次世代認証技術とプライバシー保護
東京大学大学院情報理工学系研究科
ソーシャル
ICT研究センター
次世代認証技術講座
特任准教授
山口利恵
*
個人認証とは
、
相手が正当なユーザであるのか確認する行為
*
個人認証にはトークンが必要(満塩さんスライド内認証ガイドライン参照)
*
技術の特徴として
、
知識・所持・身体行動的特徴に大別され
、
それぞれが一長
一短
。
*
登録したデータの改変が可能なものと不可能なものがある
現状の認証技術
具体例
長所
短所
知識
知っていること
Something Known
・
PIN
・パスワード
・コストがかか
らない
・忘却・盗難
・推測
所持
持っていること
Something Possessed
・ハードウェア
(
ICカード、乱数表)
・ソフトウェア
・忘却しない
・セキュリティ
強度が向上
・所持品の配布
・所持品を読み取る等の装
置
・盗難・紛失
身体・行動的特徴
ユーザ本人の特徴
Something unique about
your appearance or
person
・バイオメトリクス
・忘却や紛失
の心配が無
い
・心理的な抵抗
(プライバシー)
・読み取る装置が必要
・改変が困難
既存手法紹介(所持・オンライン認証)
1.
ワンタイムパスワード
導入例:国内外銀行
、
社内LANログイン等
2.
ICカード
導入例:国外銀行
、
等
3.
SMS
導入例:国外銀行
、
等
http://www.mizuhobank.co.jp/direct/info/onetime0803.html http://www.gemalto.com/emv/online_security.html既存手法紹介(身体的特徴)
1.
生体認証(静脈)
国内銀行等
2.
生体認証(指紋)
海外銀行
http://www.nikkeibp.co.jp/archives/333/333755.html http://news.thomasnet.com/ companystory/Brazilian-‐Bank-‐ CAIXA-‐Deploys-‐Lumidigm-‐ Fingerprint-‐Sensors-‐in-‐ ATMs-‐853214*
個人認証とは
、
相手が正当なユーザであるのか確認する行為
*
個人認証にはトークンが必要(認証ガイドライン参照)
*
技術の特徴として
、
知識・所持・身体行動的特徴に大別され
、
それぞれが一長一短
。
*
登録したデータの改変が可能なものと不可能なものがある
⇒ 改変が可能な場合には
、
プライバシーの考慮が必須である
現状の認証技術
具体例
長所
短所
知識
知っていること
Something Known
・
PIN
・パスワード
・コストがかか
らない
・忘却・盗難
・推測
所持
持っていること
Something Possessed
・ハードウェア
(
ICカード、乱数表)
・ソフトウェア
・忘却しない
・セキュリティ
強度が向上
・所持品の配布
・所持品を読み取る等の装
置
・盗難・紛失
身体・行動的特徴
ユーザ本人の特徴
・バイオメトリクス
・忘却や紛失
の心配が無
・心理的な抵抗
(プライバシー)
*
バイオメトリクス・生体認証とは
、
「生物個体が持つ特性に
より個人を認証する技術」
*
本人の生物学的特徴を読み取り
、
登録してあるものと照合し
て個人を認証する手法のため
、
*
紛失や盗難の脅威が少なく
*
ユーザの提示手法も比較的簡単
*
生体認証に使われる身体的特徴とは
*
普遍性: 誰でも持っている特徴
*
唯一性: 万人不同 本人以外は同じ特徴をもたない
*
永続性: 終生不変 時間の経過と共に変化しない
バイオメトリクスとは
音声(声紋)
虹彩
手書署名
キーストローク
指紋
耳介、DNA、におい・・・
身体的特徴を応用
行動的特徴を応用
網膜
静脈
顔
掌形
バイオメトリクスの長所と短所
*
長所
*
ユーザの忘却
、
紛失の心配が無い
*
普遍性
*
一意性を見つけやすい
*
短所
*
心理的な抵抗
、
読み取る装置が必要
*
セキュリティ 要件の整備が必要
*
偽造対策
*
本人拒否率
、
他人受入率
だけでない基準が必要(例:ウルフ)
*
据え置きではないシステムの要件は?
*
プライバシの問題
*
変更が利かない(普遍性のある)
*
匿名が担保できない
*
生体情報そのものを保存しない技術が複数存在する
*
キャンセラブル・バイオメトリクス
*
バイオメトリック暗号 等
*
生体認証を特殊な暗号化を行い
、
利用した鍵が漏洩しない限りその
情報は個人を特定できない
。
生体情報を変換する技術
センサー
変換
サーバ
クライアント
事前に登録
元の情報に復元できない形に変換
0101110101
1101010110
1010011011
暗号化
生体情報
0101110101
1101010110
1010011011
暗号化
生体情報
0101110101
1101010110
1010011011
0101110101
1101010110
1010011011
照合
OK/NG
OK/NG
バイオメトリック暗号
暗号をとかないまま照合
*
生体情報の変換技術にはいろいろなレベルがある
*
本人を特定するのに近い情報からまったく本人に結びつか
ない情報
生体情報は個人情報か?
0101110101 1101010110 1010011011生体情報そのもの
生体情報から変換した情報
個人に限りなく近い情報
全く個人に結びつかない情報
最低k人以上同じ情報
*
生体情報の変換技術にはいろいろなレベルがある
*
本人を特定するのに近い情報からまったく本人に結びつかない情
報
*
全く個人に結びつかない情報というのは
、
他にも同じ情報の
人がいるということ
生体情報は個人情報か?
0101110101 1101010110 1010011011生体情報そのもの
生体情報から変換した情報
個人に限りなく近い情報
全く個人に結びつかない情報
(複数人のデータが同じになる)
最低k人以上同じ情報
(生体認証としては役にたたない)
*
生体情報の変換技術にはいろいろなレベルがある
*
本人を特定するのに近い情報からまったく本人に結びつかない情
報
*
全く個人に結びつかない情報というのは
、
他にも同じ情報の
人がいるということ
生体情報は個人情報か?
0101110101 1101010110 1010011011生体情報そのもの
生体情報から変換した情報
個人に限りなく近い情報
全く個人に結びつかない情報
(複数人のデータが同じになる)
最低k人以上同じ情報
認証情報はこのレベル以上の必要性がある
*
生体認証は
、
個人特定を目指しているので
、
個人が特定
されてしまう
*
生体認証を変換しプライバシーを保つ技術は
、
鍵と生体
情報の両方が漏洩しないを仮定して
、
プライバシーを
保っている
*
鍵が扱いやすくなっていればよりよいので
、
現状は鍵を如
何に小さくするか
、
如何に扱いやすくするのか
、
という検
討を行っている
*
例)鍵が耐タンパー性のあるICカードに入っている
*
鍵が漏洩しないような技術の検討が必要
*
コストや利便性を如何に考えるか
生体認証と個人特定
*
もちろん
、
認証の情報は公開されない仮定があるわけである
が。。。
。
*
トランザクションの数回が公開される
のと
、
一生変えられない情報
には違いがある
*
1人であると特定されたときの影響が違う
⇒ 漏洩した情報のコンテキスト依存
*
高度な処理の匿名データとなったとしても
、
どのような情報
なのであろうか
*
検討が必要(Ground Truth の研究が行われている)
生体認証と他の情報の違い
*
ユーザは
、
一生変えることができないため
、
ユーザの全ての
行動がリンクできる可能性がある
*
静脈を提供した場合
、
静脈の情報を起点としてリンクがとれてし
まう
*
一般に公開されないとしても
、
A銀行の人がわかってしまうか
も
生体情報が漏洩した場合
静脈
A店
B銀行
10月15日 楽器 55500円
10月20日 楽譜 2500円
10月30日 CD 2500円
10月15日 引き出し 60000円
10月20日 引き出し 10000円
C社ビル管理
10月1日 9:30 通過
18:52 通過
10月1日 9:30 通過
18:52 通過
*
センサーごとに取得方法も違うため
、
特定して紐づける
ことが困難な可能性がある
*
一生変えられない情報が漏洩したとしても
、
全てのリンク
がとれると限らない
*
それぞれの精度が高いとは限らない
現実的には
静脈
A銀行
B国入国審査
機械も取得
方法も違う
個人情報保護法
*
個人情報の保護に関する法律
*
第2条第1項
*
この法律において「個人情報」とは
、
生存する個人に関す
る情報であって
、
当該情報に含まれる氏名
、
生年月日その
他の記述等により特定の個人を識別することができるもの
(他の情報と容易に照合することができ
、
それにより特定
の個人を識別することができることとなるものを含む
。
)
をいう
。
*
保護法における個人情報が本当に個人情報か?
*
個人に関する情報(パーソナル情報)のうち
、
どこまでが
「個人情報」なのか
*
本当に氏名と生年月日が個人情報?
*
もし
、
仮に名刺情報が漏洩したとしても実害があるのか
*
個人に紐づく秘匿情報のほうが問題では?
プライバシーとは?
*
名前がないデータであれば匿名データですか?
*
情報そのものの特性だけでなく
、
データ構造に依存
*
氏名等
、
特定の個人を識別できる情報
*
上記情報と紐付いている情報
*
上記情報と紐付いていない情報
*
どういう情報であれば
、
プライバシーに関わらない情報?
プライバシー
個人情報
パーソナル情報・個人に関する情報
*
認証技術とプライバシーは
、
そもそも相反する問題
*
本人をより
確実に特定
したい VS. 本人の情報を
公開しない
*
各サービスに対し
、
適切なコストや利便性の考慮も大事
四角をどうバランスするか
⇒ 認証技術の場合は
、
必ずつきまとう問題なので
、
どのあたりがリーズナブルかの検討が必要
認証技術とプライバシー
本人特定
コスト
利便性
次世代個人認証技術講座
*
設置場所
*
東京大学大学院情報理工学系研究科
ソーシャルICT研究センター内に設置
*
別発表参照
*
三菱
UFJ
ニコス株式会社による寄付
*
期間
*
平成25年4月1日から平成30年3月31日 5年間
*
研究の目的
*
近年のインターネットの普及により
、
時間や場所の制限なく利用
できる電子商取引の利用は依然として拡大し続けている
。
これに
伴い
、
インターネット上での電子決済を安全安心に行うための個
人認証技術の重要性も急速に高まっている
。
本寄付講座は
、
産官
学の密な連携によるオープンスパイラル型研究を通じて
、
様々な
社会インフラに適用できる真に有用な個人認証技術を確立する事
講座の検討事項
*
パスワード方式に依存しているため安全性が確保できない
→ パスワードに代わる電子決済を安全・安心に行うための
個人認証技術の研究・開発
安全かつユーザ負担の少なく
、
かつ流行る方式を目指す
*
現在オンライン商取引でおきている不正・なりすまし等の被
害を少しでも減らしたい
→
被害の抜本的な原因の追及を
日本は消費者保護に重点をおいているため
、
ユーザの負担
としづらく
、
銀行やカード会社が負担をしなければならな
い
、
ということを前提に
。
みなさま
、
是非
、
御協力
いただければ幸いです
個人情報保護法
*
個人情報の保護に関する法律
*
第2条第1項
*
この法律において「個人情報」とは
、
生存する個人に関す
る情報であって
、
当該情報に含まれる氏名
、
生年月日その
他の記述等により特定の個人を識別することができるもの
(他の情報と容易に照合することができ
、
それにより特定
の個人を識別することができることとなるものを含む
。
)
をいう
。
*
保護法における個人情報が本当に個人情報か?
*
個人に関する情報(パーソナル情報)のうち
、
どこまでが
「個人情報」なのか
*
本当に氏名と生年月日が個人情報?
*
もし
、
仮に名刺情報が漏洩したとしても実害があるのか
プライバシーとは?
*
名前がないデータであれば匿名データですか?
*
情報そのものの特性だけでなく
、
データ構造に依存
*
氏名等
、
特定の個人を識別できる情報
*
上記情報と紐付いている情報
*
上記情報と紐付いていない情報
*
どういう情報であれば
、
プライバシーに関わらない情報?
プライバシー
個人情報
パーソナル情報・個人に関する情報
「匿名化」と個人情報
*
パーソナルデータがどのような処理によって個人情報を
削除できるのか
*
いわゆる「匿名データ」は技術的に3種類に分類できる
※「実名データ」「匿名データ」「統計データ」という名称は技術用語ではな
い
①実名デー
タ
③統計デー
タ
②匿名 データ
1.個人と連結
可能
なもの
個人情報と
される範囲
3
.高度な
匿名処理が
されたもの
2
.識別情報
が取り除か
れたもの
①実名データ(個人情報)
*
氏名等により個人を
識別できる情報
①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
②−1 連結可能匿名データ
*
他の情報と容易に統
合が可能。場合に
よっては、仮名デー
タとして活用。
①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
位置情報
趣味
34.72, 135.36野球
35.90, 139.71サッカー
氏名
生年月日
鈴木よしえ 1978.9.10 松井りんご 1942.10. 7②-1 個人と連結可能な匿名データ
②−2 いわゆる匿名データ
*
他の情報と容易に統
合が可能。場合に
よっては、仮名デー
タとして活用。
①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
位置情報
趣味
34.72, 135.36野球
35.90, 139.71サッカー
氏名
生年月日
鈴木よしえ 1978.9.10 松井りんご 1942.10. 7②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動 34.72, 135.36 野球 35.90, 139.71 サッカー②−3 高度な匿名データ
*
特定の個人が識別で
きないレベルまで匿名
化したデータ
*
作成には専門知識が
必要
①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
位置情報
趣味
34.72, 135.36野球
35.90, 139.71サッカー
氏名
生年月日
鈴木よしえ 1978.9.10 松井りんご 1942.10. 7②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動 34.72, 135.36 野球 35.90, 139.71 サッカー②-3 高度な処理の匿名データ
位置情報 趣味 兵庫県 球技③統計データ
30*
統計処理データ
*
作成には専門知識
が必要
①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
位置情報
趣味
34.72, 135.36野球
35.90, 139.71サッカー
氏名
生年月日
鈴木よしえ 1978.9.10 松井りんご 1942.10. 7②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動 34.72, 135.36 野球 35.90, 139.71 サッカー②-3 高度な処理の匿名データ
位置情報 趣味 兵庫県 球技 埼玉県 球技東京
埼玉
野球
33
8
③統計データ
生体データとの整理
①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
位置情報
趣味
34.72, 135.36野球
35.90, 139.71サッカー
氏名
生年月日
鈴木よしえ 1978.9.10 松井りんご 1942.10. 7②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動 34.72, 135.36 野球 35.90, 139.71 サッカー②-3 高度な処理の匿名データ
位置情報 趣味 兵庫県 球技 埼玉県 球技③統計データ
生体データ
(何かのはずみで
本人特定できる)
生体データとの整理
32①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
位置情報
趣味
34.72, 135.36野球
35.90, 139.71サッカー
氏名
生年月日
鈴木よしえ 1978.9.10 松井りんご 1942.10. 7②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動 34.72, 135.36 野球 35.90, 139.71 サッカー②-3 高度な処理の匿名データ
位置情報 趣味 兵庫県 球技 埼玉県 球技東京
埼玉
野球
33
8
③統計データ
生体データ
(何かのはずみで
本人特定できる)
高度な生体情報管理は
手法によって整理が違う
生体データとの整理
①実名
データ
③統計
データ
②匿名 データ
1.個人と連 結可能 なもの個人情報と
される範囲
3.高度な 匿名処理が されたもの 2.識別情報 が取り除か れたもの 氏名 生年月日 位置情報 行動 鈴木よしえ 1978.9.10 34.72, 135.36 野球 松井りんご 1942.10. 7 35.90, 139.71 サッカー①実名データ
位置情報
趣味
34.72, 135.36野球
35.90, 139.71サッカー
氏名
生年月日
鈴木よしえ 1978.9.10 松井りんご 1942.10. 7②-1 個人と連結可能な匿名データ
②-2 いわゆる匿名データ
位置情報 行動 34.72, 135.36 野球 35.90, 139.71 サッカー②-3 高度な処理の匿名データ
位置情報 趣味 兵庫県 球技 埼玉県 球技③統計データ
生体データ
(何かのはずみで
本人特定できる)
高度な生体情報管理は
手法によって整理が違う
リモート認証におけるバイオメトリクス認証の課題
*
バイオメトリクス認証における脅威の一覧を整理すると
、
リ
モート認証では脅威が多い(下記の吹き出し参照)
*
米国において:
*
NISTガイダンスの策定メンバーからの見解によると
、
現状の技術
では
、
生体認証情報が秘匿データであるか否かの判断が難しい
(生体反応やデバイスの信頼性などの判断が困難)
*
SP800-63においても
、
認証トークンの「ロック解除」には
活用するのは奨励
データ収集
信号処理
マッチング
登録
データ
特徴量抽出
イン
ター
ネット
サーバ
ユーザ端末
OK/NG
生体認証
ネットワーク盗聴、
リプレイ攻撃
海外の動向と日本のレベル
*
従来バイオメトリクス技術は
、
「安全保障」において活用
。
*
治安対策
、
犯罪捜査
*
入国管理
*
特に途上国では
、
住民登録制度がなかったため
、
国家への帰属を証
明する手段の確保として活用
。
*
インドのAADHAAR(多目的アイデンテティカード)
*
米国等
、
先進国は国防の観点から導入
。
*
途上国のような全ての社会システムへの導入に対してはプライバ
シー保護の観点から難しい
。
⇒ 認証精度向上を目指す研究や技術開発が多かった
(最近は
、
PayPalの例があるなど
、
違いがみえる)
•
日本は
、
研究・技術開発としては世界トップレベル
。
•
認証精度向上以外にもATMやシステムアクセス管理などへの応用
があるんど
、
融合領域の研究も盛ん
。
•
一方
、
個々の研究レベルは非常に高いが
、
国の支援が散発的であり
、
他国と比較すると多数の研究者がまとまって研究できる設備や環境
に乏しい
。
日本と欧州のプライバシー意識の違い
}
IPAセキュリティセンターは、
2010年に「elDに関するリ
スクの認知と受容の調
査」 を行い、日本と欧州
における個人情報の感覚
の違いを調査
}
「オンラインで提供できる
情報」を聞いたところ、日
欧の違いが読み取れる
欧州
日本
「オンラインで提供できる情報」に関する意識
プライバシー侵害事例:ミログ
AppLog
}
2011年7月、日本のベンチャー企業であるミログ社は、Android(ア
ンドロイド)端末にインストールされたアプリケーションのリストや起
動履歴を収集、活用する事業を展開していた。
}
具体的には
、
ユーザーのアプリケーション情報を基にしたターゲティン
グ広告やリワード広告
、
統計処理したアプリケーション情報を使ったコ
ンサルティング事業などを手掛けていた
。
}
だが
2011年秋頃から、こうしたアプリ情報の収集が「プライバシー
の侵害に当たるのでは」という指摘が相次いでいた。アプリケー
ション起動履歴などを収集する「
app.tv」「AppLog」といった同社が提
供するサービスについて、「ユーザーへの十分な説明なく情報を収
集している」とし てネットを中心に批判が噴出した。
}
ミログは一部のサービスを終了・停止すると共に、内容の全面的な
見直しを検討したが今回、「事業環境を総合的に判断した結果」(ミ
ログ)として
2012年4月、会社の解散、清算を決定したという。
プライバシー侵害事例:
Netflix社のDVDレンタル履歴
}
2006年、米国の大手DVDレンタル会社であるNetflix社は、匿
名化された
DVDレンタル履歴を公開し、リコメンデーションの
ためのアルゴリズムを競わせるコンテスト
(Netflix Prize)を
行った。
}
約
50
万ユーザ
、
1
億件分のレイティングデータから個人を識別できる
情報を削除
}
NarayananとShmaikovは、これらの公開データと the Internet
Movie Database(映画のレビューサイト)のデータを突き合わせ
ること で、二人の個人が識別できたと発表した。
}
このような動きを受け、
Netflixは米国連邦取引委員会(FTC)
の調査や法律家による訴訟を受けることになり、計画されて
いた
Netflix Prizeの続編は中止に追い込まれた。
プライバシー侵害事例:
マサチューセッツ医療データ
• 2002年Sweeneyの研究
• マサチューセッツ州が公開した匿名化処理した医療データから州知事の情報を特定
– 医療データから氏名を削除して公開
– 既に公開・販売されている投票者名簿とをマッチングしたところ、知事と同じ生年月日のレコ
ードが
6人、うち3人が男で、郵便番号から1人に特定可能
40
安全性指標:
k
匿名性
}
開示データからの個人識別を防ぐための匿名化モデル
} [Sweeney 02] k-Anonymity: A Model for Protecting Privacy