価値あるバイオメトリック・システムを構築・運用するために考えるべきこと

産業技術大学院大
瀬戸 洋一

　指紋によるモバイル機器認証，銀行ATMにおける静脈認証，IC旅券での顔データ保管，IC運転免許証での顔データ保管──。これらバイオメトリクス（生体認証あるいは身体認証）は身近な存在になりました。

　ところが，まだ導入にはいろいろな問題があります。本記事では，技術の導入に際して，ベンダーとユーザーが考慮すべき重要なポイントを述べます。

2001年を境に見方が変化

　バイオメトリクスの重要性が認知されたのは，2001年です。関係者の間では，2001年を普及元年と呼んでいます。

　さて，元年から7年たちました。皆さんにとって，やっと7年でしょうか？もう7年でしょうか？ 長い日々，技術開発や市場の立ち上げに悪戦苦闘してきた私にとっては，もう7年も経ったというのが実感です。

　2001年に起こった米国での同時多発テロを境に，バイオメトリクスへの見方が大きく変化しました。それ以前，バイオメトリクスについては「使えるのか使えないのか」といった議論ばかりでした。また，限られた市場に限定して利用されているだけでした。

　しかし，9月11日を境に，「なぜ使わないのか」，「バイオメトリクスは本人確認における主流の技術である」という意見が市場の大勢となりました。

期待されるほど成長していない

　日本においては，2005年に金融機関のATMにおける本人認証機能として静脈装置が実装され，2006年にはIC旅券，2007年にはIC運転免許証への顔データの実装および認証運営といったように，社会基盤システムに展開され，着実に実績を重ねています。ですが，どうも期待されているほどは成長していないと感じているのは，私だけでしょうか？

　バイオメトリクスはメリットとデメリットを併せ持つ技術だと思います。つまり，バイオメトリクスで扱う情報は究極の個人情報なので，その人の存在を確実に認証できるというプラスの要素と，究極の個人情報ゆえに盗難された場合のリスクが大きいというマイナスの要素を持っているわけです。

　この二つの対立する事実を内包していることを，システムの導入者，製品技術の提供者（ベンダー）が利用者に適切に説明することができないでいることが問題であると考えます。

懸念する三つの要素

　この技術を導入するうえで，私が懸念している三つの要素を述べたいと思います。

　一つ目は精度の捉え方です。二つ目は，バイオメトリクス自身がもつセキュリティ上の弱さに関する取り扱いです。三つ目はプライバシーへの配慮です。以上の三つの要素を，ベンダーとユーザー（システムの導入者と利用者）の双方で正しく把握し，この技術を導入するべきだと考えます。

（1）製品精度と運用要求精度

　私は，1999年に独立行政法人情報処理推進機構のプロジェクトを受託し，精度評価のフレームワークおよび数学的手続き方法を開発しました。開発したのは，図1に示すように，ベンダー・サイドが必要な「製品に対する精度評価の方法」と，ユーザー・サイドで必要な「運用要求精度を定義する手順ガイドライン」でした[1]。

図1●製品精度と要求精度の関係

　これらは，日本工業規格の技術文書となっています。また，国際標準化委員会から技術文書として発効される見込みとなっています。ところが残念なことに，これらの精度に関するフレームワークは，関係者の間で重要性は認識されていますが，実際の製品カタログや入札条件には反映されていません。

　また，製品精度と要求精度が混同されています。製品精度とは，ベンダーが開発した技術の保障レベルのことです。一方，要求精度は，製品精度とは関係なく，運用されるシステムでどの程度の性能を確保しなければならないかという値です。

　混同されている典型的な例は銀行のATMです。バイオメトリック認証装置に要求される精度は，4桁のPIN（個人ID）番号と同程度の10の4乗分の1という数字がいつも一人歩きをしていました。では，PINで本当にこの精度が達成されているかというと，誕生日や電話番号などを利用しているため，それだけのランダム性は達成されていないのが実情です。となると，10の4乗分の1という精度の信憑性も怪しくなってくるわけです。これは，数値が先行してしまった悪しき例といえます。要求精度が不明確な状況では，正しく適用システムの要求性能を検討できず，ベンダーは製品精度を追求するしかなくなるわけです。

　現在，要求精度が置き去りになっているため，精度評価は製品精度の数値競争に陥っています。この結果，標準に準拠した測定方法での精度はカタログに記さず，実験室内で測定した精度数値で競うような状況になってしまったわけです。適切な判断材料を得るためには，まずはユーザーが自らのシステムの要求精度を明確にする必要があるように思います。

（2）脆弱性の取り扱い

　セキュリティ上のシステムの弱点（脆弱性）に対する考え方は，バイオメトリック認証装置が，画像処理装置として扱われていた（本人認証はしない）時代には問題ありませんでした。しかし，ネットワークにつながれて本人認証に使われるようになると，セキュリティの観点で技術を検討する必要がでてきました。

　画像処理装置の場合，カタログにはパターン認識の精度と処理時間の二つを記載すれば，その製品を評価できました。ですが，セキュリティ製品になると，偽の身体情報を提示していないか判定する生体検知技術，あるいは，保管された身体データを盗難されたときの対策となるキャンセラブル技術などの能力を明記しなければ，製品の評価は難しくなります[2]。

　パターン認識の精度は（1）で説明したように国内外で標準化されましたが，セキュリティ強度に関しては　現時点で有効な測定手段がありません。この問題に警鐘を鳴らしてから既に3年たちますが，大学，国の研究機関では動きがありません。一部企業で手順としてのセキュリティ評価の開発が国際標準を舞台に行われているだけです。

　また，脆弱性の研究は脅威（攻撃）の洗い出しとその対策のペアで行うべきですが，企業内においては，開発した技術の問題点を列挙するような研究は行うことが難しく，たとえ研究を行っても公開は不可能です。これではユーザーに有益な情報を提供することはできません。脆弱性に関しては，企業と大学とで連携して研究開発することが重要になりますが，両者の歯車がうまく回っていないのが日本の状況です。

　もう一つの問題は，脅威の情報を公開するフレームワークがないことです。表1に示すように，紙幣やコンピュータ・ウイルスに関しては法的に罰則規定が明確であり，その公開の方法もルール化されています。なんらかの公開フレームワークを作らないと，バイオメトリクスの技術は社会に根付かないと考えます。

表1●バイオメトリクスは公開ルールが不明確 　[画像のクリックで拡大表示]

　公開のフレームワークのほかに，安全レベル認定なども必要かもしれません。一般にセキュリティ技術を公開すると，それを超える攻撃技術が生まれ，その攻撃に対処するという高コスト社会となってしまいます。一方，ユーザーはベンダーが本当に安全な技術を実装したか否か把握し，安心感を得たいと考えます。

　もし，信頼できる第三者機関が安全性のレベルを設定し，そのレベルに達成したものを認定すれば，ユーザーとしては具体的な技術は開示されていなくとも信頼できる第三者機関のお墨付きを得られ，安心してバイオメトリック認証システムを導入運用できます。

　この問題は産官学で対応する非常によい題材です。これが解決されることで，世界市場に対する日本の産業界の強さ発揮でき，さらに大きな市場が創出されると期待します。

（3）プライバシーへの配慮

　三つ目の懸案事項はプライバシーです[3]。（2）の脆弱性の問題とも関係します。バイオメトリック・システムの開発や運営において，プライバシーの観点からの評価が必須です。ところが日本では，この観点からシステムを構築し運営することがきちんとできていないように思います。

　バイオメトリクスには，「本人の許諾なく収集されるものが多い」，「データから個人を特定できる」，「認証に必要ない性別，人種，病状などの情報も把握できる」という特徴があります。大学や企業の研究者は，プライバシーの課題を虫眼鏡でみたような対策技術には興味があり，PET（Privacy Enhancing Techniques）などを開発しています。ただし，これだけではユーザーが安心してシステムを利用できないし，法律との関係なども不明確です。

　残念ながら日本には，個人情報を扱うシステムを構築，運営する際，プライバシーへの配慮が適切か評価するしくみがありません。北米では，PIA（Privacy Impact Assessment）というフレームワークがあります（図2）。また，CPO（Chief Privacy Officer）という職制もあり，体制としての評価を実施できます。

図2●ＰＩＡ（privacy impact assessment）を取り入れたプライバシー情報の保護対策

　日本でも大きな評価フレームワークの認識をもって技術開発をする必要があります。システム運用者は，利用するユーザーに対する説明責任もあります。ベンダーは技術，運営などの総合的な観点から安全性を考慮したシステムを構築し，システム運用者への説明責任を果たす時期に来ていると思います。

◆　　◆　　◆

　上記の三つの懸念をまとめると，日本ではバイオメトリック製品が画像処理装置としての小型化，高性能化に留まっており，安全・安心の検討が不十分ということです。

　バイオメトリック関連システムの安全性に関しては，ベンダーまかせではなく，ユーザも正しい要求仕様を示せる能力が必要です。また，その評価はベンダー主導ではない，第三者的な観点での評価体制の整備が必要と考えます。

　現在，産業（ベンダー，ユーザー），大学，役所の三者でこの技術をどのように育て，一般ユーザーの利益を守り，産業力を強化する必要があるかを真剣に考える岐路にあると思います。