読者の皆さんは,2006年末にリリースされる予定の「Windows Vista」のことをどう思っているだろうか。筆者は,Windows Vistaのあまり話題になっていないある機能のことを,非常に高く評価している。それは,セキュアな電子商取引(Eコマース)を簡単に実現する「InfoCard」という技術だ。InfoCardがユーザーにどのようなメリットをもたらすか,InfoCardの「使用前」と「使用後」を比較しながら解説しよう。
Eコマース・サイトで商品を選択して注文するときのことを想像してみよう。仮にそのEコマース・サイトを「Bigfirm.com」とする。ユーザーはまず,Bigfirm.comにアカウントを作成する必要がある。アカウント登録時には,住所や電話番号,その他の個人情報を入力しなければならないだろう。これらの情報は品物の配送目的で使用されることが多いが,たとえ品物がダウンロードできるソフトウエアであっても決済目的に要求されることが多い。また,ユーザー名とパスワードの作成も必要だ。アカウントを作成したら,クレジットカードの情報(名前,16けたのクレジットカード番号,カードの裏でこすれて見づらくなっているCVV2と呼ばれる番号)を入力する。これでようやく注文が完了し,商品が発送される。
InfoCardがあれば,この手順がより簡単になる。InfoCardはハードディスクに保存されたデータで,あなたの財布の中にある,物理的なクレジットカードと同様の役割を果たす。クレジットカードの発行主体が銀行やカード発行会社であるように,InfoCardも外部の機関により発行,保証される。余談だが,財布の中に入っている紙のカードと同じように,InfoCardを勝手に作成することも可能だ。ただし,このInfoCardは誰からも保証されない。これはKinko'sで名刺を作るのと同じと考えればよい。あなたは自分の名刺に「竜を退治して死者を蘇らせます」と書けるし,それを誰も止めることはできないが,誰もその能力を証明してくれない。
Eコマース・サイトごとのユーザー登録が不要に
次に,InfoCardを使う場合の買い物の手順を考えてみよう。まず,オンライン・ショッピングに本来不要な個人情報を入力する必要がなくなる。例えば,ソフトウエアをダウンロード購入する場合は,電子メール・アドレスだけ入力すればよくなる。支払い方法は,クレジットカードや小切手,請求書の発行などに加えて「InfoCard」を選択できるようになる。
InfoCardを選択した場合,画面には様々なカード(これがInfoCard)の画像が表示される。画像の1つを選択したら,クレジット・カード会社のWebサーバーが,ユーザーのパスワードやスマート・カードといった認証情報を確認する。手続きが完了すると,オンライン・ショッピング・サイトには,正常に商品の注文が終了したことを知らせるページが表示される。一見しただけでは,InfoCardの手順は現状の手順とさほど変わらないが,見えないところで大きな変化がある。
これまでは,品物を選択して個人情報を提供していたが,通常のオンライン・ショッピングでは不要な情報も多かったはずだ。ダウンロードできる商品を購入した場合に提供する情報は,電子メール・アドレスのみでよい。支払い方法は,クレジットカード,小切手,請求書の送付,InfoCardなどを選択できる。InfoCardを選択した場合,次にローカルに保存されている複数のInfoCardの中の,どのInfoCardを使うのか選択する画面が表示される(クレジットカードを現す小さな画像がいくつも表示されている)。ここで画像の1つを選択すると,そのクレジットカード発行会社のWebサイトに接続されるので,ユーザーはパスワードやスマート・カード情報などの認証情報を入力する。手続きが完了すると,Bigfirm.comのWebサーバーは,商品の注文が正常に終了したことを知らせるページを表示する。
一見すると,InfoCardを使った買い物手順は現状の手順とさほど変わらないように思われるが,見えないところで大きな変化がある。
InfoCardのユーザー情報は2048ビットの暗号化キーで保護
まず,InfoCardを使う際に入力する情報は,通常のオンライン・ショッピングに必要となる情報よりもずっと少ない。16けたのクレジットカード番号を入力する必要もなければ,目をこらしてCVV2とかいう番号を確認する必要もない。これは大変便利だ。
また,InfoCardにおける情報保存手法は,「Google Toolbar」の自動入力機能といった既存のアプリケーションにおける情報保存方法と比較しても,かなり安全でもある。これらのアプリケーションは,Webサイトで入力されたクレジットカード番号を,ハードディスクのどこかに暗号化して保存している。InfoCardの暗号化は,これらよりもずっと強力なのだ。
InfoCardがハードディスクに保存する情報は,Windows DSS API(アプリケーション・プログラミング・インターフェース)によって保護されている2048ビットの暗号化キーによって,厳重に暗号化される。また,悪意のあるユーザーによってパソコンを盗まれ,その2048ビットの暗号化キーを解読されても,その悪意のあるユーザーは,InfoCardの発行会社が発行したユーザー番号しか分からない。このユーザー番号は,クレジットカード番号やユーザーの名前ではないし,「商品の購入に十分なお金を銀行に預けているか」といったクレジットカード会社が必要とする情報の一覧でもない。
例えば,筆者のハードディスクに政府発行のInfoCardが保存されていて,そのInfoCardに筆者の名前,ソーシャル・セキュリティ・ナンバー,身長,目の色など個人を特定できる情報が含まれるとしよう。もし悪意あるユーザーがInfoCardのデータを盗んでも,InfoCardに正常にアクセスしない限り,筆者の目の色が灰色であるという情報を入手できない。InfoCardの発行者が筆者の目の色の情報を提供するのは,InfoCardに正常にアクセスしたときだけだ。
Eコマース・サイト側にもメリットがある
InfoCardを使えば,詐欺を減らすことも可能になるだろう。Eコマース・サイトがユーザーの情報を大量に集めるのは,クレジットカード詐欺に備えるためでもある。ご存じの通り,クレジットカード詐欺はオンライン・ショッピング会社の売り上げにとって大きな問題である。盗んだクレジットカードを使ってだれかがEコマース・サイトで買い物をした場合,(カード所有者が本当に買い物を行ったことをEコマース会社が実証できなければ)クレジットカード発行者はカードの所有者の側に立つ。つまり,筆者がBigfirm.comからなにかを購入し,「こんなもの買った覚えはない」と言ったら,クレジットカード会社は筆者の言い分を信じるということだ。そして,詐欺による被害を補填するのは,クレジットカード会社やユーザーではなく,Eコマース会社なのである。
Eコマース会社がユーザーに関する多くの情報を入手するのは,こういった事態に備えるためだ。クレジットカードの所有者がこの注文は詐欺だ,とBigfirm.comに申し出た場合,Bigfirm.comはオンライン取引で入手した情報を確認し,クレジットカード発行会社に「Minasiという人がこの商品を購入していないなら,どうして購入者はMinasiの名前,住所,電話番号,CVV2の数字,母の旧姓を知っているのか?」と反論するわけだ。もっとも,これはEコマース会社側の言い分である。彼らがユーザーの情報を集めるのは,ユーザー情報をデータベースに蓄積し,ユーザーにスパム・メールやジャンク・メールを送りつけ,ユーザーを追跡するためでもあるだろう。
InfoCardは,こういった業界慣習を変えるだろう。InfoCardを支払い手段に使う場合,ユーザー認証はEコマース会社ではなくクレジットカードの発行者が行う。Eコマース会社は注文記録をカード会社に渡し,カード会社はユーザーが注文を行ったことを確認できようになる。Web上のEコマース・サイトとは異なり,クレジットカード発行者がユーザーに求めるのはID確認だけだ。InfoCardを使用すれば,ベンダーのWebサイトからソフトウエアをダウンロード購入した場合でも,ベンダーのマーケティング用データベースに自分の情報が登録されることはなくなる。ユーザーはソフトウエアをダウンロードしただけなのだから,ベンダーがユーザーの住所を知る必要は全くない。
InfoCardは「ID詐欺」も防ぐ
また「ID詐欺」もInfoCardによって減少するだろう。ID詐欺とは,ユーザーのIDとパスワードを知ったベンダー自身が,そのIDとパスワードを別のEコマース・サイトで悪用するような事態である。
もう少し詳しく説明しよう。多くのEコマース・サイトは,ユーザーに対してアカウントの作成を要求する。これはつまり,50のEコマース・サイトで買い物をするなら,50個の異なるユーザー名とパスワードが必要になるということだ。しかし,多くのユーザーが同じユーザー名とパスワードを,異なるEコマース・サイトで共用しているのが現状だ。もし,Bigfirm.comの管理者が悪人で,顧客のユーザー名とパスワードの一覧を盗んだ場合,その管理者はユーザー名とパスワードの一覧を,他のEコマース・サイトでも試してみるはずである。
たくさんのユーザー名とパスワードを使い分けるのは容易ではないので,ユーザーによる同一ユーザー名/パスワードの共用は,そう簡単に無くならないだろう。しかし,決済にInfoCardを使えば,アカウントの役割はサイトでのユーザー認証を簡単にすることだけに限定される。アカウント情報の中に,クレジットカード情報などが含まれなくなるので,たくさんのEコマース・サイトにアカウントを所有し,その管理が甘くなっても問題は生じない。ユーザーが厳重に管理すべきユーザー名とパスワードは,InfoCardを発行する機関に登録しているものだけになる。
InfoCardの話は尽きないが,この記事のスペースは尽きてきたようだ。この解説を読んで,InfoCardに興味を持っていただけたら幸いである。InfoCardを使用するのにWindows Vistaを待つ必要はない。InfoCardはInternet Explorer(IE)7.0に含まれているので,Windows Server 2003 Service Pack 1(SP1)またはWindows XP SP2で利用することも可能になる。
