「前回」に続き、リスクマネジメントと技術導入のトレードオフを巡る事例として、銀行の生体認証機能付きキャッシュカードを取り上げる。今回は、2005年12月14日に日経ビジネスExpressの特別番組『不屈の経営』の中で公開した『メガバンクの生体認証キャッシュカード、安全性を巡るいくつかの論点』を再掲する。本稿では、インターネット上に公開されている論文を引用しつつ、生体認証機能付きキャッシュカードの是非を考えるための論点を整理してみた。枠組みは現在も有効と思うので再び掲載する次第である。
三井住友銀行が2005年12月19日から、「生体認証キャッシュカード」の受け付けを開始した。預金者の指2本の静脈パターンデータをICキャッシュカードに登録、このデータを使って本人かどうかを確認する。メガバンクにおける生体認証キャッシュカードの導入状況を見ると、東京三菱銀行が先行しており、三井住友銀が2行目となる。
マスメディアは、生体認証技術を使ったキャッシュカードを、銀行預金を守る切り札のように報道する。しかし、原則論として、いいことずくめの技術など存在しない。新しい技術を導入する際には、利点と欠点の両面を考え抜く必要がある。本稿では、生体認証技術を本人確認に使うことの是非について、いくつかの論点を提示する。
最初に言葉の定義をしておく。生体認証は「バイオメトリクス」の訳語として使われることがあるが適切とは言いがたい。バイオメトリクスとは、指紋・虹彩・静脈・顔・声といった生体情報(バイオ)を計測する(メトリクス)技術を指す。この技術の応用の1つが、キャッシュカードなどを利用する際の本人確認である。生体認証と訳してしまうと、バイオメトリクスは本人確認だけを指すような印象を与えかねない。
実際、バイオメトリクスは、本人確認にとどまらず、空港や高速道路で個人を識別するといったことに使われている。例えば、指名手配された犯罪者をつかまえるために、犯罪者の顔情報を使って、空港や高速道路の利用者を識別できる。これもバイオメトリクスの応用だが「この人が犯人である」と“本人確認”をしているわけではない。犯人である可能性がある人を識別できればよいのである。
利便性は落ちても安全ならよいが
バイオメトリクスを使った本人確認(生体認証)を巡っては、次の3点について考える必要があろう。
●安全性
第1は、本当により安全になるのか、である。銀行キャッシュカードにバイオメトリクスを適用する狙いは、暗証番号と磁気ストライプを組み合わせた既存のキャッシュカードよりも安全なカードを用意することにある。この狙いを達成できるのかどうか見極める必要がある。
●技術リスク
第2は、この新技術が将来のリスク要因にならないか、である。バイオメトリクスを使うことで通常のキャッシュカードより安全になるとしよう。しかし犯罪の技術も日進月歩である。生体情報をカードに入れて持ち歩くことが将来、問題にならないのかどうか。
●経済性・利便性とのトレードオフ
第3は、トレードオフである。安全は守れ、将来も危険がないとしても、導入に非常にお金がかかるとしたらどうか。また、利便性への影響はどうなのだろうか。
最初に筆者の考えを述べておく。東京三菱銀行が銀行キャッシュカードに生体認証技術を導入するとの一報を聞いた時、その動きを受けて2005年2月末に三井住友銀行が生体認証技術の導入意向を表明した時、筆者は投資対効果に疑問を抱いた。生体認証を使うより、預金口座に保険をかけるなどして、被害者が失った預金を補償した方が安上がりなのでは、と思ったし、そうしたことを書いた経緯がある。
利便性はどうか。三井住友銀行の発表資料を見ると、生体認証に加えて暗証番号を利用する代わりに、磁気ストライプは使わないと記載されている。このため、この生体認証キャッシュカードは、三井住友銀行の専用ATMでないと利用できない。指による認証に加え、従来通り、暗証番号を打ち込まないといけないから、利便性は下がる。
誤認証をゼロにはできない
もちろん、費用がかかっても利便性を犠牲にしても、安全をとにかく重視する、という経営方針があってもおかしくない。となると問題は安全性である。実は、バイオメトリクスを生体認証(本人確認)に使うことについて、慎重意見ないし反対意見が存在する。今回は、そうした意見をいくつか紹介したい。ただし、結論は保留するので、読者の方々は自分なりにこの問題を考えてみていただけたらと思う。新技術の利点とリスクを多くの人が考えることが重要と思うからである。
まず、弊社の専門誌記者の論考を紹介する。日経バイト記者の堀内かほりが2005年10月に書いた「生体認証の上手な使い方」では、「生体認証を利用すれば万全のセキュリティを得られるのだろうか」という質問に対し、「否」という回答を出している。その理由を堀内は次のように書く。
「いずれの方式にせよ、生体情報を使うがゆえの弱点があるからだ。特に、(1)誤認証がゼロではない、(2)なりすましが可能、(3)生体データは生涯不変、という三つが問題だ」
誤認証が起きる可能性については、日本IBMのe-セキュリティー・オフィサーである石垣良信氏も、「指紋などの生体認証を計画する時の注意点 -個人情報保護の観点から」の中で「100%の認識率はありえないので代替方法が必要」「代替の認証方式は生体認証と同程度以上の厳密さが必要」と指摘している。
目下のところ、代替の認証方式は暗証番号になってしまう。ところが、もともと4ケタの暗証番号は盗まれやすく、あるいは類推されやすく、安全ではないとされ、それゆえに生体認証の導入が検討された経緯がある。となると生体認証と暗証番号を組み合わせたとしても、全体として安全性は高まっていないという理屈になる。
このあたりの理屈を、ニーモニックセキュリティ代表取締役の國米仁氏は、「奇怪論理と優良誤認に脅かされる情報セキュリティ」という論文で詳しく説明している。この論文は2005年6月18日、日本セキュリティ・マネジメント学会で発表された。
國米論文によると、誤認証には、本人であるにもかかわらず本人ではないとシステムが判定してしまう場合と、本人ではない他人を認証してしまう場合の2通りある。前者が起きる確率を「本人拒否率」、後者の確率を「他人受容率」と呼ぶ。國米論文によれば、「生体認証は、本人拒否をゼロに近づけようとすると他人受容率が際限なく撥ね上がり、他人受容率をゼロに近づけようとすると本人拒否率が際限なく撥ね上がり、という原理的な制約を抱えた技術である」。つまり本人を本人ではないと誤認識しないようにすると、他人を認証してしまう率も高まってしまう。
國米氏は、生体認証キャッシュカードについて、「本人拒否率をゼロに近づけるようにしているなら、他人受容率は撥ね上がっているはず。他人排除力に期待を持てないから、暗証番号で補強するしかない。もしそうなら、他人排除に期待を持てない生体認証と他人排除に期待を持てない暗証番号を組み合わせていることになる」と指摘し、強固なセキュリティを標榜することは到底できない、と分析している。
