著者の石垣良信氏

　先週に引き続き「Identification」（識別）の話を続けましょう。

識別子と認証(Authentication)

　次に識別子と人との関連づけについて考察してみましょう。提示された識別子と特定の人との関連付け（例えば名前と人を関係づける）はどうやって行うのでしょうか？

　対面では通常人の顔やその他の特徴によって関連がつけられます。以前会った人ことのある人---人間としての物理的存在は識別子のひとつと考えられます---でその名前をお聞きしていれば、その顔を見ただけである特定の人と関連づけ---すなわち同じ顔の人はほとんどいないという仮定により---、更に名前というひとつ識別子を思い起こすことができます。

　では電話でしか話したことがない人（すなわち名前という識別子しか知らない人）に初めて会うときにはどうして対応づけをしますか？　バラの花を胸に挿しているとか、青い服を着て黄色の靴を履いているとか、お互いだけが知っていそうなこと（キー）を予め決めておいてその時に認識すればいいのです。これを識別における本人性の認証(Authentication)と言います。つまり識別子と一緒に提示されるなんらかのキーが識別子を特定の人にマップする証明の手段になります。

　キーは識別子と本人とをつなぐ役割をもっていることになります。スティーブン・スピルバーグ監督の「マイノリティ・レポート」を思い起こしてください。映画にでてくるITシステムでは虹彩が識別子であると同時にキーになっています。そこにいる人（トム・クルーズが演じている人間の形をした動物）の虹彩をチェックして、あらかじめ登録されている虹彩との一致を調べ、その持ち主であるはずの人として認識すべきと結論づけているのです。

　キーはこのようにただ一人の人にマッピングできるものであれば、何であってもかまいません。当然複数用いてもいいのです。よく用いられるパスワードはユーザーIDという識別子を人にマッピングしているのですが、そのユーザーIDを登録したときに設定されたパスワードは「その人しか知らないはず」との前提にたって特定の人にマッピングしています。このマッピングのプロセスが「認証」です。

　ここで皆さんは重要な問題点があることに気づかれたと思います。識別子を人にマッピングするためのキーの設定にはすべてある前提条件が仮定されていることです。虹彩を識別子とキーにする場合には「虹彩は個々の人によって異なる」という仮定と、もう一つ「人は虹彩を変更できない」という仮定です。「マイノリティ・レポート」ではその仮定の盲点をついてトム・クルーズ扮する刑事は他人になりすますのです。

　ユーザーIDにおけるパスワードでは「その人しか知らないはず」が仮定されています。この仮定を突き崩す盲点が色々あって、探偵ものとかスリラー小説はよくこれをトリックに使います。

　もう一つ注意していただきたいのは識別子で示されている本人とは概念的な存在であって、物理的なものとは異なることに注意してください。例えば整形手術して誰にもわからないような超美人になったとか、性転換したとか、を考えればわかりますよね。さらには突然記憶喪失になって自分の名前も思い出せない状況における本人性の確認はどうするかなどを考えると本人性の本質は哲学になります。

　瓜二つの一卵性双生児の場合は、物理的な見え方はほぼ同じなのに、本人性は二つ存在します。識別子としてはA子さん、B子さん、の二つあります。パスワードなどの設定はそれぞれ行って二人を分けてマッピングできるようにします。この関係にいたずらすると面白い状況が生じます。子供のころ良く読んだケストナーの小説「双子のロッテ」を思い出しませんか。

ITシステムにおけるIdentificationと認証

　さて、ITシステム上では識別はどのように行われるでしょうか？　顔の認識とか指紋の認識、更に将来のDNA認識---これらの生体的な特徴を使用する認識：すなわち識別＋認証をバイオメトリクス技術と呼びます---もありますが、必ずしも一般的ではありません。コスト最小で簡便な方法としてユーザーIDとパスワードが使われることが多いのですが、このユーザーIDが実におもしろい特徴をもっているのです。

　まずユーザーIDとパスワード方式はかならずしも本人性にマッピングしません。えっ、と思われるかもしれませんね。例えばひとつのユーザーIDを複数の人が共用している場合はどうなりますか？　実はITシステムにおけるユーザーIDにおける関連づけは、最初にそのユーザーIDを登録した時点における情報主体と次回以降のユーザーID提示における主体が同じであることを証明する（あるいは正確に言えば、証明したい）ためにあります。

　繰り返しにおける主体の一貫性を主張したいために使用されて、決して本人性を証明するわけではないのです。実際にほとんどのITシステムでは顧客データベースの主キーとしてユーザーIDが使われ、繰り返し時に同じレコードを検索・更新するために使われています。パスワードも同じことで、最初に登録した情報主体と同じ主体がアクセスしていることを証明しているだけです。

　もし登録時に他人の名前や住所を使っていたとすると、あたかもその人になりすますことも可能です。この問題を解くのは本人性の関連付けとして別の手段が必要なことに注意してください。もちろんバイオメトリクス技術を使用することもできますが、それ以外には確認のお手紙を送ることも良くあります。またはパスポートや運転免許証などの写真つきの証明が使用されることもあります。

　なんとなく、ユーザーIDはだめな識別子のように聞こえるかもしれません。実はそうではなくてまさにお役に立つ識別子なのです。この特徴を生かした色々な適用分野があります。

　一例はスイスの銀行が行っている匿名口座です。最初に口座を開設したときの主体と同じ主体がアクセスしていることが証明できれば本人性は問われません。でも逆にマネーロンダリングなどに使われる可能性もあります。いずれにしてもこの本人性の関連づけのないことが様々な適用分野を生み出すのです。

匿名・仮名・識別名

　ユーザーIDとパスワードは必ずしも本人性を証明するわけではないので別の方法が必要なことは説明しました。すなわち虹彩や指紋などのバイオメトリクス認証や写真などによる本人確認の手続きを経ないと、そのユーザーIDを使用している人がシステムの意図している人かどうかはわからないのです。

　しかしそのユーザーIDを登録した時に最初にパスワードを設定した人と同一であろうことは予想ができます。ユーザーIDとパスワードの組み合わせを他人に教えたり盗まれたりハッキングされたりしないかぎりは同一性を信用しても良いでしょう。

　これは実社会における芸名や著者名のようなものと考えられます。創作の世界では本人の名前を使用することは少なく、聴衆や読者に意図したイメージを持ってもらえるように好きな名前（仮名）をつけますね。一人でいくつもの仮名を使う場合も少なくありません。

　しかしユーザーIDは一度本人性の認証が済んでしまうと、実社会における名前のように一人一人を識別する名前、すなわち本人性を持った識別名となります。例えば携帯電話の番号は登録時に本人性を確認して購入することになっているので、本人性を持った識別名になります。それ以外にも社員番号とか、住民基本台帳番号とか、銀行の口座番号とか、ほとんどの電子メール・アドレスなど本人性を持った識別名は沢山あります。

　さて色々なホームページをアクセスする時に、ユーザーIDを設定しなければならない時とそうでない時がありますね。ユーザーIDを設定しなくても多くのホームページはアクセスが可能です。これは匿名のアクセスということができます。誰がアクセスしたかはわからない。以上の議論でITシステムにおける識別には次の三段階があることがわかりました。

(1)匿名：アクセスした人は不明。
(2)仮名：本人は誰かわからないが同一人物の繰り返しアクセスであることが判別可能。
(3)本人性を持った識別名：誰がアクセスしているのか判別可能。

　この３つの区別がITシステムを設計する時にとても重要なのです。

下着メーカーが欲しい行動追跡データと個人が守りたいプライバシー

　下着メーカーはワン・オン・ワン・マーケティングの名の下に是非とも貴女やあなたの奥様やお嬢様がどんな下着をつけているのか知りたがっているはずだ、と書きました。ところがそんなことがもしストーカーなどに知れたら大変です。どうやってこの矛盾を解くのでしょうか。

　下着メーカーは決して特定の人の着けている下着を知りたいのではないのです。実名は知らなくていいのです。どのような年齢の女性がどのような下着をどのような状況で穿き替えるかが知りたいのであって、決して貴女やあなたの奥様やお嬢様がどのような下着を穿いているかについてのみ興味があるわけではないのです。

　A子さん、B子さん、でかまわない。A子さんはいつどこでどんな下着を穿いたか、A子さんはどんな女性かが分かりたい。A子さんに新製品を買ってもらいたい。つまり連続する行動は知りたいので同一性のある識別名は使用したいのです。必ずしも本人性を持った識別名を用いる必要はないはずです。

　こんな状況を想像してみてください。ある国ではすべての女性が仮面と黒い外套をまとって外出します。その国ではすべての女性用下着にRFIDが取り付けてあり、あるゲートを通ると着けている下着がすべて分かってしまう。おまけにすべての仮面には同じようにRFIDが取り付けてあり、それぞれ異なるユーザーIDがふられています。

　しかし、そのユーザーIDは本人性を持っていない。また仮面にはイヤフォーンが備え付けてあり、下着の新製品などの説明を聞くことができる。またその国では下着を買うときには現金で購入し、決してクレジットカードなどは使用されない。これでその国の下着メーカーは完璧なワン・オン・ワン・マーケティングができるはずです。

　このような状況をITシステムで実現すればプライバシーとワン・オン・ワン・マーケティングは両立するのですね。残念なことに現在のかなりの企業Webがこの知識を持っていません。ワン・オン・ワン・マーケティングには本人性の確認が絶対必要と思っているふしがあります。個人情報保護法が成立したことですし、IT専門家としてはもっと仮名を使いましょう。

仮名に関する技術

　今までの議論で仮名がユービキタス・コンピューティング時代ではキーとなる技術であることを説明してきました。しかし、仮名にははたしてそれが実在する確かな人間であるか、あるいは実在するものか、それともハッカーなどが悪意を持って生成したものかがわかりません。

　そこですぐに本人性を持った識別名に頼るのは、先ほどから何度も申し上げているプライバシー上の問題があります。この問題を解くためにIBMRは仮想ID(Virtual ID:VID)という技術を開発しました。これについてご説明したいのはやまやまですが、あいにくともう字数がありません。それはまた今度の機会にしましょう。あるいは弊社の営業などにお声をかけていただければ幸いです。

■心配することが現実になるのは極めて近い将来のことだと思います。私の周りの人はソニーのEDYカード（クレジット機能付き社員証、ビル入館証を兼ねる）とJRのSuicaを持っています。もし、改札を通る際に同じ財布にEdyをいれておくと同時に読み取ることは技術的に可能です。したがって、定期券の所有者という個人情報だけでなく、電子マネーの残高や会社名などを得ることができます（SuicaはEdyと同じチップを使っていますがキーは違います）。JRの倫理性に全て任せていますが、定期券を購入するときに改札機で他の個人情報を得ることはしないという誓約なり宣言を見たことはありません。同じようにRFIDが埋め込まれた購入済みの本と身分証を持った人間が別の書籍を購入するときに同時にこれらを読み取られてしまう可能性があります。読書歴は個人の思想信条にかかわることですから絶対に守らなければならない（とわたしは思う）ポリシーだと思います。現在は万引き防止を主眼として普及が進みつつありますが、プライバシー情報の収集に関する議論がいるように思います。
（GTAC：42歳：総合技術監理　コンサルタント）

■ITシステムにおける識別の3段階のお話しは、大変、参考になりました。只、本人性を持たさずに、継続性のある仮名を持たせるためには、現実的にどういう方法があるのだろうか？と考え込んでしまいました。例えば、商品を複数の実店舗で現金購入してしまえば仮名の継続性をつけるのは不可能だと思いますし、一方、通販で購入してしまえばカードなどを使わずに現金決済したとしても本人性が識別されてしまいます。この辺の解説を次回に期待します。さらに継続性のある仮名と本人性のある識別子が結びつかないための安全対策のご披露もお願いしたいと思います。（fusa：39歳：製造業情報システム部門）