英Metachargeという企業が,英国で電子商取引(EC)向けセキュリティ・サービスの提供を開始した。Webサイトの運営者は1人当たり約2ドル払えば,英国の選挙人名簿,英British Telecom(BT)の電話帳,死亡者データベースで顧客の身元を確認できる。
安くはないサービスだ。Metacharge社はオンライン・ゲームなどリスクの高い業界を主要顧客と考えている。このシステムの背後にある経済学は,なかなか面白い検討対象だ。この経済学は,詐欺と身元情報窃盗に関連する“外部性(externality)”を浮き彫りにし,Webサイト側では問題を解決しようとしない理由を明かしてくれる。
Metacharge社の使用する死亡者データベースは興味深い。同社によると,「身元情報窃盗で最も急増している手口はフィッシングではなく,故人の情報を手に入れて信用を得る行為」という。
Webサイトにとって,この経済学は単純だ。顧客が生きているかどうかを確かめるのに2ドルかかる。顧客が実際には故人である確率(つまり,詐欺である確率)と,その顧客によって被る平均損失額をかけた値を計算しよう。これが2ドルより高ければ,このサービスは成り立つ。2ドルより低いと,サービスの意味は失われる。例えば,1万人の顧客のなかに故人が1人いるとして,故人1人当たり1万5000ドルの損失が発生するなら,サービスを利用する価値はない。故人1人当たりの損害が2万5000ドルになるか,故人の存在確率が2倍になると,サービスは成り立つ。
次に,生きている人をかたった身元詐称を見破る同種のサービスがあるとしてみよう。ここでも同じ経済学の分析が通用する。しかしこの場合には外部性がある。Webサイトではなく,被害者の負担となる詐欺のコストが新たに発生する。生きている人の身元情報が詐欺に使われる確率を1万人に1人とし,この詐欺でWebサイト側には1万5000ドルの,身元情報を使われた被害者には1万ドルの損害が生ずるなら,Webサイト運営者は被害総額に比べて料金が安いのに「サービスが割に合わない」と結論づけるだろう。だからこそ,Webサイト運営者の負担となるコストを上げる法律が必要なのだ。
さらに,別の経済学的なトレードオフがある。Webサイトには,こうしたサービスを使って顧客を確認するタイミングは基本的に2回だ。1回目は顧客がサイン・アップするときで,2回目は何らかの未納が起きたときだ。顧客に及ぶ被害のほとんどは未納が信用調査所に委ねられた後で発生するので,この時点で手間をかけて身元を確認することは意味がある。有料で行う確認の回数がはるかに少なくなるので,確認作業に必要なコストに限ると,Webサイトの負担額は安くなる。しかし,この2回目のタイミングはWebサイトとしては被害を受けた後なので,Webサイト運営者がこのメリットを受けようと自発的に考えることはない。「経済学がセキュリティを向上させる」ともう一度書いておこう。
<http://www.theregister.co.uk/2005/10/21/...>
Copyright (c) 2005 by Bruce Schneier.
◆オリジナル記事「Preventing Identity Theft: The Living and the Dead」
◆「CRYPTO-GRAM November 15, 2005」
◆「CRYPTO-GRAM November 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
