説明資料
個人認証における本人拒絶・他人受容問題 V2.0

Report No.020311

本人確認・個人認証におけるトラブルは本人拒絶と他人受容に大別される。記憶照合(M: Memory)・所持物照合(D: Device)・生体照合(B: Biometrics)のそれぞれについて検討してみる。

.記憶照合: 在来の暗証番号/PIN、パスワード、パスフレーズ、絵文字パスワード等が該当する。当社のニーモニック認証もこの範疇に入る。
本人拒絶: 忘却或いは本人の入力ミス以外考えられず明確にユーザーの責任である。
他人受容: 他人に簡単に類推されるような安易な照合データを使っていた場合やメモなどに書き留めたものを見られた場合等以外にはまず起こり得ないと想定し、禁止事項を明記した上で原則ユーザー責任とする取り決めをすることが可能である。

.所持物照合: 鍵、ICカード、ハードトークン等。
不所持による本人拒絶: 明確にユーザーの責任である。
併用する記憶照合データの忘却・入力ミスによる本人拒絶: 明確にユーザーの責任である。
所持物の盗用による他人受容: 管理を怠ったユーザーの責任である。
(盗人を告発・告訴するのはユーザーの問題)
*記憶照合を併用する場合の記憶照合データの漏洩による他人受容: ユーザーの責任であるとの取り決めが可能である。

.生体照合: 指紋、顔、声紋、虹彩、網膜、静脈紋、骨紋、DNA等。
忘却と不所持はありえない。
本人拒絶: ユーザーの責任でないことは明確である。
他人受容: ユーザーの責任でないことは明確である。
*記憶照合併用の場合の他人受容: ユーザーも含め誰の責任か不明である。

.考察
管理者データベースからの照合データ流出はM・D・B全てのケースで起こり得ることで、相対評価に対しては中立であると考えられる。またハードウエアの不調或いはソフトウエアの不具合によるトラブルも同様に中立と考えられる。本稿ではユーザー個人と端末機の間の空間で起こりえるトラブルについて考察する。

本人拒絶によって業務や権利・義務の遂行を断念せざるを得なくなった場合には、責任者が損害賠償を要求されるケースもありえる。MとDの場合にはユーザーに責任を求められることが明確であるが、Bの場合にはユーザーに責任を求めることが出来ないことのみが明確である。

また、他人受容によってユーザー或いは関係者が損害を蒙った場合にも、MとDの場合にはユーザーに責任を求めることが可能であるが、Bの場合にはユーザーに責任を求めることが出来ないことのみが明確である。

では何故Bのみがこうした特異性を抱えているのかを考えてみると、本人の積極的で意思的な行為を要求しないということにその原因を見つけることが出来ると考えられる。忘却も不所持もありえないということをBの長所として謳う人達もあるようだが、忘却も不所持もありえないということが実はBの特異性の主な原因だと考えられるのである。ユーザーに責任を求めることが出来ないということ以外に何ら明確にし得ないという特異性は、言うまでもなく社会・経済活動においては重大な欠陥である。

記憶を忘れない様に保持する意思的な所作、所持物を忘れないように常に注意する意思的な所作、及び認証時の入力作業、こうした所作の有無が本人拒絶・他人受容問題での責任特定を明確にしているのだが、Bの場合にはこうした意思的な所作を要求しないために、本人拒絶・他人受容が起こった場合にユーザーに責任はないことのみしか明確といえるものがないという事態になる。

Bはアナログ系計測技術によるものであるから本人拒絶と他人受容とはトレードオフ/相反の関係にあり両方をゼロにすることは現実的には不可能である。その旨をセンサー及びその判定ソフトの仕様書に明記してあるとすれば、誤作動の証明が出来ない限りセンサーと判定ソフトの供給者に全ての責任を負わせることは出来ないだろう。では生体照合では本人拒絶も他人受容も原理的にゼロには出来ず、また複製による他人受容も起こり得る、と知りながら採用した或いは採用を勧めた企業に責任を追わせるべしということになるのだろうか。理論的には経済的損害には保険による損害補填が有り得るとしても、責任特定不能という状況で実際に可能だろうか。ともあれ、ここから先は技術論を離れるので立ち入らないことにする。

ここで照合プロセスの視点から同じ問題を見なおしてみたい。

Mの場合には、ユーザーが特定の記憶対象を照合データとして意思的に覚え、意思的に記憶を継続してきた情報を想起して、その内容をキーボード等を通じて意思的に入力する。システムではその内容を登録データと比較し、合致していれば認証し、合致していなければ拒絶する。意思的な所作の存在は疑う余地がない。

Dの場合には、ユーザーが照合用として意思的に所持してきたデバイスを端末機に装着すると、システムはデバイス内の情報と登録データを比較し、合致していれば認証し、合致していなければ拒絶する。デバイスの盗用に対しては全くの無力であるが、盗用に対する防御としてMをAND方式で併用している場合には上記Mのプロセスによって他人を拒絶することが可能となる。意思的所作の有無は責任特定にあたってこの手法でも重要な役割を果たす。

Bの場合には、意思的所作不要のままに保持されている本人或いは他人の肉体の照合部分或いは複製物上の特徴データがシステムに読取られ、システムはその内容を登録データと比較し、合致している確率が基準に達していれば認証し、達していなければ拒絶する。ユーザーの意思的所作の有無を問わないシステムでは、読取られたデータの源が本人の肉体か、その特徴の複製物か、或いは良く似た特徴を持つ他人の肉体なのかの判定を行うための材料の入力を全く得ていないため、ただ判定基準に達しているか達していないか、つまり受容と拒絶という機械の判定結果が残るだけである。誤った結果が得られた場合、記憶/記憶保持・受領/所持・想起・認知/比較/選択といった意思的関与を一切要求されていないユーザーの責任を問うことは不可能である。

.結語

アナログ系計測技術としてのバイオメトリックスは識別分野(例えば99.9%の確率で例の人物との判定をすることで目的を完了できる分野)では素晴らしい可能性を秘めた技術であろう。また、国防など責任問題について一般社会とは異なる規範を適用できる特殊な分野においては個人認証手法として使い得る場面があるのかも知れない。しかし、一般経済社会、特にインターネット環境での本人確認・個人認証では、本人拒絶・他人受容が発生した場合の責任を特定することが原理的に不可能な技術の応用には極めて慎重であるべきで、実際的には記憶照合・所持物照合或いはその複合形態の中から目的に応じた手法を検討すべきものと考える。尚、本人拒絶問題の対応策として広く使用されているバックアップパスワードはセキュリティを崩壊させてしまうものであるが、この点は良く知られていないようだ。この皮肉な現象については別稿「セキュリティ・パラドックス」を参照されたい。

文責 國米 仁
[ このウィンドウを閉じる ]