2018年04月06日に初出の投稿

Last modified: 2018-04-06

DDSのシステムは、指紋の凹凸を波形情報に変換して解析するという点が高く評価されました。職員には、指紋の画像イメージは一切記録されず、また認識する波形情報から指紋の画像を復元することも出来ないということをしっかりと説明することで、理解が得られました。

神奈川県藤沢市役所様 自治体として生体認証とシンクライアントをいち早く導入

本日は『おはよう日本』でパスワードレス認証の紹介をしていた。

中でも生体認証について、僕は企業や組織で指紋や静脈パターンの登録を強制するのは憲法違反の疑いがあると言ってきた。もちろん、僕はこういう方法を導入すること自体に何か致命的な問題があると言いたいわけではなく、あくまでも組織全体に導入するのは、手順や実装や運用にリスクがあり、しかも拒否すると人事考課に関わるという不当な扱いに利用されやすいという点でも、慎重に検討するべきだと言ってきた。これは、本来はそういうものを導入することが表面的な得点稼ぎになると思われている、情報セキュリティ・マネジメントの実務家であり、企業の役職者だからこそ、敢えて言っておきたい。

特に、日本は法の支配というコンセプトに関しては完全な後進国であり、企業内文化が簡単に公法をオーバーライドしたりオーバーロードする傲慢で未熟な人々から構成されているため、ひとたび安きに流れ始めると簡単に人権の軽視や軽微な違法行為が、数々の下らない観念やスローガンのもとに横行する。(日本ほど各企業ごとの経理実務に「カスタマイズ」可能な販管システムが数多く開発・提供されている国はない。なぜなら、他のアジアの国は経理という発想そのものの浸透が遅れているのに対して、日本の大半の企業には脱法的な経理事務「しかない」からだ。)

得てして技術一辺倒の企業が開発したり導入する生体認証システムや、その導入手順というものは、僕がみたところでは非常に雑であり、セキュリティ技術やマネジメントとして、相手の選好や意思なり人権に配慮しうる選択肢をわざと無視するような、或る意味では悪質な無知や無作為を放置しているように思う。そして、そういう技術を導入してくれるというだけで、その会社が他の点でも法的に問題のない手続きを実施するなどと、何の根拠もなく受け入れ側が考えているなら、それは発注者として重大な過失だと言いたい。いったい、自組織の人員の権利に配慮できない人間が、一般住民や顧客や取引先の人権に配慮して実務を遂行できるのだろうか。

ここで、既に自治体として「全員」から強制的に指紋情報を取得している事例があるので、とりあげてみよう。DDS という名古屋の会社の生体認証システムを神奈川県藤沢市役所が導入したというものだ。導入したのは 2006 年というから、まだ殆どの企業ではプライバシーマークの認知度も殆どない時代の話である。指紋情報から不可逆的に変換した「波形情報」なるハッシュみたいなデータを使って認証するということだが、もちろんこの一方向性関数が愚かな設計だと、ハッシュ・テーブル攻撃が使える。職員の氏名かIDと波形情報とのセットを含む保有個人データベースが一元的に管理されていれば(例えば個々のパソコンの認証に使うだけでなく、Active Directory などで認証そのものを一元的に管理している場合)、それだけでも機密に値するが、内部犯行でデータベースを奪われる心配もあろう。

そして、そもそも技術的な懸念は些末である。最初に、登録するためとして職員から指紋データを取得するときの手順がどうなのかという問題は、どういうシステムを導入しようとベンダーの技術とは何の関係もなしに残るからだ。指紋を登録するときに、もちろん職員はオプトインはしたと思うが、その誓約にあたり、法令で定められた事項の「個人情報を取得できない場合の制約」について、何が書かれているのかがポイントになる。もし職員として業務を遂行できなくなるということなら、自治体として優先するべきはどちらなのかを考えておかなくてならず、その正当な理由も必要だろう。藤沢市の条例・規則から検索してみたが、安全管理措置として生体認証や二段階認証を実施しているという報告があるのみで、そもそも個人情報を職員から取得する際の手順という観点でのコンプライアンスについては、完全に説明が欠落している(情報公開請求してもいいとは思うが、何度も「ない」と言われた挙句に、またぞろ「調べていなかった外付け HDD にあった」とか言い出すのではないか)。

  1. もっと新しいノート <<
  2. >> もっと古いノート

冒頭に戻る


※ 以下の SNS 共有ボタンは JavaScript を使っておらず、ボタンを押すまでは SNS サイトと全く通信しません。

Google+ Twitter Facebook