「まあ実際のところ、ICカード運転免許証の暗証番号を覚えている方は、ほとんどいないですね」
区役所の窓口担当職員は、私の質問にこう言って苦笑いした。
自治体では2011年から、住民基本台帳カードを交付する際に、窓口でICカード運転免許証の真贋チェックを行っている。偽造した運転免許証を使って他人の住基カードを不正に取得されるのを防ぐためだ。
このときに必要となるのが、免許証を取得する際に登録した、2種類の暗証番号である。免許証の券面に書かれた情報と、暗証番号を使ってICチップから取り出した情報を照合することで、運転免許証が本物かどうかを判別できるわけだ。
日経コンピュータ2012年11月22日の特集「認証“改革”待ったなし」の取材をしていた私は、IC運転免許証による認証が本当に機能しているのかを確かめるため、地元の区役所に実態を聞いてみた。その答えが冒頭の発言というわけだ。
住民が暗証番号を知らなかった場合、IC運転免許証はICチップのない運転免許証と同じ扱いとなる。この場合、パスポートや健康保険証など追加の本人確認資料を提示する必要がある。「電話で問い合わせがあった住民には、念のため追加の本人確認資料も持ってきて下さい、とアドバイスしている」(前述の自治体職員)。
無理もない。頻繁に使うキャッシュカードの暗証番号と違い、IC運転免許証の暗証番号を使う機会は、数年に1回あるかないか。人間の脳には、ほとんど使わない番号を長期記憶として定着させる力はない。IC運転免許証の仕様は、人間の脳の限界を考えにいれていない、と言われても仕方ないだろう。
認証システムと人間の脳がミスマッチを起こしている
IC運転免許証に限らず、暗証番号やパスワードといった、本人の記憶に頼るユーザー認証が、人間の脳の限界を超えつつあるように思う。この限界を無視した結果、使い勝手が悪くて誰も使わないシステムを生んだり、あるいはセキュリティに大穴を開けたり、といった弊害を生んでいる。
端末を問わず利用できるクラウド型のサービスが増えた結果、消費者がIDとパスワードを要求される機会は増える一方だ。Amazon.comや楽天といったショッピングサイトから、GmailやEvernote、Dropboxといったパーソナルクラウド、映像配信や電子書籍のサービスまで挙げていけばきりがない。スマートフォンやタブレット端末の普及は、IDとパスワードの氾濫を加速させた。
