生体認証は、端末ではなく利用者個人を認証するという特性から、例え端末が遠隔操作ウイルスに乗っ取られても不正ログインを防げるなど、理論上は最強のユーザー認証といえる。これまで指摘された欠点もいくつかは克服され、ユーザー認証技術の本命としての地位を確立しつつある。
生体情報を国民IDにひも付け
インドでは今、国民約12億人の生体情報をデータベースに登録するプロジェクトが進行している。指紋、虹彩(目に入る光量を調節する薄い膜)、そして顔写真を登録し、その情報とひも付けた国民IDカードを発行する。複数の生体情報を扱うのは、住民を識別しやすくすることに加え、水仕事などで指紋が消えてしまった住民なども登録できるようにするためだ。
インドはこれまで、社会保障の基盤となる住民データベースが十分に整備されていなかった。このため、社会保障の不正受給や、同姓同名の住民が多いことによる混乱が起こっていた。
インドのような新興国で、政府が生体情報を積極的に活用する理由は二つある。一つは、文字や数字が読めない住民でも、生体認証であれば直感的に使えること。もう一つは、生体情報の取得をプライバシー侵害とみる意識がなく、生体認証を受容しやすい点だ。
生体認証を、本人確認のための認証手段として利用する試みはインド以外でもある。長崎大学の熱帯医学研究所は日立製作所と組み、ケニアで2012年3月に、ラオスで2012年7月にそれぞれ指静脈認証を使った健康追跡調査の実証実験を行った(写真1)。現地の住民は国民IDカードなど本人確認の手段を持っていないため、健康状態の追跡調査を正確に行うには、生体認証が不可欠だった。この生体認証に、ワクチンの摂取記録や蚊帳の利用状況といった情報を組み合わせ、疫学調査や住民の病気予防に役立てる考えだ。
生体認証ATMが世界に広がる
新興国、先進国を問わず、生体認証の活用が進んでいるのがATM(自動現金預け払い機)だ。
日本では静脈認証ATMが広がったが、海外の生体認証ATMの大半は、より安価な指紋認証を採用する。加えて日本では、生体情報の漏洩を防ぐため、ICカードに生体情報を組み込み、ATMで認証を完結させる。海外では、大半の国がサーバーに生体情報を置き、サーバー経由で認証する。
指紋パターンなどの情報をサーバーで管理する場合、情報がサーバーから漏洩するリスクがある。いわば、生涯不変のパスワードが漏洩するようなものだ。だが近年は、生体情報データを特殊な関数で暗号化し、その状態のまま照合できる技術「キャンセラブル生体認証」が実用域に達し、こうした懸念は薄れつつある。仮に生体情報が漏洩しても、元の情報は復元できない。関数を変えて再登録すれば、漏洩した情報はもう使えなくなる。パスワードを変更したのと同じことだ。
また仮に生体情報を抜き取られて偽造品を作られても、生体か偽造品かを判別する生体判定技術の開発が日進月歩で進んでおり、かつてのようにグミで指紋を偽装するようなことはできないという。
