Scribble at 2022-07-25 10:12:40 Last modified: 2022-07-26 10:37:55
ラウル氏は、「Android、iOSでFIDO2規格への準拠が進むことで、課題となっていたセキュリティキーの購入・管理や専用アプリをインストールする必要がなくなり、スマートフォンの標準機能でFIDO2認証が可能となる。これにより、企業へのパスワードレス認証の普及が一気に加速すると思われる」との展望を語った。
なんでこんな記事に「広告」と掲示されていないのか、理解しかねる。どう考えてもゼネコン御用達の商品を販売している企業が、自社の販促に都合がいい技術を「トレンド」と称して正当化してるだけの話ではないか。情報セキュリティのプロあるいは実務家として、こんな内容は公正でもなければ人権の問題として正しくもない。単なる技術屋の放言だと思うね。ていうか、この人って日本のリクルートの役員だったわけだし、職探ししてるような人間の個人情報なんて商売の部品としか思ってない会社の出身なんだから、そりゃ生体情報なんて会社が無理やり社員から集めても構わないとしか思ってないだろう。こんなやつは日本の法律すら知らなくて仕事してるんじゃないかな。
まず、社用の機器やサービスにアクセスするための条件として、「要配慮個人情報」(昔の条文では「機微の情報」と言っていた)に該当する生体情報、つまり虹彩パターンとか指紋とか声紋データの供出を義務付けるのは憲法違反であり、これを労働契約や就業規則で縛るのは民事としても無効な契約だ。この方法でしか求めるセキュリティ・レベルを達成できないという厳格な証明があればともかく、そんな証明はそもそも情報セキュリティにおいては不可能であるというのがプロの常識であろう。一般企業において情報機器やオンライン・サービスへの機密性というセキュリティ・レベルを安全に保つというだけなら、パスワードの複雑さを求めるとか、MFA を導入するとか、幾らでも代替の方法はある。生体認証とは言っても、しょせんはハッシュ値に変換した文字列を暗号化して通信しているだけのことだ。他の文字列を通信するのと比べて、特別に暗号論的に強いと言える理論的な根拠はない。