β版
目次 | <<前へ| 次へ>>
| 2005年03月14日(月) | 生体認証について考える |
先日、生体認証について書いてから、僕のBBS上でいくつかのやり取りがあり、僕ももう少し考えてみた。
まず、メガバンクの生体認証カードの場合、非接触ICカードであるEdy機能、クレジットカード機能、銀行キャッシュカード機能は一枚のカード上にありながら、別の「ようである」。
生体認証は、銀行キャッシュカード機能だけで使われている「ようだ」。
また、生体認証のためのデータは、サーバー上ではなく、ICカード上に存在する「らしい」。
すなわち、サーバー側から生体認証データが流出することはない。
もちろん、ローカルで保持するICカード上に生体認証データが存在することになるので、生体認証情報の記録されているICカードの自己責任による管理は必要である。
だが、自分の預かり知らぬサーバー上で代わりの効かない一生モノである生体認証データを管理されるよりは、自分で管理できるICカード上に情報があるほうがずっといい。
銀行側の責任の都合上、自社内のサーバーで重要な生体認証データを預かりたくない、という事なのだろうけれど、これは僕にとっても納得のできる仕様である。
だが、今後出てくるであろう生体認証システムでは、サーバー側で生体認証データが保持されることが多くなっていくと見られる。
生体認証データを保持したICカードは発行コストも高くなる。
コスト高のICカードを発行せず、サーバー側だけの処理で済むサーバー認証型の生体認証は、増えていくだろう。
生体認証の議論がまだそれほど深まっていない現状では、「生体認証=安全」という印象が強い。
生体認証は今後、普及していくだろう。
そして、生体認証に対するプライバシーやセキュリティーに対する議論が本格的に高まっていくことになると考えられる。
現状では、「何だかわからないけどプライバシーがどうのこうの」という扱い。
確かに僕にも生体認証に対する「漠とした不安」はある。
その不安は、生体認証の認証キーである僕の生体が唯一不変のものであり、変更がきかないからだ。
だが、一方で生体情報が流出した場合、具体的にどのようなトラブルが想定されるのか、という問いについては、ただ「漠とした不安」であり、根拠がない。
プライバシーの何が問題なのか?論点がわからない。
僕の生体情報に関しては、人間ドックの検査を受けている病院のデータベースのほうが情報満載だ。
普通に考えて、病院よりメガバンクのほうがセキュリティーレベルが高いだろう。
生体認証データが流出した場合、実際に被害が生じるのは、僕の生体認証情報が複製可能な場合である。
複製できなければ、僕の生体認証情報が流出したところで、実被害は想定しづらい。
生体認証は、生体が複製できなければトラブルは生じないのではないか、と思う。
生体認証データが流出したところで、その情報が複製できないのであれば、大きな問題は生じないのではないか、と思う。
気持ち悪さは残るけど。
だが、指紋認証は、「グミ指」で複製可能なので×。
音声認証も、テープレコーダーで再現可能なので×。
虹彩認証は、コンタクトレンズに虹彩パターンをプリントすることにより、再現可能かと思ったが、虹彩は生体のものでなければならないようなのでギリギリ○。
静脈認証は、流出したとしても、静脈を再現できるとは思えないので○。
と、いう事で生体認証は選択を誤らなければ、それほど危険でもないのかな、と思う。
でも指紋に関しては、「グミ指」が作れる時点で、生体認証云々の前に、通常の事件で冤罪が起きる可能性があるのではないか、という気もする。
■2005年03月10日(木) セキュリティー強度と利便性のバランスは難しい
http://www.enpitu.ne.jp/usr9/bin/day?id=99799&pg=20050310
目次 | <<前へ| 次へ>>
リンク、引用はご自由にどうぞ。@your own risk
当サイトの内容は筆者が勤務している企業の見解とは無関係です。