« IPA:「2010年 バイオメトリクス・セキュリティに関する調査」に係る一般競争入札 | トップページ | IPA:欧州における情報セキュリティ関連動向調査報告書 »

2010年3月26日 (金曜日)

証明は本当にできるか?

一般に,ある特定の者が「本人」であるのか(同一性識別),そして,その本人が特定の資格を有するのか(属性識別)は,社会生活を営む限り常に問題となる事項だ。

ネット取引では「本人確認」が法的にも経営上非常に重要なことであるにもかかわらず,しばしば様々な困難が伴うとされている。なにしろ,識別のためのIDやパスワードが完全に正しいものであったとしても,PCの向こう側でそれを入力しているのが「誰」であるのかを知る方法がないからだ(正確には生体認証デバイスを組み合わせて用いる方法もあるが,そもそも最初の生体情報が正しく本人のものとして入力されているという保証は全くない。生体情報を登録する時点ですでに替え玉や成りすましが成功していたり,間違いが混入していたりすれば,それ以降,常に偽者のほうが本物として認証されてしまうことになる。)。

ところで,このような困難は,本当は,ネット上だけではなく現実世界でも基本的には変わらない。

一般に,仕事の関係で初対面の人と会うときは誰か紹介者から紹介してもらうのが普通だ。しかし,その紹介者がすでに偽者にだまされて本物だと信じてしまっている場合には,紹介された者もまた騙されてしまい,以後,偽者を本物として認証してしまうことになる。

このことは,同一性識別だけではなく,属性識別でもあり得るし,現実にしばしばある。例えば,外国の大学を卒業していないのに卒業したとして立候補し,当選して議員になってしまった者などがその例だ。「ハク」をつけるためにそうしたのだろうが,属性に関する嘘であることには変わりがない。

実は,「弁護士」であると自称し,名刺にもそのような表示をしている者がいるということを某氏から教えてもらった。その偽弁護士は,かつて私も面識のある人だったのだが,もしかすると「氏名」(同一性識別要素)まで最初から嘘だったかもしれないという疑惑がある。なにしろ,現在では別の氏名の名刺をもっている。しかし,そのことを教えてくれた某氏によれば物理的には同一個体であることは間違いないという。つまり,同一性識別要素としては,身体的特徴(外観)だけが頼りであり,符号列で示される同一性識別要素及び属性要素のすべてが「嘘」である可能性があるのだ。

ちなみに,日本国の弁護士法では,弁護士でない者が弁護士であると表示をすることが禁止されており,罰則もある。

[参考:弁護士法抜粋]

第74条(非弁護士の虚偽標示等の禁止)
1 弁護士又は弁護士法人でない者は,弁護士又は法律事務所の標示又は記載をしてはならない。
2 弁護士又は弁護士法人でない者は,利益を得る目的で,法律相談その他法律事務を取り扱う旨の標示又は記載をしてはならない。
3 弁護士法人でない者は,その名称中に弁護士法人又はこれに類似する名称を用いてはならない。

第77条の2(虚偽標示等の罪) 
 第74条の規定に違反した者は,100万円以下の罰金に処する。

|

« IPA:「2010年 バイオメトリクス・セキュリティに関する調査」に係る一般競争入札 | トップページ | IPA:欧州における情報セキュリティ関連動向調査報告書 »

コメント

湯淺先生 こんにちは。

エンジニアにとっては「自明」と思われていることが本当はまったくもってわからないことだらけということがしばしばあります。「同一性」の概念はまさにその典型であり,本当はよくわからないんですよ。でも,記号論的な意味での「同一性」は定義可能だし計算可能なので,自明だと思ってしまうんですね。ここらへんに根本的な誤謬が存在するのだろうと思います。

それが誤謬であると自覚しない限り,情報セキュリティの世界は完全に不毛だと思います。

計算が成立するのは特定の公理が貫徹可能な閉じた世界の中だけです。でも,現実世界ではすべての要素が常に変化し続けており,世界の外延もまた確定できません。つまり,閉じているとはいえないんですよ。

だから,計算が破綻します。

結局,近似値で我慢するしかありません。

近似値である以上,「識別」という概念は捨てるべきだろうと思っています。「識別」に代えて「推定」または「蓋然性値の計算」とすべきでしょう。この場合の「蓋然性」は完全に恣意的なものであり,常に客観性をもちませんが,それで我慢するということです。

投稿: 夏井高人 | 2010年3月28日 (日曜日) 00時34分

夏井先生

日本の情報ネットワーク法の議論を見ていると、リアルの世界でも実現できていないことをセキュリティの名の下に要求している節があるように思えてなりません。同一性識別はその好例だと思います。リアルの世界でもなりすましや経歴詐称はあるわけですよね。まさに、妥協点はどこかというのがポイントだと思います。

投稿: yuasah | 2010年3月27日 (土曜日) 18時38分

湯淺先生 コメントありがとうございます。

ご指摘のとおり,一番肝心な「同一性識別」の最初のところで何も根拠がないことが多いですね。根拠がなくても証明書が発行されてしまうと,その証明書がまかりとおってしまう危険性があります。戸籍や住民票だって最初から真実と一致していない内容のものがいくらでもあるし,闇で戸籍の売買が常態化しているという現状において,「本人確認」とはいったい何なのかと疑問に思ってしまうことが少なくないです。

日本では,世界各国と比較して,登録制度や証明書等の発行が比較的多い国だと思いますし,それを信ずる国民性のようなものがあると思います。だからこそ,だまされるときは完全にだまされてしまうこともあるという因果関係のようなものがあるんでしょうね。

「本人とは何か?」つまり「同一性識別の本質」は私の研究テーマの重要な部分を構成するものです。哲学的な解はすでに出ていて「識別不可能」という不可知論以外には成立しそうにないです。

しかし,それではすべての人々の社会生活が根本から破壊されてしまうことになってしまうので,妥協策としての何らかの実務的な理論を構築しなければなりません。

だから難しいんですよ。

投稿: 夏井高人 | 2010年3月26日 (金曜日) 11時03分

電子政府関係で諸外国の制度を比較してみると、日本は、ある人物についての行政文書は膨大にあるけれども、現に目の前にいる人物が何者かであるかについて公的に認証する仕組みがない国であることを痛感しますね。
また、安全保障上の理由で、リアル・ネットワーク上とを問わずなりすまし自体に厳罰がある国も少なくないので、日本の場合はこんなところに憲法第9条の射程があるのかなと思ったりします。

投稿: yuasah | 2010年3月26日 (金曜日) 10時23分

コメントを書く



(ウェブ上には掲載しません)


コメントは記事投稿者が公開するまで表示されません。



« IPA:「2010年 バイオメトリクス・セキュリティに関する調査」に係る一般競争入札 | トップページ | IPA:欧州における情報セキュリティ関連動向調査報告書 »