Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

話題の生体認証を考える(2)

情報ネットワーク法学会

先週末、情報ネットワーク法学会が都内で開催された。ちょうど前日に那須への出張が入ってしまい、帰宅が学会発表日当日の午前3時。ほとんど睡眠を取れぬまま参加となったが、眠気が吹っ飛ぶようなすばらしい講演の数々だった。

わたしが聴講したセッションのなかでも印象深かったのは、東京工科大学専任講師の村上康二郎氏による「バイオメトリクスに関する法的諸問題」だ。本メルマガでも、前々号のコラムにおいて生体認証の問題点について触れており、非常にタイムリーだったこともあって、興味深く拝聴した。

今回のコラムでは、前々号コラムのおさらいをした上で、村上氏の指摘も踏まえ、昨今話題になっている生体認証に関して再び考えてみたい。

おさらい

コラム執筆後も、指紋認証など、生体認証を活用した製品やシステムが次々と発表されている。市場は確実に拡大傾向にあるのはご存じの通りだ。しかし、市場の成長を背景に、今まで問題視されて来なかった「影の部分」の問題が顕著化し始めている。

まず、コラムで取り上げた問題点は、認証における「正確さ」だ。生体認証の技術は向上しており、認識率も向上しているようだ。しかし、100%の認識率を実現している製品はない。認識のレベルを落とせば、誤認識が発生する恐れがある一方、認証を高いレベルに設定すれば、本人を認証できなくなるといった問題が発生する。そもそも、システム自体をすべての人間で検証することはできないため、限りなく100%に近づいたとしても、完全な認識機能を実現することはほぼ不可能だ。あとは確率の問題ということになる。

次に「可用性」の問題。生体を利用しているために、それら部位の損傷や欠損といった可能性も十分あり得る。万が一のケースを考えると、複数の認証を組み合わせたり、結局はパスワードといった生体認証以外のバックアップを用意しなければ現実的ではない。そうなれば、従来のパスワード管理にくわえ、生体認証用データの管理も行う必要がでてくる。この点についてはトークンを利用して回避可能だが、それはまた別のリスクを生むことになる。

そして最も大きい問題が認証に用いられるデータが最もセンシティブな「個人情報である」ということだ。漏洩に対して厳密な管理体制が求められるのはもちろん、偽造に至れば、パスワードのように簡単に変更できない情報だけに、以降システム自体が成立しなくなってしまう。

さらには、生体認証用管理システムに通常のパスワード方式が用いられるといった矛盾や、内部犯行による漏洩リスクなどパスワードと同様の悩みも抱えている。

副次的な情報の抽出

村上氏の講演は、短い時間ながら、現状の指摘や法的側面からの考察など、広範な情報がコンパクトにまとまっており、意義深いものだった。興味深かった点をいくつか紹介したい。

まず、「顔画像による認証」に関する問題だ。パスワードは、文字や記号の羅列以上に意味をなさないが、「顔画像による認証」については、人種や健康状態、精神状態など、認証に関係ない副次的な情報まで提供しなくてはならないことを同氏は指摘している。いずれも、センシティブ情報であり、他目的で利用されることがあれば、大きな問題となりうるだろう。

さらに顔画像など、生体認証に用いられる情報は気がつかない間に取得される可能性が高い点も指摘している。これについては、監視カメラにも同様の問題が当てはまる。画像の撮影について、同氏は適切な取得や、利用目的の明示といった問題があることに触れている。

顔画像そのものが個人情報であるか、という議論もあるかもしれない。しかし、経済産業省のガイドラインが身体の一部について個人を特定できる情報と位置づけており、生体認証は個人情報と取り扱われることは容易に予測ができる。

技術的にはすでに偽造可能

偽造についても同氏は言及した。発表によれば、すでに横浜国立大学教授の松本勉氏による研究で人工指紋や人工虹彩が製造できることが明らかになっている。村上氏は、技術的に解決することは難しく、法の整備などの必要性についても、議論の必要があるとした。

また、生体認証の本人拒否、他人受入に関する考察において、認証装置ベンダーにおける「製造物責任」の問題にも触れている。先に書いたとおり、完全な認証装置は登場していない。さらに一般的な水準より劣っていると、欠陥とされる可能性もあり、説明書において誤認識に関する情報を提供しなければ、民事上の賠償責任が発生する可能性についても考慮する必要があるとしている。

技術と倫理

市場が拡大するに従い、今まで表に出てこなかった問題が浮上する。これはある程度仕方ないことだ。村上氏は、生体認証について、「法的問題だけでなく倫理的な問題も重要」とし、「安全な社会を構築する手段となる一方、過剰な監視社会化をいっそう押し進める恐れがある」と問題提起をしている。

生体認証装置を一度利用すると、その技術の発展と、利便性に驚く。私もそのよなひとりだった。しかし、一方で解決しなければならない問題も増加していることを忘れてはならない。法整備といった国家としての対応がないと、リスクを解消できない面も浮上してきている。生体認証の性質を考慮すると、問題が表面化してからでは手遅れで、早急に問題を解決する必要がある。開発ベンダー、利用者、いずれも慎重な対応が求められている。

(Security NEXT - 2004/11/16 ) このエントリーをはてなブックマークに追加

PR

関連記事

カード決済時の本人認証「3Dセキュア」を狙うフィッシングに注意
「おさいふPonta」にパスワードリスト攻撃、1時間に約30万件 - 一部で残高の不正移行
スマートコントラクト向けの脆弱性モニタリングサービス - NRIセキュア
幼稚園で緊急連絡カードを一時紛失 - 嵐山町
「WordPress」向けeラーニングシステム構築プラグインに複数脆弱性
偽「津波警報発表」メールに注意 - 不安煽って偽サイトへ誘導
「Adobe Acrobat/Reader」に悪用リスク高い脆弱性 - 早期適用推奨のアップデートが13日に公開予定
PowerDNSに複数脆弱性、アップデートで修正 - バグ判明で急遽再リリースも
米サイバー軍が「VirusTotal」にマルウェア検体を提供 - 民間との連携強調
マカフィーとソフバンテク、「CASB」のMSS展開で協業