「固有IDのシンプル・シナリオ」をめぐって

結城浩

2003年8月7日〜8月21日

固有IDのシンプル・シナリオは、結城のサイトの中で、2003年中いちばん「盛り上がった」ページです。 公開当時の日記を集めました。

目次

2003年8月7日 (木) - 「固定ID」こそが問題なのですね

高木浩光さんは、繰り返し繰り返し「固定ID」の問題点を指摘している。 高木さんの主張は基本的に正しい。 しかし、高木さんが 日記でいらだっているように、 固定IDの問題は非常に誤解されやすいものらしい。

いま「何とかID」というID(アイディー)があったとする。 それはRFIDでも、サブスクライバーIDでも、住民票コードでも何でもいいが、 とにかく何かの番号だ。

「何とかID」は短いから、個人情報は含まれていないように感じられる。 だから「何とかID」がセキュリティを脅かすことはない、と感じられる。 「単なる番号でしょ?その番号がわかっても私の個人情報が漏れるわけじゃない」と感じられる。 また「何とかID」が個人情報のデータベースのインデクスになっているとしても、 そのデータベースさえきちんと守っていれば問題はないように感じられる。

でも、それは錯覚だ。

そのIDの中に個人情報が含まれているかどうかは問題ではない。 また、データベースが守られているかどうかも問題ではない。

その「何とかID」が 「固定ID」かどうかが問題 なのだ。 Webのクッキーとよく似ている。

「何とかID」を通信するときに必ず暗号化したらどうだろうか。 暗号化したら元のIDがわからないから大丈夫だよね……いや、違う。 もしも、暗号化した結果が「いつも決まったビット列」になるのであれば同じだ。 なぜなら暗号化した結果が新たな「固定ID」になってしまうからだ。

繰り返すが、 そのIDの中に情報が含まれているかどうかが問題ではなく、 そのIDが「固定ID」かどうかが問題なのだ。

2003年8月14日 (木) - 「固有IDのシンプル・シナリオ」を書きました

RFIDなどの固有IDが生み出す問題は、 複雑で理解しにくい場合があります。 そこで、議論を明確にするために、技術的な詳細に依存しない、 できるだけシンプルなシナリオとして「固有IDのシンプル・シナリオ」を書いてみました。 どうぞご利用ください。

この「固有IDのシンプル・シナリオ」で言いたいのは、 「固有IDを使うと、個人を追跡できる場合がある」ということです。 そして、その際に、

  • 固有IDの中に個人情報が盛り込まれているかどうかは重要ではない。
  • 固有IDが暗号化されているかどうかは重要ではない。
  • データベースが強固に守られているかどうかは重要ではない。

ということを明確にしたいと思いました。

固有IDに個人情報が盛り込まれていなくても、 固有IDが暗号化されていても、 データベースがそもそも存在しなくても、 固有IDを使って個人を追跡できる可能性がある、ということです。

2003年8月15日 (金) - 「固有IDのシンプル・シナリオ」に加筆(形式に注目)

お盆休みの時期であるにも関わらず、 先日公開した「固有IDのシンプル・シナリオ」には 多数の反応とフィードバックがありました。感謝します。 www.hyuki.comに対するアクセス数では、 普段はトップページや「日記」が最上位にくるのですが、 一時は「固有IDのシンプル・シナリオ」が最上位にくるほどでした。 みなさんからのフィードバックはページのほうに反映させています。

このページの構成の意図を理解してくださらない読者さんもいらっしゃったので、 以下のような解説を加筆しました。

「固有IDのシンプル・シナリオ」の部分では、図と文章を用いて「固有IDのシンプル・シナリオ」とわたしが呼んでいるシナリオを解説しています。 この部分は特定の技術に依存せず、 また善悪の区別や、違法性の有無について 判断できないような形式で書きました。 この中では、 アリスやボブという固有名詞を使っていますが、 これは単なる役割の名前であると考えてください。 この「固有IDのシンプル・シナリオ」はいわばフレームワークなのです。

シンプル・シナリオ適用例の部分では、 「固有IDのシンプル・シナリオ」に対してもっと具体的な肉付けをしています。 カードのスキャナや、離れてIDを読み取れるチップのように、 登場する技術に多少の具体性が加わります。 適用例の中には「問題のない例」「プライバシーの侵害と感じられる例」「違法性を持った例」 「非常に現実味のある例」「近未来では実現できそうもない例」などが含まれるでしょう。 もっと具体化しないと何も判断・評価できないものがあるかもしれません。 しかし、いずれの例も、 はじめに述べた「固有IDのシンプル・シナリオ」を適用した例になっているはずです。

なお、 officeさんの文章のオープニングを読むと、 私の書いた文章の意図をよく汲んでくださっているようで、とてもうれしい。 以下引用。

「固有IDのシンプル・シナリオ」は、純然たる技術についてのシナリオである。私は極端な物言いとして時として「技術には善も悪もない」ということを言うが、まさにこの文章はそういったものの例といってよかろう。「RFID」だろうと「ウイルス」であろうと、それに関連する特定の「シナリオ」はあるが、それを保持しているから悪いということにはなり得ない。善となるか、悪となるかは運用次第なのだ。

(中略)

 ややもすると、固定ID技術推進派からはデメリットだけが示されているように見え、固定ID技術反対派からみるとメリットだけが示されているように見えてしまいかねないが、決してそうではない。現状では「メリット」も「デメリット」もほとんど明確にはされていないのであって、この「固有IDのシンプル・シナリオ」はそれらを明らかにするための基盤となるべき文章なのだ。

2003年8月16日 (土) - 「固有IDのシンプル・シナリオ」に加筆(よい例)

「結局、固有IDの悪いところだけ書いているじゃないか」 という批判がやってくるので、 固有IDが人の命を救うという例を加筆しました。 この例では、徘徊老人アリスの命を固有IDが救います。

興味深いのは、 「適用例5(徘徊老人)」で徘徊老人アリスを見逃さないためにID読取機の性能が上がれば上がるほど、 それは、 「適用例4(ダイヤの密輸入)」で観光客アリスを見逃さない確率が高くなる、ということですね。

つまりは技術は諸刃の剣だ、と。

2003年8月17日 (日) - 森山さんの日記への返事

森山さんの日記で、私の「固有IDのシンプル・シナリオ」に反応があったので、 お返事を書く。

▼結城さんの固有IDのシンプル・シナリオ。僕が読んで素朴に疑問なのは、なぜ結城さんは携帯電話のことについて書かないのか、ということ。クレジットカードなんて例を出すのは何だかトンチンカン。

反応ありがとうございます。 森山さんの反応をお待ちしていました。

携帯電話のことについて書かないのは、 私が携帯電話のことをよく知らないからです。

クレジットカードの例を出したのは、 ITPro 記者の目 「消費者に理解されていないICタグ」の読者コメントの中に、 クレジットカードに言及していた方がいらしたからです。

私の記憶では、 森山さんが「なぜこれだけ普及している携帯電話のことを書かないのか」と似たトーンで 「なぜこれだけクレジットカードが普及しているのにいまさらRFIDで騒ぐのか」というトーンだったような気がします (すみません、あの読者コメントを読むのにはちょっと手間がかかるので記憶で書いています——加筆:調べてみたところ、 クレジットカードは複数人の方がいろんな角度でRFIDとの違いを述べておりました。 その中に、クレジットカードをみんなが使っていることを引き合いに出して 過敏な反応は「セキュリティアレルギー」と表現をした方がいらしたのでした)。 RFIDのことを知っている人にはトンチンカンに見えるのかもしれませんが、 クレジットカードの例のQ&Aに納得していた読者さんもいらしたようですので、 一般読者にはそれほど無駄ではないと思いますが、いかがでしょうか。

▼携帯電話は、結城さんは当然知ってると思うけど、自分の番号を持っていて、電源が入っている限り、自分の位置をキャリアの無線基地局に連絡している。サービス制御局は各端末を位置登録している。つまりキャリアは、どの端末がどのエリアにあるのか知っている。携帯電話は既に相当普及している。今後、まずできないだろうと思われる読み取り機云々の話を例として持ち出す一方で(まさかあの例は本気で言ってる?)、既に今日普及している携帯電話のことを触れないのはどうしてなんでしょうか。まさか「自分で電源を切れるから問題ありません」と答えるつもりなのかな? 自分の時空間情報を随意に提示できることによるメリットも全然触れてないし。ユビキタス系サービスを受けようと思ったら、機械に(人間じゃなくてもいい場合も多い)自分がいまどこにいるか提示しないとまず無理ですよ。ただし、機械への情報提示は匿名でもいいものもあるだろうし、逆に個人識別が必要なものもある。大事なのは、その両者を区別し、技術的に安全を担保しながら成立することだと思うのだけど。少なくとも僕はそう思う。携帯電話も持ってないけど。

なるほど。携帯電話の仕組みはわかりました。ありがとうございます。

森山さんは「携帯電話の話」といったとき、 「固有IDのシンプル・シナリオ」のボブとして誰をイメージしていますか。 「携帯電話の位置情報を盗聴している人」のことをイメージしていますか? それともキャリアのこと?

私は「固有IDのシンプル・シナリオ」にあてはめて、 アリスは携帯電話のユーザで、IDは端末の番号、ID読取機は無線基地局、そしてボブは携帯電話のキャリアなのかな、と思いました。 その場合には、アリスは自分のサービスを受けるために、ボブを信用しているということですね。 それは(もしもアリスがそのことを理解していれば)問題がない例ではないでしょうか。 携帯電話のキャリアを信用できない人は携帯電話を使わないことになりますね。 時間ができたら、この携帯電話の例を事例として加筆しておくことにします。 ありがとうございます。

「自分の時空間情報を随意に提示できることによるメリット」 の例としては、たとえば 徘徊老人の例や、 遊園地の迷子探しなどを昨日・今日書いてみました。 もっとよい事例があるなら、ぜひ具体的に教えてください。

「大事なのは、その両者を区別し、技術的に安全を担保しながら…」のくだりはまったく同感です。 私の書いた事例の中で「今後、まずできないだろうと思われる読み取り機」というのはどれでしょうか。 具体的に指摘していただけると、加筆・修正がしやすいのでよろしくお願いします。 なお、私が書いた事例は「現在は難しくても、近未来には実現可能じゃないかな」と私が想像したものも含めて書いています。

▼ていうか、そもそも「〜することができる」「あり得る」ということと「現実にある」ということを、意図的か無意識か知らないけど混ぜて使われているように読めますね。携帯電話の位置情報がずーっと取られているということは事実。だけど、たとえばSuicaカードの履歴が、読み取り機を持った知らない人に読みとられました、というケースは(僕が知る限り)聞いたことない。Suicaカードは600万枚が毎日使われているのに、だ。その両者を同列に、というか片方には言及もせずに、一方的にまだ存在しない危険性だけを主張するのは結城さんらしくないと思えるのだけど。

携帯電話について言及しなかった理由は上述したとおり。

「Suicaカードの履歴が、読み取り機を持った知らない人に読み取られました、というケース」があるのかないのかは私にはわかりません。 私は私の知っている(あるいは想像できる)範囲で書いているだけですので、ごめんなさい。

ところで、まだ「存在しない危険性」が「存在する」時点になってからでは、もう遅いような気がするのですがどうでしょう。

▼Suicaは今のCLIEの一部機種でも読みとれるんだけど、ポケットの中のカードの履歴を読みとるためにCLIEを手にそーっと近づいている人がいると想定してみましょう。その人は、タグ読み取り機を持っていようがいまいが不審人物です。セキュリティには、そういう物理的障壁もあるんだ、ということをなぜ触れないのかな。ていうか、そもそもタグの特性は使う電波によって全然違ってくる、ということを結城さんが触れないのは何だか分からない。RFIDは魔法じゃないんだから。

現在のSuicaに限って言えば、そうかもしれない。 でもそのほかのすべてのタグについてそうなのでしょうか? 私が書いた 適用例3: 読取機を持ち歩く人の例を見ますと、そこに書かれているのはSuicaの例ではありません。 このボブが読み取っているのは、何かのアイテムです。

もちろんセキュリティには物理的障壁もあります。 でも、何から何まで書いたら、わけがわからないページになって終わりだと思いますよ。 私はできるだけしぼってしぼって、でも、あれだけ長いページになっているのですから。

私はRFIDに関する製品を作っている会社のWebページをいくつか見ました。 でもそこにあるのは、非常に細かい技術詳細か、ふわっとした事例だけでした。 メリットとリスクをきちんと書いている、 会社のWebページを見つけることはできませんでした (会社は、リスクを書かないだろうなとは思っていましたが)。

タグの特性が使う電波でぜんぜん違ってくる、というのはおぼろげには知っています。 でもそういうことより何より重要なのは、次の二点です。

  • RFIDは、モノから離れて、モノにふられたIDを読み取る。
  • それは、モノを個体として認識し、管理するためである。

この2点です。実現方法や距離、物理的な特性などは、 これから何年かたてば大きく変化するでしょう。 現在不可能と思われていたことも、可能になるでしょう。 でも、上に書いた2点は変化することがありません。 これはRFIDの本質だからです。 メリットも、デメリットも、ここから発生します。

そして、モノにIDがふられるということは、 そのモノを持っている人がいたら、その人にもIDがふられることになります。 IDに個人情報が含まれていようがいまいが、IDを暗号化しようがしまいが、データベースがあろうがなかろうが、 その事実は変わらない(「暗号化」については、固有IDにならないやりかたはありますが)。

私は「固有IDのシンプル・シナリオ」でその点を強調したかった。 そしてそれは、RFIDの現在の距離がどうこう、 Suicaがどうこうというよりもずっとずっと大事なことだと思いました。 あの「固有IDのシンプル・シナリオ」(ページ全体ではなくはじめのほうにある図がついた一節のこと)を よく読んでもらえばわかるように、RFIDとは一言も書いてない。善悪も書いていない。

その後の適用例は、適用例にすぎない。 適用例を作れば、議論することができるからだ。 よいものもある。わるいものもある。 適切なものもある。不適切なものもあるかもしれない。 でも不可能なものはない、と思っている。 自分の無知は自慢できないけれど、 私は 2003年4月25日まで、RFIDという言葉を知らなかった。 森山さんのように、現状のRFIDに非常に詳しい人こそ、よい適用例をたくさん作ってほしいと思います。 他の人がよく納得できて、しかも検証できるような適用例を作ってください。 これは森山さんに対する批判や皮肉ではなく、本当にまじめなお願いとして書いています。

というわけで、森山さんに対するお願いとして2点あります。

1. 私が、 シンプル・シナリオ適用例で書いた事例のうち、近未来に実現不可能なものとその理由を具体的に教えてください。

2. 森山さんが、より適切だと思う事例、現実味を帯びていると思う事例を教えてください。

1番はぜひ急いで教えてください。 お盆休みが終わって私のページへのアクセスが増える前に少しでも適切な形にしておきたいと思っておりますので、よろしくお願いいたします。 2番はお時間の都合もあるでしょうからそのうちに。

以下は、上記ページへのリンクなど(個人ページが主, リンク探しにはishinaoさんのページを利用させていただきました)。

2003年8月17日 (日) - 「固有IDのシンプル・シナリオ」に加筆(携帯電話)

森山さんの日記からヒントをいただいたので「適用例7: 携帯電話」を加筆しました。 これはサービスを受けるために固有IDが有効に機能している例ですね。

加筆のきっかけを与えてくださった森山さんに感謝します。

それでは教会へ行ってきます。

2003年8月17日 (日) - 「固有IDのシンプル・シナリオ」を書いた経緯

教会で礼拝。帰ってきてからお昼寝。

固有IDのシンプル・シナリオに対しては、 たくさんの人からメールやWeb日記で「わかりやすい」という励ましの言葉をいただきました。感謝します。 「どうしたらそのようにわかりやすく文章が書けるのか」という質問も複数の方からいただきました。 恐縮ですが、私にはうまく説明できません。 でも、忘れないうちに今回の「固有IDのシンプル・シナリオ」を書いた経緯を簡単に書こうと思います。 誰かの何かの参考になればよいのですが。

まず、もともとの発端は、 森山さんが日記高木さんの文章を批判なさったことでした。 あれをきっかけとして、私は高木さんの文章を読みました。 私は 日記の中で、自分の考えを数行にまとめてメモとしました。

(中略)

しばらくして 高木さんの日記が「はてなダイアリー」で始まり、 固有ID(固定ID)の問題がなかなか理解されない、という話題が書かれていました。 私は 『暗号技術入門』を執筆していたこともあって、セキュリティがらみの話は興味がありましたし、 高木さんの書かれている内容もよく理解できました。 しかしそれと同時に、高木さんの文章に物足りないものも感じていました。 1つは長いこと。 それから話が正確で具体的であるあまり、話の大きな流れが見えにくいこと、 それから当事者に対するいらだちがちらちら文章の中に現れるためか、 「技術そのもの」よりも「人」にフォーカスがあたりがちだという点です。

その後、高木さんの日記は毎回すごい量が続き、 しかもその内容はなかなか注目すべきものばかりでした。 でも、たとえば私が自分の読者として想定している人は、 あの文章を読みこなすことは難しいだろうな、 とも思いました。 何しろ高木さんの日記は半端じゃない量なのです。

その後、 消費者に理解されていない「ICタグ」という記事が登場し、 高木さんは、 その記事に途方にくれている文章をお書きになりました。 私もITProの文章を読み、高木さんのいらだちを理解しました。

あの記事には読者コメントがつけられるのですが、 読者コメントを読むためにはクッキーをONにしたブラウザでログインしなければなりません (クッキーで自分をトラッキングしてもらわなければ、記事が読めないわけです(^_^))。 それでしばらくは放置していました。

でも、 たださんの日記を読んで、 コメントがたくさんついているらしいことを知りました。 私もログインしてコメントを読んでみました。 RFIDの専門の方から、一般の技術者まで多数の人がコメントをつけていました。 高木さんの記事などをあげて批判している人もいましたが、 扇情的な文章で、単に煽っている人もいました。

コメントを読んでいるうちに、 セキュリティやプライバシーに関わる文章は、 ちょっとした前提条件の変化で主張の妥当性が大きく変化するし、 感情的な反応を受けやすいものだなあ、と思いました。 技術的な前提条件をきちんと書かなければ正確な表現にならないけれど、 きちんと書けば書くほど話の大筋はわかりにくくなり、ポイントもぼやけてしまう。

掲示板のような場所で議論をするには不向きなテーマかもしれない、 とも思いました。掲示板では相手の揚げ足取りに終始してしまって、 建設的な議論がしにくいからです。

そこで、技術的な詳細に依存しない、骨組みだけの文章はできないだろうか、 というアイディアが沸いてきました。フレームワーク的な文章です。 私はRFIDについては門外漢ですが、 幸い、高木さんが主張している固有IDの問題そのものは理解しています。 しかも、高木さんが嘆いている「固有IDの問題の理解しにくさ」は、 RFIDの技術詳細に依存しません。 さらに、暗号技術の説明に関しては、 わかりやすい図を使うという方法が有効であることがわかっていました。 これは私の 『暗号技術入門 —— 秘密の国のアリス』の執筆経験によるものです。

ここまで考えると、後は書くだけです。 一番最初に考えるのはファイル名です。 rfid.htmlにしようかと思ったのですが、 RFIDという名前をファイル名につけると、RFIDのみのページと勘違いされる可能性があると思い、 uniqid.htmlにしました。

同様の理由で「RFIDの問題点」などとはせず「固有IDのシンプル・シナリオ」というタイトルにしました。 そのほうが内容を適切に表現していると感じたからです。 このページは、おそらく多くの人に言及されるだろう、と考えましたので、 覚えやすく印象に残る語句をタイトルに入れたいと思いました。 そのため「シンプル・シナリオ」という語句を使いました。 「固有IDのシンプル・シナリオ」。 うん、なかなかいいじゃん。 シナリオのつづり(scenerio)は間違えやすいので、 ファイル名をscenerio.htmlとはしませんでした。

さて、まず私は話をできるだけ単純化するために、 IDを持った「アリス」と、IDを受け取る「ボブ」を登場させました。 ここで、アリスとボブが誰であるかを定めないのがポイントです。 それから固有IDがふられた「アイテム」を登場させました。 最初は「商品」と書いていたのですが、もっと一般化させようと思い「アイテム」としました。 それから「ID読取機」も必要です。これは最初「リーダ」と書こうと思いましたが、 リーダだとreaderなのかleaderなのか一瞬迷うし、もっと泥臭い名称のほうが直感的にわかると思い、 「ID読取機」としました。 無線を前提とはしたくなかったので、アンテナは登場させませんでした。 ここまで考えたところで、適用例1は「メンバーズカード」にしようと思いました。

それから図を描きます。図は、時間が左から右、上から下に流れるように描くのが自然です。 文章から参照しやすいように(A)や(B)のようなラベルをつけておきます。 ラベルをつけるときに、最初は(1)と(2)とつけようかと思ったのですが、 適用例に1, 2, 3,...という番号が登場するかもしれないので(A)(B)にしました。 これはどっちでもよかったかな。

図ができたので、文章を書きました。 「固有IDのシンプル・シナリオ」本体の部分には、RFIDやアンテナや無線といった、 特定技術に依存した話が含まれないように注意しました。 また、「だから危険」「だから安全」といった判断が入らないようにし、 単純明快に「たしかにそれはそうだな」といえるような内容に絞り込んだ解説にしました。

でも「固有IDのシンプル・シナリオ」本体だけでは何を言っているかわかりません。 そこで、 適用例を作ることにしました。適用例を作っているうちに、 「データベースは不要」「個人情報がIDに含まれている必要はない」 「暗号化は意味がない」「読み取られていることをアリスは知っているかどうか」 といった点がポイントとなることがわかってきました。

そこで、 Q&A形式で、補足説明のようなことを書こうとしました。 ここは、誤解を恐れずにできるだけ「話を単純化する」「はっきり言い切る」というスタンスで書きました。 ここのQ&Aの質問となる項目に関しては、 先ほど読んだITProのコメント欄に書かれた項目を参考にしました (文章はすべて独自に書き起こし、自然なQ&Aになるようにしました)。

ところで、以前からYukiWikiに作られていた「RFID反応リンク集」が気にかかっていました。 多くのサイトからリンクされているけれど、これはWikiのページですから、 何かの事故で消える可能性もあります(バックアップしていますけれど)。 そこでこの機会に、スナップショットをとっておくことにしました。

ここまで書いて読み返してみると、 私の意図はだいぶ表現されていると感じられましたので、 公開しました。

自分の日記、自分のニュースサイトであるwww.textfile.org、 それから高木さんの日記の「ツッコミ欄」で案内し、 反応を待ちました。 すぐにフィードバックやメールがやってきました。 フィードバックを元に、細かい修正をかけました。 みなさんからたくさんのフィードバックやメールをいただいて、とてもうれしいです。 「読みやすい」という意見だけではなく、 「こう書いたほうがよい」「これはフェアじゃない」という意見も、 とても励みになります。 今後ともよろしくお願いいたします。

ただ、 だいぶ自分の仕事をほったらかしてこのページに関わってしまったので、 これからは、ちょっとペースを落とします。

2003年8月18日 (月) - 森山さんの返事への返事

森山さんの日記(結城への返事)に返事を書く。

▼結城さんの日記に返事を書く。

> 森山さんは「携帯電話の話」といったとき、 「固有IDのシンプル・シナリオ」のボブとして誰をイメージしていますか。 「携帯電話の位置情報を盗聴している人」のことをイメージしていますか? それともキャリアのこと?

さあ? 話をはぐらかしてるわけじゃありません。そもそも僕には「固有IDのシンプルシナリオ」に照らし合わせた話は良く分かりません。というのは、もともと結城さんのシナリオでは、ボブが人間である場合、機械である場合、区別されてないですよね。それと同様だと思うのですが? だから、結城さんが続けて書いているとおり、

> アリスは携帯電話のユーザで、IDは端末の番号、ID読取機は無線基地局、そしてボブは携帯電話のキャリアなのかな、と思いました。

ということなのでは?

私の「固有IDのシンプル・シナリオ」ではボブが人間か機械かを区別していません。その通りです。 でも「適用例」のほうでは区別しています。たいていは人間、もしくは人間の集団です。 森山さんには、私が「固有IDのシンプル・シナリオ」本体と「適用例」を区別した構成と理由がわかってもらえていないのですね。 少し残念です。「適用例」は現実の技術詳細によって妥当性が変化する。 でも「固有IDのシンプル・シナリオ」本体の構成は変化しない。 一般の人の多くは技術詳細を聞いているうちに「IDがボブに読まれている」という本質を見失ってしまうのです。 ボブは必ずしも悪い人じゃない。自分が良く知っている信頼している相手かもしれない。 「誰かに読まれている」と書くと多くの人は「盗聴だ」といって盗聴の可能性について議論し始める。 それは議論の本質を見失う。だから私はわざわざ「固有IDのシンプル・シナリオ」本体で役割の表を作り、 適用例でその表を埋めているのです。議論の立脚点として「アリスは誰?」「ボブは誰?」といったことをはっきりさせたいからです。 その構成を理解していただけないなら、不毛な議論になる可能性が高いです。

▼次に読み取り機のことですが、これは、

> 近未来に実現不可能なものとその理由を具体的に教えてください。

と、同様なので一緒に答えたいと思います。ただしその前に。結城さんは、まだ現在に存在しない技術を仮定して、それを前提に話を作ってますよね。確かに、突然みょうな技術ができないとは限らない。でも僕には、まだ存在しない仮の技術を仮定して、しかもあたかも近未来に実現するような話をしている理由がよく分かりません。

理由はシンプル。 この業界の技術は10年たったらがらりと変わるからです。 せっかく文章を書くのに1年や2年で古くなる文章を書いてもしょうがないからです。

それに、仮の技術でもいいんですよ。 たとえば「この適用例は想像上のものであり、実現は困難と考えられます。理由はアリスのチップをこのスピードでこの距離から読むことは困難だからです」のような 理由をつけておけばよいのです。それは「適用例の検証」ですよね。 でもその検証をする前には、その適用例が何を言っているのか、読者に伝えなければならない。そのためには骨組みを理解してもらうことが重要。 私の書いた適用例には不適切なものがあるかもしれないが、すべて同じ骨組みを持っています。 それが「固有IDのシンプル・シナリオ」本体です。 お願いですから、この構成をわかってほしいです。

▼ということを前提として、取り合えず話を続けます。あり得そうにないものとして、僕はいろんなタグを非接触、しかもかなり遠距離からでも読み取れる読み取り機を挙げます。適用例3と4にあたるんでしょうか。RFIDのうち特にパッシブタグは、非接触といっても、それは端子から直接リード/ライトしなくて良い、といった意味であって、ほとんどは密着させないと読むことができません。いわゆる「近接型」という奴です。コンテナ用にある程度距離があるところから読めるタグもありますが、多くはアクティブタグですし、読み取り機は大きなものになります。RFIDの特性については色々な雑誌や本に出てますし、結城さんもウェブなどでご覧になったとのことですから省略します。必要であれば「RFマガジン」や「カードウェーブ」「月刊バーコード」など業界雑誌を読むことをオススメします。結城さんが適用例で示しているのとは逆に、必要なタグをきちんと読みとることにいかに業界が苦労しているのか分かると思います。マンガと現実は違います。

なるほど、適用例3と4では、密着させるほどの距離でないと読めないのですね。理解しました。 では適用例3と4にその旨加筆しておきましょう。…加筆しました。

ところで、業界的には「距離を伸ばすこと」を目標として動いているのではないでしょうか。

▼そもそも、複数のぜんぜん用途の違うタグを読めるリーダーの存在意義が僕には分かりません。RFIDの主な用途はタグです。その名の通り、無線による個別識別が用途です。そのためにはむしろ、余計なタグは読まない、という仕様のほうが必要とされます。たとえば、レジを通過するためのタグ読み取り機を想定しましょう。それが客がいま着ている服そのほかにも反応してしまったら困ると思いませんか? いまでもあるサービスですが、カフェテリアの自動決済システムが、財布のなかのICカードの情報を盗んだりしていますか? Suicaの読み取り機が、タイプAカードやICチップ入りクレジットの情報も読みとっていますか? 僕も専門家じゃないし、RFIDメーカーの出しているタグ全てを知ってるわけではもちろんありません。ですから正確なところは知りません。また、RFIDがもともと戦闘機の識別用として発案されたことを考えると、遠距離で届くものもあるのかもしれません。海上コンテナ用や車両用のタグなどは時速13km以上の速度でも読みとれることがISOで定められており、たしか現行電波波のもとでは最長2mの距離からの読み取りが可能なはずです。が、それは特殊な例であって、通常RFIDと呼ばれるもの、あるいは結城さんが「適用例」で想定しているようなタグとは違うんじゃないでしょうか。さて、魔法のようにどの周波数のタグでもバンバン読みとれる万能読み取り機は技術面でも運用面でも想定しにくいと考えるのは不自然でしょうか? というか結城さんは、どこのメーカーのどのタグシステムを想定して話をしているのでしょうか? 結城さんが言ってるようなことができるタグシステムがあるのであれば、それこそ僕も具体的に教えてもらいたいです。

なるほど。用途の違うタグを読むリーダーというのが存在しない・少ないのですね。理解しました。 適用例3の場合には、マニアのボブくんが複数のリーダーをカバンに入れて歩いているかもしれませんけれど。

▼細かいことですが、適用例2で靴のようにすり減るものに乗車券機能を持つタグをつけるというのもまずないでしょう。また、これまでにも何度も書いたことですが、僕はカードを意識的に使うということと、(知っているとはいえ)無意識のうちに読みとられるという想定は全く違うと思っていて、今後もゲートのようなところでは原則、カードをかざすような形になると思います。それと、適用例1で「顧客データベースなしで」と言っているのも良く分かりません。購入履歴を参照しているわけだから、それはデータベースでしょう? それとも、客のカードに履歴が表示されるようなものを考えている?

適用例2の「チップのついた靴」ですが、あれは乗車券機能とは限りません。 もしもボブが鉄道会社だったら乗車券機能かもしれない。 でもボブが興信所だったら、違うかもしれない。 だから「シンプル・シナリオ」が重要なのです。 「ボブは誰?」「アリスは誰?」という問いに答えることは重要です。 まあでも、これはここでは、細かい話。

適用例1というのはメンバーズカードの例ですね。 メンバーズカードの番号が新宿店のレジと銀座店のレジでスキャンされたとする。 そのデータ(番号)を入手したボブは、新宿店のレジと銀座店のレジを通過した人が同一人物らしいことがわかる、 という意味です。 カード番号から顧客データベースへアクセスして、顧客の名前を取得しなくても、同じ番号であることだけで同一人物であることがわかる、 という意味です。 買った商品と番号がバインドされるような表現になっていたのはちょっとまずかったですね。 「土曜日に新宿店でスカーフを買った人」が「日曜日に銀座店で靴を買った人」と同じらしい、 と書くよりは「土曜日に新宿店のレジを通った人」が「日曜日に銀座店のレジを通った人」と同じらしい、 と書いたほうがよかったですね。

メモ:「あるIDをあるリーダが読んだ」という事実は、データベースの小さなカケラなのですよね。

▼次。

> もっとよい事例があるなら、ぜひ具体的に教えてください。

あのう、そこも僕は今回の結城さんの「シナリオ」の書き方への疑問点なんですけど、結城さんは、悪用される例には、まだ存在しない技術を色々考え出して「お話」を創ってますよね。なのになぜ、良い例に関しては「具体例を挙げろ」になるんでしょうか? 今回結城さんは、技術は中立だ、と言いながら、「うまく使えばこんなことができますよ」ということをぜんぜん提案していない。むしろ一方的に不安をあおり立てるような書き方をしている。それは中立とは言えないのでは? 可能性の話をするのであれば、そりゃ色々言えるでしょうけど、そのためには、もうちょっと具体的なことに基づいて言うべきなんじゃないでしょうか。

すみませんが、遅ればせながら、 徘徊老人の例や、 遊園地の迷子探しも書いてありますので、いちおうぜんぜん提案してないわけではないです。

▼取りあえず話を進めます。遊園地や徘徊への適用は既にココセコムそのほかの商品で実施されている例です。無くなった宝石が戻ってきたのは有名な話ですね。それ以外に実施されている例としては、たとえばタクシーやバスの配車サービスなどがあります。DoCoですCarなどですね。単に最適な配車をするだけではなく、ユーザーが位置情報を知らせるとタクシーを一発で呼ぶことのできるサービスも、既にサービスインしています。そもそもカーナビや、GPS携帯による人ナビサービスなども同様のサービスですね。盗難防止のイモビライザーもRFIDです。もっと広く言ってしまえば、電子メールやウェブ、インターネットなど物理的なコンピュータにアドレスを振るという技術一般も固有IDを利用したサービスではないのでしょうか。そもそもRFIDによるタグ付けは、これまで機械が識別することができなかった物体を個別に識別して計算機で扱えるようにするというところに特徴があるわけですから。また、結城さんは乗車券カードについて全く言及していませんが、当然、あれもそうですね。そのほかインタフェースとしてRFIDを使うという研究もあります。以前もこの日記で紹介したことあると思いますがPlayStandなどは分かりやすい例ですし、他にもいろいろと考えられるでしょう。そもそも僕は、RFIDは、結城さんが想定しているようなケース、つまり勝手に情報が読みとられて勝手にどうのこうのされる、ということを、むしろ防ぐためにあると考えています。そのことは既に「中央公論」の原稿、またはあれを書いているときの日記でも断片的に書いているとおりなので、読んで頂きたいと思います。

ええと、素朴な疑問なんですが、遊園地や徘徊に実施できるということは、 マリネラから帰国したアリスを成田で捕まえることもできそうな気がするんですけれど…。 それともそれは読取機のサイズの問題なのでしょうか。

私が理解できないのはこういうところです。 つまり、1つの役に立つ技術があるときに、 そのシナリオはちょっと変えると悪用できると思うのに、 どうして悪用のシナリオを作らないかな、という点。 よい事例がたくさん出てくるのはよいことです。でも悪い事例をたくさん作って危険に備えるほうがバランスとしてはよいと思うのですけれど。 徘徊の精度を上げたい、なくしものの精度を上げたい、コストを下げたい、そういう努力は「良いシナリオにも、悪いシナリオにも」影響を与えるのです。

▼Suicaについてですが一言いいでしょうか。色々と仰るのは別に結構だと思いますし、別に僕はソニーからもJR東日本からもお金をもらったりしていませんが、600万人のユーザーが500円払ってタグを購入しているという事実をまるで評価しない、あるいは無視しているのは、RFIDあるいは固有IDについて語る上で、公正な態度でしょうか? たとえば僕の知人の中にも、Suica定期を無くしたけども全額戻ってきたという人がいます。これは固有IDのメリットです。既存の定期では無理だった。なぜそれらのことについて全く言及しないんでしょうか。ICカードで何ができるか、ICカードとは何か、RFIDの可能性は、といったことについては、僕も未だに色々と考えている最中ですが、色々なサービスが考えられる、ということは、これまで何度も、あちこちの媒体やこの日記で書いてきたとおりです。具体例を言えと仰るのならば、せめて僕が書いた記事くらい読んだ上で質問して頂きたいと思うんですけど、駄目ですか? 上記の例については既にどこかで僕が書いたことがあるものです。結城さんが悪用例でやっているように空想で良いのならばもっと色々書けると思いますが、ここでは触れません。これまで同様、自分の日記や原稿で書いていくつもりです。

物知らずですみませんが、私がSuicaの話を書かなかった理由の1つは「600万人のユーザーが500円払ってタグを購入しているという事実」を知らなかったからです。 もう1つの理由は「600万人のユーザーが500円払ってタグを購入しているという事実」は私のページに直接的な関係はないからです。 わたしが「600万人のユーザーが500円払ってタグを購入しているという事実」から感じることは、 もしもそれだけユーザの数がいるのなら、リスクに関する説明責任はそれだけ大きくなるだろうな、ということですね。

私が「具体例を教えてください」と書いたのは、私が考えるよりも適切だと思ったからです。 時間ができたら、森山さんのページを読み返して「良い例」を探してみましょう。 そして、その技術水準を使って「悪い例」が作れないかどうかも考えてみましょう。

▼なお、僕が本当のメリットだと思っているのは、以上のような、あれができるこれができるといったレベルの話ではありません。たとえば、日記って、誰が一番読むかというと、自分ですよね。自分の履歴を一番知りたいのは、自分なんですよ。自分の履歴を(安全にね、もちろん)参照できたら便利だなと思いませんか? しかもそれが、そのときに周囲にあった事物も含めて記録されているとしたら? まったく違う視点が開けるんじゃないかと思いませんか? まあ、それはずっと先の話で、近未来じゃないですが。また、そもそもユビキタスなサービスを実現しようとしている人たちは、周囲の環境全体を賢くしようとしているわけですよね。それが本当のメリットだと思うのですが。それは何だ、と言われても、そこは一言では答えられません。たぶん結城さんがユビキタスな環境について全く言及しなかったのと同様の理由で。

「悪い犬はたいしたことがないが、悪い人間は危険である」という考え方があります。 賢いからといって良いとは限らない。賢くなればなるほど、悪くなったときは危険です。 周囲の環境全体を賢くするならば、それが悪くなる可能性を考えたほうがよいですよ。

それ以外の「便利だなと思いませんか?」については同感です。 というか、このようにやりとりしていると、 まるで私がRFID反対の急先鋒のような気分になってくるのですが、 私はそのつもりはなかったのですが…。 まあ、しかたないか。

▼なお、

> ところで、まだ「存在しない危険性」が「存在する」時点になってからでは、もう遅いような気がするのですがどうでしょう。

確かにそのとおり。同感です。ですが、僕は結城さんが不安に思っているようなことは、まず起きないだろうと思ってます。そしてこのような話の場合は「可能性としてあり得る」というシナリオを色々考えるよりも、「もっともあり得そうなシナリオについて考える」ほうが良いと思っています。たとえば、結城さんは「あり得る」と書いていますが、そういう言い方だったら何でも言えるんじゃないでしょうか。クッキーのときにも同様の懸念が色々言われましたが、現実問題としては、履歴どころかCRMで顧客の購入履歴を調べて分析云々といった良く言われていた「脅威」さえも、現実的にはできてない企業が多いわけです。コストがかかるから。そういう現実や技術面を全部抜きにして、なんでも「あり得る」と言うのは、あまり意味がないんじゃないですか。そもそも、危険性を議論したいのであれば、それこそタグの使う周波数や標準化動向など現実的な法制度や運用、技術の詳細などを議論すべきだと思いますが、結城さんは「シンプル・シナリオ」という形にすることで、そこを意識的に無視しちゃってるように見えます。

ふむふむ。ここは私と森山さんでまったく考え方が違うところですね。 私は危険なシナリオも興味はありますが、それよりも大事なのは、 固有IDがなぜ問題なのか、ということを理解してもらうことではないかと思っています。 だから私はシンプル・シナリオにしたのです。肉付けはあとでできるから。

▼たとえば結城さんは、アダルトビデオにあっちこっちに電波をとばしまくるRFIDが張られるといったことを適用例3でお書きになってますが、そんなこと本当に起きると思いますか? ビデオ屋、あるいはビデオメーカーにとって、そんなタグを張り付けて単品管理することはコストに見合うのでしょうか? 私も計算したわけではありませんが、かなり怪しいと思います。「携帯電話については知らないから」と言って書かなかった結城さん、アダルトビデオの流通には詳しいのでしょうか。悪いけど今回の結城さんのシナリオは公正中立とは言い難いと思います。

あそこでアダルトビデオを出してきたのは「ある人が、ある場所に存在していたモノを所持している」ということを知られるという状況が、 そのモノが何であるかがわからなくても不愉快に感じられる、という例を作りたかったからです。 適用例を無数に書くことができない以上、何らかの意図をもって適用例は作るべきだからです。 なお、私はアダルトビデオの流通には詳しくありません。

また、あそこではわざと「アダルトビデオ」のIDを読み取ったとは書いていません。 マニアのボブくんはリーダーを持って動いている。 アダルトビデオ店でスキャンした「何かのID」なのです。 まあ、でも、森山さんがおっしゃるように、それはナンセンスな仮定なのかもしれない。 でも、そうなのかな? 現在の店の形態、現在のRFIDの利用法、現在のRFIDの技術ではナンセンスな仮定だとしても、 それは10年後、20年後にもナンセンスなのだろうか。 私にはあまりそうは思えないのですけれど。

▼RFIDの話ばかりしても仕方ないと思いますので違う話をしましょう。たとえば身近なところにある固有IDは、缶ジュースやペットボトルについているシールに印刷されている懸賞応募番号でしょう。購入者は指定のサイトにアクセスしてシールの番号を打ち込むことで懸賞に応募することができます。実際にそうしているかどうかは別として、ドリンクメーカーは懸賞応募結果を見ることで、特定個人の懸賞応募状況ならびに、どこでどんなドリンクを買っているのか断片的ながら知ろうと思えば知ることが出来るでしょう。それだけのコストをかけても見合うと判断すればの話ですが。結城さんはそのことが問題だと思っている立場なんでしょうか? シナリオ云々を離れて意見を聞きたいと思います。実際にはメーカーが知りたいのは特定個人が何を飲んでいるかではなく、マスの単位で商品がどう動いているかという情報であり、クッキーを使うなどウェブを含めた機械による自動応答サービスの充実である場合が多いと思いますが。

いえ、特に問題だとは思っていません。 もし、メーカーがマスの単位が問題だとすれば、固有IDはロット単位くらいでよい話ですよね(実際ロット管理に利用されるRFIDもありますが)。 賞味期限を考えてもそうです。

▼それと、固有IDが暗号化されているかどうかは重要ではない、という話ですが、これはケースバイケースでしょう。RFIDにしても単に聞かれたら番号を返すだけのものもあれば、暗号化しているものもあるし、バイオメトリクスと組み合わせたものもある。もちろん暗号と言ってもいろいろある。暗号に関しては結城さんのほうがプロですからいちいち言いませんが、番号を読みとられると困るものに関しては、高度なセキュリティが必要だという点では誰でも意見が一致していると思います。でも、別に困らないものに関しては、そんなにコストをかけなくて良いのでは? 特に、結城さんが想定しているように、ぶんぶん番号が飛び交うようなわけじゃないとしたら。というか、逆に言えば不安ならばぜんぶICカードみたいにCPU入りにしてしまえば良いんじゃないですか。それこそ、コストは将来的に下がりそうだし。

この文章から、森山さんが、固有IDのことを理解しているのかちょっと不安になりました。 「番号を読みとられると困るものに関しては、高度なセキュリティが必要だという点では誰でも意見が一致していると思います」はよいです。 でも暗号化したら固有IDになる可能性がありますよね。 その場合にはまさに「固有IDのシンプル・シナリオ」に合致するのですよ。

あっ、そうだ。 森山さんは、 消費者に理解されていない「ICタグ」についてはどんな意見をもっていらっしゃるのだろう。 あの文章に対して多くの技術者があきれた理由は、 森山さんは理解していらっしゃるだろうか。 日記ではリンクだけで、何もコメントはついていなかったが。

▼なんだか不毛だなあという気がしてきた。机上の仮定に対して色々言うのは疲れる。僕にすればどうでもいい話題だし。

確かに不毛なやりとりなのですが、私にとっては有益でした。 私のまとめ。

  • 結城の作った適用例には、現在では実現困難なものがある(それはすでに加筆しました)。
  • 現在、遠距離のものを読み取れるリーダは大きくなる。
  • 現在、多種類のIDを読むリーダは存在しない。
  • 現在、コストの問題がある。
  • 結城のあのページは公正中立とは言いがたいらしい(これは複数人から指摘されたのできっとあたっているのだろう)。
  • よい例については、森山さんの日記をウオッチすること。

最後に、貴重なお時間を使ってコメントを書いてくださった森山さんに感謝します。 実際、こういうコメントを作るのは非常に時間がかかり、疲れるものです。 私は今日の日記を書くのに2時間もかかりました。

まじめな話、森山さんには本当に感謝しています。 ぜひこれからも、よい記事を書いてください。

以下は「固有IDのシンプル・シナリオ」へのリンク。

2003年8月19日 (火) - 携帯電話というもの

森山さんの勧めに従って真面目に勉強する。 といっても時間がないので、 とりあえず30分だけ携帯電話のセキュリティの歴史を勉強。 こういうときには 『情報セキュリティ技術大全』(Ross Anderson)が便利。

p.338からの「電話通信網のセキュリティ」には固定電話網および携帯電話網のセキュリティの失敗の歴史がつづられている。 携帯電話についてはp.345から。 第一世代では電話機のシリアル番号が平文でアナログ送信されていた。 悪者はこれらの番号を近くでキャッチして使った。 第二世代のGSMではデジタルになったが、使われていたハッシュとプロトコルに脆弱性があった。 (使われていた暗号プリミティブに非公開のものがあった——Security by Obscurityだ)。 第三世代のデジタル携帯電話3GPPについては詳しくは書かれていない。

ふむ。確かにいろいろ勉強すべきかもしれない。 セキュリティの歴史を、固有ID(固定ID)の観点から見てみると面白いかも、と思った。

なお、この日記をお読みの方にお伝えしておきたいのですが、 今回の森山さんとのやりとりを、 私と森山さんの対決のように考えるのは不適切だと思っています。 そういうスタンスで考えると大事なことが見えにくくなるからです。 情報を提示している「人」に着目するのではなく、 情報そのものや論理的な道筋に着目して考えを進めるほうが建設的だと思っています。 そういう意味で、 Otsuneさんの一言というのは貴重な意見です。

それから、 私あてにいろいろ情報を送ってくださる方、ありがとうございます。 時間が取れたら少しずつ整理して公開したいと思います。

以下は、読者からいただいた「関連あるかないかわからないけれど参考までに」と送られてきたリンクです。 わたしも内容をよく見ていないのですが、公開。

2003年8月20日 (水) - 「固有IDのシンプル・シナリオ・チェックリスト」を書きました

固有IDのシンプル・シナリオ の適用例に関して、 技術的な可能性、合法性・違法性、 それに道義的な良し悪しを議論するための立脚点となる「チェックリスト」を提示します。

このチェックリストを使ったからといって、 技術的な可能性、合法性・違法性や道義的な良し悪しがすぐわかるわけではありません。 しかし、状況を整理し、すれ違った議論や問題のすり替えが起きないようにするための 立脚点として用いることができるのではないか、と思っています。

「固有IDのシンプル・シナリオ・チェックリスト」 は次のように構成されています。

  • アイテム
  • ID読取機
  • ボブ

という3つの事柄それぞれに対して、

  • [把握]——アリスは、○○○を知っているか(容易に推測できるか)
  • [同意]——アリスは、○○○に同意しているか(「いいですよ」と言ってるか)
  • [拒否]——アリスは、○○○しないことが可能か(「いやです」と言えるか、○○○しない自由があるか)

という3つの観点から質問文が作られています。

あなたが、固有IDにまつわる議論を目にしたとき、 アリスになったつもりになって、 心の中で

「アイテム・ID読取機・ボブ」に関して、アリスの「把握・同意・拒否」はどうなっているかな、

と考えていただければ幸いです。 それでは、どうぞ。

2003年8月21日 (木) - プライバシーって何だろう - (加筆あり)

アリスがコインを投げた。

すると、表が出た。

表と裏のどちらが出たのか、アリスはイブに知られたくない。 コインの表裏をイブに知られずに済んだとき、 アリスのプライバシーは守られた、と考えてみよう。

「コインの表裏くらい、知られてもいいじゃない」と第三者が決め付けることはできない。 コインの表裏をイブに知られたくない理由は問わない。 自分が持っている1ビットを、 その1ビットが何をあらわすものであれ、理由がどうであれ、 誰にも知られずにいられる、ということがプライバシーの本質ではないか、 と思う。

コインの表裏というのは一例にすぎない。 たとえば…

  • 自分が男性か女性かをイブに知られたくない
  • 自分が失業中かどうかをイブに知られたくない
  • 自分が既婚か未婚かをイブに知られたくない

別に「二つに一つ」という内容だけに限定しなくてもいい。

  • 自分の名前をイブに知られたくない
  • 自分の年齢をイブに知られたくない
  • 自分の体重をイブに知られたくない
  • 自分の身長をイブに知られたくない
  • 自分の職業をイブに知られたくない
  • 自分の住所をイブに知られたくない
  • 自分の収入をイブに知られたくない
  • 自分の借金額をイブに知られたくない
  • 自分の……をイブに知られたくない

自分の持っている情報を、 それが何をあらわすものであれ、理由がどうであれ、 誰にも知られずにいられる、ということがプライバシーの本質ではないか、 と思う。

なお、以上は、 眠い頭で何も調べずに書いているので、 見当違いのことを書いていたらごめんなさい。

補足: (2003-08-22) officeさんからコメントがあったので読む。

結城さんの結論の中で、特に
「誰にも」
の部分が特にまずいと思う。

そのすぐ上では「イブには」になっていたではないか。
「イブには」と「誰にも」の乖離は大きい。

誰かには知られてもよいけれども、誰かには知られたくないのだ。
そして、その制御を「自分がしたい」ことこそ重要なのだ。

なるほど! 確かにその通りですね。 この部分に関して、わたしもofficeさんの考えに賛成です。 ということは…「どの情報を誰に知らせるかを自分が制御できる」ということですね。 コメントありがとうございます。