個人情報保護と生体認証

ネットワーク社会の安全確保へ

東京情報大学 総合情報学部 環境情報学科(環境セキュリティ研究室)

畠中 伸敏(はたなか のぶとし)

主な研究テーマ:「本人性の確認と認証技術」。

主な著書:『個人情報の保護とリスク分析』(編著、日本規格協会、『情報セキュリティのためのリスク分析・評価』(編著、日科技連出版社)、『顧客満足システムの構築』(共著、日科技連出版社)など多数。

個人情報保護法が2005年4月に全面施行されて、今春で2年になる。しかし、金融機関などからの顧客情報漏えいなどは一向に減少する気配がない。盗難や紛失による被害は、法施行前よりむしろ増大している。

私たちの研究室では、こうした個人情報に関わる事件・事故について、発生原因と結果の連鎖メカニズムを解明し、生体認証など最先端技術を用いた個人情報保護の研究をおこなっている。

唯一無二の特徴で認証

生体認証とは、人間の個体で異なる特徴を用いて本人であることを特定する方法である。本人だけの特徴、いわば唯一無二の情報であることが絶対条件となる。

その特徴には、身体的(指紋・虹彩など)と行動的(署名・声紋など)の2種類ある。身体的特徴には、例えば腋臭(わきが)もあるし、行動的特徴には、歩き方など各種の癖(くせ)がある。

認証のプロセスは、それらの特徴を示す画像情報あるいは生体反応をテンプレート(事前採取情報)として登録し、新たに採取された被験者の生体情報と比較することにより、本人であることを確認する。家の番犬が、飼い主の足音や匂いで、その帰宅を知るのも、生体認証といえるだろう。

個人認証の歴史は、昔の中国やインドにさかのぼるといわれる。近代的研究は、1685年ネミヘア・グルーの皮膚紋理の研究を端緒にし、1880年ヘンリー・フォールズが指紋は唯一無二であることを検証して、本格化した。世界中の警察の犯罪捜査で、指紋認証が用いられていることは知られている。

様々な認証技術を開発

PCへのアクセスをはじめ、ファイルの読み取り、書き込みに関し、それらの権限を持つ人間の生体認証を登録しておけば、情報漏えいを防ぐことができる。さらに、ファイルの中身を見せない仕組みとして、その暗号化と認証は一対で用いられる。

パスワードやカードと比較して、安全性が高く、様々な認証技術が開発されている。例えば、IBMのPCやバッファロのUSBフラッシュメモリーには指紋認証が使われ、NECの携帯電話には顔認証が用いられている。また、三菱UFJ銀行では手のひらに存在する静脈を用いた認証が行われ、郵便局では指の静脈を用いた認証が行われている。

手のひらの静脈認証

手のひらによる静脈認証は、静脈の枝分かれする角度やパターン(図1)から、本人を特定する方法である。

静脈パターンは皮膚の内部の情報を基にしているから、顔や指紋のように写真や複製を利用するようなことはできない。また、生きている人間の手のひらでのみ有効であり、仮になんらかの犯罪で、切り取られた手のひらを読み取り装置にかざしても、本人として認証はしない。

メラニン色素や体毛などの影響が少ないといわれる。双子の兄弟でも静脈パターンは異なるとされ、成長によって大きさは変化してもパターン自体は一生変化しないとされている。

この認証の開発当初は、手のひらのかざし方が違っただけで、本人と認証しないなど、実用化の道のりは遠いと思われた。認証装置も昔は電話ボックスぐらいの大きさだったが、今はタバコのケースより小さくなり(図2)、読み取り精度が一段と向上している。

認証精度は本人拒否率と他人受入率で表現される。現在の到達レベルは、本人拒否率0.01%、他人受入率0.0008%である。瞬時とはいかないが、ほんの数秒で本人であるかどうかを特定する。

指紋、虹彩による認証

指紋認証や目の虹彩(アイリス)認証などは、すべての人が登録できるわけではなく、50人〜1000人に1人の確率で必ず登録できない人間が存在する。容易にハッキングできるという報告もある。

また、寒い日は指紋の文様が浮かび上がらず、水を使った後は手に皺がよるなど、本人と認証しにくくなる課題が存在する。

さらに、指紋を取られることには抵抗感もあろう。人が触った個所を、もう一度、触るなど不潔感が存在する。虹彩による認証も同様である。それに比べ、手のひら認証は非接触型で装置に手をかざすだけなので、違和感がない。

顔認証

顔の認証は、年を取って歯が抜けたり、顔に皺(しわ)が入ると認証精度が落ちるという問題がある。また緊張してほほを赤らめたり、気分が悪くなって青ざめたりすることも精度に影響する。

しかし、顔を撮影するだけで、指紋をとられるような面倒はない。現在のところ装置の値段が高いので、普及していないが、究極の認証装置は顔認証(図3)であるといわれている。

顔認証は建物の出入り管理、国際空港の出入国、通関での不審者監視など利用の範囲は広い。静脈認証は認証精度が高いが、例えば病院の新生児室の出入りには、顔認証装置の方がふさわしいだろう。新生児を抱いて出入りする看護士は、手が塞がっていると考えられるからだ。

小学生の登下校の安全を守るため、その道のりを監視カメラで追跡することもできる。

しかし、監視カメラで撮る場合は、監視員などの利用目的の認識やプライバシー保護の教育・訓練が必要である。顔は個人情報そのもので、利用の仕方によっては、プライバシーの侵害や誹謗・中傷の的になりかねず、普及には法整備も必要である。

情報セキュリティ検定

本学科ではWeb教材を活用して、1年生全員が「情報セキュリティ検定」について効率よく学び、合格実績を上げている。合格した学生には、「個人情報保護士」という時代のニーズに即したライセンスを取得するカリキュラムがあり、今年度も13名が「個人情報保護士」として認められた。さらに高度な資格として「情報セキュリティアドミニストレータ」の実績も豊富である。

×CLOSE