ised議事録

08-202. 倫理研第5回: 高木浩光 講演(2)

題目:「蔓延るダメアーキテクチャ

倫理研第五回:

ソフトウェア脆弱性情報に関する届出

 それでは、ここから後半のプライバシーの話題に移ります。ここまで、不正アクセス禁止法無断リンク禁止教などの話題を取り上げましたが、指摘したかったのはこういうことです。すでにあるダメな慣習やモデルが、後世まで引きずられてしまう社会的な現象がある。その解決をはかろうとしても、しばしば技術的な環境と社会的な慣習のあいだに齟齬があって、議論は堂々巡りになりがちです。こうした混乱の状態を排するには、技術的なアーキテクチャによって線引きをして、共存するしかないと思うわけです。

 そこから後半の議論に接続するために、情報処理振興事業協会(IPA)というところが昨年から始めた、「ソフトウェア脆弱性情報に関する届出」*1について触れたいと思います。これは「ソフトウェア等脆弱性関連情報取扱基準」という平成16年の経済産業省の告示に基づいたもので、要するに当事者に修正を促すための仕組みです。たとえば被害が不特定多数の者に影響を及ぼしうる欠陥を見つけたとします。たとえばウェブサイトに欠陥がある、このソフトウェアにはセキュリティホールがある。それをIPAに報告すると、IPAがあいだを取り持ってウェブサイト運営者や製造元に連絡するという制度なんですね。

高木浩光
高木浩光
 これはどういう利点があるでしょうか。たとえば不正アクセスの事例で紹介したように、ファイル丸見え的な情報漏洩を告発するためといって、不正アクセス禁止法違反ではないことをいいことに、掲示板で暴露する行為は減ったのではないかと推察されます。つまり余計な被害を生まなくなったわけです。

 この制度によって、明らかな欠陥は当事者に直させることができるようになってきました。この「欠陥を直させる」というのは、ソフトウェアの場合は特殊な話になります。たとえば自動車の欠陥というのは、それが構造的な欠陥かどうか素人にはわからない。タイヤがコロコロっと落ちたといっても、それが車のせいかユーザーのせいか判断できないので、いつまでも実態がわからないことがあります。これに対してソフトウェアの欠陥は、100%再現性があることが多いんですね。そこで私は欠陥を見つけるとメーカーに直接電話して交渉をしていたのですが、なかなかうまく取り合ってもらえませんでした。その理由は、そもそも一介の市民から出てきた苦情に即座に対応するようなことが必要なかったからです。そのようなコミュニケーションの難しさを、IPAのような経済産業省の外郭団体が第三者的に取り持つことで解決する。それが法律で実現されているわけではないのですが、ガイドラインによって可能になっている。これが「ソフトウェア脆弱性情報に関する届出」という仕組みです。

 また、この制度はオープンソースとプロプライエタリ*2という考え方にも関わっていると思います。オープンソースであれば、欠陥は比較的簡単に解決されていた*3。しかし企業が相手ですと、なかなかうまくいかないという問題がありました。そこでこの脆弱性届出制度がその問題を解決するようになっているわけです。

固有ID問題、英語圏の場合

 しかし、この制度も万能ではありません。というのも、「ほどほどに問題なんだけれども、明確に欠陥だとまではいえない」というものに対しては、誰も修正させる力を持たないからです。

 たとえばプライバシーに関わる問題に、「固定されている固有IDからアクセス者を特定する」*4という仕組みがあります*5。この問題は、英語圏、特にアメリカではよく理解されていて、繰り返し話題になっています。たとえば、ウェブブラウザに最初からIDは埋め込まれていません。どのユーザーがどの固有のブラウザを使っているのかは追跡できないことになっています。もし埋め込まれていればネットショップをつくるのも簡単ですが、これはないのです。なぜなら、「入れてはいけない」と判断したからですね。

 ところが1999年に、IntelがPentiumIIIで「プロセッサー・シリアルナンバー」*6というものを導入したことがあります。プロセッサーごとに固有IDを割り振って、eコマース(電子商取引)にぜひ使ってくださいという宣伝をしたのですが、これも大騒ぎになってボイコット運動が起きました。結局Intelは活用を断念しています。一体なにが問題だったのか。IntelはCPUに埋め込まれているIDを使いましょうというわけですから、たとえばブラウザやプラグインがサポートして、その固有IDをネットショップに送ることができます。だから、お店にログインするときに、ユーザ名をいれなくてもパスワード入力だけでログインできる。ログインする前からユーザ名は特定できるわけです。ここで問題になるのは、たとえばまだ買う気はなく、まだサイトを見ている段階から、誰がどの商品を閲覧しているのかについても追跡されることです。それは嫌だ、という文脈からプライバシー擁護派の人たちが反対をしました。

 cookie*7という問題もあります。最近でも、スパイウェア検知ソフトが一部のcookieスパイウェア扱いするという話がありますね。今日の趣旨からは外れてしまうので簡単に説明しますが、かつてダブルクリック社が問題になりました*8。これは「第三者cookie」と呼ばれるものを利用して、サイト横断的に掲載されたどのバナー広告をクリックしても、ダブルクリック社にIDが通知されるようになっていた。たとえばアダルトサイトを普段見ているパパが、日曜に娘と一緒にネットショップに行くと、そのパパが見ていることが認知されてアダルト広告が出る、というようなことが起きかねないわけです。本来この技術は効果的に広告を出すためのもの、一回見た広告は制御するためのものだといわれているんですが、これも訴訟沙汰になりました。結局、ある特定の目的には利用しません、それは技術的には可能だけれどもしない、という約束で解決しています。さらにその約束をもっと技術的に命じさせるために、P3P(Platform for Privacy Preferences)*9という技術がブラウザに導入されています。

 Windows Media Playerにも同じく固有IDが埋め込まれていて、JavaSscriptで読めるのはまずいという批判がありました。批判を受けて、Microsoftはその機能をデフォルトでオフにするよう仕様を変更しました。以上を見てもわかるように、この種の固定IDがまずいという認識は英語圏では当たり前になっているわけです。

固有ID問題、日本の場合――サブスクライバID

 ところが日本はどうでしょうか。たとえばKDDIVodafoneの携帯電話ブラウザには、「サブスクライバID*10」という仕組みがあります。これは非公式サイトにも常時送信される固定の契約者IDのことです(図:携帯電話のID)。ドコモの場合も公式サイトにこのIDが送信されています。ただおそらく公式サイトには契約があって、「目的外で使ってはいけない」という取り決めがあると思われます。しかし非公式サイトにそのような契約関係はありませんから、自分でウェブサイトを立ち上げて携帯のアクセスを誘うと、どの契約者IDのユーザーが来ているのか、すべてアクセスログに取れるわけです。

図:携帯電話のID
図:携帯電話のID

 この件について問い合わせをしたことがあります*11。2002年の8月にツーカーセルラーなどに「サブスクライバIDは個人情報ではないか」と問い合わせました。すると、「それ自体は単なる数字・文字及び記号の羅列であってそれによって個人を特定できる情報ではありません」という回答が返ってきました。そこで「コンテンツプロバイダーとの契約において、サブスクライバIDは厳重に管理して外部に漏らさないという項目はあるのか」と聞いたところ、「コンテンツプロバイダーとの契約においては、本サービスの提供にあたり知りえた顧客に関する一切の情報について開示をしないことを明記している」というんですね。その必要性を感じているから明記しているわけです。それならば「非公式サイトについて問題はないのか」と聞いてみると、「非公式のコンテンツプロバイダーへの提供自体はまったく問題ない」という矛盾した回答が返ってくる。「止める方法・変更する方法はないか」と聞くと、「ありません。一回解約すると変えることはできます」という回答です。といった次第で、サブスクライバIDをやめさせることは非常に難しいわけです。

 このサブスクライバIDですが、具体的にどういう問題があるのか、具体的に説明しておこうと思います。たとえば迷惑メールが来る。「いますぐここにアクセス!」とうたいながら、受信者ごとに異なるIDをURLに埋め込んであるとします。そして、ユーザーがそのURLをクリックするのを待つ。すると、どのURLをクリックしたユーザーはどのアドレスかがわかるわけですね。似たような手法は実際にたくさん発生しています。たとえば総務省の「不正料金請求の手口について」という文章では、どの電話番号のユーザーがクリックしたかがわかってしまう手法によって、不当な料金請求詐欺に利用されてしまうという事例が紹介されています*12。最近ではこれは「ワンクリック詐欺」と呼ばれるようになりましたね。以下に引用しておきます。

1 最近の手口 メールに記載されたURLをクリックして、高額な会費を請求される事例における最も典型的なパターンは、以下のとおりです。

1.受信者ごとに異なる識別番号を含むURLが記載された迷惑メールを送りつけ、サイトにアクセスされるのを待つ。

例えば、090▲▲▲●●●の電話番号宛てのメールに、この電話番号に対応した識別番号(下のイメージ図では、321■■a25c)を含むURLを記載し、受信者がこのURLをクリックしてサイトにアクセスしてきた場合、送信者は、当該電話番号の所有者がこのサイトにアクセスしてきたことを確認できます。こうしたメールは、英数字を用いたメールアドレス宛てではなく、携帯電話のショートメッセージサービス(携帯電話事業者が提供する、電話番号宛てにメールを送ることができるサービス)を利用して送りつけられることが多くなっていますが、これは、アクセスしてきた者の電話番号を把握できるため、後日、入金の督促を電話で行うことができることがその原因と考えられます。

総務省総合通信基盤局電気通信事業部消費者行政課

「メールに記載されたURLへの不用意なアクセスについて(不当料金請求の新しい手口にご注意ください)」(2004年4月)

http://www.soumu.go.jp/s-news/2004/040421_3.html

 さらにもっと事態が進むと、いや、これはすでに行われている可能性もあると思うのですが、次のようなものになります。スパム業者は、まず「このIDを含むURLは、このメールアドレスに送った」というデータベースをつくっておきます。そしてあるユーザーがまんまと引っかかってアクセスしますね。このとき携帯電話のブラウザだと、どのURLをクリックしたかという情報と同時に、サブスクライバIDも送ってしまうわけです。すると、このメールアドレスを持つ人はこのサブスクライバIDである、という対応表をつくることができわけです。問題はこれを幅広く利用することができる点です。たとえばブラウザでアクセスしただけで、どのメールアドレスのどの人がアクセスしたかが瞬時にわかってしまう。さらにネットショップの情報と結びつければ、住所氏名まで連結できる。もしメールアドレスが個人情報保護法における個人情報にあたらないのだとすれば、この売買は合法ということもあって、大変にまずいわけです。

 このようなプライバシー上の危険性は、明らかにサブスクライバIDをめぐるアーキテクチャの問題です。インターネット・ブラウザに、サブスクライバIDなど存在しないからです。これはまさに昔の電話事業者という閉鎖システム的な発想がそのままインターネットの世界に持ち込まれた結果だと思います。i-modeEZwebなど、電話屋のシステムとインターネットのシステムをハイブリッドした領域で、こうした問題は生じているのです。

図:守秘義務の有無とオープンシステム
図:守秘義務の有無とオープンシステム

 行政機関や通信事業者には守秘義務がありますし、契約関係のある公式サイトにも守秘義務がある(図:守秘義務の有無とオープンシステム)。しかし、その外にある勝手サイトには法的な縛りがない。ここに送られてしまうサブスクライバIDは一体どうするのか。これが問題になるわけです。そして個人情報保護法では、単なるIDは個人情報ではないと解釈するのが妥当のようです(図:IDと個人情報保護法)。ですから現状の法律では縛りようがない。

図:IDと個人情報保護法
図:IDと個人情報保護法

 となると、これを技術的に解決する方法はないか、という話に落ち着くわけですね。たとえば独立性の高いIDを使えばいい。サブスクライバIDのように、固定で固有のIDを複数のサービスで共用するからこういうことが起きるので、サービスごとに別々のIDにすればいい(図:IDの有効ドメイン範囲)。ブラウザのcookieは、最初からそういう仕組みになっていたわけです。つまり、技術的な解決方法はあるわけです。だから直せばいいのですが、なかなか声は届かない。それどころか、ちょっと声を上げてみましたところ、「この人はドコモからお金をもらっているのですか」と誹謗中傷をされるといった反発までありました。

図:IDの有効ドメイン範囲
図:IDの有効ドメイン範囲

 実はこの問題なのですが、暗号応用研究者のあいだでは古くからの常識で、アンリンカビリティunlinkabilityを確保するための研究として進められてきたものです。たとえば電子マネーがそうで、90年代から研究されています。「現金」というのは非常に匿名性が高いからこそ使えるわけですが、これを電子化すると、どのユーザーがどのマネーを使ったのかという「リンカビリティ(結合可能性)」が生じます。そこでその問題を暗号で技術的に解決しようとしてきました。しかし最近の電子マネーはそうではありません。まったくアンリンカビリティの担保されない、つまりキヨスクに行っても改札を通っても、すべて同じIDが通知されるものが電子マネーとして称され、実用化されてしまいました*13

 なぜこうしたダメなアーキテクチャが普及してしまうのでしょうか。研究をやっている人間と事業化をやっている人間が、まったく繋がっていないからでしょうか。企業はなんのために研究をやってきたのか、という感想を抱きます。そしてその想いを訴えるために、2003年からはてなダイアリーやブログで地道に問題点を解説していくことによって、ようやく問題が広く認識されるようになってきたようです。研究者のかたに、「よくぞいってくれた、もっといってください。そうすれば自分たちの研究の価値が理解されるから」といわれたこともあります。「自分で宣伝しろよ」と思うんですが(笑)。

RFID

 さて、ここまではネットの世界の話題だったのですが、これが実世界に拡大されつつあるのです。高度ユビキタス社会の推進というような政府の旗振りによって、RFID(Radio Frequency Identification)タグ*14が人の持ち物に取り付けられる仕組みが次々と提案されています。1個あたり2,3円まで無線タグの値段が下がれば、バーコードの代わりに、コンビニエンスストアに並ぶ商品に付くようになるといわれている。そうすれば製品の種類で管理するのではなくて、製品の個体ごとにコンピュータ管理することができる。より効率的な流通システム、あるいは購買動向の追跡などもできるのではないか、と期待されています。本来は流通目的でIDを割り振るわけですが、それに相乗りするかたちで別目的に利用されようとしているわけです。たとえば昔バーコードを使って対戦するゲーム*15がありましたが、ああいう感じですね。つまり、サブスクライバIDによる個人のトレースの問題が実世界にも拡張されようとしている。こうした機運が一昨年に高まったのです。

 このRFIDは非常にやっかいな問題です。まず、ウェブのように技術的に解決する問題があるかというと、実は存在しない。ないに等しいのです。なぜならIDタグは安くならないと普及しませんから、低価格化が優先されてしまう結果、技術的な対策が非常に難しくなります。かつ、長距離の読み取りが期待されている。ともあれ、こうなると電気消費を抑えるために暗号演算回路を内蔵できなくなります。つまりプライバシー対策ができない。これは本質的にまずい問題です。

 こうした問題は一般消費者に知られているのかという疑問があります。たとえばSuicaの場合ですが、このチップにはどこで乗り降りしたかということが記録されています。たとえば電車のなかで、女性の鞄にRFIDタグを読み取ることができるPDAを近づけると、「この人はどこで乗り降りしているぞ」なんていうことを見ることができる。すくなくとも、とりあえずその可能性があるということは知らせておいたほうがいい。そう私は思うのですが、どこにも書いていないわけです。

 SUICAにとどまらず、持っている物のIDがいろいろなところで記録される可能性があります。ショップでお客さんがどこを歩いているのか、お店の側は知りたいと思うでしょう。IDがトレースされてプライバシーの問題があるというとき、たとえばよく警察の「Nシステム*16」が例にされます。RFIDを読み取る装置を電柱の一本一本に付けると、いろんな犯罪捜査ができるといった話ですね。実際に某官僚のかたに「お金をかけないとできない話だから懸念は必要ないよ」といわれた経験もありますが、この問題はそういうことではないんですね。東さんも「情報自由論」で「ビッグブラザーではなくてリトルブラザーへ」とおっしゃっていましたが、国家がビッグブラザーさながらの中央集権的監視システムをつくることが問題なのではない。むしろ民間の会社がいろいろな目的でIDを記録するようになって、「最終的に付き合わせたら便利になったね」というかたちで全体的に広がっていく可能性があるという話なのです。たとえばホテルのフロントの台帳記入は、泊まっている人の住所を記録しなければいけないからやっているものですね。このときついでに鞄のIDを読み取って売却すれば、高く売れるわけです。さすがにこれは個人情報保護法違反だと思うんですが。ほかにもまだたくさんありますので挙げておきます(図:懸念される事態の例)。

図:懸念される事態の例
図:懸念される事態の例

 上のような話を「ICカードワールド」という日経主催の業界セミナーに呼ばれたときにしたことがあります*17。すると、実は業界の技術者はわかっているわけです。技術者のかたは、「本当にそのとおりだ。それはまずい」といっている。次に、既にこんな実証例もあります。これはアメリカの事例ですが、イモビライザーという、車のキーにRFIDがついていて、キーの差込口に近づけないとエンジンがかからないというシステムがあります。このシステムでは暗号が使われているのですが、大学の研究でこの暗号を破ることに成功しまして、彼らは自分のタグを解読し、同じ電波を再生する装置を作った。その装置を使って、本物のキーを使わずにエンジンをかけるというデモをやった*18。このRFIDタグは、ガソリンスタンドの支払いにも使われているので、他人のタグを電波で読み取って、それを再生してガソリンを買うというデモもやってみせたという話です。RFIDのまずいところは、電波の再現ができてしまうところにあるわけです。

 ICカードならばもっと高度な暗号システムが使われているのでまだいいのですが、RFIDタグとなると、簡略化された暗号システムなのでこうやって破られてしまう。ところが国内では、それどころか暗号機能のまったくないRFIDタグが、電気錠や入退館システムに使えると宣伝されている。たしか、どこかの万国博覧会の(笑)入場券にICタグが付いていましたが*19、これもおそらく20cm程度の距離でリーダーを近づけると読めてしまうでしょう。あと一ヶ月のうちに実験に行きたいなと思っているんですけれど(笑)。このリーダーがまだ大きくて、20cmの距離で読むためには20cmの大きさが必要らしいんです。これをお腹に抱えて、何人のIDが読めるかやってみたいものです。もしそれを使って認証する端末があるとすれば、他人の情報も見えてしまう。おそらくそんな端末はないと思いますが。

 ICカードは安全性が高いという認識が既に世間にありますから、某タグ会社の宣伝でも、「廉価で偽造不可能なICカードを使用した高信頼性システム」と書いてあります。しかしこれは、ICカードではなくてICタグなんですね。暗号機能を搭載していない。偽造不可能といいますが、たしかに物理的な偽造は半導体製造装置が必要なので困難でしょうけども、「電波の再生」はできてしまうのです。ICカードではない単なるICタグだというのに、「安いからすばらしい、そのうえ優れたセキュリティ性を持つ」という物言いも出てくる。事実ではないにもかかわらず、です。こういうことがまかり通っているというのが現状なのです。

 最近ではキャッシュカードがスキミングされることが社会問題化しました。磁気パターンをコピーして再現できることは最初からわかっていたはずです。しかし他に方法がなかったので、この技術が使われたのは止むを得ないことだったでしょう。キャッシュカードの読取り機もRFIDタグの読取り機も、汎用品として出回るのは明らかです。キャッシュカードの弱さを再びRFIDで繰り返すつもりなのか? ということです*20。それなのに、ICタグを普及させるために推進派はおかしなことをいったりします。たとえば端的に現れていたのが、日経ITProというサイトの「消費者に理解されていない「ICタグ」」という記事です。日経コンピュータのある記者さんがコラムとして書かれていますが、これを読むと「プライバシーを心配している人たちは技術的なことを理解していないから不必要に心配しているだけなんだ。IDタグにはIDしか入っておらず、個人情報は入っていないんだからまったく問題ない」という主張なんですね。しかし、どちらが理解していないのか。これは完全に間違いです。さきほどのサブスクライバIDのところで説明したように、IDとその他の個人情報がもろもろリンカブルである以上、十分にプライバシーを侵害する危険性があります。実際この記事に対して、ものすごい反論・コメントが寄せられました(笑)。読むと楽しいと思います。

 こうしたRFID推進派の無理解は、一昨年の段階では非常に多かった。とにかく「IDだけなんだから個人情報ではない。問題ない」というわけですから、いちいちそれに反論するのがめんどうなほどに大変でした。単に無理解で、本気でそう思っている人もいます。意図的に問題をすりかえている人もいるでしょう。典型的な議論のすりかえの手口ですね。「実際にはAとBという問題がある。それにもかかわらずAだけを取り上げて、Aは技術的に解決済みであるという。それを理解しない消費者が反対して騒いでいるだけ」という主張ですね。ほかにも無理解はあって、たとえばアメリカでRFIDに反対するプライバシー擁護派の人たちが多いのは、単にプライバシー狂信者なんだろう、という話がよく出てきてしまう。これも問題です。

高木浩光
高木浩光
 さらに胡散臭いのは「安心・安全」というキーワードです。この標語のもとに、国はRFIDを推進しているわけですが、安心とはなんですか。安心に相当する言葉は英語にはないといわれていて、どうやら「本当に安全でなくても安全だと思い込まされている安心感」のことでしょうか。実際、一昨年の後半から去年にかけて、小学生の「安心・安全」のために登下校の行動をIDで追跡可能にする、という実験をやっています*21。これはランドセルにIDタグをつけるという実験で、やたらと繰り返し報道されているんですね。聞くところによると大体経済部記者が記事を書いていて、要するにその装置を作ったメーカーの提灯報道をしているわけです。

 同じ実験は、NHKの番組で「ICタグで子供の安全を」と報道されました(図:「ICタグで子どもの安全を」?)(図:「ICタグで子どもの安全を」?)。しかしこれもミスリーディングな内容でした。まず、校門に来るとランドセルから電波を発射するように解説している。しかし、実際には電波はいつでもどこでも出ているわけです。ですから、逆にIDを取られて異なる目的に使われかねない。それなのに、キャスターはこうコメントしています。「タグを失くしたらちょっとプライバシーが心配だとも思うんですが、この中には数字と文字しか入っていなくて住所とかは流出することはなく、大丈夫なんだそうです」。

図:「ICタグで子どもの安全を」?
図:「ICタグで子どもの安全を」?

図:別の番組では...
図:別の番組では...

 こうした状況に反対していくのはなかなか難しいものがあります。特に日本ではプライバシーという観点でほとんど声が上がりません。ひとつ説得力を持つとすれば、技術的にはかえって危険性が増すんだよ、というものがありますね。安全のために導入される監視技術は本当に多いのですが、実は大して安全になりません。子供にIDタグをつけて、本当に安全になるんでしょうか。誘拐されたことが何時間後かには確認できるということはあるでしょう。しかし実際奈良県の誘拐殺人事件では、携帯電話のGPSを使った位置情報サービスを使っていたにもかかわらず、解決は間に合わなかったという痛ましい事件がありました*22。すくなくとも保護者に対してそれがどういう装置なのかは説明しないといけないと思うのですが。

 また、真の目的を隠すために利便性を訴えるというやり口もあります。これは日経新聞に載っていた記事ですが、ある百貨店でICタグを使って連れの客の所在確認を追跡する実験というものがありました*23。よくわからないサービスですが、たとえばカップルで来店したときに、ふたりで自由に商品を見たいというニーズがある。そこで両人にタグを持たせて、自由に行動させる。相手がどこにいるか知りたくなったら、端末のところに行くと相手がどこにいるかわかるというサービスなんですね。携帯電話で連絡しあえばいいんじゃないか(笑)。この本当の目的は、明らかにお客さんがどこをどういうふうに歩いているかをトレースして、商売に役立てるという実験でしょう。その目的はちゃんと説明したんでしょうか。

 このように、RFID関係の実験にはとにかく胡散臭いものが多いわけです。推進している人たちは、「消費者はプライバシーの心配をされているようだから、なにか利便性をつくっていかなくてはいけない」と思っている。だから、特に利便性がなくても、頑張ってつくろうとしているんですね。

匿名性

 再びネットの話に戻りましょう。「安心・安全インターネット推進協議会」というものがあります。最近ここがどのようなことを検討なさっているのかは知りませんが、設立趣意書を読む限り、「インターネットでは情報が漏洩したり、身に覚えの無い請求書が届いたりと、非常にネットワークに対する不安が増している」といいます。ここまではいいんですね。ただ彼らは、「これらは、匿名性や、必要最小限の通信機能のみを提供するといったインターネットの特徴を悪用したもの」と考えるわけです。つまり「携帯電話やLモード*24とインターネットは違うんだ」という電話屋さんの発想なのでしょう。「国民が安心・安全に参加できるネットワーク社会を実現するために」、すべてのセキュリティ対策をクライアント端末で行わずに、ネットワークレイヤーでセキュリティを確保してしまおうという発想をしているようです。つまり、偽装できないサブスクライバIDによって、通信した時点で誰からのアクセスかがわかるというようにすれば、安心で安全な通信が可能になる、という主張なんですね。いうなれば「インターネットのLモード化構想」という気がします。しかし、実際いくらインターネットをLモード化しても、情報漏洩はなくならないでしょう。一番はじめに紹介した「ファイル丸見え」の事例を見れば明らかなとおりです。

 このサイトを見ますと、最近ではちゃんと「認証・プライバシーワーキンググループ」というものが開催されているようで、検討はされている様子はあります。ただ、いかんせん非公開なので内容がわかりません。最近、私のほうで個人会員として申し込んだんですけれど、「個人会員は大学のかたに限っています」といって断られてしまいました(笑)。もうちょっとがんばってみようと思っています。こういう問題を解決するためには、まずなかに入っていうべきことをいわないといけないでしょうね。外から批判していてもアンフェアなので。

図:匿名性に関する混乱
図:匿名性に関する混乱

 さて、この「安心・安全インターネット推進協議会」の主張に見受けられるのは、やはり匿名性に関する混乱です(図:匿名性に関する混乱)。これはまさに東さんが「情報自由論」で書かれていたことで、「表現の匿名性」と「存在の匿名性」をきちんと区別していないわけです(図:表現/存在の、匿名性/顕名性)。表現の匿名性というのは、言論・表現活動における著者・講演者名を明らかにしないということです。基本的に発言する・ものを書くときは、匿名の反対で顕名ですね。一方、買い物をするときにわざわざ消費者の名前を明らかにはしません。デフォルトは匿名です。これを東さんは存在の匿名性と呼んでいます。私の考えでは、消費者の場合は「消費行動の匿名性」と呼んでみてはどうかと思います。ウェブであれば、「閲覧したときの匿名性」のことですね。この両者が混同されがちであると東さんはいうわけです。

図:表現/存在の、匿名性/顕名性
図:表現/存在の、匿名性/顕名性

 そしてさっきの安心・安全インターネット推進協議会の設立趣意書は両者を混同している。誹謗中傷や悪意ある行動をする人間がいるから匿名性をなくそう、という主張はある程度理解されるものですよね。これは表現の匿名性を制限しようというわけです。ただしその論拠によって、同時に存在の匿名性までなくされてしまう。そしてマーケティング的にやりたい放題という状況が出現しかねない。ですから、表現の匿名性存在の匿名性は分けて議論したいところなんですね。

 下が私なりにわかりやすく整理をしてみた図です(図:IPアドレスの固定化)。

図:IPアドレスの固定化
図:IPアドレスの固定化

 IPアドレスが固定化してきていることを軸に考えるとわかりやすいと思います。94年ごろまで、インターネットは大学だけで利用されていました。ですから、インターネットは表現の場だったわけです。そしてIPアドレスは固定でした。これで問題はなかったのですが、ダイヤルアップ接続などが家庭に入ってきて、98年ごろまではまだ良かったんです。しかし、2001年ごろはネットショップなどが実用化されて、インターネットが消費生活の場になりました。家庭のネットワーク環境はダイヤルアップ接続だったので、接続するたびにIPアドレスが変わるおかげでトレーサビリティはまだなかった。ネットショップがサイトをまたがってお客さんをトレースするということはなかったわけです。ところが最近はブロードバンド環境が入ってきて、家庭も固定IPアドレスになりつつあります。そして消費生活の場は膨らんでいる。このまま行くと、常に追跡されかねない状況になっています。そうなると、インターネットには消費行動のプライバシーがないということが発覚しだして、インターネットを消費生活の場として使わなくなるという恐れもある(図:将来像は?)。このように考えているんです。

図:将来像は?
図:将来像は?

 存在の匿名性表現の匿名性をきちんと区別して議論すれば、存在の匿名性を否定する人はおそらくいないだろうと思います。存在の匿名性を保持しつつ、表現の匿名性を制限することも可能でしょう。技術的に解決できるところはすればいいわけです。むしろできない場合こそ問題です。たとえばRFIDもそうですし、すでに普及してしまった携帯電話がそうです。しかし、それはそれでひとつの結論だと思います。

 最後に別の観点からの話題を提供して終わりにしたいと思います。今度は表現の匿名性についてですが、実名でのネット利用は必要ないのか、という発想もあると思うんです。興味深い騒動が6月にありまして、「実名でのネット活用を促す 総務省『悪の温床』化防止」という共同通信の記事が出ました*25。「自殺サイトなど『有害情報の温床』ともいわれるインターネットを健全に利用するために、ネットが持つ匿名性を排除し、実名でのネット利用を促す取り組みに着手する方針を固めた」という内容で、かなり話題になったものです。ガ島通信でも「なぜこんな報道が出たのだろう」という分析がされていましたが*26ITmediaでも「総務省がネットの匿名性を排除しているというのは誤解だ」という総務省の弁明を載せている*27。つまり「匿名は匿名で意義はある。ただみんな匿名に行ってしまうというのではなくて、実名で発言なりしていく訓練をしていったほうがよいのではないか」という考えのようです*28。私もそのとおりだと思います。

 また小倉さんは、ブログのコメントスクラムという現象に対して、次のような提案をされています*29。複数のブログサービスをまたぐ「ID管理協会」のようなところが、本人確認をしたID発行システムを発行し、そのIDの認証がないとコメントを書き込めない仕組みにすればいいのではないか、と。前回の倫理研でも提案されていたものですね。これはたしかに存在意義があるなと私は思います。たとえばメーリングリストの議論では、基本的に実名で議論をするという習慣がなんとなくできています。もちろん匿名で投稿することもできるし、他人の名前を偽って投稿することもできる。ただ、メールアドレスが関わっていることもあってでしょうか、なんとなく実名の人だけが集まった環境で議論がしやすい環境があるわけです。しかし、これがウェブサイト上ではやりにくくなっている。ブログを開設してコメント欄を設けると、コメントスクラムのように匿名でコメントがある日ザーッとやってきて、炎上してしまうわけです。これは別に匿名が悪いというわけではありません。ただ、やはり実名の人だけで議論する、公開の場所も必要だろうと思うんですね。しかし、現状ではそれがやれない。たとえばコメント欄に「小倉」と書いてあっても、それが本当に小倉さんかどうかはわからない。そんな環境で実名の議論ができるのかという問題があります。

 つまり「顕名ウェブシステム」が必要だということです。それはたとえばはてなのように、IDでコメントを書く機能のあるシステムなら、IDでしか書けないように設定することでそうした使い方ができる。あとはIDを取得するときに本人確認をするようにすることですね。ただ、一社のシステムに議論の参加者の全員が登録していないといけないことになるので、一社独占になってしまう。ですから、複数の事業者をまたがって同じIDを使う顕名システムを実現するわけですね。これは非常に興味深い試みではないかと思います。ぜひどこかが始めてみるといいんじゃないか。それでも、いざ始まってみると、どんなことが起きるか。これもまた、倫理的な観点から興味深いところだと考えています。

 以上、私からの話題提供でございました。


*1:註:情報処理推進機構:セキュリティセンター:脆弱性情報の届出

*2:註:ソースコードを公開せず、占有している状態を指す。→参考:@IT情報マネジメント用語事典 [プロプライエタリ]

*3:註:たとえば設計研第1回での石橋啓一郎 講演を参考のこと。

*4:註:この表現の仕方をめぐる文脈は、高木自身の以下の言を参考のこと。→「「高木浩光@茨城県つくば市の日記」跡地 - 「固有ID」の問題なのか「固定ID」の問題なのか

*5:註:たとえばこの「固有で固定ID」がもたらすプライバシー問題について、わかりやすい解説を行っているものは以下。→結城浩の「固有IDのシンプル・シナリオ」/「「高木浩光@茨城県つくば市の日記」跡地 - 自動車登録番号追跡サービスのビジネスモデル」など。

*6:註:「インテル(R) Pentium(R) III プロセッサ」を発表。高木は別所でこれを「デバイスID」と呼ぶ。以下に引用する。「1999年に、IntelPentium IIIプロセッサに PSN (Processor Serial Number)と呼ばれるユニークIDを埋め込み、機械語命令で読み出せるようにしたことを公表したとき、プライバシーの問題があるとして批判され、ボイコット運動にまで発展し、この機能の提供を中止するという結末に追い込まれたことがあった」(高木浩光@自宅の日記 - デバイスIDで何をしてはいけないことにするか

*7:註:以下の解説を参照のこと。→@IT:Insider's Computer Dictionary [Cookie]

*8:註:以下を参考のこと。→ダブルクリック社問題個人情報の取り扱いを巡る調査で米DoubleClickが10州と和解

*9:註:以下の記事を参考のこと。→【連載】最新IT用語解説 第8回 P3P(Platform for Privacy Preferences) (MYCOM PC WEB)【絵で分かるキーワード】P3P(The Platform for Privacy Preferences Project、ぴーすりーぴー)

*10:註:ケータイ用語の基礎知識 第220回:サブスクライバID とは

*11:註:高木の個人ブログでレポートされている。→「高木浩光@茨城県つくば市の日記」跡地 - 「EZwebのsubscriber IDを変更するには」/「ツーカーセルラー東海に期待」/「ツーカーセルラー東海から回答書がきた」。→「高木浩光@茨城県つくば市の日記」跡地 - 「携帯電話の固定ID」関連リスト

*12:註:「高木浩光@茨城県つくば市の日記」跡地 - モバイルコマースが架空請求詐欺を助長する

*13:註:「高木浩光@茨城県つくば市の日記」跡地で、「ICカード(EdySUICAなど)がポイントカードとして利用される問題」について論じている。→「高木浩光@茨城県つくば市の日記」跡地 - 「ICカード」関連リスト

*14:註:IT用語辞典 e-Words : RFIDとは 【RF-ID】 (Radio Frequency Identification) ─ 意味・解説。最新動向については、「RFIDテクノロジ|無線ICタグの実用化情報サイト - 日経BP社」などを参照されたい。

*15:註:1991年にエポック社から発売された「バーコードバトラー」など。Barcord-Battler

*16:註:Nシステムとは、道路上に設置されたカメラによって車両ナンバーなどを補足し、コンピュータによって監視・保存するといわれるシステム。犯罪捜査などに利用されているといわれるが、プライバシーの観点から反対運動も起きている。→参考:N-system title page

*17:註:IC CARD WORLD 2005, 併設セミナー, パネル討論,ICタグのセキュリティとプライバシーを議論する, スライド (PDF 463 KB)

*18:註:車の盗難防止イモビライザーのコード、解読される - Hotwired

*19:註:News:日立の0.4ミリチップが愛知万博の入場券に

*20:註:「高木浩光@茨城県つくば市の日記」跡地 - RFIDタグは20年前の過ちを繰り返すか - 預金返還請求事件 最高裁平成5年7月19日第2小法廷判決

*21:註:高木浩光@自宅の日記 - 誰も止めようとしない 家畜用ICタグの小学生への適用

*22:註:高木浩光@自宅の日記 - GPSで居場所が通知される携帯電話?, 誘拐殺害事件で注目される位置特定システム

*23:註:「ICタグで連れの客の所在確認・阪急百貨店で実験」(日本経済新聞, 2004年11月9日朝刊)(高木浩光@自宅の日記 - 人工衛星に監視されるイメージに囚われている?, 立教小学校のランドセルアクティブタグ導入の考え方, 田辺市の小学校では950MHz..

*24:註:IT用語辞典 e-Words : Lモードとは 【L mode】 ─ 意味・解説

*25:註:北日本新聞:FLASH24:経済共同通信配信)より引用:「総務省は27日、自殺サイトなど「有害情報の温床」ともいわれるインターネットを健全に利用するために、ネットが持つ匿名性を排除し、実名でのネット利用を促す取り組みに着手する方針を固めた。匿名性が低いとされるブログ(日記風サイト)やSNSソーシャル・ネットワーキング・サイト)を小中学校の教育で活用するよう求め、文部科学省などと具体策を詰める」

*26:註:総務省「ネット実名」騒動の不思議 - nikkeibp.jp - from ガ島通信 メディア崩壊の現場を歩く

*27:註:ITmediaニュース:「ネットに匿名性は不可欠」――総務省

*28:註:以下参照のこと。→ITmediaニュース:「SNSでITリテラシー底上げを」――総務省研究会・/総務省(報道資料) - 「情報フロンティア研究会」報告書の公表

*29:註:小倉秀夫の「IT法のTop Front」:2004年11月25日より引用:「レンタルサーバ業者(会員に無料レンタルサーバを提供しているISPを含む。)及びBLOG事業者が共同出資で共通IDを管理する会社を設立し、そこで発行されるIDの保有者の個人情報(住所・氏名等)をその新設会社で管理するというスキームが成立するのならばそれを支持します」

トラックバック - http://ised-glocom.g.hatena.ne.jp/ised/09020820