第37号コラム:上原 哲太郎 理事(京都大学 学術情報メディアセンター 准教授)
題:「携帯電話の契約者IDとプライバシー」
(このコラムが配送される頃にはもうずいぶん遅ればせですが)あけましておめでとうございます。新年を迎えてめでたい気分のはず・・・だったのですが、個人的には正直なところあまり祝う気分になれずにいます。昨年、急激に悪化した経済状況が身近にもいろんな形で波及してきているためです。地方自治体では税収の急減少で投資計画の見直しが必要になりそうで、それにつれて私個人として力を入れてきた自治体情報セキュリティの支援活動も影響を避けられそうにありません。市場経済とはこれまで無縁だった大学での研究ですら、企業との共同研究を中心に影響を受け始めている状況でして、当分落ち着かない日々が続きそうです。
とはいえ、営利企業に勤めておられる皆さんの大変さは私の比ではないでしょう。見聞きする限りですが、巷で騒ぎになっている製造業だけではなく、IT産業も大変な不況になったように感じます。こんな状況ですと、各企業は情報セキュリティ確保、コンプライアンス確保やCSRへの投資をどうしても削らざるをえないのではないでしょうか。そのことが引き起こす社会的ITリスクの高まりを憂慮しながら迎える新年になってしまいました。
こうも不況が深刻になると、犯罪も増える懸念があります。特にサイバー犯罪に関しては、企業がコストダウンの圧力に従って業務をIT化すればするほど、簡単に大きな犯罪が行える素地が出来てしまいます。このような犯罪に立ち向かうため、その犯罪捜査の障害になっているネットワークの匿名性を排除していこう、という動きが一部にあります。この動きに沿って、日本では、特に携帯電話において、昨年春からとても大きなシステム変更が静かに行われたのですが、ご存じでしょうか。具体的には携帯電話におけるサイト閲覧時に、「携帯電話の電話番号や機器個体に紐付け可能な固有のID(ここでは契約者IDと呼ぶ)が、各ユーザの明示的な送出操作なしに各サイトで取得できる」仕組みが、ついに(最後までその導入に慎重だった)NTTドコモを含む全携帯電話キャリアに採用されたのです。契約者IDはキャリアによって呼び名が異なりますが、以下のような文書で技術的に説明されています。
NTTドコモ「iモードID」:
http://www.nttdocomo.co.jp/service/imode/make/content/ip/#imodeid ※リンク切れ
au by KDDI「EZ番号」:
http://www.au.kddi.com/ezfactory/tec/spec/4_4.html ※リンク切れ
ソフトバンク「ユーザID」:
http://www2.developers.softbankmobile.co.jp/dp/tool_dl/download.php?docid=119 ※リンク切れ
イーモバイル「ユーザID」:
http://developer.emnet.ne.jp/useragent.html
契約者IDの送出自体は、携帯電話の機器認証を容易にすることで、コンテンツ産業の育成を推進しようという名目で行われたのですが、同時に携帯サイトの閲覧や書き込みを行った者をログから追跡することが大変容易になりました。つまりデジタル・フォレンジックの立場から言うと、携帯サイトではその「証跡の記録と管理」を契約者IDを基に行うことが出来、大変効率化された、と見ることができます。例えば電子掲示板への犯罪予告書き込みの行為者を契約者IDから容易に追跡することができるメリットがあり、実際そのような目的にも使われているようです。
容易で確実な認証と証跡管理の実現、と見れば、この仕組みはネットワークの安全安心の実現に資するものと言えるでしょう。ですが、この仕組みは残念ながら、新たなリスクを呼び込むものではないか、ということが各所で指摘されています。
朝日新聞「ネットはいま 第1部~12 変わらないID~」
http://www.asahi.com/digital/internet/TKY200811190188.html ※リンク切れ
高木浩光@自宅の日記「日本のインターネットが終了する日」
http://takagi-hiromitsu.jp/diary/20080710.html#p01 ※リンク切れ
高木氏のblog記事は長い議論の末のものなので初めて読む方には判りにくいかも知れません。上原なりにこの話をまとめると、この仕組みの一番の問題は、契約者IDが誰にでも、どのサイトでも、同一の電話番号(または携帯機器)からは同一のIDとして取得できる、ということです。もちろん契約者ID自体は電話番号や個人名などの個人情報は含んでいませんので、その情報自体は個人情報漏洩問題にはあたりません。ですが、そのような情報であっても「共通である」こと自体が様々な問題を引き起こす可能性があります。
例えば、ある「健全な」サイトにおいて、あるユーザが本名と電話番号等を登録した上で利用していたとします。そのサイトが認証に契約者IDを利用していたとすると、そのサイトには契約者IDと個人情報の紐付け記録があることになります。これが何らかの理由で漏洩し、「不健全な」サイトの運営者の手に渡ったとすると、運営者は自サイトの利用記録中の契約者IDと突合することで個人を特定することができます。たまたま「健全な」サイトと「不健全な」サイトの両方に訪問したことのあるユーザは、「不健全な」サイトにおいても個人を特定する形で利用記録が取られることになります。ここでこの「不健全な」サイトの運営者はいろいろな犯罪を容易に行うことが可能になります。例えばアダルトサイトなら不正請求などが考えられますし、出会い系サイトなら恐喝などに繋がることも有り得るでしょう(朝日新聞の記事はそれを指摘しているのでしょう)。
この契約者IDの問題は他にもありますが、犯罪の手口をあまり詳しく広報するのもどうかと思うので、これ以上は触れません。ただ、根本的な問題は、各ユーザが契約者IDをサイトに取得されていることが意識されないにも関わらず、共通の番号が全サイトに渡って使われていることにあります。認証だけの目的であれば、適当なハッシュ関数を持ち込むなどの方法により、サイト毎に異なる認証IDを持ち込むような仕組みにすることが可能だったはずです。今回の仕組みの導入にあたってあえてそうしなかったのは、もしかしたら犯罪捜査をより容易にするためという判断がどこかにあったのかも知れません。つまり、コンテンツ産業の育成と犯罪抑止の名の下に携帯電話のネット社会をForensic-awareにして、それと引き替えに利用者のプライバシーを犠牲にしているように思います。そう思うと、サイバー犯罪対策にも関わってきた身としてはちょっと複雑な気持ちになってしまいます。
デジタル・フォレンジックの技術は、根本的にプライバシー保護と矛盾する面を持っています。情報セキュリティの名の下にデジタル・フォレンジックの技術が実装され、社会に広く使われるときは、その電磁的証跡が誰の手に渡る可能性があり、どのように使われる可能性があるのか、よく考える必要があるでしょう。そしてその可能性をきちんと利用者に伝えないままに技術を実装するのは、プライバシー問題で言う自己情報コントロール権の侵害にあたる、と思います。セキュリティ研究者の端くれとしては、常にプライバシーとのバランスを頭に置いた上でデジタル・フォレンジックの技術を語るセンスを持ち続けたいと、自戒も込めつつ思う新年です。今年が皆様にとって本当に良い年になりますように。