IT@RIETI

no.18: 非接触ICタグ(RFID)とプライバシー:~書き込み型RFIDの問題とネットワークの活用~

泉田 裕彦 RIETIコンサルティングフェロー

2003年4月、イタリアの服飾メーカーベネトンが、同社のサプライチェーンマネジメントシステムで利用するために、商品にRFID(Radio Frequency Identification)を装着するという計画を白紙に戻した。製品の動きを強力に追跡する機能を有するRFIDは、プライバシーを侵害する懸念があり、RFID導入計画が発表された後すぐに、米消費者プライバシー・グループ(CASPIAN“Consumers Against Supermarket Privacy Invasion and Numbering”)がベネトン製品の不買運動を進めたことも影響した模様だ。

RFIDからの情報漏洩の危険性

住民基本台帳ネットワーク(住基ネット)の導入が、個人のプライバシーを侵害すると問題になったのが2002年の夏であった。この際、問題視された点は、住基ネットは、役所間の個人情報つきあわせ(データマッチング)を誘発し、政府が国民を管理することになるのではないかという点や、民間企業が、住民基本台帳番号をKEYとして、個人情報を集積するのではいかという点である。このような仕組みを構築することは、前者については、個人の表現の自由や思想の自由を侵し、憲法違反の制度であるという主張が、後者については、自己情報コントロール権を犯し、人格権を侵害するものであるとの主張がなされた。他にも、インターネットと接続したネットワークは、1カ所でも、ハッキングされると住基ネットの情報が流出してしまうという指摘もあった。このような住基ネットのプライバシー侵害問題は、主に、個人が特定されることによる生じる問題と考えられる。

一方、ユビキタス社会のインフラとして期待されているRFIDに関わる情報の保護については、異質の問題がある。RFIDは電波を利用して自動認識することから、RFID付きの物を持ち歩くと、所有者の意思と無関係にどんな属性の物を所持しているかを他人に知られるてしまうという可能性が生じる。例えば、全ての商品にRFIDが貼付された社会が実現すると、はいている下着の色、所持している本のタイトルが、街を歩くだけで他人に知られてしまうという危険が生じる。また、店舗等の定点にリーダーを設置すれば、RFIDの発行者以外によってマーケッティング等に活用されるかも知れない。これらの点は、所有者が提示しない限り情報が流出する危険が生じない接触型のICカードと大きく異なる。即ち、RFIDが貼付された物の所有者は、知らないうちに、その所有物が追跡される可能性があるということである。仮に、RFIDが貼付された物を所有していても、必ずしも、所有者が特定されるわけではなく、直接的にプライバシーの侵害という事態が生じるわけではないが、何らかの対策は必要になると考えられる。

なお、何らかの方法で、特定個人と所有物のひも付けがなされると、RFIDは、自動的に情報収集が可能なため、住基ネットよりはるかに深刻な「自己情報コントロール権侵害」の問題が生じる可能性は否定できない。

RFIDのプライバシー侵害問題の対策

それでは、RFIDの情報の保護をどのように行うべきであろうか?

まず、言えることは、生のデータを直接RFIDに記述することは、危険であるということである。現在、ISOの規格を始めとして、書き込み型のRFIDの導入が検討されている。例えば、流通で書き込み型RFIDをタグとして使用する場合、取引先、商品情報や価格情報等が格納されることが想定される。このような情報は、トレードシークレットに関わる情報であり、誰にでも簡単に読みとられるようでは、実用に耐えない。個人のプライバシー問題に限らず、格納される情報によっては、その漏洩を遮断する必要がある。

このためには、第一に、データを暗号化するという手法が考えられる。しかしながら、厳格な暗号化を行えば、チップのコストが上昇し、普及はおぼつかなくなるという問題が存在する。ユビキタス社会の実現を考えるとプライバシー等の「情報保護は暗号化で」というのでは、限界があると言わざるを得ない。

次に考えられるのが、販売管理のため導入したチップは、顧客が商品を購入する時点で、タグを商品から取り外すという対応である。実際、米ウォールマート(Walmart)社のケビン・ターナー社長は、「購入された後に、商品がどう扱われるかについては、興味がない」旨明言し、販売時でのタグの取り外しを表明している。確かに、流通管理に限定すればこの方法で問題がある程度解消すると思われるが、取り外しのコスト(RFIDタグを無効化できるスイッチを導入してもコスト高になる。)や、将来のユビキタス社会の発展という観点からは、夢のない解決方法である。

そこで、考えられるのが、RFIDには、ユニークな番号だけを記載して、固有のアイテムに関するデータはセキュリティのかけられたネットワークシステムに保存するという方法である。アクセス権を管理することにより、セキュリティーの確保と利便性の追求を両立させる可能性が出てくる。

固定IDのRFIDタグの信頼性

前述のように、ネットワークとユニークなIDを有するリードオンリーのRFIDを組み合わせると、プライバシー問題を解決する情報セキュリティの確保に加えてコスト面の課題にも一定の解決策が見いだせる。リードオンリーのタグは相対的に安価であるためである。これによって、ユビキタス社会の実現へ大きく前進する可能性がある。しかしながら、RFID実用化のための実証実験を実施している者からは、ネットワークは、どこでも使えるわけではないので、IDに加えて必要な情報をRFIDに記述させたいという声も聞かれる。一方で、ユニークなID番号のみ付いた物であっても、これを所持して街を歩くだけで、それがだれなのかを特定されてしまうおそれがあるとの主張も存在する。このように対極的なニーズ・懸念が交錯する固定IDのRFIDタグシステムの信頼性はどのように考えるべきであろうか。

ネットワークが使えないかも知れないという問題については、日本国内はともかくとして、現時点においては、先進国以外でも必然的に使わなければならない用途には、確かに向いていない。しかし、ネットワークが使えない場合は、バーコード等と併用することで問題解決の可能がある。現実的にも、RFIDは、静電気等で破損する可能性がある以上、タグとして使用する場合、バックアップとして、何らかのペーパーに記述された情報が必要になると考えられる。

次に、ID番号が付いた物を所持するだけで、個人が特定されるという危惧だが、要は、利便性とリスクのバランスの中でどのように評価し対策を行うかという問題であると考えられる。例えば、既に、電波で電話機固有の識別番号を発信して局と通信している携帯電話は広く普及している。クレジットカードにいたっては、有効期限、番号と名前だけで引き落としが可能である。携帯電話は通信手順が非公開であり、これを解読して番号を解読しても得られるメリットとつり合わないことがプライバシー侵害問題は生じさせていない。また、クレジットカードは、危険ではあるが、問題が生じた際には、一定期間過去に遡って保険が適用されるという仕組みが構築されており、クレジットシステムには高い信頼が存在する。ユニークなID有するRFIDが貼付された物を持ち歩くとプライバシーが漏洩する可能性があると、いたずらに不安を煽るのは適切でないであろう。万が一の場合は、事後的に司法を通じて問題を解決する方法もあり、対策のコストと事後解決のコストの比較衡量が欠かせない。

まとめ

国のプロジェクトでも、国土交通省が進める「スマートプレート構想」では、自動車のナンバープレートに取り付けるRFIDに車検証データを格納し、全車装着の義務づけを検討している。さすがに、盗聴やデータ改ざんを防ぐための暗号化や認証などセキュリティ面の技術開発を進めたり、所有者の住所・氏名の格納は見送るという対策を取る方向のようだが、何のために、車検証データをRFIDに格納するのか明確でない部分もある。RFIDの特徴として、書き込み能力があることが強調されすぎたための結果かも知れない。RFIDシステムの導入に際しては、プライバシーや企業秘密といったデリケートな情報を保護するため、RFIDの書き込み能力に過度に依存することなく、書き込みの必然性の検証を行うとともに、ネットワークとの役割分担を考えながら慎重に検討を進めるべきであろう。

2003年6月25日

This work is licensed under a Creative Commons License.

2003年6月25日掲載