Visual Studio User Group > 記事

個人認証の話

運用管理フォーラムリーダー：渡邊誠人 (mnabe)
2008/02/14

個人認証の話をしたいと思います。
個人認証と聞いて、何を思い浮かべるでしょうか？　私は、日本では単体での認証は難しいと考えています。
個人情報との関係もありますが、サイト構築を行っていて、ユーザー登録を行った人物が実際に存在するかどうかを判定する事は、現実には難しいと言わなければなりません。
難しいと切り捨ててしまって、基本的な認証だけに留めるサイトが数多く存在するのが現実です。しかし、ショッピングサイト等では、やはり個人認証を行う必要があります。個人対企業の場合には、損害はシステムを運用している企業が負えばいいですが、オークション的なサイトの場合には、個人対個人で現金のやりとりが発生します。この場合には、詐欺を防止する意味からも、かなり強めの個人認証を行う必要があります。

日本国内では、クレジットカードを持っている場合を除いて、個人特定をシステマチックに行う事が難しい現実があります。そこで、個人認証をシステマチックに拘らずに考えていきたいと思います。予算を度外視すれば、人海戦術で登録者に実際に会いに行くと言った方法が、単純ですが一番確実な方法と言えるでしょう。しかし、一つのサイトでそんな事が現実的で無い事も自明です。

さてそれでは、どうしたら良いのでしょうか？

日本での事情を考える前に、インターネットでは進んでいると言われている、韓国の事例を見てみましょう。韓国の個人間取引が行われるサイトでは、通常いくつかの認証を組み合わせる事で、個人認証としています。まず、国策で「住民登録番号」があり、サイトの登録時に、この住民登録番号での登録から行われる事が殆どのようです。構成自体が単純に出来ているので、システムでのチェックも可能な様になっています。しかし、盗用の問題から観世にその機能を登録時の一つのパラメータ程度にしか使われていません。その他に、携帯番号・銀行口座・メールアドレスなどの複合での認証を行い。個人を特定する情報としています。

日本の場合はどうでしょうか？韓国で言う所の住民登録番号は、住基ネットが存在しますが、認証機能としての役目を果たしているとはとても言える状況ではありません。実際に、住民票が存在する役所に行って発行手続きを行い、住基カード(500円)を申請すると ICチップが入ったカードが発行されます。そのカードを使う事で、ネット上でも"公的個人認証サービス"を受ける事が出来ますが、これは、一部の行政手続きに限られている為に、一般のアプリケーションで使う事が出来ない現状があります。従って、公的な仕組みを使用しての認証は難しいのです。

実務レベルで考えると、複数の情報から個人特定の確度をあげていくしかありません。

・メール認証
・クレジットカード認証
・携帯番号認証

等は、システマチックに出来る認証方法になってきますが、クレジットカード認証にはカード会社との契約が必要になるし、携帯番号認証には、システム導入時に初期費用が必要になってしまうという問題点があります。携帯の個体番号での認証も有りますが、携帯を買い換える事でクリアされてしまう事等から個人認証で使うには向いていません。銀行口座と登録して、そこからまずは振り込みを行って貰う事も考えられますが、ユーザ視点から考えると、それは採用しづらいでしょう。日本の現状を考えると、システムで人手を使わないで認証を行う方法としては、クレジットカード認証が一番優れているように思いますが、サイトの性質やクレジットカード会社の許可が下りにくい等の問題があります。
人手を使っての認証を行う事で、ある程度の精度を出す事も出来ますが、この方法では費用対効果で考える必要性も出てきます。

・住所を登録
そこに実際に郵便物を出して、登録内容の確認と認証コードの入力を行って貰う。この方法だと、一人を認証するのに約 80円の必要が必要となる。また、時間的にもある程度必要になってくる。
・パスポート・運転免許書のコピー送付
本当に本人が送付している情報にならない。上記と同じように、登録されている住所宛に郵便物を転送不可で送る必要がある。

これらの事から、日本で本気で個人特定を組み込んだシステムを作ろうと思った時には、莫大の費用が必要になります。また、神経質になりすぎる個人情報への取り組みも必要になってきます。個人情報を取得する事には、勿論違法性はありません。また、これらを使ってサービス展開する事も問題にはなりません。それでは、どこまでが個人情報になってくるのでしょう？　個人情報とは、「生存する個人に関する情報（識別可能情報）」と言う事になっています。一般的には、氏名＋生年月日です。保有する個人情報の合計が 5,000件に満たない場合を除いて、法令で定める個人情報取扱事業者にならなければなりません。

氏名と生年月日に関しては、登録者の自己申告に従う事になります。システム的に、氏名と生年月日を登録しますが、そのデータに関しては、本人特定に使用しない旨を明記し、登録を必須にしない事でこの適用から外れると考えられます(判例が出ていないので、極めてグレーで、専門家の意見も分かれる所)。システム的に認証する事が出来ないデータで、個人情報に引っかかってしまう事は基本的には考えにくいと言う見解も出されています。しかし、安全の意味で、個人情報指定業者の資格を保有する流れにあります。

ここで話を戻しましょう、個人認証の方法ですが、日本では、国が提供している方法では、個人認証を行う事が出来ません。システムとして、認証を安全に確度の高い物を要求されつつある時代に反して、人手を使っての認証を行うしか無い現状にあります。複合での認証を行う事で、認証を行っている人間の人間性に訴えるしかないのです。
現在システムだけで、私が安全性が高い個人特定を行うとしたら、複合認証を採用します。対費用の問題もあるので、低予算で行う事を考えてみます。

「メール認証」＋「クレジットカード認証」。その上で、コミュニケーションを主とするサイトの場合には、江戸時代のの隣保制度である「五人組制度」を採用します。五人組制度の説明は、皆知っている物として省略しますが、互いに監視し合う互助会だと思って貰えればほぼ毎違い無いでしょう。担保を置く事で、詐欺行為を抑制するシステムにしていきます。
ここまで考えなければ、ユーザ間取引を安全に行わせる事が出来ないのは、ユーザに取って不幸な事です。日本でも、最低韓国並みの個人認証が出来るようにならないと、今後のネットワークに関するビジネスの発展は望めないのではないでしょうか。この問題だけは、個人や一企業・一団体で解決出来るレベルではなく、国家レベルでの対応が急がれます。

コラム一覧へ