マイナンバーカードの安全神話、生体認証の隠れたリスク
宮城県保険医協会理事 八巻 孝之
日常的に行っているログイン(サインイン)など、いまや認証データの漏えい問題は後を絶たない。その課題を解決するには、サービス提供者側が対策するだけでなく、サービス利用者も正しい知識を持っておくことが肝要である。生体認証の基本的な考え方と隠れたリスクを学び、特に顔認証に焦点を当て、マイナンバーカードの安全神話について私見を述べる。
生体認証の仕組み
生体認証とは、「バイオメトリック」「バイオメトリクス」とも呼ばれ、人の身体的特徴を使って認証する方式である。身分証明書に貼り付けられた顔写真を本人の顔と見比べて同じだと認められれば本人とみなすという方法は昔から行われていた。生体認証は、これと同じことをコンピュータで行うものである。
生体認証が一般にも普及したきっかけは、iPhoneのロック解除に指紋認証が対応したことではないだろうか。20年前に遡るが、著者の自宅玄関の施錠は指紋認証方式であった。現在は電子キー方式に切り替えている。現在のiPhoneには顔認証が採用され、Android端末やWindows OSのPCでも生体認証が使われている。静脈認証を使うATM端末はさらに前からあり、最近は出入国審査や大型イベントの入場に顔認証を使うケースもみられる。
生体認証の多様性
生体認証の種類は、顔以外にも、声、指紋、虹彩、手のひらの静脈など、個人間で差異がある部位はたくさんあり、それぞれの認証方式が開発されてきた。その種類によって測定する装置もさまざまである。生体認証を利用する際、まずは装置を用いて認証する部位が測定され、その内容は数値化したデジタルデータとして登録・保存される。認証の際には、再度測定が行われ、その内容をデジタルデータに変換して保存されたデータを比較し判定される。現在実用化されている生体認証は、基本的にはこのデジタルデータを比較する方法であり、顔や指紋など、測定した部位の画像データをそのまま見比べているわけではない。
生体認証は、部位によってさまざまな種類があるが、主に以下の二つに分類できる。一つは、身体的特徴を直接測定するもの:顔、指紋、虹彩、静脈などの特定部位の身体的特徴を測定し、データとして登録、認証時には同じ部位を再度測定して登録データと照合する方法である。そして、動作の癖を測定するもの:声紋、歩容(歩き方)、手書きの署名、キー入力のリズムなど、何らかの動作の結果を測定してデータとして登録し、認証時には同じ動作の結果を測定して登録データと照合する方法がある。部位や動作の内容によって身体的特徴の測定のしやすさは大いに異なる。例えば、日常的にさらされている顔や声は、監視カメラなどを使えば本人に気付かないうちにそのデータを測定できてしまう。一方、指紋を採取するには特定の技術や道具が必要であり、虹彩や静脈など体の奥に隠されている部位であれば、本人が気付かない間に測定するのは極めて困難である。
生体認証のメリット
本人以外が扱えないという認証の特性は、複製を作って誰かに渡せば容易に失われてしまう。例えば、勤怠管理に汎用されているタイムカードがそうである。利用者のモラルが低い場合、別の人にタイムカードを押させるといった事例がよくある。また、端末やドアノブなどに残された指紋から複製した模型や、複製までしなくとも、家の中で寝ている人の指を使って勝手にスマホのロックを解除するという攻撃は日常的に行われている例であろう。
一方生体認証は、身体の一部を使うためモノを持ち歩く必要がない。また、覚えておき、入力するという記憶負担もない。つまり、顔や指紋のように表面に出ている部位であれば、入力がなくデータの取り出しがない分簡便で速く認証できる。認証のための動作も極めて簡単である。この負担がなく簡単で済みスピードが速いというのが生体認証の最大のメリットといえる。しかし、身体的特徴が測定しにくかったり、複雑な動作が必要だったりすれば、このメリットは小さくなってしまう。できるだけ簡単な動作で認証できる方が、利用者側にも受け入れられやすい。生体認証で扱う身体部位を外科手術したり、顔がそっくりな双子を用意するなどの一部の例を除いて、本人以外が扱うことはできないといわれている。この事は、本人の唯一性をある程度保証している。パスワードは他者に教えることが可能であり、カード認証もそのカードを譲渡することができる。ゆえに、生体認証の持つ本人の唯一性は、生体認証にしかない特徴である。さらに生体認証は、測定しにくい部位や複雑な動作の測定利用に手間がかかる一方、盗用されにくいという強みがある。なぜなら、顔や声は比較的測定されやすいが、測定されても複製するには技術やコストが必要となるからだ。
生体認証のデメリット
生体認証のデメリットは、成長や老化、生活の状況によって特徴が変化してしまうことである。日常的に使用するのであれば、認証のたびに登録データをためて変化に対応させれば手間が増えずに済むのだが、何らかの事情で対象の身体部位が使えなくなる状況が想定される。例えば、成長や老化で特徴が変化した場合、変化するたびに再登録が必要となり、けがや病気で急激に特徴が変化したり体のパーツが失われることもある。この場合は認証ができなくなるだろう。そこまで大きな変化でなくても、化粧、汚れ、汗、飲酒などの一時的な変化によって生体認証が上手く行われないことは頻繁に起こっている。さらに、表情、指の押し付け方、測定時の角度や光の具合など、測定するときの状況は極めて重要である。現在の生体認証は、このような身体のちょっとした変化や測定時の状況に対応するために登録されたデータと認証時の測定データを完全一致で判定するのではなく、一致率がある程度のしきい値を超えていればOKという基準で判定している。多少の変化でいちいちNG判定を出してしまうと手早く行えるという生体認証のメリットが失われてしまうからだ。現在の技術ではほぼ本人だけを認証するようになっているため問題はないというが、その事を十分承知すれば一般生活レベルであっても、生体認証は論理的に100%信頼できる認証であるとは到底いえそうにない。
身体部位が簡単には変更ができないことにも留意する必要がある。その部位のデータが誰かに奪われた場合、その部位の形を変えて再登録することは容易ではないからだ。そこで、身体のデータを登録する際には、データを管理する事業者や管理者を信用しなければならないため、自分のデータを預けることに精神的抵抗を感じることになる。生体認証を導入する側の視点で見ると、身体部位や動作結果の測定のために読み取り機(リーダー)が必要なこともコストがかかるという点では大きなデメリットである。現在のスマートフォンにほぼ標準的に搭載されている指紋リーダーや、カメラ、マイクなどを用いる方法であればよいのだが、顔を立体的なデータとして捉える3D顔認証や、静脈などの体内に隠された部位を使う方式や、歩き方を認識する「歩容認証」など、特殊な方式の場合となれば極めて高価な専用リーダーが必要になる。
生体認証の情報漏えい
先日、韓国の生体認証システム開発会社Supremaが保管しているデータが、外部からアクセスできる状態になっていたという報道(Report: Data Breach in Biometric Security Platform Affecting Millions of Users:https://www.vpnmentor.com/blog/report-biostar2-leak/)があった。パスワードの情報漏えいは珍しくないが、生体認証用の身体的特徴の漏えいもついに発生してしまった。この記事によると、アクセスできた情報には、平文のままの氏名・ID・パスワード、利用者の住所やメールなどの個人情報、機密エリアへの入出許可レベルと入出記録、利用端末とOS、そして指紋データと顔認証用の情報、顔画像が含まれていたそうである。この身体的特徴データが漏えいしたとすれば、そのデータは管理された状態に戻せない。つまり、身体的特徴はパスワードのように簡単には変更できないのである。
インターネットを通じて身体的特徴データを送信した場合は、どこかのサーバにデータが保存されています。個人情報を一緒に登録していれば、その情報も含まれます。さらに、そのサービスで何を利用していたかという情報も一緒に預けていることになります。利用者の身体的特徴データは、今後どこかで使われる可能性が出てくる。しかも、顔画像と個人情報が含まれているのであれば、それらを紐付けて利用されてしまうかもしれない。これが身体的特徴データをサーバに預けることの恐ろしさである。iPhoneのTouch IDやFace ID、Windows Helloなど、端末へのログインに使用する生体認証では、身体的特徴データが端末上にとどまっているので大丈夫といわれているが、これも端末が乗っ取られていないことが前提である。
生体認証データの保管
現在、実用化されている大抵の生体認証では、身体の特徴を数値化したデジタルデータを比較して判定される。例えば、NECの顔認証製品NEO Face Access Control(https://jpn.nec.com/products/bizpc/promotion/nfm/index.html)では、瞳の中心や目頭や目尻の位置、鼻翼の左右の端、口の端の位置といった特徴点同士の距離や、位置関係から算出される角度などを数値化したデータを利用しており、顔画像を直接見比べているわけではない。このように、生体認証においては身体の各部位の画像をそのまま保管しているわけではなく、本来であれば保管する必要もないのである。デジタルデータ化されていれば、もし情報漏えいしたとしても不正利用者は身体的特徴をすぐには把握できない。その生体認証システムのデジタルデータへの変換方法を知っていて、デジタルデータから画像に戻す方法を編み出してやっと元画像に似た画像が入手できるといった具合である。大変な手間がかかる。一方、数値化していない画像をAIが認識する画像認識技術が発展してきた。この場合、画像そのままを比較・判定することが可能なので、身体的特徴をデジタルデータ化する技術が不要になる。いずれ、この技術を利用した生体認証が実現されるはずである。しかし、顔画像をそのまま保管しているのであれば、情報漏えいした際は不正利用者がすぐに身体的特徴を把握できてしまうリスクは全く変わらない。
顔認証は特別?
生体認証に使われる身体的特徴の中でも「顔」は特別である。顔は基本的に公開されており、あなたのことを知っている人があなたの顔を見れば、あなただと識別することができる。声や体形も識別に役立つが、顔ほど決定的な要素にはならない。指紋や虹彩などは、肉眼での測定が困難なため普段の識別には用いらえない。
このような機能を持つ顔を認証に使うのであれば、そのデータは守られた形で保管されているべきだと考えます。顔画像そのままを保管するよりも、デジタルデータ化して保管するほうが安全なのです。そして、デジタルデータでの顔認証でも十分な認証精度が出るようになっています。前述のNECの顔認証システムNeo Faceも、顔の特徴を数値化して比較・判定する方式であり、2017年の米国国立標準技術研究所(NIST)が実施した動画顔認証技術のベンチマークテストにおいて、認証精度99.2%という成績を収めている。とはいえ、デジタル化したデータだとしても、個人情報保護法における個人識別符号に該当する。だから、取得時には利用目的の公表・通知が必要であり、保管には個人情報と紐付ける以上、適切な取り扱いが必要なのだ。一方、ICカード化された運転免許証やパスポート、マイナンバーカードには、券面や顔写真貼り付けページにある顔写真の画像が保管されている。これは偽造証明書の利用防止のための措置である。パスポートを用いた出入国審査では、ICチップ内の顔画像が読み取られて画面に出力され、実際の顔が貼付の顔写真と一致していることを入国審査官が肉眼で確認してから偽造されたものでないかを判定している。つまり、顔写真は貼り換えられても、ICチップ内のデータ書き換えは困難なことを利用した運用をしている。2021年3月にマイナンバーカードが健康保険証として使えるようになることに伴って、病院窓口に設置検討されている顔認証システムもこの仕組みに則ったものである。日本の出入国審査においては読み取った顔画像を端末に保管せず認証を完了した時点で消去する仕様になっており、今後も公的な顔認証システムにおいては、顔画像を保管しない仕様に沿うのであろう。
必要のない情報を保管しないことはセキュリティの基本である。利用者のプライバシー保護やリスクの軽減を考えると顔画像を保管しないほうが望ましいが、認証以外に顔画像を使用する目的があったり、何も考えずにとりあえず保管してしまう場合があるかもしれない。例えば、施設入場に顔認証を用いている場合、有事の際に保管した情報を警備員が共有する運用の場合には顔画像の保管が必要である。ちなみに、Neo Faceの導入における顔画像保管の仕様は、導入先の意向によって選択が可能のようだ。
今のところ、日常生活をする上で自分の顔写真や声のデータが悪用されることを過剰に恐れなくても大丈夫と思われるのだが、指紋認証については、指から直接型をとってゴムやシリコン、ゼラチンなどで模型を作るという簡単な方法で認証をパスできたという漏洩がすでに報告されている。“グミ指”で検索すると詳細が出てくるので、興味のある方は確認してほしい。将来的には、複製技術が進化して一般化すれば、その安全性は限りなく危うい。
機械は人より優れている?
先ほど紹介したNeo Faceの認証精度99.2%というのは十分に高い数値ではあるが、100%ではない。サングラスやマスクなどで顔の大部分を覆っていると認証できなかったり、双子だと本人でなくても認証してしまったりという弱点も克服できていない。しかし、これは人間の肉眼でも同様である。写真と見比べて100%本人だと判定できる人は存在しないのではないか。顔を覆っている人には外すように依頼するが、一卵性双生児を見分けるのは困難であろう。だから、顔認証は、精度においては少なくとも人と同程度の性能を担保しながら高速で手間がかからないという効率面に優位性を持つ認証方式なのだと考える。
医療分野における顔認証のメリット
最後に、医療分野における生体認証の新たなメリットについて考える。思いつくのは、意識をなくすような緊急事態が起きた際にどのような医療や生活サポートを受けたいかをあらかじめ登録しておくことである。
実際、本人の意識がなくなり救急医療が必要になった際には、本人の身体的特徴を使って生体認証を行い、事前登録しておいた本人の意思を確認した上で医療・生活サポートを行うという仕組みは受け入れやすい。もちろん、意識がない状況で指紋などを使って認証されてしまうことは生体認証のデメリットの一つである。だがそれを逆手にとり、意識がないときでも認証できる仕組みには、やはりその取り扱いに最も注意しなければならない。生体認証の隠れたリスクを掘り出すと、マイナンバーカードの安全神話が崩壊する。
(2023/12/27)