引き返し不能だと知りながら、騒ぐだけ騒ぐのだろうか。（引き返し不能であるほどメディアは売れる。）

MYCOM PCWEBのコラムには次のように書かれている。

○マスコミの存在は善か悪か

また今回のパネルでは、この問題に関する消費者への啓蒙活動の一環として、マスコミの存在をどう捉えるかという点が話題になった。今回モデレータを務めた奈良先端科学技術大学院大学の山口英氏は「この問題についてはマスコミがきちんと動いているし、CASPIAN(米国でRFIDなどに対する反対活動を行っている消費者団体)などもいい存在だ」と述べたほか、中村氏も「(問題の存在を認識させるという点で)最近のマスコミの騒ぎ方はいい」と、マスコミの報道が消費者への注意喚起として役立っているという認識を示した。

佐藤晃洋, ハイテクウォーカー 第97回, RFIDとトレーサビリティに関する技術者の視点

当日のこの部分のお2人の発言のときは、気が抜けていて突っ込み逃してしまったが、これはどう考えても日本の状況を語ったものではないだろう。日本に「最近のマスコミの騒ぎ方はいい」と言えるような報道がどこにあった？

この点については高木氏も「WIDE Projectの人から、私の日記を読んで『あれは研究ではなくジャーナリズムだ』と言われたが、ああいうことこそ本来ジャーナリズムでやって欲しい」とコメントするなど、マスコミに対して一定の役割を期待していることが伺えたが、一方で会場からは「技術の問題は技術でしか解決できない」「(TRONとMicrosoftの提携に関する報道などを指して)マスコミは決して当てにならない」との意見も出され、マスコミに対する技術者の不信感が根強いことも伺えた。

佐藤晃洋, ハイテクウォーカー 第97回, RFIDとトレーサビリティに関する技術者の視点


 この私の発言部分は、この日記の一番最初の日に書いた、

正直、そういう性質の話題には首を突っ込みたくなかったし、自分の役割でもないと思っていたのだが、

5月5日 日記を書くことにする

のことを指して述べたものだ。

「マスコミに対する技術者の不信感が根強い」という話は、私も以前からそう感じる。研究者にもマスコミに嫌悪感を持っている人は少なくない。事実と違うことしか書かないとか、とんでもない労力を費やされるといったことをボヤく人はよくいる。しかし、私はマスコミに対してそのようには考えていない。事実と違うことを書かれるのは、説明が悪いからだと考えている。そもそも専門外の人にも誤解なくわかるように説明するのが（単なる技術者ではない）研究者に欠かせない素養の一つのはずだ。どんな誤解をされ得るかを先回りして否定するようにすればよい。それには時間を要することかもしれないが、必要なコストだ。それでも、いくら説明してもなお、違うことを書かれることがある（始めから何を書くかが決まっていることがある）だろうが、その種の似非取材でないかを見極めて応じないようにすればよい。（無論、一般市民がマスコミの被害に遭う部類の話は別。）

セキュリティ問題では特に、マスメディアの役割が重要である。私は4年近く前から一貫してそのように考えてきた。しかしどうだったかと言えば、2001年以前では、けっしてパソコン雑誌がセキュリティパッチの重要性について消費者に伝えることはなかった。知り合いだったあるインターネット雑誌の編集長に対して公開メーリングリスト上で直訴したこともあったが、それでも事態は変わることがなかった。それが今やどうか、アホみたいにどこの雑誌もこぞって似たようなセキュリティ記事を書いている。Nimdaなどで大規模な被害が出た後の話だ。小規模な被害や可能性の話はネタにならないということだ。

とはいえ、RFIDなど、IDのプライバシー問題について日本のマスメディアが報道しないのは、日本に問題点を指摘する組織的な声がないからだろう。米国ではCASPIANなどが主張したことをそのまま伝えるという形で問題点を報道できる。

夏井先生も今日の討論会でこうおっしゃっていた。EPCglobalのガイドラインは、米国だから有効なのだと。十分なガイドラインではないとしても、これはあくまでひとつの民間の自主ガイドラインであって、批判する勢力が活発である限り、自然と適切なところに落ち着くだろう。それに対して日本には批判勢力がない。EPCglobalと同じようなガイドラインは、日本では有効に働かないだろうと。（私による解釈。）

今回の夏井先生の講演は、基本的には、EPCglobalのガイドラインの立場を説明するもので、消費者へ通知し、消費者に選択権を与え、読み取った情報の取り扱いで法を遵守することで法律論的には完結するという話だった（と聞こえた）。読み取った情報の取り扱いは、各国の法令に従うことになり、日本ではそれは個人情報保護法だという。ところが、個人情報保護法では、主務大臣がアクションを起こさない限り野放しになるという（というような話があったと思うが、あんまり詳しく書くと、私の解釈が間違っていそうなのでやめておく）。

日本では、民ではなく官がRFIDのプライバシーガイドラインを策定中だと報道されている。

新原課長は「プライバシ対策が後手に回らないように考えている。ガイドラインを決めることで、ICタグを安心して利用できるようになるはずだ」と語った。

日経コンピュータ 栗原雅, 経産省がICタグのプライバシ侵害防ぐガイドラインを年内にも策定


 民間のひとつのガイドラインではなく、これは国のガイドラインであるから、このガイドラインが存在することは、ガイドラインが存在しない場合に比べて、このガイドラインさえ満たせばよいというニュアンスが生まれかねない。

もちろんそれは誤解であるのだが、ガイドラインが発表されれば、日経コンピュータのようなのが、経済産業省のガイドラインを錦の御旗にして、「ICタグのプライバシー騒動はこれで解決」という記事を書くだろう。「これで安心して利用できるようになる」と伝えているくらいなのだから、それはもう見えている。

ちなみに、

「40歳代の課長」といった個人を特定できない情報については、ICタグに格納できるようにする見通し。

日経コンピュータ 栗原雅, 経産省がICタグのプライバシ侵害防ぐガイドラインを年内にも策定

とあるが、本当に（無条件に）そういうことになれば、そのICタグの付いたものを持ち歩いていると、「あ、この人、40歳代の課長なんだね（プププ」と後ろ指をさすことが可能になる*2ことはいうまでもない。というか4月に書いた。一応繰り返しておく。

今年4月1日、経済産業省から「商品トレーサビリティーの向上に関する研究会中間報告書」 が公表された。「トレーサビリティーに共通する社会的課題の解決」として、「個人情報の保護について」が書かれている。そこから引用すると、

無論、それ単体では個人名まで特定できない使用者の使用履歴情報などは個人情報には該当せず、そうした情報を商品に添付しておくことには何ら問題がないことはいうまでもない。

とある。これは、認識不足が原因で導かれた誤った結論の典型例である。

確かに、RFIDタグが無造作に置かれている場面を想定すれば、それがだれの情報なのかは不明かもしれない。しかし、ある人が目の前にいる場面で、その人の持ち物に付いているらしきRFIDタグから「使用履歴情報」が送られてきたならば、その履歴情報がその人のものであることは自明である。つまり、研究会の結論は、「環境が既に個人を特定している場面」を想定できていない。

例えば、非接触型ICカードの「Suicaイオカード」には、何月何日にどの駅を利用したかが記憶されており、市販の携帯端末でもそれを閲覧できる。ただし、1センチ程度の距離に近づけないと読み取れないようになっている。もしこれが1メートルの距離から読み取れるとしたらどうだろうか。電車内で隣の人の乗車履歴を読めることになる。

商品トレーサビリティー用のRFIDでは、従来のバーコードになかった利点として、1メートルほどの距離から読めることを挙げているのだから、「何ら問題がない」とするのは誤りである。

固定IDは“デジタル化された顔”――プライバシー問題の勘所

■ アンチコリジョン機能のないRFIDタグの個数を調べる方法例

11月3日のアンチコリジョン機構がなければ紙幣にRFIDを付けても安全？で、

そのためには事実が知らされなくてはならない。IDが読めないことは関係がない。枚数を推定できるのかできないのかだ。そういう調査をしたという話は未だ聞いたことがない。

と書いたことに対して、

なんか相変わらず「とんでも」な事書いてるなぁ。 IDは読めないにしても、そこに何枚あるかがもし読み取られる状況であれば、って、なぜアンチコリジョン機構が必要か理解しているとは思えない記述。

少し検討してみよう。方式にもよるかもしれないが、基本的にはIDのビット列が異なる部分が衝突として検出されるはずである。（略）

例えば、128ビットの2つのIDのうち、 10ビットくらい違っていることは普通にありそうだ。 2^10=1024だから、普通の人は2千円〜1,024万円持っている可能性があることになる。実際に今持っているお札の数字をビット列にして、ビットが異なる数を検出したところ、 6個であった。さて私はいくら持っているだろうか？

調査なんぞしなくても、ちょっと考えてみれば済むことだ。衝突の話は、ブロッキング・タグの話が出てきた時に、ちゃんと読んでいればそういったことも分かるはずだ。

藝夢日報, アンチコリジョン機構を持たないIDタグの個数推定問題

などと書いている人がいると、11月3日のコメント欄で教えていただいた。

11月3日のコメントにも書いたように、デジタル化された後の話だけしても意味がない。アナログ信号レベルまで含めて何かできやしないかを確認する必要がある。一般に、セキュリティとは、すぐに思いつく正攻法の1つを否定して安心してよいという性質のものではない。そういう発想でセキュリティに関わる物を作ることは危険だ。

アナログ信号レベルで個数を推定する方法について、11月3日のコメント欄では、どのデジタル変調方式でも有効な、搬送波の位相のずれを測定する方法を挙げたが、そうした精密測定をしなくても、変調方式によってはもっと簡単な装置で推定する方法が有効である可能性があるので以下に書いておく。

位相のずれが搬送波の波長に比べて十分に短い（複数のタグからの距離の差が十分に小さく、応答のタイミングの個体差が十分に小さい）と仮定すると、複数のタグからの応答電波はリーダでは合成波として観測され、信号のデジタル変調方式がASKであるとすると、アナログ復調後の各ビットの重ね合わせは電位差として観測される。

（話を簡単にするためマンチェスタなどの変調符号のことを無視すると、）例えば 8ビットのランダムなビットパターンを応答するタグが2つあるとき、その重ね合わせは、

     10101001
     11000011
     --------
     21101012

などとなり、電位は最大のものに比して 100%, 50%, 50%, 0%, 50%, 0%, 50%, 100%となる。電位の数が3種類あることから、少なくとも2つのタグが存在することがわかる。

タグの数が増えると、0% や 100% などの極端な電位となるビット位置の存在確率が小さくなっていき、50% 前後の電位が多くなっていく。8ビットのタグが100個ある場合は、ほとんどのビット位置の電位が 50% 前後となるだろう。

では、128ビットのRFIDタグが30個存在する場合ではどうか。n通り以上の電位が現れる確率の計算式を求めればよいのだが、面倒なので、シミュレーションで確かめてみる。以下のRubyプログラムは、128ビットの乱数を32個生成して、各ビット位置ごとに1の数を合計し、合計数の集合を求めて、その要素の数を出力する。

num_of_tags = 30
num_of_bits = 128
srand
tags = []
for i in 0..(num_of_tags - 1)
    tags << rand(2 ** num_of_bits)
end
counters = []
for b in 0..(num_of_bits - 1)
    counters[b] = 0
    for i in 0..(num_of_tags - 1)
        if tags[i] % 2 == 1
            counters[b] += 1
        end
        tags[i] /= 2
    end
end
num = []
counters.each do |c|
    printf("%d ", c)
    num |= [c]
end
print "\n"
printf("%d\n", num.size)

これを25回試してみたところ次の結果となった。

19 15 21 19 16 14 15 14 15 15 16 17 15 14 14 15 13 14 14 13 14 15 15 15 15

これは、15種類前後の電位が観測されることを意味する。

タグの個数 n を変えながら試してみると、

n:
1: 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2 2
2: 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3
3: 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
4: 5 5 5 5 4 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5 5
5: 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6
6: 7 7 7 7 7 7 7 6 6 6 7 7 7 7 7 7 7 7 7 7 6 7 7 7 5
7: 8 8 8 8 7 7 7 7 8 8 7 7 8 8 8 8 7 8 7 6 8 8 8 8 8
8: 8 9 8 7 7 7 8 8 7 8 8 7 9 8 8 7 8 9 8 7 7 7 8 8 8
9: 8 9 8 8 10 8 9 7 9 8 8 9 8 9 9 8 9 8 9 8 8 8 8 8 9
10: 7 9 9 8 8 9 8 9 8 9 9 9 10 8 9 8 10 9 9 9 9 10 9 7 8
11: 9 10 9 10 9 10 10 10 9 9 9 9 10 9 8 8 9 9 10 10 9 9 9 8 9
12: 9 11 10 9 8 11 9 11 10 9 8 10 10 11 9 9 8 11 10 10 10 9 9 10 7
13: 10 10 10 10 10 8 9 9 10 9 11 8 9 11 8 9 10 10 10 9 10 10 9 10 10
14: 11 11 10 10 11 9 9 9 10 9 10 9 10 10 10 10 12 12 10 10 10 9 11 9 9
15: 11 12 11 11 12 10 12 11 11 11 11 10 8 12 10 10 9 12 10 11 12 10 9 10 10
16: 9 11 9 11 11 11 12 10 12 10 9 11 10 10 9 11 11 10 10 11 12 12 11 11 11
17: 13 11 10 10 9 11 12 11 11 11 10 10 11 11 12 13 11 10 10 11 12 11 13 12 12
18: 11 11 11 10 11 12 11 12 13 11 13 10 12 11 11 11 13 11 9 12 13 12 12 12 11
19: 12 11 12 13 12 12 11 12 10 13 13 11 13 11 12 11 12 12 11 12 13 12 12 11 11
20: 12 12 13 13 13 12 13 11 13 12 12 12 12 11 11 12 12 11 11 11 11 11 13 12 12
21: 13 11 12 11 12 13 13 11 12 11 14 12 11 12 12 13 12 13 12 11 13 13 11 12 12
22: 11 12 14 12 13 13 12 13 14 14 13 14 12 13 13 13 13 12 12 11 12 12 14 13 11
23: 13 15 13 13 13 12 12 13 12 12 12 13 13 13 12 14 14 13 13 14 12 14 13 13 12
24: 11 12 12 13 14 13 12 12 14 11 12 14 13 14 12 12 14 13 12 11 12 12 13 12 14
25: 13 13 13 13 14 13 13 13 13 13 13 13 13 16 13 13 14 13 12 14 13 14 13 14 12
26: 13 13 13 13 14 14 14 15 15 14 12 13 13 14 14 13 15 12 13 12 15 14 12 13 13
27: 15 14 12 14 15 12 13 13 13 13 15 14 14 15 13 15 14 12 14 12 14 13 13 12 15
28: 14 14 15 14 14 14 13 15 14 14 12 16 13 13 12 14 13 15 16 13 13 15 13 15 13
29: 13 13 14 14 15 13 15 13 15 14 15 14 14 15 16 13 14 14 14 15 13 15 14 13 15
30: 14 14 16 13 14 13 15 14 14 14 14 14 13 15 15 15 14 15 12 13 14 13 13 16 14
31: 16 14 14 14 16 16 15 16 13 13 14 14 13 13 13 14 15 13 16 17 14 12 14 16 13
32: 14 13 15 15 17 15 15 15 15 13 15 15 16 14 11 17 13 13 13 16 17 16 15 15 14
33: 15 15 15 17 14 14 14 14 17 14 14 15 14 15 14 15 18 16 14 15 15 18 14 15 14
34: 16 17 15 15 16 16 14 17 16 15 15 16 15 15 14 15 15 16 16 13 15 15 17 13 16
35: 16 14 16 15 15 14 15 15 16 15 18 15 17 14 17 15 15 15 16 15 14 16 16 15 17
36: 15 17 16 14 15 14 18 12 16 15 16 16 15 15 16 14 15 14 15 16 16 15 14 16 17
37: 16 17 16 15 14 16 16 16 13 16 16 19 15 17 15 17 14 16 14 14 18 15 13 16 15
38: 17 17 16 17 16 16 15 16 18 16 14 16 18 16 11 17 17 17 17 17 15 14 17 17 17
39: 15 17 16 14 17 18 14 15 17 17 19 16 14 16 16 17 18 17 15 15 17 14 16 16 16
40: 16 17 16 16 14 15 16 15 17 16 18 16 16 17 18 16 17 17 15 17 17 18 16 15 15
41: 14 18 17 19 18 15 16 16 16 15 17 17 16 13 16 17 18 17 14 16 16 16 18 16 16
42: 16 16 15 18 17 17 17 14 17 13 17 19 16 16 18 15 16 17 15 16 17 14 17 14 17
43: 15 16 15 19 18 13 15 17 14 20 17 16 16 14 18 16 15 19 16 15 17 14 19 17 16
44: 17 17 19 15 16 16 16 20 18 18 19 16 17 18 17 17 17 17 18 16 16 17 16 18 19
45: 19 16 18 16 18 18 16 17 16 18 16 18 18 16 17 18 17 14 17 16 15 15 16 17 15
46: 16 18 17 19 19 19 17 17 17 16 17 19 17 17 16 17 15 18 16 19 16 17 20 16 18
47: 18 16 17 18 16 19 17 17 14 19 19 17 17 19 18 18 18 20 17 18 19 17 16 18 16
48: 19 16 19 18 14 17 18 17 16 15 17 18 19 17 16 19 17 15 17 17 17 17 18 17 16
49: 19 15 17 19 18 17 17 19 17 19 16 18 17 19 18 16 19 17 17 19 17 19 17 16 18
50: 17 16 17 18 18 15 18 17 17 18 17 18 17 19 17 18 19 18 20 15 18 17 19 19 17
51: 19 17 17 17 18 17 17 19 16 17 16 18 16 16 17 16 17 18 19 17 17 17 19 18 17
52: 19 16 17 19 19 18 18 17 17 20 20 17 16 16 20 20 17 18 17 20 15 18 18 17 17
53: 17 18 17 17 18 17 16 17 18 20 19 17 18 17 17 18 17 17 19 17 20 19 20 19 17
54: 21 19 18 18 18 18 19 18 17 21 19 17 19 17 18 19 18 20 18 17 20 17 19 17 17
55: 18 20 17 19 17 17 19 17 19 19 19 18 20 17 21 17 19 18 20 16 18 19 20 17 19
56: 19 19 19 15 18 19 18 19 18 21 15 18 17 19 21 21 15 19 18 17 17 19 20 19 19
57: 20 17 18 20 19 18 22 20 18 18 19 18 19 18 21 16 17 19 18 17 17 20 19 21 20
58: 20 19 18 19 18 21 17 19 21 18 19 18 16 19 15 20 19 21 18 17 18 21 17 20 20
59: 19 19 20 20 19 20 15 19 20 20 19 21 18 21 18 18 19 20 17 19 22 18 19 17 22
60: 20 19 17 18 20 19 18 18 16 20 19 20 18 19 19 19 19 21 17 21 19 22 20 19 19

となった。

10個あたりまではおおむねの数を推定できることがわかる。25個くらいまでなら±数個の誤差で推定できるようだ。15種類の電位が計測されたときは、26個くらい以上があるらしいと判断できる。

以下は、波形を図にしてみたものだ。上の図はタグが30個の場合で、下の図は10個の場合である。10個と30個とでは、違いを検出する装置を作れそうに思える。

電位の数ではなく電位の絶対値（コリジョンのない信号部分の電位に対する比の値）から量子化ステップ数を求めて、タグの数を推定することもできるかもしれない。ただ、それは精密な解像度で電位を計測できるとの仮定が必要なので、上では同じ電位を示す数からおおまかに推定する方法を考えてみた。

電位の数を測定するにしても、測定精度の問題で、いくつまでを区別できるかはわからない。例えば、30段階に区別するのは難しいのかもしれない。

こうしたことができないことを確かめる必要があることを、11月3日の日記では述べた。