「自分証明書」:携帯電話を用いた本人証明(本人確認手段)について
最近になって,以下のような議論が始まるというニュースが出てきたので,2011.03.11の東日本大震災の時に当方が考えていた携帯電話による本人確認の方法「自分証明書」の拙稿を公開しておこうと思う.
- 『スマホで身分証明』実現へ、国際規格案の審議はじまる──経産省,2022年の国際標準化をめざす (June 22, 2020 - Engadget)
https://japanese.engadget.com/phone-053011023.html - 『スマホで身分証明』を実現する国際規格案の審議が始まります-モバイル機器での身分証明管理- (June 22, 2020 - 経済産業省)
https://www.meti.go.jp/press/2020/06/20200622003/20200622003.html
今となっては9年も前の考察なので,out of dateな内容も多々ある.また,災害発生から社会インフラが復旧するまでの間の「本人確認手法」,つまり永続的に使用することを前提にしていない考察なので,平時でも利用するという点では考察が不十分だと思う.けれども,今後こういった議論を進める上で何かしらの役に立てば良いなと思い,お蔵入りしておくよりは陽のもとにさらして微々たるものであっても議論の糧になれば良いなと期待するものである.
Abstract
東日本大震災で明らかになった問題点の一つに,大災害に被災した際に本人確認書類となる証明書をすべて失う事態が発生しうるという点である.この身分証明書消失という事態は,救援ならびに復興時における行政手続き,医療の継続性,財産利用の点で支障をきたすこととなり,被災者の生活復旧の妨げとなった.
そこで本研究では,被災者の多くが避難時に所持していた携帯電話を応用することを前提とした本人確認書類として「自分証明書」を提案する.自分証明書とは,携帯電話を利用してその所有者が誰なのかを証明するものであり,本人確認書類の代替として使用することを想定したものである.本論文ではこの自分証明書の実現方法とその安全性について考察する.
Keywords
災害復旧,本人確認書類,携帯電話,ライフログ,社会的関係
はじめに
2011年3月11日に発生した東日本大震災が,広範な地域にわたって甚大なる被害を
もたらし,現在も多くの被災者が避難生活を余儀なくされていることは多くの人が
知るところである.この大地震で明らかになった事態の一つは,大災害に遭遇する
ことで本人確認に有効な書類をすべて失う事態が発生しうるという点である.
つまり自分が自分であることを証明する手段を失うということである.
このため被災直後の救援時から復興期にかけて以下のような問題が発生した.
- 行政手続き
安否確認への支障,各種証明書発行への支障 - 医療手続き
医療処置の記録と共有,過去の治療情報の参照に支障 - 財産利用手続き
自分自身および親族の預金口座からの預金引き出しが困難
これらの問題は被災者の生命および財産の保護にかかわる問題である.したがって
被災者は迅速に本人確認手段を確保し,それを使用して上記の手続きを遅滞なく
進められることが生活復旧には必要不可欠である.そこで本論文では,大災害
被災により本人確認書類をすべて消失することを想定し,その代替方法,
すなわち緊急用本人確認書類として携帯電話を応用した「自分証明書」を提案する.
また携帯電話による自分証明書の安全性についても議論する.
以降,本論文では2章で想定する状況と本人確認書類の代替証明書に必要な要件を
整理し,3章で携帯電話による自分証明書の実現例について説明する.
4章では自分証明書を携帯電話で運用する上での適合性について述べ,
5章では安全性に関する考察について述べる.
想定する被災状況と本人確認書類に対する必要要件
本論文では,2011年3月11日に発生した東日本大震災による大津波の来襲で壊滅的な
被害を受けた被災地と同程度の被災状況を前提条件とする.本研究に関する範囲に
おいてその被災状況を列挙すると以下の通りになる.
- 自分の身元を証明する本人確認書類をすべて消失,その捜索も不可能
- 有線,無線を問わず通信手段は利用不能
- 役所等の公的機関も被災のため機能不全
上記のような状況下において被災者の救援ならびに生活復興に支障をきたさない
ようにするため,緊急用本人確認書類には以下の要件を満たす必要があると考える.
- a) 希望するすべての被災者が所持できること
- b) 即座に作成でき,利用開始可能なこと
- c) 常時携帯が可能なこと
- d) 証明書に記載の本人のみが利用可能なこと
我が国における既存の本人確認書類には,一部の人しか所持していないか
一部の人しか所持できないという問題がある.前者の例はパスポートであり,
後者の例としては運転免許証が挙げられる.
また子供や高齢者は,災害被災時には最優先でケアを行う必要がある一方で,
平時より本人確認書類を持っていない割合が高いと指摘されている[1].
災害被災時における本人確認書類を目指す自分証明書には
このような望ましくない制約があるべきではない.したがって,希望するすべての
被災者が自分証明書を所持できることが必要である.
また自分が誰かを示す証明書は,被災直後に避難所に避難すると行われる安否確認の
時から活用できるものである.このことをふまえ,自分証明書は即座に作成でき,
かつ利用し始められることが望ましい.今回の被災状況を省みると,役所機能の
復旧には時間がかかるため,役所機能の復旧後に本人確認書類を再発行を受ける
という選択肢は被災者の生活復興を遅らせることになると言える.
よってなんらかの本人確認書類が役所の機能回復後にトップダウン式で
配布されるのを待つよりも,ボトムアップ的に各被災者が自分証明書を作成し,
それを緊急用本人確認書類として活用していくことが望ましいと考える.
また役所により本人確認書類の再発行が可能になったとしても,再発行時には
自分が誰であるかを示す必要がある.
残る二つの要件(項目c,d)は,平時における本人確認書類にも必要とされる
要件であり,その必要性について疑いの余地はない.本人確認書類が常時
携帯可能であるべきことは,平時に本人確認書類として利用されている
パスポートや運転免許証が一定の条件下で常時携帯を義務づけられて
いることからも明白である.また本人確認書類は,その証明書に記載されている
人物のみが証明書として利用できることも当然の要件である.他人の自分証明書を
拾得したり窃盗した第三者が,それを不正に改ざんして第三者に
``なりすます’’ことが可能であってはならない.
なお本論文で提案する自分証明書は,運転免許証やパスポートのように第三者に
提示して利用する形態の本人確認書類を目指すものとする.``住民票の写し’’の
ように第三者に手渡してしまう形態の本人確認書類を想定したものではない.また
自分証明書は法的効力を持つ正規の本人確認書類が発行されるまでの間,暫定的に
使用されることを想定するものであり,永続的に本人確認書類として使用することを
想定したものではないことをここに明確にしておく.
携帯電話による自分証明書の提案
本章では\ref{sec:youken}章で述べた要件を満たしうる本人確認書類の
ソフトウェア実装として「自分証明書」を提案する.この「自分証明書」は,
携帯電話上で動作することを想定したシステムである.
携帯電話を動作対象プラットフォームとした理由については
\ref{sec:mobile}章で述べる.
作成方法と利用方法
災害に遭遇し,それにともなって全ての本人確認書類を失った被災者は
自分で所持している携帯電話で自分証明書のソフトウェアを起動し,
以下に示す作業を行うことで,自分証明書を作成する
- 自分にかかわる個人情報基本4情報(氏名、性別、住所、生年月日)を入力する.
- 自分の顔を15〜30秒程度の動画として撮影する.また動画撮影内で自分の
氏名を発話すること.この撮影は自分証明書とする携帯電話端末で行うこととし,
撮影場所は被災していることがわかる場所で実施する.可能ならば屋外であることが
望ましい. - 上記5種類の情報が揃ったら,自分証明書作成処理を実施する.
自分証明書は最小限の情報として上記5種の情報に「携帯電話の電話番号」と
「自分証明書作成処理実行日時」を加えた7種の情報を組情報として保持する.
またこの組み合わせで自分証明書が作成されたことを検証可能にするため,
この7種の組情報を情報源とした一方向ハッシュ関数によるハッシュ値を作成し,
それを「自分証明書作成処理実行日時」と組にして保存する.またこれら7種の
情報以外にも,自分を証明するのに必要な情報を保持可能にする.
利用方法は次の通りである.
- 自分証明書ソフトウェアを起動し,本人認証を行う
- 本人認証に成功したら,自分証明書が持つ情報の閲覧が可能になる
自分証明書利用時には,事前に本人認証を行うことを必須とする.また
自分証明書を長時間継続して閲覧可能にする必要はないため,時間及び
位置情報によるオートロック機能を持たせる,時間によるロックは,
本人認証成功後,既定の時間が過ぎたら自動的に情報閲覧ができない状態に
戻ることを指し,位置情報によるロックは,本人認証に成功した場所から
既定の距離以上離れた場所に移動したら情報閲覧ができなくなることを指す.
この機能により,第三者による不用意な情報閲覧に起因する情報漏洩を防ぐ.
また自分証明書は,自分証明書への情報入力ならびに閲覧等に関する操作履歴を
記録/保持する,また利用者はこの履歴情報を参照できる.操作履歴に記録される
イベントは以下のイベント群である.
- 本人認証:
本人認証試行時刻,位置情報,認証結果 - 自分証明書情報参照:
参照開始時刻,位置情報,参照終了時刻 - 自分証明書情報入力:
情報入力時刻,位置情報,入力された情報種別 - 履歴情報参照:
情報入力時刻,位置情報,入力された情報種別
本人確認の必要要件と自分証明書
本章では,本人確認に必要な要件と自分証明書の具備状況について議論する.
人物を証明する証明書に必要な特性は以下の2つであると言われている[10].
- 実在性:
架空の人物ではないこと.生存者であること - 同一性:
本人であること.第三者のなりすましでないこと
上記の特性のうち,実在性については顔+発話動画により担保可能である.
また実在性については,架空の人物ではないことのほかに生存していることも
重要な点である.自分の氏名を動画内で発話することを必要要件としている理由は
このためである.なお発話が困難な場合は,生存していることを示しうる他の要件を
動画撮影に課す必要があると考えている.またこの形質的情報については,経年変化
があるので,年齢に応じて定期的に更新する必要があるが本論文では緊急用の
本人確認書類であるため,この情報更新については考慮しない.
同一性の担保については2つの側面があると考える.1つは「眼前にいる人物と
証明書に記載の人物が同一人物か?」ということであり,もう1つは「証明書内の
記載内容が事実であるか?」という点である.
前者については顔+発話動画の情報が寄与すると考えている.既存の本人確認書類の
多くは顔写真を1つの要素情報としている.その理由は眼前にいる人物が証明書に
記載されている人物と同一人物かを検証する上で必要不可欠な情報だからである.
その意味では自分証明書も人物の顔に関する動画情報を保持しているため,同一性
の検証は可能である.ただし一卵性双生児のエピソードとして,鏡に映った自分を
姉妹と間違えたというエピソードもあることから[14],顔+発話動画以外の
身体的特徴情報を組み合わられるような仕組みを自分証明書に持たせる.
ここで本論文では「身長」と「手相」を顔+発話動画の補完情報として提案する.
被災時の運用を考えると,計測機器やセンサー機器に依存した検証方法は避ける
べきである.だからといって,検証精度があまりにも低い場合には同一性の担保には
ならない.したがってアナログ的手法でも一定の精度で検証可能な情報であることが
望ましい.これらの考察から以下の要件を満たすことが望まれる.
- I) 情報取得が容易
- II) 文字(数値)または画像として自分証明書に格納可能
- III) 経時変化がゆるやかである
- IV) 目視でも一定精度の検証が可能
自分証明書の要件の1つである「即時作成可能」を満たすため,身体的特徴とはいえ
主要な携帯電話に備わっているセンサーまたは入力装置で情報取得が可能である
必要がある.その点において「身長」は数値入力で「手相」は画像として取得可能
であり,要件I) II)は充足可能である.また時間経過とともに照合情報が大きく
変化してしまうと同一性検証の基準情報として使用できない.したがって経時変化が
緩やかな情報が望ましい.提案している2つの身体的特徴情報は,幼児でもない限り
数ヶ月で大きく変化する可能性は少ないといえ,この点でも適切な情報だと言える.
最後に目視による検証可能性であるが,身長については身長が既知の人物や長さが
既知の物体との比較により目視での検証が可能である.また手相は自分証明書に
格納されている写真と,実際に被検証者の手相を目視で比較することで検証可能である.
したがって計測機器がまったく使用できない状況下でも,アナログ的手法により
一定精度の検証が可能である.
さらにこれらの身体的特徴情報はプライバシー上の懸念も少ないと考えられ,
自分証明書に掲載することの受容性は高いと考える.身長は直接お会いすれば
おのずと目測で推測されうるものであり,手相も占いなどで他人に見せることを
日常生活でも許容している外見的特徴情報だからである.
同一性の担保におけるもう1つの問題点は「自分証明書内の記載内容が事実であるか?」
である.この検証は公的機関が所有する個人情報,つまり住民票や戸籍謄本と
自分証明書の記載情報が一致することを照合することになる.しかし本論文での
前提条件では,公的機関も被災により機能不全になっていため,この望ましい
検証方法は利用できない.そこで公的機関の機能が復旧するまでの間は
別の方法によって検証できることが望ましい.
そこで本論文では「ライフログに基づく与信」による検証方法を提案する.
ライフログに基づく与信による同一性の検証
「与信」とは「信用を供する」という意味である.例としてクレジットカードが
挙げられる.クレジットカードは,その所有者に一定の支払い能力があることを
示す``証明書’’であると言える.言いかえると,クレジットカードはその所有者に
対して支払い能力に関する信用を与えているのである.これと同様の仕組みを
自分証明書に持たせることにより,自分証明書に記載の情報が確からしいことを
検証可能にする.この与信による検証に使用する情報が「ライフログ」である.
より具体的に言うと,携帯電話内に記録される「移動履歴」と
「通話履歴/メール送受信履歴」を自分証明書の検証に応用する.
以降の節でそれぞれ具体的に説明する.
移動履歴による住所地および被災事実の検証
ライフログによる同一性の検証の1つとして,移動履歴による住所情報の
与信について説明する.携帯電話内に所有者の移動履歴が記録されていると
仮定する.技術的に実現可能なことは明らかである[19].
すると携帯電話所有者の自宅の位置情報はその履歴の中に記録されるはずである.
したがって過去の移動履歴情報を用いれば,自分証明書に記載の住所地が
確からしいことは検証可能である.
なお移動履歴はプライバシー情報であることから,検証方法はプライバシーに
配慮した方法で行われるべきである.そこで携帯電話内に記録されている全
移動履歴情報を閲覧して検証する方法ではなく,住所地から一定のエリア内に
滞在していた日付と時間帯を確認する方法が考えられる.また携帯端末への
記憶領域に配慮し,移動履歴の記録方法に一工夫する対処法も考えられる.
多くの人の場合,自宅には一定時間以上滞在すると想定される.よって
移動履歴を時々刻々と記録するかわりに,一定時間以上滞在した場所のみを
記録する方法でも住所地の検証は可能である[12,13].
このような工夫により,記憶領域の節約ならびにプライバシーに配慮した
移動履歴の記録と自分証明書の同一性検証の双方を可能にする.
また移動履歴は被災事実の検証も可能にする.災害発生時刻、またはその
直前/直後の位置情報を携帯電話内に記録保持できれば,災害発生時に被災地に
いなかった人物による被災者への``なりすまし’’を防ぐことが可能になる.
携帯電話の電波状況が圏外になった際の位置情報を保持しておくだけでも
この枠組みとしては一定の効果を示しうると考えている.
社会的関係による検証方法
社会的関係による検証とは,証明書が示す人物と面識のある第三者による証明書
記載事項への与信である.つまり,証明書を所持している人物(被検証者)と
その人物が証明書に記載の人物と同一であること検証する検証者の他に,
被検証者と面識のある第三者をお呼びして「この人(被検証者)は証明書に
記載されている人物本人です」と検証者に対して証言することにより同一性を
検証する方法である.
ここでの問題は,証明書の記載事項へ与信を与えうる第三者をどのようにして
選定するかである.この第三者に望まれる要件は,災害発生以前より被検証者との
間で面識があり,自分証明書に記載の情報を知っている人物だということである.
つまり災害発生以前より被検証者との間で社会的関係が築かれている人物である.
そこで本論文では携帯電話内に記録保持されている「音声通話履歴」ならびに
「電子メールの送受信履歴」を用いた第三者の選抜方法を提案する.災害発生
以前より携帯電話の所有者と音声または電子メールで双方向に連絡を取りあって
いるということは,両者の間で一定の社会的関係が築かれている証左だと言える.
このことを同一性検証のための第三者選定に利用するのである.なお同一性検証
のための第三者選定は検証者が行うこととする.これにより被検証者による
意図的な第三者選定を防止することになるからである.
これらの検証方法により,携帯電話が動作すれば自分が誰かを証明する証明書を
作成し,かつ想定される被災地の状況においても一定の確度で実在性および
同一性の検証が可能な本人確認書類として自分証明書は成立しうると考える.
本人確認書類のプラットフォームとしての携帯電話
\label{sec:mobile}
本章では,本人確認書類,特に自分証明書のプラットフォームとして
携帯電話を想定することの理由について述べる.
1つめの理由は携帯電話所有者のライフログを記録/蓄積可能なデバイスだという
点である.携帯電話が通話履歴や移動履歴など,いわゆるライフログの記録機器
として活用され始めているのは周知の事実である[11, 19].
このライフログ情報は,携帯電話の所有者に関する特徴を端的に表す情報である.
そのため自分証明書の記載内容を証明する情報として,また自分証明書に記載の
内容が事実かを判断しうる第三者を選定するための情報として有用であることは
\ref{subsec:lifelog}節で述べた.このことから携帯電話は自分証明書の
プラットフォームとして必要な機能を備えたデバイスであると言える.
2つめの理由は常時携帯している点である.今回の東日本大震災で多くの人が
本人確認書類を消失した理由は,以下の双方か少なくとも片方は該当している
と考える.
- 常時携帯していなかった
- 避難時に持ち出さなかった,着の身着のままで避難したため持ち出せなかった
「災害発生時に避難する場合には貴重品を持ち出すこと.」という指示は多くの人
が知っていることである.しかし,実際にこれを行動にうつせるかどうかは
別問題であり,多くの人が行動としてそれを行うことができなかったというのが
現実である.また被災状況によっては,その行動自体が困難であることも
十分あり得る.したがって,携帯できる''モノではなく,常時携帯
している’’
モノ,またはいざという時でも持ち出す可能性の高いモノに自分証明書の機能を
備えることが望まれる.この条件をふまえると,IT機器の中で最もこの条件を
満たしうる機器が携帯電話であると考える.
このたびの東日本大震災と携帯電話については,以下のような調査結果がある.
- 東日本大震災前と後に行われた調査によると,地震発生時にもしも一つだけ持ち出すとしたら? という質問に対して最も多かった回答は「携帯電話」であった[8, 9].
- 今回の大震災での避難場所における被災者へのインタビューで,衣食住の確保の次に必要とされたものの筆頭は携帯電話であった[4]
- 被災当時の状況を撮影した動画の1つに,動揺している中でも被災者が携帯電話を持って屋外に避難した様子が記録されていた[7]
これらのデータから,携帯電話はいざという時に持ち出すべき機器として人々も
意識しており,そしてそれが実際に行動にもあらわされている.したがって,
平時においても常時携帯され,また緊急時にも持ち出される可能性の高い
携帯電話は自分証明書機能を備える機器として好ましい特性を持つと言える.
3つめはコスト面でのメリットである.自分証明書はソフトウェアによる実装を想定
している.改ざん防止や情報漏洩,監査証跡のため記録装置やセンサーなどの
ハードウェアに安全性向上のための機能を追加実装する可能性があるものの,
基本的機能にはソフトウェアにより実現可能であると考えている.もしそれが
現実になれば,コスト面において大きな利点となる.すでに高い普及率である
携帯電話にソフトウェアを配布するだけですむため,ICカードを全対象者に
配布したり,特殊なハードウェアをシステム運用のために設置することを必要と
せず,安価にすむからである.
また今回の大震災により,携帯電話に対する人々の意識が以下のように変化し
始めていると言われている.
- 「携帯電話は不要」と決めつけていた人もその購入を前向きに検討する契機になった
- 携帯電話の多機能化を否定的にとらえていた人達が,その傾向に一定の理解を示す契機になった
- 子どもの携帯電話所有について見直す契機になった[5]
これらのことから,一般市民が携帯電話の所持することおよびその常時携帯を
控えるといった傾向を示す可能性は少ないと推測する.またその高機能化に
ついても``いざという時の備え’’として人々に許容される可能性が示唆されて
いると言える.したがって,仮に自分証明書の実現に向けて携帯電話の
ハードウェア改良が必要だとしても,それによる価格変動がよほど大きなものに
ならない限り,そのコスト負担に理解が得られる可能性はあると考えている.
4つめの利点は,端末の所持ならびにその扱いに注意が払われるという点である.
携帯電話はプライベートな情報が蓄積される機器であるがゆえに,他人はおろか
親しい間柄であってもその貸し借りは抑制される傾向にある.それは「恋人の
携帯電話をのぞき見るのは罪か?」ということが議論になることからも理解できる[18].
またモバイルSuicaのオートチャージなど携帯電話を通じて電子マネーを利用している
ならば,携帯電話を貸すことは現金を渡すことと同等のことになる.
携帯電話が持つこれらの特性は,携帯電話を第三者に貸すことを躊躇させる効果を
発揮すると考えられるが,これは自分証明書のプラットフォームとしても
好ましい特性であると言える.
また同様の理由で,携帯電話の所有者はその紛失や盗難に短期間のうちに気づく
可能性が高い.さらに紛失や盗難に気づいた場合には即座に必要な対応をとることが
想定される.これは窃盗や拾得により第三者が他人の自分証明書を悪用する期間が
短時間内に限定されるという利点につながるため,自分証明書の運用において
好ましい特性となる.
考察
安全性について
本節では自分証明書の安全性について考察する.
まずはじめに自分証明書からの情報漏洩と複製について考える.自分証明書に対する
これらの脅威への対策としては以下の対応が考えられる.
- a) 自分証明書に関する情報は携帯電話端末内に暗号化されて保存される
- b) 自分証明書に関する情報は,自分証明書アプリケーション以外の第三者アプリケーションからはアクセス不可能な記憶領域に保存される
- c) 自分証明書の利用時には,所持者と携帯電話端末間の間で本人認証を実施する
- d) 自分証明書は携帯電話上での提示でしか証明書としての効力を認めない(携帯電話画面のコピー等は証明書としての効力を認めない).
情報漏洩に対する対策は,上記の項目a) b) c)で行う.項目a),b)は自分証明書内の
属性情報が漏洩することを防ぐための技術的対策である.項目a)を実現するための
暗号化鍵は携帯電話内に安全性を配慮した形で格納されるものとする.つまり
暗号化された自分証明書情報を取り出したとしても,暗号化鍵が漏えいしない限り
情報漏洩は困難な仕組みとする.また項目c)は,悪意ある第三者に不用意に
携帯電話を操作し,自分証明書を閲覧することで自分証明書に記載の属性情報が
漏洩することを防ぐための仕組みである.これにより携帯電話端末の盗難や紛失
ならびに悪意ある者による一時的な携帯電話端末を悪用したとしても
自分証明書からの情報漏洩を困難にする.
%% つまり自分証明書は,それを作成した携帯電話上でしか表示できないように
%% するとともに,表示の際には作成者本人であることを検証する仕組みを
%% 備えることで,不用意な情報漏洩を防止する.
複製に対する対策は,項目a),b)による技術的対策のほかに運用規定として
項目d)を制定する.つまり自分証明書は携帯電話上で提示された場合のみ
効力をもつものと定義し,携帯電話画面のコピーや画面スナップショットの
画像による提示形態では,記載内容が事実であったとしても本人確認書類としての
効力を認めないこととする.つまり自分証明書の記載内容を物理的に紙に
複製したり画像として電子データ化した上で第三者の携帯電話画面上に
表示したとしても,それは自分証明書としては認められない.利用者本人の
顔+発話動画を自分証明書の一属性情報にしたことは,複製行為を防ぐ意味でも
効果があると考える.
%% 動画による複製はどう防ぐか?
%% 自分証明書内の不正な改ざんに対する対策としては,2つの
%% 改版履歴を記録することに
%% より対応する.自分証明書内の記載情報は,どれも頻繁に更新される情報ではない.
%% したがって,自分証明書内の各属性情報が最後に入力された日時を証明書内に
%% 常時提示することで不正な改ざんに対する対策とする.また自分証明書を作成する
%% 際に属性情報と作成時の時刻をセットとして生成されるHash値も不正な方法による
%% 改ざんを検知するのに有効である.
次に``なりすまし’’について考える.自分証明書は実在性及び同一性検証のための
情報として顔+発話動画を採用しており,さらに補完的な形質的検証情報として
身長ならびに手相情報を推奨している.これらは目視での検証が可能なため,
被災地などで機器類が稼働しない環境下でも自分証明書さえ閲覧可能であれば,
眼前にいる人物と自分証明書に記載の人物が同一人物かどうかは検証可能である.
また自分証明書内に記載の属性情報の一部を不正に改ざんすることで第三者が
被災者になりすます行為については,ライフログ情報の与信による同一性検証により
一定の防止効果が発揮できると考えている.
自分証明書は災害発生後に活用することを前提としているため,悪意を持った
第三者が被災地で携帯電話を拾得しても,その携帯電話が誰のものかわからない
ためその所有者に’’なりすます’’ことは困難である.また仮に避難所において
他人の携帯電話を窃盗し,その携帯電話の所有者になりすまそうとした場合には
顔+発話動画を更新する必要がある.しかしそれを行うと自分証明書内には
情報入力の履歴情報が残るため,最近になって顔+発話情報が更新されたことが
わかること,社会的関係による第三者検証によりなりすまそうとした第三者が
自分証明書に記載されている本人ではないことが発覚しうることから,一定の
なりすまし防止機能を備えていると考える.
%% また実際には被災していない人が被災者になりすますことへの対策としては,
%% ライフログの中の移動履歴、ならびに第三者による与信も効果を発揮すると考える.
%% 移動履歴の応用による検証方法としては,以下のものが考えられる.
%%
%% \begin{itemize}
%% \item Aさんの住所が被災地内と自分証明書に記載されていて,災害発生直前の
%% 過去一定期間の移動履歴もそれを示しているならば,その人は一定の確度で
%% 被災者であると言える
%% \item 災害発生直後の位置情報が記録されていて,その位置が被災地内であれば,
%% それはその携帯電話端末の所有者が被災者であることを示す証拠となる
%% \end{itemize}
%% 第三者の証言による検証方法としては,次のような例が考えられる.実際に被災した
%% ことが確認されているAさんがいる.そして被災の事実が未確認のCさんがいるとする.
%% この状況においてCさんが実際に被災した人かどうかを確認したい.このときCさんの
%% 携帯電話にAさんと音声通話をした記録が比較的多く残されていたので,Aさんに
%% Cさんの被災事実について問い合わせたところ,Aさんが「Cさんも私と近い場所に
%% いて被災したはずです」と証言が得られたとする.また自分証明書に記載の
%% 顔動画がCさんに間違いないと検証できた.こういう
%% 状況であれば,Cさんも被災者であると言えるだろう.
%%
%% 被災していない人が被災者になりすまして行う不正行為の事例として,
%% 銀行口座の不正開設や避難先のホテルや旅館での不正宿泊,公営住宅の
%% 不正入居などがあげられる.
%% これらについては自分証明書のコピーを保管し,被災地の役所機能が復旧した
%% ならば,その記載内容を住民票等の公的記録と照合して本人確認を行う.
%% 紙に自己申告で個人情報を記載してもらう方法との差違は,顔写真と
%% 携帯電話番号が得られる点である.
%%
%% また被災証明書をオークションで販売するという事件も発生したが,このような
%% 証明書は紙ではなく,自分証明書の一属性情報として発行することが可能になれば
%% 目的外利用による行為を防ぐことも可能になる.また被災後の生活復旧にかかわる
%% 各種証明書を紙で発行せざるを得ない場合には,自分証明書に保存されている顔
%% 写真を情報を証明書発行側に提供し,証明書内に顔写真を掲載することも今後は
%% 検討していくべきであると考える
携帯電話に求められる機能
携帯電話を自分証明書のプラットフォームにするためには,これまで述べてきた
安全性対策の実現が必要である.そのため携帯電話のハードウェアによる支援が
必要と考える機能として以下の4つの機能を挙げる.
I) 自分証明書アプリケーションのみがアクセス可能な記憶領域
この記憶領域は,自分証明書にかかわる情報が不用意に漏えいしないように
するための技術的対策として必要である.自分証明書ソフトウェアは,外部の
情報を利用する処理はあるものの,自分証明書内部の情報を外部の
アプリケーションに提供する仕組みはない.その仕組みを確立するためにも
この記憶領域は必要である.II) 読み出しと追記のみしか実行できない記憶領域
この記憶領域はライフログ情報,すなわち音声通話履歴,電子メール送受信履歴
そして移動履歴を保存するための記憶領域であるとともに,自分証明書自身の
操作履歴を保持するための記憶領域として利用する.ここで追記のみを許し
記録情報の更新を認めない理由は,すでに記録されている情報の意図的改ざんを
不可能にするためである.III) メディアデータ(動画/写真/音声)の生成機器と生成日時/場所記録機能
自分証明書で利用するメディアデータは,自分証明書が動作する携帯電話端末で
生成されたデータであることが必要条件であり,他人から譲り受けたメディアデータや
ネットワークを通じて取得したメディアデータを自分証明書の属性情報として使用する
ことは認めない.この条件を満たすために上記の機能が必要となる.自分証明書が
持つメディアデータがどのセンサーによって生成され,その作成日時と作成場所に
かかわる情報がメディアデータと不可分な形で生成され,検証可能なことが望まれる.IV) 携帯電話の特定コンテキスト記録機能
この機能は,不正なライフログ情報の作り込みを困難にするための
仕組みとして必要な機能である.ここで``特定コンテキスト’’という言葉が指す
状況変化イベントは以下の3つを想定している.- 携帯電話端末の電源オン/オフ時刻
- 時刻修正操作の発生時刻と修正値
- 電波圏外状況の発生と復帰に関する時刻
これらのイベントは,不正な行動履歴や自分証明書を作成する際に発生しうる
イベントであると考えており,こういったイベントが発生した事実を記録として
残すことで検証時に配慮することを考えている.
時刻修正は様々な履歴の発生時刻を意図的に変更するのに使用される可能性がある.
携帯電話の電源をオフにすることで,一部の行動履歴を携帯電話端末に残さず,
特定の場所にずっと滞在していたという虚偽の事実を作成することを可能にする.
電波圏外状況も電源オフと同様の効果を発揮しうる.したがってこれらの行為が
少なからず発生している場合には,自分証明書の内容に疑義が生じ,より詳細な
検証が必要な自分証明書だと言えるからである.
現行制度との比較考察
「行政手続きにおける特定の個人を識別するための番号の利用等に関する法律案」
(通称マイナンバー法案)が第180回通常国会に提出されている[20].
これに対して八木らの論文[21]では,この法案では「本人確認」という言葉が
曖昧な定義のまま議論されており「身元確認」「当人確認」「真正性の確保」
「属性情報取得」の4つ意味で混同した議論になっていること.災害救援時に被災者が
誰なのかを特定する行為は「身元確認」にあたり,そのために必要なのは形質情報
であると指摘している.これに対して自分証明書は,「顔+発話の動画」を必須とし,
補完的情報として「身長」と「手相」を保持することを提案している.このことから
災害時の身元確認に必要な要件を満たしていると言える.
携帯電話通信事業者は携帯電話の契約者に関する個人情報を保持している.
したがって,通信事業者が自分証明書と同様の仕組みを実現することも
可能である.しかし,そこには2つの問題があると考えている.
1つは同一性が担保困難になる可能性がある点である.
携帯電話端末の所持者が携帯電話の契約者ではない可能性があるため,
これを実現するには携帯電話を実際に所持するであろう人を決定し,
その人物の個人情報も通信事業者に預ける必要が生じる.
もう1つはネットワークの利用が前提になる可能性がある点である.
実装依存になるが,被災地域内に存在する携帯電話を自分証明書として利用
可能にするという仕組みであれば,その条件に該当する端末を特定する必要がある.
そのためには携帯電話端末の所在地を通信事業者が知る必要があり,
ネットワークの利用が前提になる.これは本論文での前提条件と反することになる.
これらの他にも,個人情報を民間企業に預けることに対するセキュリティや
プライバシーの懸念を覚える人もいると考える.技術的対応としては,個人で
管理するよりも通信事業者に個人情報を預けておいた方がより確実な個人情報
保護対策が実施されると言える.しかし個人情報の自己コントロール権[22]という
観点から考えると見方は大きく変わると考える.
自分証明書では基本4情報のほかに身体的特徴にかかわる個人情報も扱うため,
いわゆる個人情報以上の情報も扱うことになることから,そういった利用者の
懸念に配慮し,自身で個人情報を入力して証明書を作成し,その証明書が
不要になったならば自身で破棄できる仕組みとしておくべきであると考える.
%% 携帯電話の機種変更で通信事業者を変更した場合には,個人情報をあらためて
%% また別の通信事業者に個人情報を預けなければならなくなる.
おわりに
本論文では,大災害で本人確認書類をすべて失った被災者が生活を立て直す
ために必要不可欠な本人確認書類を迅速に復元するため,携帯電話で動作する
ソフトウェアとして「自分証明書」を提案した.携帯電話はすでに多くの人が
常時携帯している電子機器であり,また非常時の場面でも持ち出される可能性が
高いなど,本人確認書類を保持する機器として好ましい特性を持った機器である.
またメディアデータの作成/表示が可能であることは,本人確認書類を作成する
にあたって必要な情報を即座に収集することを可能にし,移動履歴や音声通話履歴
などライフログ情報が記録可能な特性は,本人確認書類が備えるべき要件である
実在性と同一性について,一定精度での検証を可能にしうることについて述べた.
今後の課題としては,公的機関の機能が復旧するまでの一時的な本人確認書類
としての位置づけから、平時においても永続的に使用可能な証明書にするための
検討を進めていきたいと考えている.
%% 小さな子供や高齢者の身分証明書の委任状を扱えるようにできないか?
%% => 一台の携帯電話に複数人分の自分証明書格納?
参考文献
[1] 平井たくや:オピニオン「官僚の官僚による官僚のための番号制度」その2,
http://www.hirataku.com/opinion/679 ,
参照日: 2012-10-18
[2] 法林岳之:大震災に考える,これからのケータイ&スマートフォン, ケータイWatch,
http://k-tai.impress.co.jp/docs/column/mobile_catchup/20110405_437289.html ,
参照日: 2012-10-18
[3] 東日本大震災,続々無料化,災害時に役立つiPhoneアプリ,日経BP社,
http://pc.nikkeibp.co.jp/article/news/20110315/1030787/ ,
参照日: 2012-10-18
[4] (株)野村総合研究所 震災復興支援プロジェクトチーム:第7回提言 震災後のICTインフラ整備及びICT利活用のあり方,
http://www.nri.co.jp/opinion/r_report/pdf/201104_fukkou7.pdf ,
参照日: 2012-10-18
[5] 変わる学校のケータイ所持ルール,東日本大震災を機に教育現場で見直しの動き,INTERNET watch,
http://internet.watch.impress.co.jp/docs/column/teens/20110630_457114.html ,
参照日: 2012-10-18
[6] 平井たくや: ひらたくブログ 世界最先端の本人認証国家へ,
http://www.hirataku.org/blog/653 ,
(accessed 2011-08-25)
[7] 2011/3/11 東日本大震災 発生時(仙台市) Earthquake in Sendai (2:15付近- 災害シーンの動画ゆえ閲覧注意), YouTube,
http://www.youtube.com/watch?v=j3fUqdGXLbM ,
参照日: 2012-10-18
[8] (株)マクロミル:地震の備えに関する調査,
http://monitor.macromill.com/researchdata/20090828earthquake/ ,
参照日: 2012-10-18
[9] (株)マクロミル:防災に関する調査,
http://www.macromill.com/r_data/20110825bousai/
参照日: 2012-10-18
[10] 総務省:行政手続等における本人確認に関する調査 [調査結果に基づく通知],総務省,
http://warp.ndl.go.jp/info:ndljp/pid/286922/www.soumu.go.jp/menu_news/s-news/2008/pdf/080912_3.pdf ,
参照日: 2012-10-18
[11] 佐藤一夫:ライフログ:2.プライバシー保護を考慮したケータイ行動ログの利活用について,情報処理学会学会誌,Vol.50, No.7, pp.598-602, (2009),
http://id.nii.ac.jp/1001/00060798/
[12] 今澤 貴夫, 小池英樹, 高田哲司: GPSデータを用いた位置認証システムとその停留点算出方式, コンピュータセキュリティシンポジウム2008, pp.707-712, (2008),
http://the.netaro.info/publications/kklab/pdfs/2008css_imazawa.pdf
[13] 黒川 茂莉, 横山 浩之, 吉井 和佳, 麻生, 英樹: 携帯電話通信時に得られる疎な位置情報履歴を用いた有意位置検出, 電子情報通信学会論文誌(D), Vol.95, No.4, pp.722-733, (2012),
https://search.ieice.org/bin/index.php?category=D&lang=J&vol=J95-D&num=4
[14] WikiPedia:「マナカナ」双子エピソード,
http://ja.wikipedia.org/wiki/マナカナ ,
参照日: 2012-10-18
[15] ITmedia:おサイフケータイで学生証: 日本初「携帯で利用できる学生証」–神奈川工科大,
http://plusd.itmedia.co.jp/mobile/articles/0512/16/news031.html ,
参照日: 2012-10-18
[16] Mobile Members Card モバイル証明書システム,(株)シー・エス・イー,
http://www.cseltd.co.jp/mmcard/model_biz.htm ,
(accessed 2011-08-25)
[17] 「東日本大震災・福島原子力発電所事故への対応に関する要望」について,(社)全国銀行協会,
http://www.zenginkyo.or.jp/news/2011/04/14160000.html ,
(accessed 2011-08-25)
[18] 解決! 法律塾 通信の秘密 - 他人の携帯覗き見は罪になるか,
http://president.jp/articles/-/4061 ,
参照日: 2012-10-18
[19] iOS 4は位置情報の全履歴をひそかに保存,同期PCから参照可能(可視化アプリ公開),engadget日本版,
http://japanese.engadget.com/2011/04/20/ios-4-pc/ ,
参照日: 2012-10-18
[20] 内閣官房:行政手続における特定の個人を識別するための番号の利用等に関する法律案(マイナンバー法案) 概要 (平成24年2月14日),
http://www.cas.go.jp/jp/houan/120214number/gaiyou.pdf ,
参照日: 2012-10-18
[21] 八木晃二,内山 昇,山崎崇生: 共通番号制度の実現に向けた「本人確認」のあるべき姿, 知的財産創造, 2012年6月号, pp.48-61,
http://www.nri.co.jp/opinion/chitekishisan/2012/pdf/cs20120605.pdf ,
参照日: 2012-10-18
[22] 豊島明子:個人情報保護法の理念と課題,
http://www.caa.go.jp/seikatsu/kojin/kouenkai/toyoshima.pdf ,
参照日: 2012-10-18
(Lost in 2020-06-23)
あとがき
この議論は「災害被災者の生活復旧支援を目的とした本人確認手段「自分証明書」の提案とその考察」という題目で2012年に情報処理学会論文誌に投稿したが,さすがにつめが甘くて採録には至らず,お蔵入りしていたものである.またこの拙稿の基になったのは以下の考察である.
「災害被災者の生活復旧支援を目的とした「自分証明書」に関する一検討 」
コンピュータセキュリティシンポジウム2011, pp.606-611, Oct. 2011.
情報処理学会電子図書館: http://id.nii.ac.jp/1001/00077998/
Maybe update in near future.
— ends here
「自分証明書」:携帯電話を用いた本人証明(本人確認手段)について