平成 16 年度 知的ソフトウェアによる 生活者支援に関する標準化調査研究 成 果 報 告 書 平成 17 年 3 月 財団法人 日本規格協会 情報技術標準化研究センター 平成16年度 知的ソフトウェアによる生活者支援に関する標準化 調査研究成果報告書 目次 序文 ....................................................... 1 1. 調査研究の概要 .......................................... 1.1 委員会構成とテーマ ................................... 1.2 委員会名簿 ........................................... 1.3 委員会実施状況 ....................................... 1.4 成果一覧 ............................................. 2 2 2 3 3 2. 各タスクフォース(TF)の活動報告 .......................... 4 2.1 TF-1 IT社会の中での生活者の持つ不安要素の解消 ...... 4 2.2 TF-2 2-3 年以内で標準化が必要とされる技術の調査検討 .. 5 2.3 TF-3 5年以内に標準化が必要とされる技術の調査検討 .... 7 2.4 TF-4 協調エージェント技術の発展と普及 ................ 9 3. まとめ .................................................. 13 付録: 付録 A:ユビキタス情報社会におけるプライバシ管理 1. はじめに 1.1 ユビキタス情報社会 1.2 不安を引き起こす原因 1.3 個人情報保護への関心の高まり 2. ユビキタス情報社会のサービス利用シーンの分析 2.1 白物家電/設備系機器サービス利用シーン 2.2 家庭用音響/映像・情報機器のサービス利用シーン 2.3 公共空間における情報サービス利用シーン 2.4 RFID を活用したサービス利用シーン 2.5 自動車における情報サービス利用シーン 2.6 店舗内における情報サービス利用シーン 3. 個人情報漏洩のメカニズムと対策 3.1 個人情報とは 3.2 インターネットにおける個人情報管理技術 3.2.1 リバティ・アライアンスの認証連携技術と個人情報流通技術 3.2.2 W3C の P3P 技術 3.3 個人情報漏洩のパターン分類 3.3.1 外部からの侵入による漏洩 3.3.2 内部者による漏洩 3.4 個人情報保護対策 3.4.1 現状分析 3.4.2 プライバシ保護対策 4. まとめ 付録 B:有識者に対するヒヤリング資料(プライバシ保護関連) B-1:セキュア端末上での「プライバシー拡張技術(PET)」の 分析・実装モデルの開発 B-2:ユビキタス環境におけるトラスト形成支援 付録 C:有識者に対するヒヤリング資料 C-1:情報通信分野のアクセシビリティ向上:国内標準化のインパクト C-2:IBM におけるユニバーサルデザインの取り組み 序文 PC や携帯電話などの IT 機器ならびにその上で展開される情報サービスは既に広く普 及しつつあるが,近い将来には日常生活のあらゆる場面に浸透していくと予測されてい る.本調査研究では,平成 15 年度から 2 年間の計画で,生活のあらゆる場面に普及し利 用者を支援する IT 技術に関して標準化課題を調査した. 特に自律的に判断し動作する能 力を持つソフトウェア(知的ソフトウェア)の構築技術については,標準的な協調エー ジェント技術の普及に向けた検討を行った。 平成 15 年度の調査研究をとおして,次にあげる(1)から(4)までの四項目が課題とし てあげられた。(1) 生活の場で発生する IT 技術に対する不安感や誤解を解消するため の,技術的な立場からの説明と,健全な運用のためのガイドラインあるいは政策・制度 の提言。(2) 2~3年先に標準化の対象となると考えられる技術に関する調査。(3) 3 ~5年先に共通技術基盤となると考えられる技術に関する調査。(4) 自律動作能力をも つソフトウェアの構築法に関する標準技術の普及推進。 平成 16 年度はこの四項目について,次の調査を行った。(1)ならびに(2)については, 生活場面での応用に向けた個人情報の記述や流通方式について,技術的観点から問題及 び解決方法を調査し,標準化に向けての課題を検討した。(3) については,人間と情報 技術とのより深い共生のためのインタフェース技術としてのアクセシビリティ,ユニバ ーサルデザインについて現状と動向を調査した。(4) については,INSTAC が公開してい る協調エージェント関連 TR の規定内容に技術的項目の追加・削除を行い,開発者が理解 すべき技術項目の一覧を作成した。 - 1 - 1. 調査研究の概要 1.1 委員会構成とテーマ 本委員会は産業界及び学会から,協調エージェント技術に関する専門家を招聘し,構 成した。四つのテーマのそれぞれについて,委員会とメーリングリスト上での議論とを 行った。 1.2 委員会名簿 委員会メンバー一覧を表1に示す。 表1. 知的ソフトウェアによる生活者支援に関する標準化調査研究委員会委員名簿 委員長 土居範久 中央大学 理工学部 委員 飯島正 慶應義塾大学 理工学部 委員 和泉憲明 (独)産業技術総合研究所 情報技術研究部門 委員 岩崎弘利 (株)デンソーアイテイーラボラトリ 研究開発グループ 委員 内山光一 東芝ソリューション㈱ プラットホームソリューション事業部 委員 大野邦夫 (株)ジャストシステム 社長室 委員 音川英之 シャープ(株) 技術本部 委員 川口正高 三菱電機(株) 情報技術総合研究所 委員 河込和宏 (株)東芝 ソフトウェア技術センター 委員 車谷浩一 (独)産業技術総合研究所 情報技術研究部門 委員 黒川利明 (株)CSK e ソリューション技術部 委員 五味秀仁 日本電気(株) インターネットシステム研究所 委員 杉山和弘 委員 須栗裕樹 委員 高橋範泰 委員 槌谷一 日本IBM(株) ソフトウェア開発研究所 委員 豊内順一 (株)日立製作所 システム開発研究所 委員 長光左千男 松下電器産業(株) アプライアンスソフト開発センター 委員 藤本憲司 日本電信電話(株) サイバーソリューション研究所 委員 櫟 粛之 NTT コミュニケーション科学基礎研究所 社会情報研究部 経済省 銭祥富 経済産業省 産業技術環境局 事務局 木村高久 (財)日本規格協会 情報技術標準化研究センター 事務局 前多志保 (財)日本規格協会 情報技術標準化研究センター NTTソフトウェア(株) モバイル&セキュリティ・ソリューション 事業グループ (株)コミュニケーションテクノロジーズ 富士ゼロックス(株)オフィスサービス事業本部 ドキュメントマネジメ ントサービス商品開発部 - 2 - 1.3 委員会実施状況 平成15年6月2日より平成16年2月23日まで,委員会を10回開催した。 表3. 委員会実施状況 第 1 回委員会 2004 年 6 月 2 日 日本規格協会 赤坂エイトワンビル8階 801会議室 第 2 回委員会 2004 年 7 月 6 日 日本規格協会 赤坂エイトワンビル8階 801会議室 第 3 回委員会 2004 年 8 月 19 日 日本規格協会 赤坂エイトワンビル8階 801会議室 第 4 回委員会 2004 年 9 月 15 日 日本海運倶楽部 303会議室 第 5 回委員会 2004 年 10 月 25 日 日本規格協会 赤坂エイトワンビル8階 801会議室 第 6 回委員会 2004 年 11 月 17 日 日本規格協会 赤坂エイトワンビル8階 802会議室 第 7 回委員会 2004 年 12 月 15 日 日本規格協会 赤坂エイトワンビル8階 801会議室 第 8 回委員会 2005 年 1 月 19 日 日本規格協会 本部ビル4階 201会議室 第 9 回委員会 2005 年 2 月 4 日 日本規格協会 赤坂エイトワンビル8階 801会議室 第 10 回委員会 2005 年 2 月 23 日 日本規格協会 赤坂エイトワンビル8階 801会議室 1.4 成果一覧 平成16年度は前節の検討項目に対応させて Task Force (TF)1から4までを編成し, 関係者からのヒアリングを含めて調査検討を行った。調査結果を2章以下にまとめた。 - 3 - 2.各タスクフォース(TF)の活動報告 本年度の活動を進めるにあたり,4つのタスクフォース(TF)を組織し,それ ぞれ数名のメンバ(重複有り)で構成した。各タスクフォースは,それぞれの担 当する議論の核となるものを少人数で素早く作成し,本委員会に持ち上げるこ とを目的とするものである。したがって,本章に記載する各 TF の活動成果は, TF メンバの間だけで議論された結果ではなく,委員会全体で議論されたもので ある。しかし,各 TF メンバの献身的な努力により,議論が明確になり活動が強 く推進されたことは確かである。 2.1 TF-1 IT 社会の中での生活者の持つ不安要素の解消(豊内) 本年度 TF-1 では,個人情報の取り扱いを対象に,IT 社会の中での生活者の持 つ不安要素を解消するための調査と分析を行った。 (1) 目標のブレークダウン インターネット社会における生活者の大きな不安要素としては,個人情報や プライバシの漏洩がある。この問題を多角的に調査・分析し,漏洩に対して過 度に不安になる必要のないことと,逆に無防備であり過ぎることの危険性の双 方を明確にする方針を決定した。 (2) 結論 様々な情報サービスのシーンで扱われる個人情報と漏洩が起こるケースや仕 組みを分析して,効果的な個人情報保護対策の要件を整理した(付録 A 参照) 。 また,有識者に対するプライバシ保護関連のヒヤリングを行った(付録 B-1,B-2 参照)。 (3) 次年度計画にむけて 本年度の要件整理の結果を受け,次年度は個人情報保護対策のガイドライン の策定を目指す。 例:情報家電向けウィルス対策 例:センサネットワークにおける個人情報対策 (4) TF メンバの名簿 大野 邦夫 株式会社ジャストシステム 社長室 * 豊内 順一 株式会社日立製作所 システム開発研究所 *は,議論の取り纏め担当者(TF リーダー) - 4 - 2.2 TF-2 2-3 年以内で標準化が必要とされる技術の調査検討(杉山) (1) 目標のブレークダウン 個人情報の扱いに関する生活者の不安を解消するために,主に技術的な観 点から,個人情報の記述や流通方式に関する検討を行う。 個人情報を保護しなければいけないシーン・状況をできるだけ網羅的に洗 い出し,それを元に,個人情報の記述や流通方式の技術的な観点からの整理 を行う。 (2) 結論 具体的には,生活の中での IT 技術を活用したサービスにおける個人情報 漏洩とプライバシ保護のための技術を整理するために,個人情報を保護しな ければいけないシーンとして,①家庭内,②公共空間,③ビジネス,④自動 車環境,⑤店舗,⑥音響映像環境,⑦RFID 環境,の7つのシーンを選定し た。 この7つのシーンに対して,各 TF-2 メンバが得意とする専門技術分野毎 に担務分担して,2~3 年後の技術進歩までを想定・考慮した具体的な利用 シーン(ユースケース)に基づいて,想定されうる個人情報の収集・漏洩パ ターンと状況の洗い出しを行った。この結果,各利用シーン毎に,サービス 提供元だけに限らず,第三者グループによる個人情報の収集タイミングや収 集パターンも含めて,企業内・業界内・業界横断的に収集される/漏洩する 可能性のある個人情報の種類と,収集/漏洩タイミングのユースケース分析 作業まで完了した。 今年度は,稼働時間の関係で,個人情報の記述や流通方式の技術検討・整 理までには至らなかった。但し,利用シーン毎の分析結果は,TF-1 の活動 (個人情報保護対策の要件整理)に活用することができた。 (3) 次年度計画にむけて 今年度実施した各利用シーン毎の個人情報収集/漏洩パターンの分析結 果に基づいて,各利用シーンを横断的に分析・整理して共通的な技術課題を 抽出する。この抽出結果に基づいて,個人情報の漏洩防止に留意しつつ,今 後の新しい生活者支援サービス展開を可能とする,個人情報の記述方法やネ ットワーク流通方式の標準化技術に関する調査検討を継続して実施する。 (4) TF メンバの名簿 * 車谷 浩一 長光 左千男 五味 高橋 秀仁 範泰 岩崎 弘利 (独)産業技術総合研究所 情報技術研究部門 松下電器産業(株) アプライアンスソフト開発センター 日本電気(株) インターネットシステム研究所 富士ゼロックス(株)オフィスサービス事業本部 ドキュメントマネジメントサービス商品開発部 (株)デンソーアイテイーラボラトリ - 5 - 研究開発グループ 河込 和宏 (株)東芝 ソフトウェア技術センター 杉山 和弘 NTTソフトウェア(株) モバイル&セキュリテ ィ・ソリューション事業グループ 飯島 正 慶應義塾大学 理工学部 *は,議論の取り纏め担当者(TF リーダー) - 6 - 2.3 TF-3 5年以内に標準化が必要とされる技術の調査検討(黒川) TF3 の与えられたテーマは, 「Next 5 Years」ということになっている。近い 将来の「知的ソフトウェア」に関する標準化技術の検討ということである。 (1) 目標のブレークダウン 黒川から,accessibility や universal design など,標準化と関わる分野の まずは勉強をしませんかということで,識者に講演をしていただくことを委員 メンバーにメールで提案し,特に反対もなかったので,東洋大学の山田肇教授 (accessibility),日本アイ・ビー・エムの山崎和彦ユーザーエクスペリエン ス・デザインセンター部長(universal design)に講演をしていただき,意見 交換を行った。 両氏の講演要旨を本報告書に転載する許可を得たので,具体的な内容につい ては,そちらを参照いただきたい(付録 C-1,C-2 参照)。 (2) 結論 平成 15 年度の本委員会報告書でも議論されていたように,「知的ソフトウェ ア」とその「標準化技術」とは一体何を指すのかは,必ずしも明瞭ではない。 特に,「標準」が一体誰を対象としようとするものなのかが明らかでない。 Accessibility と universal design とは, (人によって受け止め方に差がある にせよ)それぞれ標準的な地位をすでに得ており, 「生活者」, 「ユビキタス」な どという本委員会で出てくる言葉に比較的近い位置にあると我々には思われる。 山田氏の講演では,強制法規を補うものとしての産業規格としての accessibility 標準という位置づけや,具体的な例として「図書館の書棚が高す ぎて上段の本の背表紙が車椅子から見え難い」にもかかわらず, 「その事実に気 づいている人が少なくて」,そのため「そうした情報を集める活動をしている」 ということが印象的であった。また,山崎氏の講演では,universal design の 出発点はある特定のユーザ層への注目であり, 「一般的な」ユーザを最初に想定 することは,universal design のプロセスではないという指摘が意義深かった。 (3) 次年度計画にむけて 近い将来の「知的ソフトウェア」を道具としてつかった生活者支援方法の基 準を作る標準化技術は,このような accessibility や universal design の標準 を基盤として,また,このような accessibility や universal design に貢献す るものであるというのが,両氏の貴重な講演を伺った後の素直な感想である。 貴重な時間を割いて我々に講演していただいた両氏に重ねて感謝の意を申し 述べたい。 (4) TF メンバの名簿 * 黒川 利明 内山 光一 (株)CSK e ソリューション技術部 東芝ソリューション㈱ プラットホームソリューション事業部 - 7 - 車谷 浩一 (独)産業技術総合研究所 情報技術研究部門 槌谷 一 日本IBM(株) ソフトウェア開発研究所 飯島 正 慶應義塾大学 理工学部 *は,議論の取り纏め担当者(TF リーダー) - 8 - 2.4 TF-4 協調エージェント技術の発展と普及(須栗) (1) 目標のブレークダウン 本タスクフォースでは,FIPA エージェント技術を普及させるためのステップ 及びガイドラインの検討を行った。具体的には,公開した FIPA エージェント関 連 TR を基に,協調エージェントの開発者にとって基礎となる項目を選び,実際 のプログラミングに便利なフリーのプラットフォームに関する情報,プログラ ミング方法に関連する項目などを追加して,エージェント技術の利用に必要と なる技術的項目の一覧を作成した。 INSTAC ネットワークエージェント委員会が公開した FIPA エージェント関連 TR は,エージェントに関する基本的な仕組みを規定する TR である。本タスクフ ォースでは,エージェント技術は,装置が利用者の特性を理解して対話法を選 ぶ機能の実現に有効と考えており,一般の生活者が使いやすい機器を実現する 上で有効であると考えている。しかし,依然使いこなせる技術者がすくなく, 製品に搭載されるまでには普及していないように思われる。 備考:FIPA エージェント関連 TR TR X 0074 FIPA抽象アーキテクチャ規定 (マルチエージェントシステムを設計する際のモデルを定めてい るもの) TR X 0103 FIPAエージェント通信言語規定 (エージェント間で通信を行う際に用いられる言語の仕様を定め ているもの) この課題に応え,ネットワークエージェント委員会が作成・公開した TR 内容 の普及を図るため,FIPA エージェント技術を使いこなすために必要な FIPA 規格 項目を選び,そのために必要な知識・技術的項目の一覧 (ガイドライン) を検 討した。 (2) 結論 エージェント技術を活用するために必要な共通知識の整理を行った。また, FIPA 準拠の実装のもとで使って試すのに必要な技術内容の整理を行った。その 概要を次に示す。 【エージェント技術を使いこなすために必要な知識・技術的項目の一覧】 ◆背景と目的 マルチエージェントモデルに関しては FIPA による規格案など進められており, 既に規格案に準拠したプラットフォーム開発が行われ試用もできるようにもな ってきている。しかし,現実には,適用事例に身近に触れる機会が乏しく,概 - 9 - 念レベルの技術解説からもう一歩踏み込んだプログラミング技術の解説書も見 当たらない。このため豊富なエージェント開発経験の所有者以外の技術者にと って,新規参入への大きな障壁がある。この障壁を打破し,技術の普及に弾み をつけることが本ガイドラインの目的である。 ◆本ガイドラインの対象者 ・エージェント技術に開発経験の乏しいが,オブジェクト技術等には経験を もつ中級技術者以上 ・抽象的な概念から一歩進んで実践的な技術を身に付けたい大学上級生から 大学院生 ◆ガイドラインの構成 ガイドラインの構成を次に示す。システムなどの名称については本節末付録 も参照のこと。 1 2 3 4 5 6 はじめに エージェント技術一般の総括的な話。 そのなかで,FIPA の位置づけ(組織,歴史,現状)。 FIPA 仕様の概要 2.1 FIPA アーキテクチャの概要 2.2 仕様書の構成とガイド FIPA ACL(Content Language,Semantic Language 含む) 3.1 概要 ・ACL msg のパターンを,典型 msg を詳しく説明することで 解説する。 ・個別の CA(Communication Act)の解説ではなく, 発話行為とは何かに関する解説も行う。 3.2 相互作用プロトコル(IP) SL 入門 FIPA ACL 規格の SL(Semantic Language)がだいたいどう 言うもので,どういう所に欠点があってうまく機能しないの かについて述べ,そのこまかな所は気にしなくて良いという 理解を持ってもらう。 Agentcities と FIPA 読者に,(FIPA 標準と関連した)agent 開発に対する モチベーションを高めてもらうために,Agentcities の活動 を魅力的に描く。 マルチエージェントプログラミング入門 6.1 プログラミング解説,方法論 AOSE,Jade+Jess, Jade-X(BDI)など - 10 - 6.2 サンプルプログラム JADE,Aglets,Zeus など 6.3 実用的な応用事例 単なる分散コンピューティングというだけではない。 エージェント間の「交渉」が入ってくるようなものが 望ましい。例えば電子商取引など。 7 マルチエージェントプラットフォーム実装のアーキテクチャ FIPA 準拠エージェントプラットフォームがどのように 実装されるかのサンプル例。 7.1 JADE 7.2 SAGE 7.3 JAS 8 JADE における相互接続ライブラリ 8.1 ライブラリの使い方 8.2 ライブラリの実装 エージェントプラットフォーム開発時の相互接続実装や, FIPA 相互接続の低レベル通信の spec の理解に役立つ。 9 おわりに 付録 CD-ROM の使い方 CD-ROM の内容 ・ プラットフォームのインストール方法 ・ JADE, SAGE, Aglets, JAS ・ FIPA-ACL 翻訳,FIPA-ACL 原文 ・ 抽象アーキテクチャ ・ サンプルプログラム (3) 次年度計画にむけて 次年度は,ユビキタス社会を推進する情報基盤の標準化調査研究委員会の分 科会として本タスクフォースのメンバーと作業を引き継ぎ,ガイドラインの執 筆と普及に必要な活動を行う。その際,必要に応じて,本年度のタスクフォー スのメンバー以外からも委員を募る。 (4) TF メンバーの名簿 櫟 粛之 NTT コミュニケーション科学基礎研究所 社会情報研究部 飯島 正 慶應義塾大学 理工学部 岩崎 弘利 株式会社デンソーアイティーラボラトリ * 須栗 裕樹 株式会社コミュニケーションテクノロジーズ *は,議論の取り纏め担当者(TF リーダー) - 11 - 付録 用語の説明 Agentcities AOSE (Agent-Oriented Software Engineering) Jade (Java Agent Development Environment) Jess (Java Expert System Shell) Jade-X BDI (Belief, Desire and Intention) Aglets Zeus SAGE JAS インターネットを用いてさまざまなエージェントプラット フォームを相互接続するとともに,アプリケーションの開 発と運用を行うプロジェクト エージェント指向ソフトウェア工学 ポピュラーな FIPA 仕様の実装の 一つ。オープンソースで 開発が行われており,利用者が多い Java で記述されたエキスパートシステムの枠組。 Jade と組み合わせて使うことができる。 Jade で BDI モデルを実装する拡張パッケージ エージェントの心的状態及び行為実行のモデルの一つ FIPA 準拠ではないが,ポピュラーなエージェントシステム の一つ ポピュラーな FIPA 仕様の実装の一つ FIPA 仕様の実装の一つ FIPA 仕様のエージェントプラットフォームの開発を容易に するために,抽象アーキテクチャを Java により実装したパ ッケージ - 12 - 3. おわりに ~ 共有化すべき知識の体系化と合意形成のために ~(飯島) 我々の日常生活の中にも多くの場面で情報技術が浸透し,今や,社会基盤と して情報サービスが不可欠なものとなりつつある。これは,いわゆる PC を直接 操作することによって,意識的に行うインターネット利用だけではない。身近 な情報家電(AV 系家電ばかりではなく白物家電,施設系家電など),コピー機等 の事務機器,商品流通における IC タグの利用など,身近な生活の中で,利用者 自身が特に意識することないままに,知らず知らずの内に,裏方として数多く の情報サービスが連動して動き始めている。これは PC や携帯端末といったいわ ゆる計算機としての『顔』をそなえた装置を使って意識的に情報サービスとは 大きく様相が異なっている。 しかし,未だに,個々の製品向けに開発されたサービスを単純に組み合わせ ても,全体として協調連携してうまく動作させることはできない。そこには, 第一に,協調連携を自動化するための仕組み(たとえばマルチエージェント技 術)が必要である。第二に,利用者を置き去りにすることなく,利用者中心で 設計することが必要である。日常生活の場でのいろいろなシーン,いろいろな 特性をもった利用者個人個人に合わせた協調的な統合サービス設計の方法論が 必要となる。完全自動化は未だ難しいが,利用者の要求や意図を的確に取り扱 うための要求獲得・意味理解・機械学習といった先進的な技術をとりいれてい くことも推進していかねばならない。第三に,いろいろな意味での安全の確保 と不安の解消がある。利用者が意識していない裏方での情報サービス自動連携 には,個人情報漏洩といった不安もつきまとう。電子政府や医療情報システム といった公共性の高い社会情報基盤との連動は,一層進んでいく。そうした社 会情報基盤における情報の相互のつきあわせ(名寄せ)に加えて,位置情報と いったプライバシの漏出は,犯罪行為にも結びついて市民生活の安全を脅かす 脅威となりうる。これらに対する不安を解消していく上でもセキュリティを考 慮した情報サービス連携の仕組みが必要である。 以上のように,生活の場の中で,だれもが安全に便利な情報サービスを享受 できるようにするためには,情報機器や情報サービスを製造し運用していく上 で,技術的な知識を共有することが重要である。そうした共有すべき知識を体 系化し,いろいろな立場の利用者と製造者,ならびに製造者間といった利害関 係者の間で合意を形成していくことが本委員会の目標である。 2004 年度の活動は,4つのタスクフォース(TF)を組織して本委員会との2階 層構造で行った。TF の活動は,本委員会での議論の核となるものを素早く作成 して議論を推進することを目的に,それぞれ少人数のメンバ(重複有り)でお こなった。各 TF の活動成果は本委員会に持ち寄って,委員会全体で議論を深め たものであり,TF メンバだけが貢献したというものではない。とはいえ,各 TF メンバの献身的な尽力により議論が明確化し強く推進されたことは事実である。 各 TF の活動内容ならびに次年度の計画に関しては 2 章に記載している。今年度 - 13 - は,主に次年度以降の活動を視野において調査分析を行い,次年度は,その成 果を踏まえて幅広い合意のもとにガイドラインやガイドブックを作成し,技術 の健全な発展と利用の促進を推進することを計画している。 - 14 - 付録 A:ユビキタス情報社会におけるプライバシ管理 1.はじめに(飯島) 1.1 ユビキタス情報社会 1.2 不安を引き起こす原因 1.3 個人情報保護への関心の高まり 2. ユビキタス情報社会のサービス利用シーンの分析 2.1 白物家電/設備系機器サービス利用シーン (長光) 2.2 家庭用音響/映像・情報機器のサービス利用シーン(河込) 2.3 公共空間における情報サービス利用シーン(車谷) 2.4 RFID を活用したサービス利用シーン(杉山) 2.5 自動車における情報サービス利用シーン(岩崎) 2.6 店舗内における情報サービス利用シーン(高橋) 3. 個人情報漏洩のメカニズムと対策 3.1 個人情報とは(豊内) 3.2 インターネットにおける個人情報管理技術 3.2.1 リバティ・アライアンスの認証連携と個人情報流通技術(五味) 3.2.2 W3C の P3P 技術(豊内) 3.3 個人情報漏洩のパターン分類(豊内) 3.3.1 外部からの侵入による漏洩 3.3.2 内部者による漏洩 3.4 個人情報保護対策(豊内) 3.4.1 現状分析 3.4.2 プライバシ保護対策 4. まとめ(豊内) 付録 A:ユビキタス情報社会におけるプライバシ管理 付録 A は,本委員会 TF(Task Force)-1 ならびに TF-2 の活動成果をまとめたも のである。 1. はじめに(飯島) 1.1 ユビキタス情報社会 ユビキタス・コンピューティングという言葉が使われて始めてから,まだそ れほど時を経ていないにもかかわらず(同語の提唱者である Xerox PARC の Mark Weiser 氏の遺した http://www.ubiq.com/hypertext/weiser/UbiHome.html によれば 1980 年代後半に起源があるが,現在使われているような意味合いで使 われてきたのは 1990 年代に入ってからのこと),ユビキタスという言葉が元の 意味を外れて一人歩きし始めており,たとえば,最近ではユビキタス社会とい った表現も巷間よく見かけるところである。しかし,この表現では,原意にさ かのぼろうとすると意味が取れなくなってしまう。ユビキタスという語は,元々 は,「(神のごとく)遍く存在する(偏在ではなく遍在)こと」を意味するラテ ン語由来の形容詞である。したがって,ユビキタス・コンピューティングとい う表現は意味を持つとしても,社会という語を修飾する「ユビキタス社会」と いう組合せでは意味を持たない。とはいえ,その言いたいところはイメージで きないこともない。そこで,本稿では,この「ユビキタス社会」に代えて「ユ ビキタス情報社会」という語を用いることとする。この語で, 「いつでもどこで も同時に複数の人や機械が,自然に『情報』や『情報サービス』にアクセスで きる社会」,「生活の場の中に,ことさら目に触れるような形でなく『情報サー ビス』が溶け込んでいる社会」を意味するというようにご理解いただきたい。 ここで重要なことは,「いつでもどこでも(anytime, anywhere)」ということ以 上に,その「インタフェースの無理のなさ/敷居の低さ」であり,「ことさら目 に触れず(invisible)に,生活環境に溶け込んでいる(ambient)」という点にあ る。 我々の生活している社会は,携帯端末やインターネットの普及を踏まえて, こうしたユビキタス情報社会となりつつある。しかし,その便利さだけが声高 に喧伝され推進されている一方で,実際にその恩恵を享受すべき生活者の間で ユビキタス情報社会に対する根強い不安も拭い去れない。 「光あるところに陰が ある」とよく言い習わされているように,便利さの裏側に何かそれを上回る問 題点が隠れているのではないかという不安感を直感的に持つこと自体はきわめ て健全なことといえる。だが,その不安が,単に無知ゆえの過剰反応であった とすれば,技術の健全な発展を妨げかねない。逆に無知ゆえの楽観から危険を 見過ごすことがあってもならない。本活動は,それらの不安の解消と危険の回 避によって技術の健全な発展と運用を最終的な目標とするものである。 本活動の開始に先立ち,事前に,その時点で発刊されていた,監視社会,住 基ネット問題,街頭監視カメラといったキーワードで出版されている書籍(一 般書)を目に付くままに調査した。それらの中には,一般的な生活の中での個 人情報漏えいに関して見過ごしがちな状況(特に技術面だけでなく運用面も含 めて)を指摘し,真摯に警鐘を鳴らしているもの多く見受けられたが,技術的 に正確かつ公平な情報が十分に与えることなく,徒に不安を煽る傾向のあるも のも皆無ではないと感じられた。その上で,本委員会としてタスクフォース(TF) を立ち上げて活動するにあたり,そのテーマの一つとして, 「各種の情報サービ スの利便性と同時に,技術面だけでなく運用面までをも含めて情報サービスに おける個人情報流出の危険性を評価し,主に技術者以外を対象に不安の解消と 健全な発展のためのガイドラインを策定する」という活動を企画した。この活 動は TF-1(キーワード: 「情報技術の光と陰」 )として組織し,2004 年度はガイ ドライン策定の前提となる現状の調査分析までを目標と定めた。また,TF-2(キ ーワード: 「2-3 年以内に標準化を目指す技術調査」)では,生活者のための情報 サービスの技術標準を探るという観点から,生活のいろいろな場面を想定して, 標準化を必要とする技術を調査分析する活動を行ってきた。TF-2 でも対象とし て個人情報流出とプライバシ保護を特に取り上げ,特に技術的標準化の観点か ら活動を進めてきた。本稿は,これら二つの TF の活動結果を統合することでま とめられている。本章に続く2章では,TF-2 の活動成果である「いろいろな生 活シーン毎の個人情報流出の分析」をもとに,TF-1 との共同で調査分析を深め た成果を記載している。3章では,その2章の結果を踏まえて「個人情報漏洩 のメカニズムと対策」に関して,技術面と運用面から調査検討した結果につい て述べている。 1.2 不安を引き起こす原因 2章ならびに3章の本論に入る前に,簡単に, 「ユビキタス情報社会」におけ る生活者の不安の原因に関して検討しておく。その不安の大きな原因は, 「我々 が何をするのにも,その裏側の直接,目が触れないところで,意識されないま ま,何らかの情報が行き交っている」ということにあると考えられる。この「目 に触れないところで」ということは,決して問題点ばかりではなく,ユビキタ ス情報社会のもたらす利便性の核となるものでもある。ユビキタス情報社会の もたらす高い利便性は,我々が余計なことに煩わされなくても,サービスの恩 恵を享受できることに由来しており,それは裏側で必要な情報を取得し,それ に基づいて情報サービスが相互に連携し,先回りしてくれるからともいえる。 たとえば,CRM(Customer Relationship Management)を目的として,企業が蓄積 している購買履歴情報は増え続けている。しかし,(関心のありそうな商品の推 薦機能といった)その恩恵に目を奪われている間はよいが,一旦, 「どのような」 情報が,「いつ」取得されているか,「どのような」情報サービスが「どのよう に」動いていて,その中で自分たちの情報が「どのように」利用されているの か,将来的にも悪用されることはないように保護されているかを,利用者が自 分で必ずしも把握していないことに気づくと,大きな不安が湧き上がることに なる。特に,時折報道される個人情報漏洩事件の報道はその不安感を更に掻き 立てる。企業が収集している個人情報とその使われ方を把握していない理由に は利用者の無関心もないわけではないが,企業側でも十分な情報を提供してい るとはいえず,たとえば「利用に際して取得された個人情報は他の目的で使う こともある」と読み難い小さい文字で契約書に記載されていたりするだけだっ たということも多く,それ(利用目的が明示化されていないこと)がまた,利 用者に騙されたような印象を与えることもあった。 更にいえば, 「どのような情報が取得され,どのように利用されているか,そ の仕組みが目に触れないところで動いているためにわからない」というだけで はない。情報というのもの自体の性質がその不安を助長しているということも 重要である。情報は,容易にコピーでき,素早く広い範囲に広まり,一旦,広 まってしまった情報は容易に回収することはできない。そして広範囲から取得 した情報も簡単に組み合わせることができ,その結果,新たな情報(たとえば 名寄せによって新たに明らかになる事実など)を生みだすことができる。また, 情報を悪用された場合の被害の大きさも見過ごすことはできない。悪意をもっ て加工された情報は社会的信用を招き,信用の失墜は社会生活を著しく困難な ものとする,また,場合によってはストーキングを助長し,身の危険までをも 招きかねない。2章ならびに3章の本論の議論においては,上記の点(不安を 引き起こすユビキタス情報社会と情報の在り方)が随所に現れるので,それに 留意しておくことがより深い理解の一助になると思われる。 1.3 個人情報保護への関心の高まり TF-1 の活動は,生活の場の中での情報サービスの一般利用者(生活者)を対 象に,個人情報の取り扱いに関し技術的な観点から正確な情報を提供し,その 不安感を拭い去ることで,技術の健全な発展を促すことを目的としていたが, 一方,TF-2 の活動は,むしろ標準化の観点から,個人情報の生活者に不安を与 えないような情報サービスを構築していく上での標準化ないしガイドラインの 策定といった共有すべき知識の体系化と合意を形成することを目的としてきた。 来る 2005 年 4 月からの個人情報保護法の完全施行に伴い,公共組織だけでなく 企業も含めて個人情報の取り扱いに対しての関心が高まっている。そうした中 で,経済産業省による「個人情報の保護に関する法律についての経済産業分野 を対象としたガイドラインの策定」(平成 16 年 6 月)をはじめとして多くの活動 がなされているが,本活動は,特に,生活の中で生活者が知らず知らずのうち に利用する情報サービスを対象に,個人情報(個人識別情報ならびに他の情報 との照合により容易に個人を識別できる個人識別可能情報)の取り扱いについ て深く具体的に調査分析することを目指してきたものである。 2. ユビキタス情報社会のサービス利用シーンの分析 2.1 白物家電/設備系機器サービス利用シーン(長光) 2.1.1 サービス事例 21世紀の家庭では、家電機器に代表されるデジタル化の急激な進展や映像 技術の進歩、インターネットの普及により、家庭における情報化に一段と加速 がついている。また、地球温暖化に伴うエネルギー消費削減、高齢化社会にお ける高度な生活支援や健康管理のあり方、などに対応可能なシステムの必要性 が指摘されている。 このようなシステムの実現には、白物家電を含めた家庭内の家電製品をネッ トワーク接続する必要があり、またそのネットワーク接続には独自方式ではな く、複数メーカの家電製品の接続が可能となる標準規格が必要であった。その ため、次世代設備系ホームネットワークの標準化のためエコーネット(ECHONET) コンソーシアムが 1997 年 12 月に設立され、現在では 100 社を超える企業が会 員に加入している[1]。 表 2.1-1 に、エコーネットコンソーシアムで現在検討されている、あるいは 近い将来導入が見込まれる、具体的な白物ネット家電を用いた生活者支援サー ビスの事例を示した。 表 2.1-1 家庭内サービス事例 [A]朝(起床時)便利なサービス [A1]起床前に(寝床から)機器の運転確認と照明/空調操作ができるサービス [A2]起床前に(寝床から)炊飯操作ができるサービス [B]外出時に便利なサービス [B1]玄関モニターで住宅内全ての「照明/施錠 等」を確認できるサービス [B2]施錠の完了を音でお知らせするサービス [C]外出先から便利なサービス [C1]買い物先から家の中を確認できるサービス(子供) [C2]買い物先から家の中を確認できるサービス(高齢者) [C3]外出先からペットの様子を確認できるサービス [C4]外出先から訪問者(静止画映像)の確認できるサービス [C5]外出先から玄関照明を操作できるサービス [C6]外出先に不審者の侵入警戒を知らせるサービス [C7]外出先から自宅機器を操作できるサービス [C8]旅行先からでも自宅機器を操作できるサービス [D]夜(就寝時)便利なサービス [D1]モニター1ヶ所で就寝前確認「照明/家電機器/施錠」できるサービス [D2]寝床から施錠確認できるサービス [D3]不審者の侵入を防ぎ/報知してくれるサービス [D4]就寝床から照明/ヒータ操作ができるサービス [E]在宅時に便利なサービス [E1]使用電力量が超過の際にサポートするサービス「デマンド制御」 [E2]事前に電力使用量がわかるサービス [E3]エアコン/照明を入室/退室時に自動ON/OFFしてくれるサービス [F]もしもの際に必要なサービス [F1]一人暮らし(特に高齢者)を見守るサービス [F2]就寝時の体調変化を報知してくれるサービス [F3]毎日のデータ記録を確認し介護対応してくれるサービス [G]あると便利なサービス [G1]玄関インターフォン映像がテレビで見れるサービス [G2]留守中に録画された玄関インターフォン映像がテレビで見れるサービス [G3]家電機器の故障に迅速に対応してくれるサービス 家庭内でのサービスは、7シーンと 25 サービスに分類できる。尚、表 2.1-1 は、エコーネットコンソーシアムにて制作したサービスシナリオシーン集[2]の コンテンツを使用している。 2.1.2 機能/システムによる分類 表 2.1-1 に示した複数のサービスに関して、生活者への安全性の観点で検討 するために、各サービスに含まれる家電設備機器の機能やそれを実現するため のシステム構成から、分類する必要がある。図 2.1-1 に、生活者支援サービス の機能/システムによる分類結果を示した。 分類1:スケジュール自動運転 2:自動調節運転 3:人感自動 ON/OFF 4:デマンド制御 5:家電自己診断 6:遠隔家電操作 7:不在時・来客ビデオ録画・携帯電話転送 8:施錠ロック/確認 9:セキュリティ 10:室内監視 11:生活見守り監視 12:医療関連サポート 図 2.1-1 機能/システムによる分類 尚、図 2.1-1 は、エコーネットコンソーシアムにて制作したサービスシナリ オシーン集[2]のコンテンツを使用している。 2.1.3 安全性の事例検討 これらのサービスにおいて、個人情報がどのように取得・収集されうるのか を、次の観点から、各サービス別に考察する。分類・整理結果は、表 2.1-2 に 示した。 表 2.1-2 家庭内における個人情報の提供・取得・収集パターン 宅内完結型システム 低 高 サービス提供元 セキュリティレベル ・スケジュール自 動運転(分類1) ・自動調節運転 (分類2) ・人感自動ON/ OFF(分類3) ・デマンド制御 機能/システムによ (分類4) ・家電自己診断 る分類 (分類5) (1)サービスの主体 ・施錠ロック/確 認(分類8) ・セキュリティ(防 火/防災/防犯) (分類9) ・遠隔家電制御 (分類6) ・不在時-来客ビ デオ録画/携帯 電話転送(分類 7) ・遠隔家電制御 (分類6) ・不在時-来客ビ デオ録画/携帯 電話転送(分類 7) ・施錠ロック/確 認(分類8) ・セキュリティ(分 類9) ・室内監視(分類 10) ・生活見守り監 視(分類11) ・医療関連サ ポート(分類12) ・機器システム内蔵アプリ ・宅外サービスプロバイダ ・無し ・ユーザ登録情報(氏名、住所、電 話番号、メールアドレス、生年月 日、性別、ID/Pwd、クレジットカー ド番号、転送先携帯電話番号、等) (2)明示的に提供す る個人情報 ・家電設備機器 等の運転状況/ パターン ・自動調節運転 (3)意識しないで提供 状況/パターン させられる/取られ ・人感自動ON/ OFF設定状況 る個人情報 ・デマンド制御設 定状況 ・家電自己診断 状況 ・生活パターン ・在不在状況 ・快適性の嗜好 ・環境への意識 (4)サービスを利用し ・家電設備機器 た結果として生成さ の購入使用状況 れる個人情報 宅外アクセスサービス 低 高 ・遠隔家電制御 の状況/履歴 ・来客状況 ・来客ビデオ画 像 ・携帯電話での 通話内容 ・施錠開閉状況 ・室内状況 ・生活状況 ・医療情報 ・生活パターン ・リアルタイムの ・リアルタイムの 在不在状況 在不在状況 ・在不在状況 ・被災状況/履歴 ・来客との関係 ・来客の画像情 報、接客の内容 ・防災レベル ・リアルタイムの ・来訪者リスト 施錠状況 ・高齢者等の弱 者の生活状況 ・健康/病院/介 護/在宅医療等 の情報 ・施錠開閉状況 ・防火(ガス漏れ /漏電)/防災(漏 水/地震/凍結)/ 防犯(訪問者/侵 入者)の状況/履 歴 ・遠隔家電制御 の状況/履歴 ・来客状況 ・携帯電話への 転送状況/履歴 (1)サービスの主体:サービスを提供者(団体)、取得した個人情報の保 管場所 (2) (サービスを受けるために)明示的に提供する個人情報:ユーザが自主的 に入力する情報 (3) (サービスを受ける際に)意識しないで提供させられる/取られる個人情 報 (4)サービスを利用した結果として生成される個人情報 2.1.4 安全性の考察 生活者支援サービスに向けて、ネットワーク経由でコントローラや家電設備 機器に自律的にソフトウェアをインストール、自律的に機器やセンサの情報に 基づき家電設備機器を制御する一つの方法として、ネットワークエージェント によるユビキタス情報社会の到来が予想される。ネットワークエージェントが 生活者の情報を、ある意味勝手に、収集/加工/利用/配信する機会はますま す多くなってくる中、プライバシー保護、セキュリティ強化、そしてトラスト 形成まで、個人情報に関する議論は非常に需要なテーマである。 図 2.1-2 には、予想されるネットワークエージェントの動作イメージ[3]を示 した。宅内にはセンサエージェントと呼ばれる知的ソフトウェアが家電機器や 複数のセンサ情報から、生活者が明示的に提供したい個人情報、或いは意識し ないで提供させられる/取られる個人情報を、収集/利用/配信される。また、 宅内の集中コントローラ上ではアプリケーションレベルの知的ソフトウェアが、 個人情報をさらに加工して新たな個人情報として扱われる可能性が高くなる。 さらに、宅外アクセス時やモバイルエージェントが稼動する場合には、大規模 なデータの処理/蓄積能力のあるサーバ等において、各サービスを利用した結 果として生成される個人情報となる可能性が非常に高くなる。 病院 ウェアラブル 体温 センサ 血圧 心電図 心拍数 動脈血酸素飽和度 複数の 居住者 介護 サービス 会社 ネット家電 メーカー 隣近所 (コミュニティ) 室内活動 所在 歩数 転倒状況 表情 音声 ドアの開閉 電気・ガス・水道の使用量 ベッド 体動 睡眠時間 体温 遠隔地の 家族 風呂 室内環境 室温 湿度 照度 騒音 臭気 アレルゲン かおり(アロマテラピー) 家電機器の制御 エアコン/加湿・除湿 ヒーリング機器運転 水道・電気・ガスの停止 ドア窓の施錠 換気連動、カーテンや窓の開閉 空質制御 テレビ等のAV機器の制御 入浴時間 浴室温度 心拍数 トイレ エージェント凡例 エージェント凡例 体温 心拍数 体重 尿量 尿糖 尿蛋白 宅内外(モバイル) 宅内アプリ(上位) 宅内通信(下位) 【索引】 「センサエージェント -21世紀の環境・医療センシング-(センサエージェント調査研究委員会)」 【補足説明】 ・宅内外(モバイルエージェント)・・・宅外サーバ上、或いは宅内と宅外との間を移動するエージェントのイメージ ・宅内アプリケーション(上位層のエージェント)・・・宅内の集中コントローラ上の、通常のエージェントのイメージ ・宅内通信(下位層のセンサエージェント)・・・宅内の複数センサー情報を収集するセンサエージェントのイメージ 図 2.1-2 ネットワークエージェントの動作イメージ 今後は、単なるセキュリティの議論の留まらず、当該サービスを利用すべき か否か、どのサービスを選択すべきか、といった課題が生活者には発生してく ると推定される。ここでは、この議論に関しては、巻末「ユビキタス環境におけ るトラスト形成支援」[4]に委ねる。 2.1.5 【参考文献】 [1] 財団法人日本規格協会. ”平成 15 年度 知的ソフトウェアによる生活者支援に 関する標準化調査研究 成果報告書 B-02 情報家電(ECHONET)”.平成 16 年 3 月. [2] エコーネットコンソーシアム.”サービスシナリオ”. http://www.echonet.gr.jp/ (但し会員のみアクセス可能). [3] センサエージェント調査研究委員会. ”センサエージェント -21 世紀の環 境・医療センシング-”. 海文堂出版株式会社.Sep2003. [4] 財団法人日本規格協会.”平成 16 年度 知的ソフトウェアによる生活者支援に 関する標準化調査研究 成果報告書 付録 B-2:ユビキタス環境におけるトラ スト形成支援”.平成 17 年 3 月. 2.2 家庭用音響/映像・情報機器のサービス利用シーン(河込) 本節では、ユビキタス情報社会における音響映像機器の利用シーンについて、 全体的な技術動向を述べた後、個人情報の保護に関わる論点を次の3つの利用 パターンについて述べる。 (1) インタネットアクセス (2) 放送・市販コンテンツの視聴・録画・再生 (3) TV 電話等の P-to-P コミュニケーションなど 2.2.1 技術動向 生活者による音響映像コンテンツの利用(視聴、録音・録画・再生)に用い られる機材は、数年前までは実質的に AV(Audio Visual)機器に限られていた。 パソコンで音響や映像を取り扱うためのハードウェア・ソフトウェアは以前か ら供給されていたが、CPU の能力、ネットワークのバンド幅、記録メディアの容 量、などの(いわゆるコストパフォーマンスを含む)制約により、テレビ放送 の視聴や録画・再生等にパソコンを用いるのは魅力的な選択肢ではなく、少な くとも一般の生活者にとって、パソコンによる音響映像コンテンツの利用は、 専用にエンコードされてインタネット上に置かれた低品位コンテンツの視聴な どに限定されていた。 しかしながら、ここ数年で、特に CPU やグラフィックスチップの処理能力と 記録メディアの容量が劇的に拡大した結果、テレビ放送の視聴や録画・パッケ ージメディアの再生などについて AV 機器と遜色のない機能・性能を持つ AV パ ソコンと呼ばれる製品群が各メーカーから、多数、発売されており、主として 個室内(個人のデスク上)における音響映像の視聴、録音・録画には広く利用 されつつある。 その一方で、AV 機器も、デジタル化が進められ、マクロに見た内部構造はパ ソコンとよく似たものになりつつある。しかしながら、デジタル化によって、 ユーザから見た、パソコンとの差異が損なわれているわけで決してない。デジ タル AV 機器は、大型テレビ受像機のようにリビングルームなど家計を構成する 複数人で利用される場所に設置される機材、逆に音楽プレイヤーのように個人 が身に着けて使う機材、などでは、確固とした地位を占め、新製品への需要は 相変わらず高いものがある。 パソコン、AV 機器、携帯電話や PDA 等のモバイル情報機器の間でコンテンツ を相互利用することは、特にネットワーク経由の場合、現在のところは困難で あるが、これらの機材の間でネットワーク経由のコンテンツ相互利用(機材間 の相互運用)を可能にするための規格化が、DLNA(Digital Living Network Alliance)というコンソーシアムが中心になって進められている。 今後も、パソコンとデジタル AV 機器は内部構造や表面的な機能の面では類似 性を高め、相互運用性を強化しながらも、それぞれの利用のコンテキスト(シ ーン)に応じた進化を独自に続けていくであろう。 2.2.2 インタネットアクセス AV パソコンはもちろん、デジタルテレビや DVD レコーダの多くは、インタネ ットに、直接、接続する機能を持ったネットワーク家電である。このことは、 インタネットの項で述べられる注意事項がそのまま、それらのデジタル AV 機器 にも適用されることを意味している。 もちろん、現時点では、デジタル AV 機器は、パソコンと比べてプラットフォ ームとしての多様性が高く、さらに、ソフトウェアをインストールすること自 体が簡単にはできない構造になっているのが普通なので、少なくとも当面は、 ウィルスやワームや実行体のインストールを必要とするスパイウェアなどプラ ットフォーム依存性の高い脅威の標的になることは少ないと考えられる。 しかしながら、Cookie の悪用のようなプラットフォームには依存しないスパ イウェアについては、現在でも、十分な注意が必要であることをユーザに周知 される必要があるだろう。 2.2.3 放送・市販コンテンツの視聴・録画・再生 パソコン用のソフトウェアでは、マイクロソフトのメディアプレイヤーやリ アルネットワークスのリアルプレイヤーが個体識別情報をインタネットに対し て発信していることが知られているが、インタネットに接続されているデジタ ル AV 機器について、個体識別情報を割り当てて、その機器がアクセスしている コンテンツに関する情報を特定のサイトに対して発信することは、少なくとも 技術的には可能である。 もちろん、個体識別情報が個人情報と結びつかないように適切に管理されて いる限り、このような情報収集を行っても、個人情報保護法で言う「個人情報」 の漏洩には当たらない、と考えられる。しかしながら、この個体識別番号とユ ーザ登録情報の名寄せが可能な場合、潜在的にプライバシー侵害が可能になる リスクがある。このような情報収集を行う場合は、機器が発信する個体識別情 報とユーザ登録情報に含まれる製造番号との関係をデータベースに残さない等、 李下に冠を正さない、対応が必要だと考えられる。 放送系でも、DRM(Digital Rights Management)に伴って、B-CAS カードなど を用いた機器の個体管理が必要になっているが、機器の個体管理と個人情報供 託の結びつきについては注意が必要である。少なくとも、その管理組織は、個 人情報供託を必要としない形態の利用だけを行うユーザに対してみだりに個人 情報供託を要求するような行為を行うべきではない。 B-CAS カード自体は可能な限り個人情報の登録を必要とせずに機能するよう に工夫されているが、その管理組織はウェブサイト等を通じて PPV(Pay Per View)や双方向サービスを利用しないユーザにも個人情報の登録を呼びかけて おり、BS デジタル放送や地上波デジタル放送の事業者も、B-CAS カードを利用 して使用者の個人情報の登録を行わせようとしている。 伝統的な放送やパッケージメディアの利用に加え、ブロードバンドネットワ ークの普及によって現実化する可能性があるのが、インタネット等を伝送メデ ィアとする VOD(Video On Demand)の復権である。今のところ、VOD は、アダ ルト向きなどの特殊なコンテンツを除いて、まったく普及していないが、スタ ートオーバー(放送中の番組を最初から見られるようにする)サービスなど、 放送を補完するサービスを通じて普及する可能性がある。このような VOD は双 方向サービスであり、支払い者の名前やクレジットカード番号などの課金情報 に関連するアイデンティティを取り扱うことは避けられない。そのため、個人 情報の漏洩やサービスプロバイダによる名寄せが利用者に無断で行われる可能 性について、インタネット上のショッピングサイトなどと同様、ユーザは十分 に注意する必要がある。 2.2.4 P-to-P コミュニケーション(IP テレビ電話等)など デジタル AV 機器については、放送の視聴や録画・再生、パッケージメディア のメディアの再生のほか、パソコンに匹敵する様々な用途を考えることができ る。たとえば、デジタルカメラで撮影した画像を家族で見る場合、テレビや DVD プレイヤーを使うことは現在でも広く行われている。 現在考えられているデジタルテレビの利用法の一つとして、ブロードバンド ネットワークに接続されたテレビを IP テレビ電話の端末として利用することが ある。この場合、テレビの典型的な設置場所がリビングルームであることから、 場合によっては、たまたまテレビ電話をかけてきた悪意の第三者から家族構成 や生活時間帯などが一度に見て取れてしまうリスクがあるが、その反面として、 家族同士など親密な人々同士のコミュニケーションを考えると、リビングルー ムにあるテレビを端末とするのが最もふさわしいことも事実であろう。この点 を踏まえて検討が進められているもののひとつとして UOPF(Ubiquitous Open Platform Forum)の Dear to Dear 構想がある。このように、デジタル AV 機器 については、リビングルームのコンテキストを踏まえたセキュアなサービスが 新たに提案されていくであろう。 2.2.5 まとめ 現在のデジタル AV 機器 (の一部)はインタネットに直結させることができる。 その意味ではパソコンと変わらない。その結果、デジタル AV 機器についても、 インタネットアクセスに伴う個人情報漏洩のリスクについて、ユーザの考慮が 必要になりつつある。 放送やパッケージメディアの利用については、デジタル AV でもパソコンでも、 DRM に関連した規制が導入されつつあり、それに関連して個人情報を第三者機関 に預託するなど、個人情報の露出を前提にしたビジネスモデルが一般化する可 能性がある。その場合、何らかの不測の事態によって登録された個人情報が流 出するリスクを考える必要がある。不要な個人情報供託は可能な限り避けるな ど、制度設計とその運用には細心の注意が必要だと考えられる。 デジタル AV 機器には、従来想定されていた以上に、多種多様な利用シーンが 考えられる。そこで、機器メーカーは、パソコンを含めたデジタル AV 機器ユー ザの生活者としての利用シーンを考慮した、きめ細かい個人情報保護を提案し ていく必要があると考える。 2.2.6 【参考文献】 DLNA http://www.dlna.org/home http://www.dlna.org/home_jp/ B-CAS カード http://www.b-cas.co.jp/ http://www.b-cas.co.jp/faq.html#q2 スタートオーバーサービス http://www.tv-asahi.net/html/a_media/363.html http://news.livedoor.com/webapp/journal/cid__709591/detail http://it.nikkei.co.jp/it/column/koike.cfm?i=20041227xt000xt UOPF http://uopf.org/ http://uopf.org/press/041125-02.html 2.3 公共空間における情報サービス利用シーン(車谷) 本節では、ユビキタス情報社会のうち特に公共空間におけるサービス連携の 観点から,プライバシー保護について述べる。 2.3.1 公共空間とは? 一般に,社会空間をその場に滞在するユーザ(生活者)とその空間との関係 性で分類すると,1) 私的空間(家庭) 2) ビジネス空間(企業・公的機関等の 内部)3) 公共空間の3種類に分類可能と思われる。1) の私的空間とは,その 内部はユーザにとって完全に個人に属するものであって,その場におけるプラ イバシー管理とは,如何に外部に情報を漏洩させないかという点が論点となる。 また 2) のビジネス空間とは,企業等の法人ならびに法人に属する構成員(従 業員等)に関するものであり,私的空間と同じく外部への情報漏洩という観点 のほか,内部における情報の効率的な流通・構成員の個人情報の保護という観 点が重要である。 さて,公共空間とは,以上の私的空間・ビジネス空間のいずれにも属さない ような,一般に開かれた空間のことを指す。例えば,道路・街角・広場・公園 など,常に全ての人に利用が許された空間である。また,ビジネス空間の一部 がその場所への来場者にとっては公共空間である場合も多い。例えば,駅や空 港の構内・美術館等の館内・ショウルーム等のビジネス空間である。これらの 空間において,公共空間におけるユーザ(生活者)と空間の関係性は,私的空 間やビジネス空間におけるそれとは異なり,個人情報(氏名・住所等の属性情 報・空間的移動履歴・行動履歴など)に関して以下のような特徴がある。 1) 基本的にユーザは個人情報を開示する必要性はない(ユーザが同意すれ ば開示しても良い)。 2) 空間の運営者は,一般には,ユーザに個人情報の開示を求めることがで きない。 3) 一方,より良いサービスを提供するためには個人情報が提供されること が望ましいのは他の空間とは異ならない。 4) 個人情報の「提供」と「取得」の識別が困難な場合がある。たとえば, カメラによって空間内部を撮影しデータを保管した場合,保管されるデー タは個人情報(顔・服装などの個人画像)を含んでいる。一方,個人を特 定できないような方法で移動軌跡だけを取得しデータを保管した場合に は,他の個人情報との紐付けがなされない限り,個人情報を取得したとは 言い難い。 5) 1人1人の個人へのサービスの観点のほかに,その場に滞在する人々全 体へのサービスの観点が必要である。たとえば,混雑を緩和する・サービ ス時間の平均化を図る・緊急時(災害・事故等)の避難誘導計画を事前に 策定する必要がある,などである。 2.3.2 技術動向 前項で述べたような公共空間における個人情報の保護・取得を実現するため の技術・運用的枠組みとしては,現時点では,1) インターネット技術の援用 2) 運用ポリシーの制定 3) デバイス技術を併用したシステム構成,等のアプロー チがなされている。 インターネット上で開発されて来た個人情報保護の枠組みとしては,例えば W3C の勧告仕様である P3P (Platform for Privacy Preference Project, 本付 録 3.2.2 参照) のように,ユーザとサービス提供者がそれぞれ個人情報の扱い に関するポリシーを提示し,説明と合意で情報を開示する方法や,Liberty Alliance (本付録 3.2.1 参照)の認証連携のように個人情報を仮名をキーとし て扱う方法などがある。これらの技術は,公共空間においてもそのまま利用と いう意味で有効な技術である。 また,公共空間の管理者とユーザとの関係性に関して考えると,デジタル家 電機器のインターネットアクセスや RFID タグによる個人認証履歴等を集積し, 紐付けないしは名寄せすることを,情報を管理する企業・団体が自主的にポリ シーを設定して自粛するという方法もやはり必要である。 一方で,デバイス技術をシステム開発の一部に組み入れることにより,個人 情報の蓄積や,他の情報との紐付け・名寄せを不可能にする技術の取り組みも 行われている。たとえば,以下のような技術が提案されている。 1) 特定の公共空間に滞在している時間中のみ有効な「一時的 ID」の技術 2) ユーザの位置・移動軌跡情報のみを匿名でデータ化し,原画像を記録しない 「匿名立体視カメラ」の技術 1) の「一時的 ID」とは特定の空間内においてのみ有効な ID を発行する技術 である。たとえば,美術館の入り口においてアクティブ型 RFID を配布し,出口 において回収するシステムを構成する。この RFID の ID 情報は,ユーザが美術 館に滞在中のみ有効であり,他の個人情報(氏名・住所等)と紐付けする必要 はない。これにより,ユーザは自分の位置・移動軌跡・明示的に開示した嗜好 (preference) に基づくサービスの選択が可能となり,かつ美術館の空間運営者 は匿名の状態で複数のユーザの位置・移動軌跡・嗜好に関する情報を取得でき, 来場者と展示物の関係に関するマーケティング・混雑を緩和するためのナビゲ ーションや展示物の配置設計,緊急時の避難誘導計画の策定などが可能となる。 また,2) の「匿名立体視カメラ」とは,カメラに写った原画像を一切見せる・ 記録することなく,複数のユーザの位置・移動軌跡情報のみを匿名でデータ化 することが可能なカメラである。原理は2台1組のカメラからの画像データを パターン処理することにより,ユーザの現在位置・移動軌跡の情報を3次元で データする。この際に,ユーザの個人情報である顔・服装などの情報を含む原 画像は一切見せる・記録することなく,原画像内に含まれるユーザの画像的に 特徴的な部分を追跡することにより,ユーザの位置・移動軌跡情報を取得しデ ータ化する。これにより,ユーザのプライバシーを守りながら,公共空間の運 営者にとって重要な,混雑の緩和・緊急時の誘導などのサービス向上を実現す ることが可能となる。 これらの技術は,研究段階から現在実用化の段階へと移行しており,上の「一 時的 ID」 「立体視カメラ」を用いて,公共空間においてプライバシーを守りなが らユーザ・会場運営者双方のサービス向上に関する大規模実証実験が 2005 年に 予定されている。 2.4 RFID を活用したサービス利用シーン(杉山) RFID タグの応用分野は、急速な広がりを見せている。表 2.4-1 に、現在適用 されている、あるいは近い将来導入が見込まれる、具体的な RFID 応用分野の一 例を示す。 表 2.4-1 RFID 応用分野の一例 項 ネットワークによる 番 RFIDの高度利用分野 1 2 3 4 5 6 物流分野 業務分類 宅急便 販売・流通 百貨店 (流通小売分野) 情報流通 ポスター 道路・交通 タクシー運行管理 (運輸・交通分野) 食品 トレーサビリティ 運輸 倉庫 医療・薬品 (医療) 8 環境 量販店 コンビニエンススト ディスカウント・ 専門ショッピング ショッピング・モー ア 商品管理 ショップ モール ル ドラッグストア バス運行管理 電車運行管理 食品自動管理 食品購買誘導 カルテ 薬品管理 患者識別 海上コンテナ 郵便 物流管理一般 顧客管理 道路トラフィック管 歩行者ナビ 理 航空旅客サポート (搭乗券、旅客と荷 鉄道旅客サポート 物の対応管理等) 動物識別 医療・服薬サポート 病院経営管理 文化財保護 展示品解説・案内 家電 PC 製薬 位置情報 (誘導・ガイダンス) 電子ナンバープレート 車両 玩具 文具 自動車 部品 生産活動支援 高齢者福祉 障害者福祉 消防活動支援 災害情報収集 止水栓管理 架空設備管理 電柱管理 無線設備管理 工事現場 廃棄・リサイクル 高齢者ヘルスチェッ ク 10 教育・文化 教育コンテンツ管理 園児・生徒管理 11 就労 12 情報家電 図書管理 ドキュメント・物品 社員管理 管理 家電遠隔・自動操作 エンターテイメント 入場者(入退場)管 行動履歴管理 13 (アミューズメント 理 分野) 14 ロボット 犯罪監視 15 建設 建設管理 16 FA (製造分野) 19 貨物コンテナ 広告 9 高齢者・障害者対策 誘導・ガイダンス 18 航空手荷物 金融 紙幣・有価証券等の (金融決済分野) 偽造防止 7 17 レンタル 衣料品 日用品 雑貨品 消防・防災 防災 (自治体・公共) 生活・個人利用 (消費者) 衣料品 日用品 雑貨品 屋外設備管理分野 地下埋設設備管理 迷子探し 食品 嗜好品 災害救助 被災状況/避難状況 地域の防犯 把握 家屋の防犯 学童現在位置管理 家電 PC 玩具 文具 自動車 携帯電話 PDA モバイルAV機器 物品管理 通信ケーブル管理 地上設備管理 自動販売機管理 食品 嗜好品 薬 ガス管・水道管管理 電力ケーブル管理 20 競技分野 競技タイム計測 参加者管理 (通過点、ゴール) 21 非製造業 資材保管位置管理 固定資産管理 入退室管理 22 ビル管理 防犯 セキュリティ管理 災害発生時の人の所 在管理 商品管理 23 メディアその他の分野 音楽・映像メディア 図書管理 管理 24 金融決済分野 キャッシュカード クレジットカード 電子マネー 汎用プリペイドカー 携帯電話 ド 25 運輸交通分野 鉄道 地下鉄 バス ETC 航空 宅急便 トラック 26 公共認証分野 免許証 住基カード 社会保険証 自治体行政カード 社員証 学生証 パスポート 27 流通サービス分野 レジャー 宿泊系施設 ガソリンスタンド 小売関連 外食関連 自販機関連 洗車場 スポーツセンター 28 その他 これらの RFID 応用分野の中で、何らかの形で、間接的または直接的に個人情 報を獲得できる可能性を有する RFID タグの応用方法は、次の3種類に分類でき る。 (1)個人情報とまったく関連付けられていない、RFID タグを貼り付けた携帯可能 な商品や物品を個人が携帯する場合 RFID タグ付の衣料品を装着したり、RFID 付の食料品・日用雑貨品等を携 帯して、屋外やビル内を移動する場合等が、これに相当する。個体識別のた めの商品コードだけが設定されているケースが多い。 (2)個人情報ではないが、年齢・性別・資格等の情報と関連付けられた、RFID タ グを貼り付けた商品や物品を個人が携帯する場合 RFID 付の入場券やチケットやプリペイドカード等を携帯して、アミュー ズメントパーク内や映画館等に出入りしたり、その内部を移動したりする場 合が、これに相当する。商品コードに加えて、有効期間や有効エリア等が設 定されているケースが多い。 (3)詳細な個人情報と明確に関連付けられた、RFID タグを貼り付けた商品や物品 を個人が携帯する場合 RFID 付の免許証やクレジットカードや社員証や定期券を携帯して、本人 の明確な意思に従って認証が行われ、特定場所の出入りに許可を与えたり、 クレジットカードや現金カードとして使用したりする場合が、これに相当す る。取得前に住所・氏名・年齢・性別等の個人情報を登録し、RFID タグに は、本人認証用の情報と個人番号が設定されているケースが多い。これらの サービスにおいては、意識的に、サービスを受けるために RFID タグを、個 人が、 “何らかの形で必ず意思表明をして”提示することを前提としている。 これらのサービスを受けるにあたっては、個人情報、購買履歴、サービス利 用履歴、移動履歴等がサービス提供会社で管理されており、いろいろな形で 社内の営業に戦略的利用されうる可能性があることを意識しなければなら ない。 RFID タグの読み取り可能距離は、数 cm の至近距離から数十 m に至るまで、さ まざまな種類のものが出現してくると想定されており、使用する環境条件や用 途によって使い分けられている。 現状では、RFID タグは、基本的には、RFID アンテナの設置箇所も含めて目的 別にシステム設計され、その範囲で利用されている。また、製造メーカ毎に無 線周波数帯域や、RFID タグの読み取り方式や、プロトコルや書き込みデータの フォーマットが異なっているため、ある RFID タグを異なるメーカの RFID アン テナで読み取ることは困難である。 このような現状においても、RFID タグを管理する企業内・あるいはサービス を提供している範囲内で、次のように個人情報を蓄積し、個人対応のサービス・ レベルを向上することは可能となる。 テーマパーク内やビル内等の利用においては、入口だけでなく、各パビリオ ンやイベント会場や居室の入口、通路や廊下、展示物等に RFID アンテナを設置 しておくことにより、個人の移動・行動履歴をこと細かに把握することができ るようになるため、個別サービス展開や経営戦略立案やマーケティング戦略を より効果的に行うことが可能となる。ビル内等での災害発生時には、誰がどこ にいるのかを性格に把握できるため、救助活動を効率的に実施することができ るようになる。一方で、個人の移動履歴がこと細かにトレースできるため、犯 罪発生時の犯人特定等の防犯に活用される可能性もある。 また、一般的には、あるサービスで RFID タグを会員カード等として発行する ことにより、カード等の提示がなくても、サービス提供エリア内に会員カード を携帯する個人が入ってくるだけで、誰が、いつ、どこで、どのようなサービ スを、どのような条件で利用したのか、何に興味を持ったのか、エリア内をど のように移動したか、といった個人情報を確実に把握することができるため、 個人毎の行動履歴・購買履歴・サービス利用履歴等を、サービス提供企業に閉 じた範囲で、明確に把握することができる。 このような観点から、RFID タグ応用サービスの分類・整理結果を、表 2.4-2 RFID 環境における個人情報の提供・取得・収集パターン に示す。 表 2.4-2 の整理にあたっては、次のようなサービス分野を想定した。 ① 道路・交通 ② 就労 ③ エンターテインメント(エンタメ) ④ ロボット ⑤ 消防・防災 ⑥ 生活・個人利用 ⑦ ビル管理 ⑧ 金融決済分野 ⑨ 運輸交通分野 ⑩ 公共認証分野 ⑪ 流通サービス分野 典型的な RFID タグ利用サービス例を示す。 ・ イベント会場・アミューズメント・パーク等の入場券・現在位置管理・移 動履歴管理 ・ 街角・商店街の通行履歴管理 ・ 食品から耐久消費財等に至る各種商品に付けられた RFID タグ ・ 自治体の防災・防犯サービス ・ 店舗・ビル等の出入り管理 ・ マンションの入退室・在室管理 ・ ホームセキュリティ(自宅への出入り管理、防犯対策) ・ ・ ・ ・ ・ ・ ・ ・ 園児・学童の登下校チェック 高齢者安否確認支援サービス Suica 等、電車の RFID 付き定期券・切符 店舗の RFID 付きプリペイド・カード RFID 付き運転免許証、社員証 RFID 付きクレジット・カード RFID 搭載携帯電話による決済・認証 RFID 付き ETC カード(ガソリン代金、高速道路料金の自動支払い) 特に、生活・個人利用においては、商品に付けられた RFID タグは関連企業間 にまたがって読み取れる必要があり、RFID タグ格納データフォーマットが公開 されている。このため、これを第三者がビルや街頭等の、RFID タグ情報を獲得 したい場所に RFID アンテナを設置することによって、個人の知らない暗黙のう ちに、所持品情報を読み取られている可能性もある。この場合には、個人を特 定することまではできなくても、個人が所有・携帯している商品や、商品の組 合せを特定することができるし、複数個所に設置した RFID アンテナで獲得した 情報を統合することにより、その商品を携帯している人の移動履歴を把握する こともできてしまう。 表 2.4-2 は、あくまでもそのサービスの範囲内での個人情報の提供・取得・ 収集パターンとして整理したが、今後の RFID 技術の進歩に伴って、企業間・サ ービス間にまたがって、あるいは関係のない第三者によって、いたるところで、 RFID タグ情報が無意識のうちに読み取られてしまう可能性が高くなっていくと 思われる。 今後の RFID タグの技術動向としては、以下のような方向性が推測される。 ① RFID タグの読み取り可能距離がいっそう長くなっていくこと ② RFID タグの読み取りプロトコルの標準化が進むこと ③ 種々の RFID 製造メーカや種々の無線周波数帯域をカバーする、高感度の汎 用の RFID アンテナの開発が進むこと このため、RFID タグをつけた商品や物品を人が携帯することによって、いたる ところに設置された RFID アンテナによって、意図しないシーンで、本人が知ら ない間に、いろいろな形で情報が収集され、悪用される可能性が高くなってく る。 通常 RFID タグに対応する個人情報は、システム毎にサーバで管理されるため、 RFID タグの情報を読み取っただけでは、個人情報を獲得することは困難である が、その個人が携帯する複数個の RFID タグの情報を読み取ることにより、本人 が誰であるかの特定は困難であるにしても、その組合せでおおざっぱな個人情 報を獲得することも可能になってくる。但し、今後は、金融決済用や公共認証 用の個人を特定可能な RFID タグと併せて携帯することによって、個人が特定さ れてしまう可能性も出てくるため、注意が必要である。 以上述べたように、今後は、善しにつけ悪しきにつけ、いたるところに「企 業間・サービス間にまたがってネットワーク統合された RFID アンテナ・システ ム」が設置されるようになるため、本人が意識しないうちに個人情報を間接的 に読み取られている可能性が非常に高くなるため、移動時・旅行時等の RFID 貼 付物品の携帯に当たっては、細心の注意が必要となってくる。 表 2.4-2 RFID タグ応用サービスの分類・整理(次頁) 表 2.4-2 RFID タグ応用サービスの分類・整理 (1)サービスの主体:誰(どのような団体)が サービスを提供し、個人情報を取得、管理す るか? (例)自治体、オンラインショッピング業者、な ど (2)(サービスを受けるために)明示的に提供 する個人情報:ユーザが自主的に入力する情 報 (例)住所、氏名、・・・ (3)(サービスを受ける際に)意識しないで提 供させられる/取られる個人情報 (注)契約の条文には書いてあるが、大概の場 合、煩雑なのでユーザは読み飛ばしているこ とが多い (例)サービス利用位置、・・・ (4)サービスを利用した結果として生成される 個人情報 (例)嗜好情報、(ナビゲーション・サービス を受けた際の)目的地など 道路管理組織(国土交通省、日本道路公 団、・・・) なし 車に装着された RFID 通過位置、RFID 通過時 間 RFID 毎の移動履歴 道路管理組織(国土交通省、日本道路公 団、・・・) 道路に RFID アンテナを取り付ける場合:住 所、氏名、年齢、性別、障害種別、・・・ RFID 通過位置、RFID 通過時間 個人の移動履歴、目的地、個人の行動範囲、 個人の移動特性 道路管理組織(国土交通省、日本道路公 団、・・・) 道路に RFID タグを取り付ける場合(=歩行者 が RFID アンテナを携帯する場合):無 無 無 航空旅客サポート (搭乗券、旅客と荷物の対応管理等) 空港、航空会社 住所、氏名、年齢、性別、利用クラス、同伴 者、旅行期間、旅行時期、出発空港、目的空 港、料金 搭乗日時 旅行履歴、飛行機に関する嗜好(料金プラン、 クラス、個人旅行/団体旅行/パック、・・・) 鉄道旅客サポート 鉄道会社(JR、私鉄、地下鉄、・・・) 年齢層(大人/子供/高齢者/夫婦/・・・)、 出発地、目的地、旅行期間、片道/往復種 別、切符種別 出発地、出発日時、目的地、到着日時、途中 下車駅、旅行終了日時 入出札履歴 自治体、道路管理組織 誘導・ガイダンス・ポイントに RFID アンテナを 付ける場合:なし RFID 通過位置、RFID 通過時間、滞留時間、 滞留位置 RFID 移動履歴、興味/人気度 自治体、道路管理組織 誘導・ガイダンス・ポイントに RFID タグを付け る場合(人が RFID アンテナを携帯する場合): なし 無 無 電子ナンバープレート 国土交通省、陸運局 車両オーナーの住所、氏名、年齢、性別、免 許種別、免許取得年月日、免許更新年月日、 所轄警察署、所轄陸運局、・・・ 道路通過位置、道路通過時間 車両の移動履歴、車両の行動範囲、車両の移 動特性(運転者は特定不可) 車両 国土交通省、陸運局 車種、年式、製造年月日、・・・ 故障履歴、保守日時、・・・ 社員管理 官公庁、民間企業 自宅住所、勤務先名、勤務先住所、所属、氏 名、性別、年齢、電話番号 入館ビル、入退館日時 勤務時間パターン テーマパーク入場者(入退場)管理 テーマパーク運営企業 料金別年齢層、入場券種別(一日/パスポー ト/・・・)、入場予定日、同伴者 ID 入門日時、退門日時、園内立寄り箇所/ブー スと入場/退場時刻 園内行動履歴、園内行動パターン(個人/団 体)、ブース待ち時間、園内監視カメラとの連 携で個人の特定可能、迷子探し依頼状況、立 寄りブースに関する嗜好 映画館等入場管理 映画館運営企業 料金別年齢層、入場日、座席位置、同伴者 ID 入場日時、退場日時 犯罪監視 自治体、民間企業 なし 映像(顔、全身、・・・)、撮影(通過)場所、撮影 (通過)時間 防災、災害救助、被災状況/避難状況把 握、消防活動支援、災害情報収集 自治体、消防、警察 住民基本台帳基本情報 (住所、氏名、年齢、性別) 利用した避難施設位置、避難施設利用日時 分類 サービス 道路トラフィック管理 歩行者ナビ 道路・ 交通 位置情報 (誘導・ガイダンス) 就労 エンタメ 消防・ 防災 ロボ ット 生活・ 個人利用 ビル管理 金融決済分野 運輸交 通分野 地域の防犯 自治体、警察 住民基本台帳基本情報 (住所、氏名、年齢、性別) 利用した自治体運営施設位置、利用日時、通 過した街頭 RFID アンテナ設置位置 個人の行動・移動パターン 家屋の防犯 家主、警察、警備保障会社 住所、氏名、年齢、電話番号、建物種別、セキ ュリティ管理レベル、家族構成、緊急事態発生 時の連絡方法、支払い方法 外出日時、帰宅日時、家屋内移動履歴、各種 設備利用履歴 家族・個人の行動・活動パターン 学童現在位置管理 自治体、セキュリティ・サービス関連会社 住所、学童氏名、年齢、性別、所属学校名、学 年、クラス、父兄氏名、連絡先電話番号 校門通過時刻、学内現在位置 学童の移動履歴、校外(塾・予備校/図書館 等の公共施設/・・・)での学童の移動履歴も 収集されるかも? 高齢者福祉 自治体、高齢者福祉関連企業 住民基本台帳基本情報 (住所、氏名、年齢、性別) 自宅内での移動履歴(生存確認)、病院・施設 への通院履歴 高齢者個人の、家庭内での行動特性、病院・ 施設利用に関する行動特性 障害者福祉 自治体、障害者福祉関連企業 住民基本台帳基本情報(住所、氏名、年齢、 性別) + 障害種別 施設等への通所履歴 障害者個人の行動特性 購入後に自宅等の目的地まで携帯移動する 商品(衣料品/日用品/雑貨品、食品、嗜好 品、薬、玩具/文具、・・・) スーパー、デパート、ディスカウントスト ア、・・・ 無(購入時に提示したクレジットカード情報) RFID アンテナ設置場所(建物入口、街頭、道 路等)で、所持品に添付された RFID の ID、所 持品の組合わせ、免許証/社員証/住民基 本台帳 ID カード等の RFID の ID 通過地点別(RFID アンテナ設置場所別)の購 入商品の組合わせパターン 据置き型商品(家電、家具、・・・) 電気店、デパート、ディスカウントストア、・・・ 購入時に提示したクレジットカード情報、保証 書に記入する個人情報(購入年月日、住所、 氏名、電話番号、・・・) - - 携帯移動/据置き商品(PC) 電気店、デパート、ディスカウントストア、・・・ 購入時に提示したクレジットカード情報、保証 書に記入する個人情報(購入年月日、住所、 氏名、電話番号、・・・) RFID アンテナ設置場所(建物入口、街頭、道 路等)で、RFID の ID 通過地点別の同一 RFID 通過頻度 移動手段としての商品(自転車、自動 車、・・・) 自動車販売会社 購入時に提示した個人情報(住所、氏名、年 齢、電話番号、防犯登録用個人情報、車体番 号、・・・) RFID アンテナ設置場所(駐車場入口等)で、 RFID の ID 通過地点別の同一 RFID 通過頻度、複数個所 の RFID アンテナ情報集約による RFID 別の行 動・移動パターン 常時携帯移動する商品(携帯電話、PDA、モ バイル AV 機器、・・・) 電気店、デパート、ディスカウントストア、携 帯電話ショップ、・・・ 購入時/契約時に提示した個人情報(住所、 氏名、年齢、連絡先電話番号、ファミリー登録 携帯電話番号、・・・)、決済関連クレジット情報 (住所、氏名、年齢、性別、職業、引落し銀行 口座、・・・) RFID アンテナ設置場所(建物入口、街頭、道 路等)で、RFID の ID 通過地点別の同一 RFID 通過頻度、複数個所 の RFID アンテナ情報集約による RFID 別の行 動・移動パターン セキュリティ管理、防犯、災害発生時の人の 所在管理 ビル管理会社、ビル利用企業 訪問先、訪問先氏名、用件、会社名、氏名、連 絡先電話番号 RFID アンテナ設置場所(ビル入口、居室入 口、施設入口、通路、等)通過時に RFID の ID 読取り RFID 携帯者毎の行動履歴・行動パターン キャッシュカード 銀行 住所、氏名、年齢、職業、電話番号、運転免許 証 預入/引出店舗、預入/引出位置、取引種 別、預入/引出金額、取引先、RFID 番号 取引に関する特定個人毎の行動特性 クレジットカード クレジット会社、デパート、・・・ 住所、氏名、年齢、職業、電話番号、運転免許 証、引落し銀行口座 クレジッットカード番号、RFID 番号、購入店、 購入場所、購入金額、購入商品名 購入に関する特定個人毎の購買行動特性 電子マネー 電子マネー運用会社 住所、氏名、年齢、職業、電話番号、運転免許 証、引落し銀行口座 RFID 番号、使用金額、使用場所、購入商品 預入/購入に関する特定個人毎の行動特性 汎用プリペイドカード プリペイドカード発行会社、プリペイドカード 利用先店舗 無 RFID 番号、使用金額、使用場所、購入商品 購入に関する RFID 毎の購買行動特性 携帯電話 携帯電話会社、クレジット会社 住所、氏名、年齢、職業、電話番号、携帯電話 番号、引落し銀行口座 RFID 番号、使用金額、使用場所、購入商品 特定個人毎の行動パターン(移動履歴)と購 買行動特性 鉄道/地下鉄 鉄道会社(JR、私鉄、地下鉄、・・・) 住所、氏名、年齢、職業、定期利用区間 RFID 番号、乗車駅、入札時刻、下車駅、出札 時刻 特定個人毎の曜日・時間帯別移動履歴パター ン 公共認証分野 流通サービス分野 バス バス会社 無 RFID 番号、乗車バス停、乗車時刻、下車バス 停、下車時刻 RFID 番号毎の曜日・時間帯別移動履歴パタ ーン ETC 国土交通省、日本道路公団 住所、氏名、年齢、電話番号、車体番号、ナン バープレート、車種、引落し銀行口座、 RFID 番号、搭乗インター、搭乗時刻、下車イン ター、下車時刻 特定 ETC カード所有者毎の曜日・時間帯別移 動履歴パターン(自動車/運転者の識別は不 可) 航空 航空会社 氏名、年齢、性別、出発地、目的地、出発日、 利用クラス、利用料金、旅行プラン 搭乗日時、搭乗地、到着日時、スケジュール 変更履歴 特定個人毎の搭乗/嗜好パターン 宅急便 運輸会社、郵政公社 送り先住所、送り先氏名、送り先電話番号、送 信元住所、送信元氏名、送信元電話番号、送 信品目、送料、配達日時条件 梱包内容物に添付された RFID 番号 特定個人毎の宅急便利用パターン、特定個人 毎の宅急便利用パターン、特定家屋毎の宅急 便利用パターン、特定個人毎・品目毎の宅急 便利用パターン トラック 運輸会社、民間企業(石油、食料品/日用 雑貨品等製造元、・・・) 無 無 無 免許証 警察 住所、氏名、本籍地、年齢、免許証の種類、免 許証の取得年月日、免許証の有効期間、優良 ドライバ可否、顔写真、・・・ RFID 番号、本人証明利用場所(店舗、施設 等)、検問場所、検問日時、違反場所、違反点 数、違反種別、反則金・罰金、事故発生場所、 RFID アンテナ設置位置通過日時 免許証利用パターン(行動履歴)、行動特性・ 移動特性 住基カード、自治体行政カード 自治体 住所、氏名、年齢、性別 RFID アンテナ設置施設入退館日時、自治体 サービス利用場所、利用自治体サービス種 別、サービス利用日時 特定個人毎の自治体施設利用特性、特定個 人毎の行動特性・行動パターン 社会保険証 健康保険組合 住所、氏名、性別、生年月日、資格取得年月 日、被保険者記号・番号、交付年月日 RFID 番号、利用医療機関、利用年月日、利用 場所、支払い医療費、RFID アンテナ設置場所 通過日時 特定個人毎・場所毎・期間毎の医療機関利用 パターン、RFID 毎の行動特性・行動パターン 社員証 官公庁、民間企業、・・・ 会社住所、会社名、所属、氏名、生年月日、有 効期限、電話番号、顔写真 RFID 番号、入退社日時、入退室日時、RFID ア ンテナ設置場所通過日時 特定社員毎の勤務特性、RFID 毎の行動特 性・行動パターン 学生証 大学、予備校、専門学校、・・・ 学校名、氏名、学籍番号、生年月日、有効期 限、顔写真 RFID 番号、登校日時、下校日時、入室日時、 退室日時、RFID アンテナ設置場所通過日時 特定学生毎の登校特性 パスポート 外務省 住所、氏名、性別、生年月日、交付年月日、有 効年月日、パスポート種別、顔写真、出国日 時、旅行先国、出国空港、到着空港、旅行目 的、滞在期間、・・・ RFID 番号、出国日時、出国空港、帰国日時、 帰国空港 特定個人毎の旅行特性・行動パターン 工事現場 建設会社、土建会社、・・・ 住所、氏名、性別、年齢、所属会社名、所属部 署名、・・・ RFID 番号、出勤時刻、退勤時刻、工事現場内 現在位置 特定個人毎の作業行動パターン(勤怠管理)、 緊急事態発生時の救済支援に活用可能 レジャー、スポーツセンター レジャー施設運営企業、スポーツセンター運 営企業 住所、氏名、性別、年齢、電話番号、・・・ RFID 番号、利用場所、園内利用施設、利用料 金、目的別支払い料金(食事、みやげ、・・・) 特定個人毎の娯楽嗜好特性、特定個人毎の 施設内行動/移動特性 特定個人毎の宿泊嗜好特性、特定個人毎の 施設内移動特性、レジャーとの組合せで個人 毎の行楽嗜好特性 特定個人毎の車による行動特性・給油/戦車 嗜好 宿泊系施設 ホテル、旅館、ホテル・旅館共同組合、・・・ 住所、氏名、性別、年齢、電話番号、同伴 者、・・・ RFID 番号、利用施設、施設利用位置、施設チ ェックイン日時、施設チェックアウト日時、駐車 場利用可否、宿泊日数、目的別支払い料金、 施設内立寄り場所、施設内立寄り場所滞留日 時 ガソリンスタンド、洗車場 石油会社(洗車場運営企業) 住所、氏名、性別、年齢、電話番号、支払い方 法 サービス利用 GS 位置、利用日時、利用料金 小売関連 スーパー、デパート、ディスカウントスト ア、・・・ 住所、氏名、性別、年齢、電話番号、支払い方 法 サービス利用店舗位置、購買明細、購買料金 特定個人毎の購買嗜好特性 外食関連 外食関連企業 住所、氏名、性別、年齢、電話番号、支払い方 法 サービス利用店舗位置、飲食明細、飲食料 金、同伴人数 特定個人毎の外食嗜好特性 自販機関連 自販機取扱企業(清涼飲料販売会社、アル コール類販売会社、タバコ販売会社、・・・) プリペードカードの場合:無 クレジット・カードの場合:住所、氏名、性別、 年齢、引落し口座、クレジット会社名 サービス利用自販機位置、購買明細、購買料 金 特定個人毎の 24 時間にわたる自販機利用特 性・移動特性・行動特性・嗜好特性 2.5 自動車における情報サービス利用シーン(岩崎) 本節では、ユビキタス情報社会における自動車の利用シーンについて述べる。 2.5.1 ユビキタス情報社会における自動車 (1) ITS(高度交通システム)のサービスと利用者 自動車において、90年代前半より始まったITS(Intelligent Transport Systems、高度交通システム)[1][2]は、ユビキタス情報社会の構想の先駆けと いえるだろう。ITSとは、最先端の情報通信技術を用いて人と道路と車両と を情報でネットワークすることにより、交通事故、渋滞などといった道路交通 問題の解決を目的に構築された新しい交通システムである。ユビキタス情報社 会を、自動車に関わる社会(自動車環境)において実現するシステムと考えて 良い。本節では、ITSの各種サービスで実現されるシーンについて、個人情 報との関わりについて述べる。 ITSは、ナビゲーションの高度化、自動料金収受システムなど9つの開発 分野において、交通関連情報の提供や、走行環境情報の提供など、21個の利 用者サービスで構成される(表 2.5-1)[1]。20個のサービスは、1996年 7月に、関係5省庁(当時)によって策定された「高度道路交通システム(ITS) 推進に関する全体構想」において提示された。21番目のサービスは、199 9年11月に同じく関係5省庁(当時)によって策定された「ITS に係るシステ ムアーキテクチャ」において、高度情報通信社会との相互運用性・相互接続性 を確保するため追加された。 表 2.5-1 開発分野 ITSの利用者サービスの枠組み([1]より引用) 利用者サービス設定の視点 利用者サービス 主な利用者 (1)交通関連情報の提供 1.ナビゲーションシ ステムの高度化 ドライバー ニーズ ナビゲーションシステム を用いた移動に関連す る情報の入手 (2)目的地情報の提供 2.自動料金収受シ ステム 3.安全運転の支援 状 況 出発地から 目的地まで の移動 目的地の選 択・情報入 手 (3)自動料金収受 ドライバー 輸送事業者 管理者 一旦停止のない自動的 な料金のやり取り 料金所での 料金の支払 (4)走行環境情報の提供 ドライバー 安全な運転 走行環境の 認知 4.交通管理の最適 化 5.道路管理の効率 化 (5)危険警告 危険事象の 判断 (6)運転補助 危険事象回 避の操作 (7)自動運転 運転の自動 化 (8)交通流の最適化 (9)交通事故時の交通規 制情報の提供 - 交通の管理 迅速かつ的確な道路の 維持管理 (11)特殊車両等の管理 管理者 ドライバー 輸送事業者 特殊車両の通行許可の 迅速・適正化 (12)通行規制情報の提供 管理者 ドライバー 自然災害等への適切な 対応 (13)公共交通利用情報の 提供 公共交通利用 者 交通機関の最適な利用 等 公共交通の 利用 (14)公共交通の運行・運 行管理支援 輸送事業者 公共交通利用 者 公共交通機関の利便性 向上 事業運営の効率化 輸送の安全性向上 運行管理の 実施 優先走行の 実施 (15)商用車の運行管理 支援* 輸送事業者 (17)経路案内 集配業務の効率化 輸送の安全性向上 道路の管理 運行管理の 実施 輸送効率の向上 歩行者等 (18)危険防止 9.緊急車両の運行 支援 交通事故への適切な対 応 管理者 (16)商用車の連続自動運 転 8.歩行者等の支援 交通流の最適化 (10)維持管理業務の効率 化 6.公共交通の支援 7.商用車の効率化 管理者 ドライバー 移動の快適性の向上 移動の安全性の向上 歩行等によ る移動 (19)緊急時自動通報 ドライバー 迅速・的確な救援の要 請 救援の要請 (20)緊急車両経路誘導・ 救援活動支援 ドライバー 災害現場等への迅速か つ的確な誘導 復旧・救援 活動 (21)高度情報通信社会関 連情報の利用 ドライバー 同乗者 情報入手面等での利便 性の向上 災害対応の効率化 移動中にお けるオンライ ンでの各種 情報入手 ITSの利用者サービスにおいて、個人情報を考える場合、サービスの利用 者の中で、業務上でない一般のドライバー(以下、ドライバー)が中心となる。 そこで、以下の節では、表1のうち、主な利用者がドライバーであるサービス を中心に述べていく。これらのサービスは、ドライバーにサービスを提供する ために、ドライバーの個人情報を取得・利用する場合がある。 (2) ITSにおける個人情報 本節では、ITS における個人情報の取得と利用について述べる。自動車環境に おける個人情報といったときに、特徴的な情報は、位置情報である。個人情報 保護法でいう公知情報の範疇では、住所が該当する。しかし、それ以上に詳細 な、いつ、どこにいたという位置情報やその関連情報は、職業などの非公知情 報、宗教や思想などの機微情報について推測できるため、個人情報として保護 の重要性が高いプライバシーに当たる情報である。ITSの各種サービスにお いては、これら位置情報を含み、個人情報を、様々な目的、形態で利用する。 特定の個人に向けてサービスをするために個人を特定する情報を利用するもの、 タイムリーにサービスを提供するためにリアルタイムに位置情報を利用するも の、行動のパターンから個人の特徴をデータマイニングするため蓄積して利用 するものなど、多様である。 サービスにおいて、これら個人情報を取得する手段は、図 2.5-1 に示すよう に、オンラインでは、無線通信、画像の手段を用いて、オフラインではサービ ス契約時などに書面で取得される。この中でも無線通信は主要な手段であり、 大容量である。ITSにおける無線通信は、広域通信から近距離通信まで様々 な方式が、それぞれの用途に応じて設定されている。広域通信としては、カー ナビと情報センターをつなぐために携帯電話通信が用いられている。狭域通信 と し て は 、 光 ビ ー コ ン や 、 電 波 ビ ー コ ン 、 E T C ( Electronic Toll Collection)などに用いられるDSRC(Dedicated Short Range Communication) がある。さらには近距離通信として、携帯電話のハンズフリーを行うために Bluetooth などが用いられている。今後、路車間通信、車車間通信に対して検討 されている[3]、無線LANが重要な通信手段となってくると考えられる。 DSRC民間業者 都道府県警 DSRC AVI 契約書 契約書 光ビーコン 道路管理者 DSRC (ETC) クレジットカード会社 Bluetooth テレマティクス サービスプロバイダ 携帯電話通信 DSRC (電波ビーコン) 契約書 DSRC 無線LAN 携帯電話通信 無線LAN 無線通信 契約書 画像 書面 カーディーラ 図 2.5-1 ISP ISP インターネット 契約書 契約書 ASP CP ITSにおける個人情報取得手段 個人情報を取得する機関には、大別して政府関連機関と、民間機関がある。 政府関連機関としては、オンライン、オフラインとも、交通管理者としての警 察、道路管理者としての道路公団などが相手となる。一方、民間機関としては、 オンラインとしては、自動車を専門にサービス提供先としているテレマティッ クスサービスプロバイダ [4][5][6]や、その他の、一般のサービスプロバイダ やコンテンツプロバイダが相手となる。ここで、テレマティックスとは、 Telecommunication(通信)と Informatics(情報科学)を組み合わせた造語であり、 自動車に通信システムを組み合わせて、リアルタイムに情報サービスを提供す ることを指す。さらに、車車間通信を考えると、他のドライバーという場合も あり得る。また、オフラインでの相手としては、自動車ディーラー、駐車場管 理者などが相手となる。さらにはカーシェアリングでは、自動車の管理者が該 当する。また、近年、飛行機の事故調査のためのブラックボックスと同様なシ ステム[7]も検討されているが、これらは、政府機関としての警察、民間機関と しての保険会社などが該当するであろう。 これら機関に応じて、個人情報取得に関するドライバーの注意点が異なる。 取得相手が政府関連機関の場合、公共の安全確保、国の安全保障、犯罪捜査に 利用する目的のもと取得されることがある。このとき、ドライバー側では、取 得を制限することは出来ないため、各機関の動向に注意が必要であろう。一方、 民間機関では、サービス提供自体の目的の他にマーケッティングを目的として 利用される場合がある。このときは、個人情報保護法の範囲での個人情報保護 は期待できる。しかし、適用対象でないような機関もあり、このとき、契約者 であるドライバー側での契約に対する注意が必要になる。 2.5.2 個人情報を取り扱うサービスを利用するシーン ITSにおける利用者サービスは、現在すでに、いくつかは実現されており、 暮らしに深く関わっている。カーナビ、VICS(Vehicle Information and Communication System) 、ETCなどは広く普及しており、ドライバーに日常的 に利用されている。以降の節では、今後期待されるサービスを含め、代表的な サービスの利用シーンについて、個人情報との関わりについて述べる。 ・交通情報サービス ITSの利用者サービスのうち、「交通関連情報の提供」「維持管理業務の 効率化」に関連するシーンとして、渋滞情報などの交通関連情報を提供する、 交通情報サービスに関するシーンを取り上げる。 ・自動料金収受サービス ITSの利用者サービスのうち、 「自動料金収受」に関連するシーンとして、 有料道路などで利用されるETCシステムを応用した自動料金収受に関する シーンを取り上げる。 ・テレマティックス情報サービス ITSの利用者サービスのうち、 「高度情報通信社会関連情報の利用」に関 連するシーンとして、テレマティックスシステムによる各種情報サービスで ある、テレマティックス情報サービスに関するシーンを取り上げる。 ・安全運転支援サービス ITSの利用者サービスのうち、 「危険警告」に関連するシーンとして、路 車間通信、車車間通信を応用した安全運転を支援するシステムによる安全運 転支援サービスに関するシーンを取り上げる。 以上のサービスにおいて、主に取得される個人情報を表 2.5-2 に分類する。 明示的にドライバーが登録する情報と、明示的とは限らず、サービス利用で取 得される情報がある。前者は、サービスを契約するときに登録する個人情報で ある。後者は、サービス利用時に、逐次取得される個人情報である。 表 2.5-2 取得される個人情報の分類 サービス分類 サービス例 (1)交通関連情報の VICS、渋滞予測情 道路管理者 提供 報提供 都道府県警察 (3)自動料金収受 (5)危険警告 取得される個人情報の分類 明示的に登録する情報 サービス利用で取得される情報 情報の取得者 なし 車載機ID(光ビーコンの場合) 車両ナンバー(AVIの場合) ETC 道路管理者 民間業者 住所、氏名、電話番号、生年月 日、性別、クレジットカード番号 利用者ID、時間、位置情報(ICな ど)、料金 AHS/ASV 道路管理者 都道府県警察 原則なし ただし、他のサービスと共通プ ラットフォームで実現すると、同 様な情報が必要 なし (10)維持管理業務の プローブカー 効率化 車載機ID、位置情報、速度情報 氏名、性別、生年月日、住所、電 (ベクトル)、ワイパー情報などの 事業者(民間業者) センサ情報、OD情報 など各種 話、車種 情報 テレマティックスサー (21)高度情報通信社 テレマティックス情報 氏名、性別、生年月日、住所、電 位置情報、目的地、スケジュー ビスプロバイダ 会関連情報の利用 サービス 話、車種 ル、アドレス帳、など各種情報 その他のプロバイダ 都道府県警察 保険会社 事故情報記録 ブラックボックス 不正道路利用防止 高速道路の料金所 道路管理者 入り口カメラ 氏名、性別、生年月日、住所、電 位置情報、事故時の車両状況 話、車種 なし 車両ナンバー 2.5.3 交通情報サービス 本節では、ITSの利用者サービスのうち、「交通関連情報の提供」「維持管 理業務の効率化」に関連するシーンとして、渋滞情報などの交通関連情報を提 供する、交通情報サービスに関するシーンを取り上げる。 交通情報サービスの代表がVICS[8]である。VICSとは、道路に設置さ れたセンサを利用して検出した渋滞情報、規制情報、駐車場情報などを通信シ ステムを利用して、車載機に伝達するシステムである。伝達形態は、文字情報、 図形情報、地図に重畳表示できるデータの3種類がある。VICS の車載機器は、 2004年には1000万台を越えており、広く普及している。 VICSの情報は、光ビーコン、電波ビーコン、FM 多重の3メディアより車 載機に送られている。光ビーコンは、近赤外を利用した双方向通信であり、主 に一般道に設置されている。管理主体は、警察庁である。電波ビーコンは、片 方向 DSRC 通信で、主に高速道路に設置されている。管理主体は、国土交通省で ある。FM 多重については、NHKのFM放送局の音声放送に多重化して同一周 波数帯で放送されている。管理主体は、総務省である。渋滞の状況などの情報 は、まず、都道府県警察と道路管理者が、それぞれ設置した各種センサから入 力された情報を収集、加工している。これら加工した情報を、それぞれ、(財) 日本道路交通情報センター(JARTIC)が集約し、VICSセンターを通 して、各メディアへ送っている。そのため、3メディアとも同一の情報になる が、それぞれ対象の道路や道路ネットワークの特徴を考慮して、情報提供エリ ア、情報種類が異なっている。 入力センサについては、大きく分けて、3種類ある。ひとつめは、設置地点 での車の有無のみを検出する超音波や、ループコイルによる方式。2つめは、 走行している車をIDより特定し、区間旅行時間を測定できる光ビーコンのア ップリンクを利用した方式。これは、光ビーコンが、車載機の光ビーコンユニ ットから車載機の番号をしめす車載機IDを受け取り、直前に通過した光ビー コンとの所用通過時間を計算、集計することで、区間旅行時間を計算している。 車載機からは、車載機IDのほか、起点ID(最初に通過した光ビーコンID) 、 直前地点ID(直前に通過した光ビーコンID)、経過時間などを送信している。 ここで、車載機IDは、エンジンをかけるたびに、乱数を用いて、毎回異なる 番号に決定される。このため、個別車両の継続的追跡が出来ないようになって いる。3つめは、走行している車をナンバープレートより特定し、区間旅行時 間を測定する画像センサを利用した方式。本方式は、車両自動認識、AVI (Automatic Vehicle Identification)と呼ばれる。本方式を利用したシステ ムは、一般には、Tシステム(旅行時間計測システム)とも呼ばれている。近 赤外画像でナンバープレートを OCR 処理により認識することにより車両を特定 し、2点間で旅行時間を計測する。これは、警察庁が管理しているシステムで ある。なお、同様な方式を利用したシステムとして、高速道路料金所入り口に 設置され、不正利用の車両を判別しているシステムがある。 さて、現在の VICS は、センサの設置が制約となり、基本的に主要な一般道や、 高速道路に対して情報を提供している。そのため、それ以外の道路についての 情報がない。このような問題を解消するために、各車に設置されているGPS などによる位置情報をセンターで集約し、様々な道路について交通情報を提供 できるシステムが始まっている[3][6]。ここで、移動する位置センサとなり位 置情報を通信する車をプローブカー、システム全体をプローブ情報システムと いう。十分多くの車がプローブカーになり、位置情報だけでなく、さらに目的 地情報についても収集すれば、きめ細かい交通の予測が可能になり、各車は、 より早く目的地に到着できるようになる。さらには、プローブカーの経路誘導 まで実施すれば、社会全体の交通の最適化が実現でき、渋滞問題、環境問題な どの交通問題が大きく解消される可能性もある。 個人の車がプローブカーになると、車両、さらには個人が特定され、個人情 報として位置情報が取得される可能性がある。交通情報提供のためには、本質 的には、個々の車両を特定する必要がないため、光ビーコンのような、ランダ ムな車載機IDを採用することで、ある程度特定することをさけることは可能 である。しかし、光ビーコンの方式といえども、ビーコン通過位置を継続的に 取得することで、行動パターンからある程度個人が特定できる。さらに目的地 の情報まで、提供すると、機微情報などについても推測できてしまう。また、 システムのコストを考慮すると、車載機におけるプローブカーの通信システム を、テレマティックス情報サービスのプラットフォームと共通化すること可能 性は高い。すると個人が特定されてしまうことになる可能性がある。さらに、 このプラットフォームが汎用技術をそのまま利用するのであれば、スパイウェ アにより、全ての移動の情報が不正に第3者に取得されることも考えられる。 これらの課題に対し、システムとしては、少なくとも車載機IDをランダム にする必要がある。上記のようにランダムなIDからでも、個人特定を100% 防ぐことは出来ないため、さらに、個人特定を制限するようなガイドラインが 必要である。また、車載機において、スパイウェアなどに対応するため、位置 情報のログをとらない、不要な送信を監視するなどの機能が必要になる。位置 情報を通信させるようなサービスに対しては、ドライバーは、契約において、 特に慎重に個人情報の取り扱いを注意する必要がある。 2.5.4 自動料金収受サービス 本節では、ITSの利用者サービスのうち、 「自動料金収受」に関連するシー ンとして、有料道路などで利用されるETCシステムを応用した自動料金収受 に関するシーンを取り上げる。 ETCは、有料道路の料金所などに設置されたアンテナと自動車に搭載した 車載器で無線通信を行い、自動車を停止することなく、有料道路の通行料金を 支払うシステムである。通行料金の徴収に必要なコストを削減や、料金所での 渋滞を緩和する目的で開発された。2001年3月に実サービスを開始し、高 速に車載機が普及している。 無線通信には、5。8GHzの双方向通信DSRCを利用しており、暗号化 通信で料金所とやりとりを行う。個人の特定は、車載器から利用者の ID を料金 所に通知することで行っている。利用者のIDは、クレジットカード会社が発 行する接触式 IC カード(ETCカード)に記録されている。利用者は、カード を車載機に差し込んで使用し、料金は、後日、クレジットカード会社を経由し て請求される仕組みになっている。通知時には、同時に車載機固有情報として、 ナンバーの情報なども送信される。 ETCにおける個人情報の取り扱いに関しては、2000年3月に建設省(現 国土交通省)により公表された「有料道路自動料金収受システムにおける個人 情報の保護に関する指針」により規定されている。ここに、情報の収集、利用、 提供、管理などについて指針が定められている。 今後は、有料道路の通行料金を一定ではなく、渋滞が起こっているかどうか で通行料金を変更する、ロードプライシングが広がり、有料道路の渋滞が緩和 されることが期待されている[2]。さらに、有料道路以外のいくつかの施設でも、 ノンストップ、キャッシュレスで利用できるようになる。例えば、一般の月極 駐車場、工場の通門処理などの入出門管理や、時間貸し駐車場、ガソリンスタ ンド、ドライブスルーでの支払いなど決済処理が自動化される[9][10]。現状の ETCの規格は、すでに、これら民間の各サービス事業者での利用が可能な仕 組みになっている。 これら民間サービスで取得される主な個人情報としては、利用者ID、時間 及びその料金である。サービスの位置はDSRCアンテナがある位置で固定で あるため、位置情報も同様に取得されることになる。ここで、利用者IDには、 利用者個人を特定する場合と、利用している自動車までを特定する場合(利用 車ID)がある。いずれにせよ、事業者側では、利用者IDを元に、利用者の 契約内容と照らし合わせてサービスを行うことになる。そのため、個人(少な くとも車)の特定ができ、データマイニングを行うことが出来る。例えば、利 用者の生活パターン、行動範囲、金銭感覚、嗜好などがある程度推測できるで あろう。場合によっては、これが利用され、結果として、不要なダイレクトメ ールなどが増える可能性もある。このような利用方法の有無は契約書に明記さ れると考えるが、すべてのサービスについて、すべてのドライバーが注意でき るとは限らないことが問題である。 現在、ETCでは、 (財)道路システム高度化推進機構(ORSE)が、利用 者IDと、契約者とのひも付けを、契約した事業者に対して行っている。民間 利用の場合もこのようなしくみにより、契約していない利用者IDを傍受して も、個人情報と結びつけることを出来なくする必要がある。ただし、契約を解 除したあとのひも付け情報の消去について、確実に行うためのガイドラインが 必要である。特に、月極駐車場の入退場など車が特定できれば良いサービスに ついては、利用車IDから、個人を特定できないように、共通のIDを利用す るなど、しくみが必要であろう。 2.5.5 テレマティックス情報サービス 本節では、ITSの利用者サービスのうち、 「高度情報通信社会関連情報の利 用」に関連するシーンとして、テレマティックスシステムによる各種情報サー ビスである、テレマティックス情報サービスに関するシーンを取り上げる。 テレマティックス情報サービスは、90年代後半より、自動車メーカ各社か ら始まった。現在、基本的な情報については、情報提供料はほとんど取らず通 信料金のみでサービスを行っており、自動車の付加価値の一つとして広まりつ つある[4][5][6]。各社とも、サービス内容に違いがあるが、交通情報提供など のナビゲーション系、トラブルに対し、自動で、ヘルプセンターにつなげるな どのセーフティ&セキュリティ・メンテナンス系、メールや音楽のダウンロー ド、レストランや観光情報提供などのエンターテイメント・各種情報提供系の サービスを提供している。さらには、PCで経路設定した経路を自動車で利用 できるなど、PC・携帯電話などとのシームレス連携サービスまでも提供して いる。例えば、G-BOOK[4]では、ライブナビゲーション、インフォメーシ ョン、エンターテイメント、コミュニケーション、セーフティ&セキュリティ、 Eコマースといったような分類のもと、数十のサービスがある。ITSの高度 情報通信社会関連情報としては、このうち、エンターテイメント・各種情報提 供系や、シームレス連携サービスが該当する。これらサービスを提供する無線 通信は、広域通信網、すなわち携帯電話網が用いられており、利用者は全国で サービスが受けられる。 さて、このサービスで、ドライバーが提供する個人情報は2種類ある。ひと つめは、各種サービスを受けるための契約時に提供する情報である。住所、氏 名、生年月日など基本的な個人情報や、車種名やナンバーなど所有車種の情報、 費用の支払いのためのクレジットカードなどの情報を登録する。もうひとつは、 個々のサービスの利用時に提供する情報である。例えば、アドレス帳の登録や、 スケジュールの登録、関心のある地点の登録など、様々ありうる。これらいず れの個人情報に対しても、各社ともプライバシーポリシーを公開しており、基 本的に個人情報保護法で言う、適正・安全な管理や、本人の同意のない第3者 提供などを行わないことを明示している。ユーザはこれらを考慮して、契約す ることとなる。ただし、収集した個人情報をサービス実現のために利用するこ とや、ディーラーと共有することについては、了承する事を前提としている。 例えば、オペレータサービスでレストランを紹介したり、リモートでメンテナ ンスを行ったりする場合には、各種情報をドライバーや車から取得する必要が ある。なお、ユーザはこれらのサービスのうち、追加課金の必要のないサービ スについては、利便性のため、実質的に認証を行わず利用することも出来る。 一方、追加課金の必要なサービスは、パスワードにより認証することが一般的 である。 今後さらに、様々な情報がサービスされるようになり、自動車内で扱えるコ ンテンツの種類が増えていく。すると、現在のサービスの自然な延長として、 これらのコンテンツのフィルタを、エージェントが、ユーザに変わって状況を 判断し、選択・推薦を行うこと[11]が必要になるであろう。さらに、ユーザの 操作履歴や行動履歴をもとに、データマイニングし、ユーザに適応したPus h型のサービスも可能になって来るであろう。また、携帯電話通信も第3世代 から、第3。5世代、第4世代になり、大容量化していく。例えば、現在の家 の様子を家のカメラからリアルタイムで見ると行ったリアルタイム性が高く、 大容量の通信が必要になるようなサービスも可能になってくるであろう。 さらには、自動車からインターネットを自由に利用できるようにするための 活動が盛んになってきている。インターネットITS[3]では、既存の各種通信 や無線LANなどの通信インフラの上に、Ipv6 や Mobile IP をベースとした共 通基盤の確立を目指しており、さらにその標準化を図っている。これが実現さ れると、自動車から直接インターネットにつなぎ、ホームやオフィースと同様 に、様々なコンテンツやサービスを享受出来るようになる。 これらサービスを個人情報の取得について考えると、テレマティックスサー ビスプロバイダやディーラーでは、基本的な個人情報、所有車両の情報、決済 のための情報が得られる。また、個々のサービスのサービスプロバイダ、コン テンツプロバイダにおいては、レストランなどのコンテンツの選択履歴やダウ ンロードした曲の履歴などから、その人の嗜好情報など、プライバシーに関す る個人情報が得られる。テレマティックスサービスプロバイダや、テレマティ ックスサービスプロバイダと直接契約しているプロバイダ、ディーラーについ ては、個人情報保護法のもと、基本的には信頼して良いであろう。しかし将来、 インターネットに直接繋がるようになり、ドライバーが、直接、その他一般の プロバイダと契約し、個人情報を収集される場合は、注意が必要である。個人 情報保護法の適用除外の団体である可能性もある。また、管理がずさんで情報 が漏洩したり、さらには、本人の知らないうちに情報が第3者へ提供されたり する可能性まである。また、インターネットと同じように、スパイウェアなど により不正に個人情報が取得されることもあるかもしれない。リアルタイムに 位置情報が取得されることまで考えられる。さらに、接続が無線通信であるこ とを考えると、併走する自動車により、アクセスした情報が盗聴されることも 可能性としては考えられる。結果的に、不正に取得した位置情報より、Pus h型のサービスのフレームワークを利用して、任意のタイミングで、不要な割 り込み情報が表示され、ドライバーを悩ませるかも知れない。運転をしている ことを考えると、安全のために絶対に避けなければならないことである。 これらの課題に対し、車載機では、不正取得が行われないように、まず、イ ンターネットのセキュリティ技術を充分に導入する必要がある。通信において は、無線通信の物理層など下位のプロトコルにおいて特別なプロトコルにする ことで、傍受のリスクを下げることも考えられる。さらに、上位の通信レイヤ においては、多くのインターネット技術が利用できるであろう。ただし、車載 機では、ユーザのポリシーの設定などのユーザ操作は、ホームやオフィースと 異なり、画面操作に制約が多いため、より簡単に、ユーザのポリシーなどを反 映できる仕組みが必要であろう。このような仕組みは、任意の業者との個人情 報に関する契約を結ぶ場合にも、見落としや、間違いを防止することに役に立 つ。また、Push型サービスが実現される場合は、ポリシーに反するアクセ スを拒絶するような制御を実現する必要がある。これらの実現に、エージェン ト技術が利用できると考えられる。 一方、多くの情報を中継することになるテレマティックスサービスプロバイ ダは、個人情報保護を確実にするため、他のプロバイダとリバティーアライア ンスにおける匿名アクセスなどを積極的に導入すべきであろう。 2.5.6 安全運転支援サービス 本節では、ITSの利用者サービスのうち、 「危険警告」に関連するシーンと して、路車間通信、車車間通信を応用した安全運転を支援するシステムによる 安全運転支援サービスに関するシーンを取り上げる。 危険警告は、衝突や車線逸脱等による事故を未然に防ぐため、自車両及び周 辺車両等の位置や挙動、道路前方の障害物の情報を迅速に道路及び車両の各種 センサにより収集し、車両位置、車間距離、走行速度等から危険と判断した場 合に警告を与えるなど、ドライバーの運転操作の判断を支援するものである。 実現するシステムとしては、大きく3つの構成に分類でき、それぞれが連携し あいドライバーの支援を実現する。まず一つ目の構成が、車両に搭載されてい るシステムが単独で支援を行う構成である。すでに、画像による白線検知シス テムによる車線逸脱の警報システムなどが実用化されている。車両単独である ため、原理的に、個人情報の取り扱いに関して問題にならない。次に、2つ目 の構成としては、路車間、すなわち道路と車両が連携してサービスを行う構成 である。現在は、電光掲示板を利用して、落石注意、トンネルの危険な情報な どをドライバーにつたえる技術が実用化されている。すべての車両に同じサー ビスを行っているため、これについても、個人情報の取り扱いに関して問題に ならない。もう一つの構成としては、車車間、すなわち車両同士が直接連携し てサービスを行う構成である。ただし現在、研究段階である。 これらの技術は、ASV(Advanced Safety Vehicle)プロジェクト[12]、A HS(Advanced Cruise-Assist Highway Systems)研究組合[13]をはじめとし て、産学官で研究開発が進められている。路車間については、道路からビーコ ンを通じて、車両に、見通しの悪いカーブの先にある渋滞最後尾の情報を伝え ることにより、追突事故を予防することなどが検討されている[13]。また、車 車間では、見通しの悪い交差点で、相手の車両の存在を伝えることにより、出 会い頭の事故を予防することなどが検討されている[3][12]。 これら安全に対する危険警告などのサービスは、本質的に個人を特定しなく てもサービスが可能である。しかし、すべての警告をすべての可能性のある場 所、時間で出していては、ドライバーの負担が増え、かえって、注意散漫にな ることにより、事故を誘発する恐れもある[14]。そのため、その提示方法を安 全なように工夫することはもちろんのこと、ドライバーの運転歴、状態などを 考慮して、必要最小限の情報量、タイミングで情報を提供することも有効であ ろう。これを実現するためには、ある程度個人を特定する必要がある。また、 安全のサービスが、テレマティックス情報サービスと共通基盤の上に構築され る場合は、別のサービスとの関連で個人が特定できる可能性がある。このとき、 路車間であれば、管理者に、個人の行動が知らせることになる。また、車車間 であれば、見ず知らずの他人に、自分の行動情報が知られることにもなる。一 方、利用に関しては、悪意をもった個人の車両であれば、特定個人に対し、虚 偽の危険警告の情報を伝えたりすることが可能になり、安全が脅かされるかも しれない。 これら課題に対しては、第一には、安全のためのシステムは、その他のシス テムと分離し、個人情報を公開しなくても良いような範囲で適切に導入するこ とが必要であろう。また、路車間、車車間は、暗号化などにより、セキュアな 通信路を実現することはもちろんのこと、異常なアクセスをさけるようなしく みを送受信側とも備えておく必要がある。 2.5.7 まとめ 本節では、自動車環境における個人情報についてITS関連技術を中心に記 述した。特に、交通情報サービス、自動料金収受サービス、テレマティックス 情報サービス、安全運転支援サービスにおける各シーンにおいて、今後の展望 とともに、個人情報保護の観点からの懸念とその解決策について述べた。特徴 的な個人情報は、位置情報であり、その蓄積より、プライバシーに当たる情報 まで推測できてしまう。また、個人情報の取得の観点では、自動車外との関わ りが主に無線通信であることによる不正取得の考慮が必要である。また将来は、 一般の民間業者にまで取得される可能性があるため、契約において、契約者で あるドライバーの注意が必要である。また、自動車は日常的に利用するもので あるが、ドライバーのわずかな判断の誤りが人命に関わるため、安全性がもっ とも重要な要素になる。そのため、個人情報の利用に関しても、安全性を確保 できる範囲に限定することはもちろんのこと、不正利用に関する防衛策がイン フラ、車載機とも必要である。ユビキタス情報社会に向けて、これら課題を解 決する技術開発、法整備などが望まれる。 2.5.8【参考文献】 [1]国土交通省 道路局 http://www.mlit.go.jp/road/ITS/j-html/index.html [2](財)道路新産業開発機構,ITS HANDBOOK 2004-200 5. [3]インターネットITS協議会 http://www.internetits.org/ [4]G-BOOK http://g-book.com [5]カーウィングス http://www.nissan-carwings.com [6]インターナビ・プレミアムクラブ http://premium-club.jp [7] Motor Vehicle Event Data Recorders(MVEDRs), Project 1616, IEEE http://grouper.ieee.org/groups/1616/home.htm [8] 財団法人 道路交通情報通信システムセンター(VICSセンター) http://www.vics.or.jp/ [9]DSRC普及促進検討会 http://www.arib.or.jp/dsrc/ [10]香月 伸一,DSRC クレジット決済の標準化に関する研究, 自動車研究 第 25 巻 第 8 号, 2003 年 8 月. [11]岩崎弘利,水野 伸洋,原 孝介,本村 陽一, “ユーザの好みに合わせてコン テンツを推薦するカーナビへのベイジアンネットの適用,” 信学技報, NC2004-55, pp.25-30, 2004. [12] 佐藤健治,”先進安全自動車(ASV)推進計画とその活動状況について”, 自動車研究, 第 25 巻,第 8 号, (2003 年 8 月). [13] 技術研究組合 走行支援道路システム開発機構(AHS研究組合) http://www.ahsra.or.jp/ [14] 佐藤健治,”運転支援システムの実用化に向けた課題”, 自動車研究, 第 23 巻,第 11 号, 2001 年 11 月. 2.6 店舗内における情報サービス利用シーン(高橋) 本節では、コンビニエンスストアなどの店舗に設置された情報端末における サービス利用シーンについて述べ、個人情報の保護について考察する。 2.6.1 店舗におけるサービス利用シーン 2000 年前後から、一般消費者向けの店舗に情報端末や複合機(MFP: Multi Functional Periferal。コピー、プリント、ファックス、スキャン機能を持っ た機械)を設置し、様々なサービスを提供することが一般的となりつつある。例 えば、コンビニエンスストアに設置された複合機では、コピーやファックスの 機能に加えて、イベントチケット購入、コンテンツ購入、ネットワークプリン トサービスなどの様々なサービスを利用できる。以下に個人情報の扱いに注目 しながら、代表的な利用シーンを説明する。 現時点で既に利用されているサービスとして以下にあげられるものがある。 (1)コンテンツ購入 複合機ではカラーのプリント出力ができることを活かし、カレンダー、ポス ター、地図、楽譜などの簡易出版物の購入サービスが提供されている。また、 情報端末で音楽データ、ゲームソフトを購入できるサービスも実施されている。 コンテンツ購入時の決済は現金が主流であるが、今後は会員登録した上で電子 決済することが主流になっていくと予想される。この場合は、誰がいつどこで 何を購入したかが記録として残る。 (2)チケット発行 コンテンツ購入と同様に、複合機や情報端末でコンサートやイベントのチケ ットを購入することができる。電子決済の場合は、誰がいつどこで何を購入し たかが記録として残る。 (3)ネットワークプリントサービス ネットワークプリントサービスを利用すると、自宅やオフィスでインターネ ット上のサーバに登録した電子文書を、コンビニエンスストアなどに設置した 複合機経由でサーバにアクセスし、出力することができる。サービス利用者は、 自宅やオフィスの PC 上のブラウザでインターネット上のサービスにアクセスし、 プリントしたい文書をアップロードする。その際、予約番号が発行される。最 寄りの店舗の複合機でこの予約番号を入力すると、文書をプリントアウトする ことができる。ネットプリントサービスは、外出先のコンビニエンスストアの 複合機をモバイル PC のプリンタとして用いる、ビジネスマンが事前に営業活動 に必要なパンフレットをサービスに登録しておき必要なときに複合機で取り出 す、などの様々な利用方法が考えられる。また、類似のサービスとして、デジ カメで撮った画像データをインターネット上のサーバ経由で複合機に出力する サービスも考えられる。ネットワークプリントサービスの利用時には、利用者 登録を行う必要があるので、誰がいつどこでサービスを利用したかが記録とし て残る。また、サーバにアップロードする文書自体も、重要な個人情報を含ん でいる可能性がある。 店舗での情報端末や複合機の利用は徐々に広がっており、今後もサービスの 拡充が予想される。例として、以下のようなサービスが考えられる。 (4)入会登録 レンタルビデオ店などの入会申請を情報端末で行う。現在は免許証や学生証 での本人確認を自動化できず、窓口担当者による確認が必ず入るが、将来的に は画像認識技術の発展や生体認証技術の発展により解決するだろう。入会申請 では、住所、氏名、年齢、職業、電話番号、趣味や趣向、などの個人情報を登 録する。 (5)地域情報提供サービス コンビニエンスストアは地域住民だけではなく、観光目的やビジネス目的で の来訪者も頻繁に利用する。これらの来訪者向けに、店舗の周辺の観光スポッ ト、飲食店、駐車場、イベントなどの情報を、有料または無料で提供するサー ビスは非常に有望である。ユーザは訪問先で突発的に地域情報提供を受けるこ とが多いため、ユーザ登録を行わずに利用するのが自然である。この場合でも 利用者は特定されないものの、いつどこでどんな情報が取得されたかという記 録が残される。 (6)電子政府・自治体への電子申請 総務省による電子政府・電子自治体の推進を受けて、住民票の取得申請、転 入出届け、出生届け、各種手当ての申請、各種税務申告などをインターネット 経由でできるようにするサービスが、岡山県などの一部の自治体で実験的に始 められている。今後は、本格的な運用への移行とサービス提供自治体の拡大と ともに、インターネット利用環境を持っていない利用者向けに、店舗の情報端 末や複合機の利用も検討されると思われる。電子政府・電子自治体への申請に おいては、いつどこで誰がどんな申請をしたかというサービス利用の記録が残 される。 2.6.2 店舗のサービス利用における個人情報 店舗のサービス利用において対象となる個人情報は、以下の三つに分類する ことができる。 (1)登録個人情報 会員登録時に入力する、住所、氏名、年齢、職業、電話番号、趣味や趣向、 などの個人情報である。電子自治体への電子申請における申請情報なども一種 の登録個人情報といってよい。これらの情報はもっともわかりやすい個人情報 であり、開示範囲を厳密に規定し、範囲外への漏洩がないように厳密に管理す る必要がある。一般的に情報の開示範囲は、利用者本人とサービス提供者に限 られるべきである。 (2)利用者に帰属する情報 ネットワークプリントサービスにおけるプリント対象文書は、第三者への漏 洩があってはならないのはもちろんのこと、サービス提供者にもアクセスされ るべきではない。利用者本人しかアクセスできないようなアクセス制御が必要 である。仮にサービス提供者がプリント対象文書にアクセスできると、プリン ト文書の内容を解析して利用者の業務内容や趣味嗜好を推定することができ、 利用者の知らないところで勝手に他のサービスへの活用をされる恐れがある。 (3)利用者を特定できるサービス利用の記録 利用者 ID をキーに利用者を特定できるサービス利用の記録である。誰が、い つ、どこでどのサービスのどの機能または情報にアクセスしたかという情報を 含む。サービスの利用記録は、サービスにまたがってユーザを名寄せできる場 合と、名寄せできない場合が考えられる。特にサービスにまたがって名寄せで きる場合は、記録を収集することによって個人の特徴抽出が可能である。それ により、個人の嗜好に合わせた情報提供をするなどの新たなサービス価値を提 供できる反面、利用者の意図しないところで個人の特徴情報を利用されてしま うという、社会的な問題に発展する恐れがある。サービスにまたがった名寄せ ができない場合でも、特定のサービスに閉じた利用記録を同様に利用すること が可能であり、本質的に同じ問題を有している。 (4)利用者を特定できないサービス利用の記録 誰が利用したかは特定できないサービス利用の記録である。いつ、どこでど のサービスのどの機能または情報にアクセスしたかという情報を含む。個人が 特定できないため、厳密な意味での個人情報とはいえないが、記録を収集し分 析することにより、地域ごとの利用者の特徴分析を行うことは可能である。将 来的には、利用者の年令、性別、身体的特徴などを自動判別する機能が情報端 末矢複合機に組み込まれることも考えられ、その場合はより詳細に分類した分 析が可能になる。利用者を識別できるサービス利用記録ほどの脅威ではないが、 利用者の意図しないサービス利用記録の利用は避けられなければいけない。 2.6.3 プライバシ管理に関する考察 個人情報に関して、前項で述べた情報の種別ごとに利用可能な範囲を表 2.6-1 にまとめた。 情報種別 登録個人情報 表 2.6-1 情報の種別後との利用可能範囲 サービス 他サービス提供者 提供者 (情報の二次利用) 利用可能 利用可能 利 用 者 に 帰 属 す る 利用可能 情報 利 用 者 を 特 定 で き 利用可能 第三者 利用不 可 利用不可 利用不 可 原則利用不可。ただし、利用者の 利 用 不 るサービス利用記 録 利 用 者 を 特 定 で き 利用可能 ないサービス利用 記録 許可がある場合は可能。 可 原則利用不可。ただし、利用者の 利 用 不 許可がある場合は可能。 可 表 2.6-2 に、個人情報に関して各利用シーン別にサービス主体と個人情報の 具体例をまとめた。 シーン 表 2.6-2 各サービスシーンの分析 個人情報の例 サービス主体 明示的に入力 無意識に提供 コ ン テ ン ツ 購 オンラインショ ユーザ登録情 入 ッピング業者 報 チケット発行 オンラインショ ユーザ登録情 ッピング業者 報 ネ ッ ト ワ ー ク オンラインサー ユーザ登録情 プリント文書 報 プ リ ン ト サ ー ビス事業者 ビス 入会登録 各店舗 ユーザ登録情 報 地 域 情 報 登 録 自治体、行政法 サービス 人、 ボランティア団 体 ユーザ登録情 申請情報 電子政府・自治 政府・自治体 報 体への電子申 請 サービス で生成 趣味・嗜 好 趣味・嗜 好 業 務 内 容 、 趣 味・嗜好 地域とし ての嗜好 3. 個人情報漏洩のメカニズムと対策 3.1 個人情報とは(豊内) ITCを通じてサービスを受ける際の個人情報漏洩やその対策を議論する場 合には、先ず個人情報にどのような種類があり、それがどのようなタイミング で生成され、また誰がその情報を受け取るのかを整理する必要がある。これら を明確にせず混在させたまま議論を進めることは、不要な重複や誤解を招く可 能性が高い。ここでは、個人情報を大きく3つのタイプに分け、それぞれのタ イプの中にどのような情報の項目が含まれるかを整理する。これらは、2 章にお けるユビキタス情報社会の各サービス利用シーンの中でも区別して言及されて いる。なお、同じ情報が異なる手段で取得される場合があるので、複数のタイ プに分類される情報も存在する。 (1)明示的に提供する個人情報 サービスを受けるために、事前にユーザが自主的に入力する情報。一般的に は静的な情報(氏名、住所、 (携帯)電話番号、生年月日、性別、クレジットカ ード番号、メールアドレス、勤務先、年収、緊急連絡先、家族構成、運転免許 証番号、所有車種/車両ナンバー、引落し銀行口座、パスポート番号、指定 ID /パスワードなど)であることが多い。 (2)意識しないで提供させられる/取られる個人情報 サービスを受ける際に、ユーザが能動的に提供している情報ではあるが、無 意識だったり、契約の条文には書いてあっても煩雑なのでユーザは読み飛ばし たりすることが多い個人情報。具体的には、静的な個人情報の一部のほか、サ ービスの利用日時、特定の場所の通過日時、ユーザの現在位置、所有物(購入 の結果所有することになった物品)、各種契約条件(内容)、移動スケジュール など (3)サービスを利用した結果として生成される個人情報 サービスの利用に伴う状況の変化や利用履歴から推定される嗜好情報など。 具体的には、生活パターン、購買パターン、行動パターン、家族構成、在宅状 況、健康状態、預金残高、移動履歴、移動の際の目的地、旅行スケジュールな ど。 またこれらの情報は、個人を完全に特定できるレベルのものと大まかに特定 可能なレベルのもの(世帯や部署、ユーザ・グループなどの単位)とにも分類 できる。 3.2 インターネットにおける個人情報管理技術 3.2.1 リバティ・アライアンスの認証連携と個人情報流通技術(五味) 3.2.1.1. はじめに ビジネスにおいて,サービスを提供する企業は,顧客情報を厳重に管理し, それらの情報を顧客にとって不利益となる目的向けには如何なる利用も禁止さ れなければならない。その一方で,サービスの提供企業は,顧客が嗜好する商 品やサービスを提供するためのマーケティング活動を目的に顧客情報を利用す ることがある。その際,それらの情報が顧客の同意を得ぬまま利用されて,顧 客の気づかないうちに広く知れ渡るという問題が発生することが多い。個人情 報漏洩に伴うプライバシーの侵害は,社会的に深刻な問題である。 本稿では,ビジネスシーンにおける個人情報漏洩の危険として,サービスを 越えた名寄せの問題を取り上げ,名寄せに伴う個人情報漏洩の問題とその結果 として生じるプライバシー侵害の問題に関して述べる。また,それらの問題が ネットワーク上(特にインターネット)で発生する場合への対抗策の一つとして, Liberty Alliance Project の策定している認証連携と個人情報流通技術を説明 する。 3.2.1.2 サービスをまたがる名寄せの危険 名寄せとは,主として金融業界で使われている用語で,個人が一人で複数の 口座を開設している場合に,それら複数口座に預ける複数の商品の預金総額を 算出して預金の保護範囲が限定するために,主体者を特定する作業のことを言 う。預金保険機構が名寄せを行なう場合には,それを実行するために金融機関 は預金者に関するデータを整備しておくことが義務付けられている。当然なが ら,預金保険機構は,各預金者の各金融機関への預金額等の情報を入手可能と なるが,この場合は,預金保険機構を信頼できる機関とする前提であるため, 問題視されることは少ないであろう。ただし,このように一般的に信頼される べき機関における情報管理には特別の対策を講じなければ甚大な被害が発生す る可能性があることを留意しなければならない。 一方,名寄せは,金融機関に限らず多くの企業で,分散する複数の顧客情報 (場合によってはデータ形式が異なる)から,同一の顧客情報をまとめたり,そ れを通じて顧客を特定する作業としても知られており,実際に,上記のような 手法を使って個人情報が漏洩する問題が出ている。例えば,商店で発行する会 員証は,特定の商店で商品を購買するごとにポイントや何らかの特典を提供す ることにより,消費者の購買へのインセンティブを高めることを意図している。 消費者は,その会員になるために,個人情報の提供を求められることが多い。 この場合,消費者は,会員証が利用可能な商店で,商品を購入するたびに,そ の購買履歴が保存され,その嗜好や傾向等が分析されることになる。上記商店 の企業が,他の企業と提携して,会員証の利用範囲が広くなった場合には,消 費者の購買履歴と共に,基本的な個人情報も共有される懸念もある。その結果, 消費者は,本人の知らないところからのダイレクトメールを多数受け取ったり するなどのプライバシー侵害を受けることが多い。 (1) インターネット上での名寄せの危険性 上記の名寄せや会員証を使った購買履歴の管理に伴う個人情報漏洩の危険は, インターネット上では,さらに顕著になっている。例えば,インターネット上 の 購買サイトでは,同じ消費者がアクセスしたか否かの管理を,Cookie を利用す る場合が多い。つまり,消費者から一度アクセスを受けた購買サイトのサーバ は,消費者のブラウザに対して Cookie を発行し,消費者が再度アクセスする際 には先の Cookie の値を送付するので,一度アクセスした消費者であることが 確認できる仕組みとなっている。Cookie は,発行した購買サイトのドメインし か読み書きができない仕組みになっているが,アプリケーションの脆弱性によ って,Cookie 情報が第三者に対して知れ渡ると,異なるサービス間において, 購買履歴と個人が紐付けされることになる。その結果,いろいろな Web サイト にアクセスするたびに,特定のバナー広告が頻繁に表示されるというようなプ ライバシーの侵害になりうる。 (2) 固定的識別子の利用に伴う危険 上では,インターネット上での Cookie に伴う名寄せの危険を述べたが,固 定的識別子を利用して消費者のセッション管理を行なう場合に起こりうる危険 性もある[5]。ここで固定的識別子とは,個人を特定することが可能なグローバ ルな識別子のことを指す。例えば,コンピュータにおける MAC アドレスや携帯 電話における機器固有の識別子である。このような固定的識別子をセッション 管理に利用すれば,消費者が特定の機器を用いてアクセスするサービスに常に 同じ識別子が送付されることになる。そうすると,サービスに対して登録され ている個人情報と関連付けされて,個人の購買履歴や嗜好などの情報が分析さ れうる。もし,サービスを提供する企業同士が結託などして,入手した個人情 報を共有することになると,被害は甚大である。 例えば,無差別の迷惑メールによって個人情報が漏洩する危険を説明する。 個人が受け取る迷惑メールには,その本文中には,あるサイトにアクセスを促 す URL が記述されていることが多い。近年,増加しつつある「フィッシング詐 欺」の手口では,例えばある銀行から個人の口座情報に関して何らかの更新を 促すなどして,そっくりの偽者のサイトに誘導し,その際に ID とパスワードを 搾取する。 この場合は,個人が ID とパスワードを入力してしまうことで情報 が漏洩するが,実は何も入力しなくても個人情報が漏洩しうる。上記 URL と送 信先のメールアドレスと対応付けがされていて,しかも,固定的識別子がサイ トに送信されていれば,上記 URL にアクセスするだけで,さらに固定的識別子 とメールアドレ スの対応関係も知られてしまう。これによって,消費者は,さ らに多くの迷惑メールを受け取ることになる。 3.2.1.3 Liberty Alliance の認証連携と個人情報流通技術 本章では,上で述べた問題に対処するための方法の一つとして,Liberty Alliance Project (以下,Liberty)1の取り組みとその技術を紹介する。Liberty は,150 以上の企業,非営利団体,政府組織から構成されるビジネスアライアン スである。Liberty では,ネットワーク上で流通する個人の属性情報の集合の ことを特に, 「ネットワークアイデンティティ」と呼び,ネットワークアイデン ティティ情報の連携技術や Web サービスを基礎とした安全な個人属 性情報の交 換のための技術を策定し仕様化している。以下の節では,Liberty の規定する モデルや仕組みに関して述べる。 (1) 分散連携型モデル 一般的に,ネットワーク上で個人のアイデンティティ情報を管理する方法は, 大きく集中型と分散型の 2 つに分類できる(図 3.2-1)。 図 3.2-1 の集中型では,あるアイデンティティ管理サーバがあらゆる個人情 報を一元的に集中管理している。このモデルは,どこからでも同一の個人情報 を入手可能となり便利な側面はあるが,上で述べた通り,固定的な識別子によ る個人情報の漏洩の危険性がある。 これに対して,Liberty では,個人のアイデンティティ情報が異なるプロバ イダで独立に管理され,これらが互いに安全に連携するという分散連携型のモ デルを採用している。今後のユビキタス情報社会において,あらゆる機器や環 境を問わず,個人情報の安全な管理と流通を実現するためには,このモデルの 十分な検討が必要である。 1 http://www.projectliberty.org/ 銀行 個人情報管理プロバイダ インターネット プロバイダ 保険会社 個人 IC カード 個人 (a) 集中型管理モデル 図3.2-1 携帯電話 (b) 分散型管理モデル Libertyでのアイデンティティの分散型管理モデル Liberty で は , ア イ デ ン テ ィ テ ィ 情 報 を 提 供 す る プ ロ バ イ ダ (Identity Provider: IdP) とサービスを提供者するプロバイダ(Service Provider: SP) と が,互いに連携する。この場合,以下のような事柄が前提であり,プロバイダ が個人の許諾に反して個人情報を不当に扱わないようにするための法的拘束力 を持つ2。 ・ 両プロバイダは,それぞれ,相手プロバイダと連携することに関して,個 人ユーザから許諾を得る。 ・ 両プロバイダは,ビジネス契約に基づく信頼関係を持つ。 (2) 仮名 先の節において述べた分散連携型モデルを基礎として,Liberty では,IdP と SP 間において,個人ユーザの情報を安全に交換する仕組みを仕様化している。 ここで,互いのプロバイダがある個人を参照する場合,特定の IdP と SP の間で のみで有効な仮名を利用して連携する。これにより,先の章で述べた固定的な 識別子に伴う危険性を軽減する。 図 3.2-2 は,IdP と SP 間で,個人ユーザが仮名を利用して連携する場合の仕 組みを示している。 2 Libertyでは,個人情報の安全な管理は技術的な対処法だけでは不十分で,上記契約など人 の介在する方法と共に取り入れることが必要としている。 IdP SP IdP アカウント SP アカウント gomi@idp.com hide@sp.com 連携 連携アカウント エイリアス: sYoHi ドメイン: SP.com 名前識別子:pLsTy 連携アカウント エイリアス:pLsTy ドメイン: IdP.com 名前識別子: sYoHi 図 3.2-2 Libertyの仮名を使ったアイデンティティ連携 図 3.2-2 では,典型的な連携方式として,ある個人が IdP と SP に,それぞ れ,gomi と hide という識別子で認識されるアカウント (個人の属性集合を具 現化したもの)を既に開設していて,先の個人は両アカウントを連携することを 許諾したという前提があるとしている。 ここで,IdP と SP は,両アカウントを連携する際に,IdP は SP に対して は,自らのアカウント gomi に対して sYoHi という名前の連携アカウントを作 成し,SP に対しては,pLsTy という名前識別子を与える。逆に,SP は, 自ら のアカウント hide に対して pLsTy という連携アカウントを作成し,IdP に 対しては,sYoHi という名前識別子を与える。すなわち,両プロバイダ間だけ で有効な識別子を利用し,固定的な識別子の必要性を排除すると同時に,実際 に利用しているアカウント名の流出を防止している。 (3) シングルサインオン ここでは,(1)と(2)のモデルを元に,プロバイダ間におけるシングルサイン オンを実現する方法を説明する。シングルサインオンとは,あるプロバイダが, 他のプロバイダから入手した個人の認証情報を元にして,サインインを許可す る仕組みを意味する。両プロバイダは互いに信頼関係にあるという前提がある が,その場合においても,個人情報が漏洩しないような方法を導入している。 Liberty では,OASIS (Organization for the Advancement of Structured Information Standards) SSTC (Security Services Technical Committee) で 策 定 さ れ た セ キ ュ リ テ ィ 情 報 の 交 換 言 語 SAML (Security Assertion Markup Language)[3,4]を拡張して,認証連携とシングルサインオンのため の技術仕様群 ID-FF (Identity Federation Framework) [1,2,6]を策定し た。 図 3.2-3 では,ID-FF のシングルサインオンのプロトコルに従ったプロ バイダ間のメッセージの交換の流れを示している。前提として,ユーザは IdP に既に何らかの手段で認証されており,IdP と SP 間のアカウントの連 携を許諾しているものとしている。また,ユーザが一般的な Web ブラウザ を利用している。 (3) IdP(アイデンティティプロバイダ) 認証アサーションとアーティファクトの の作成 (2) 認証の要求 アーティファク アーティファク (6) 認証アサーションを送付 認証 (4) アーティファクトを返送 (4) アーティファクトを返送 リダイレクト (5) 認証アサーション アーティファク 要求 (2) 認証情報の要求 (1) SP のサービスにアクセス要求 (7) サービスの提供 個人ユーザ SP (サービスプロバイダ) 図 3.2-3 Liberty ID-FF におけるシングルサインオンの流れ 1. ユーザはSPのサイトのサービスを受けるためアクセスする。 2. SPは,先のユーザがIdPにおいて認証されているか否か確認するために, IdPに認証要求を行う。この際,ユーザのブラウザのリダイレクト機能 を利用し,SPからの認証要求メッセージはIdPに転送される。 3. IdP は,ユーザが既に認証されていれば,認証アサーションとアーテ ィファクトを作成する。ここで認証アサーションとは,ユーザを既に 認証したという事実情報を記載するXML データである。このデータの 4. 5. 6. 7. 中には,ユーザの情報として,名前識別子が利用されるので,ユーザ の個人本人を識別可能とする情報は転載されていない。アーティファ クトとは,上記認証アサーションに対応づけられている参照ポインタ であり,認証アサーションを入手するためのチケットのような役割を する。 IdP は上記アーティファクトを,ユーザのブラウザのリダイレクト機 能を利用し,SP に返送する。 SP は,受け取ったアーティファクトを添付して,IdP に対して認証ア サーションの要求メッセージを送信する。 IdP は,SP の送付するアーティファクトを元に,個人の認証アサーシ ョンをSPに返信する。 SP は,受け取った認証アサーションを確認し,問題なければ,1.で個 人から要求のあったサービスの提供を開始する。この際,SP は,受け 取った認証アサーションの名前識別子を元に,SP におけるどの個人で あるかを特定し,自らのポリシーに基づいて,アクセス制御を行う。 上記のメッセージの通信は,全て SSL などを利用することにより通信 経路上での盗み見を防止している。また,認証アサーションには IdP の公 開鍵を元にした署名が添付されており,SP は認証アサーションの署名検証 を行い,間違いなく IdP が作成したものであり,途中で改竄されていない ことを確認する。さらに,名前識別子は,IdP や SP がそれぞれ,そのポ リシーに応じて変更可能にすることを仕様として規定しており,万が一, 名前識別子が漏洩した場合においても,被害を最小限にする機構が備わっ ている。 (4) 個人情報流通 本章では,Liberty の Web サービスを利用した個人情報流通技術を説明 する。Liberty では,個人の属性情報を安全に交換する仕組みを ID-WSF (Identity Web Service Framework) と呼ぶ仕様群で体系化しており,3 節 で述べたシングルサインオンと認証連携の技術を基盤として利用できる。 ID-WSF では,個人の属性情報を Web サービスで公開し,ネットワークを 通じてアクセス可能とする。不特定多数のプロバイダから参照されうるの ではなく,個人が許諾したプロバイダに対してのみ公開可能とするように 規定している。この場合,SAML のモデルで表されている通り,個人の個々 の属性情報は,それぞれが独立に分散して管理されており,例えば,特定 のプロバイダに対して,住所情報は公開するが,クレジットカード番号は 非公開というように,きめ細かな制御が可能とすることを想定している。 以下,図 3.2-4 において,プロバイダ間で個人情報を交換する際の典型 的な流れを説明する。前提として,個人ユーザは,上の仕組みを利用し, 個人情報要求者(サービスプロバイダ)にシングルサインオンしているとす る。 1. 個人ユーザは,個人情報要求者の提供するサービス要求を行う。 2. 個人情報要求者は,上記サービスを提供する際に,個人の属性情報 が必要であることを認識し,IdP に対してその情報を取得するための 情報を問い合わせる。この際,個人ユーザを既に認証していることを 示す認証情報を添付する。 3. IdP は,個人の認証情報と上記サービス情報の公開ポリシーを確認 した上で,個人情報要求者に対して上記サービス情報とそれにアクセ スするためのクレデンシャル(鍵)情報を提供する。これによって,不 特定多数の要求者に対して,個人情報サービスの位置などの基本情報 自体を公開せず,DoS (Denial of Service) 攻撃を防止している。 4. 個人情報要求者は,IdPから受け取った情報を元に,個人情報を管理 する個人情報提供者にアクセスする。その際,IdPの送付した鍵情報を 添付する。 5. 個人情報提供者は,自らのアクセス制御ポリシーに基づき,要求さ れた情報を個人情報要求者に返信する。 6.個人情報要求者は,受け取った情報を元に,最終的に,個人ユーザに 対するサービスを遂行する。 制御・管理 IdP(アイデンティティプロバイダ) 認証情報と公開対 象を元にクレデンシ 個人情報 Web サービスと公開対象を 個人情報 個人情報提供者 ャルを発行 (2) 個人情報 Web サービス (3) 個人情報 Web サービ 個人情報 Web サービ 情報要求 ス情 報 とアクセス用 クレデ スを特 定の相 手にのみ ンシャルを返信 公開 認証情報 (4) 個人情報要求 (1) サービス要求 (5) 個人情報 (6) サービス提供 ユーザによる情 報 個人ユーザ 情報開示 個人情報要求者 ユーザによる情報公開 許諾設定 制御・管理 公開と許諾設定 アクセス制御 個人情報 氏名 住所 銀行口座番号 クレジットカード番号 Etc. 各個人属性に対して、それぞれ 制御ポリシーを対応付け 図 3.2-4 Liberty ID-WSF による個人情報交換の仕組み 上記では,個人ユーザは個人情報提供者が要求者に,情報提供をするこ とを事前に許諾していると仮定したが,ID-WSF には,情報提供者がサービ ス要求を受けた時点で,個人に対して許諾確認を求めるための仕様もある。 3.2.1.4 おわりに 本稿では,ビジネス社会における個人情報漏洩の危険性として,サービ ス間を跨る名寄せ,固定的識別子の利用の問題を指摘した。また,それら が特にネットワーク上での起こる危険性に対処するため取り組みの一つと して,Liberty Alliance の分散型連携モデルやその技術に関して述べた。 上記の内容は,個人漏洩の危険性における問題の一部に過ぎないが,今 後のユビキタス情報社会においては,ますます,ネットワークを通じて個 人情報を安全に流通する仕組みが必要となり,Liberty Alliance のような 技術は,個人情報漏洩を防止し,プライバシーの侵害を守るための標準的 な基盤となる可能性が高い。さらに,技術だけではなく,2005 年 4 月の個 人情報保護法施行に伴い,ビジネス契約などの法的側面からの備えも必要 である。 3.2.1.5 【参考文献】 [1] S. Cantor and J. Kemp, editors. ”Liberty ID-FF Protocols and Schema Specification” , Version 1.2. Liberty Alliance Project, Nov. 2003. http://www.projectliberty.org/specs. [2] S. Cantor and J. Kemp, editors. ”Liberty ID-FF Bindings and Profiles Specification” , Version 1.2. Liberty Alliance Project, Nov. 2003. http://www.projectliberty.org/specs. [3] E. Maler, P. Mishra, and R. Philpott, editors. ”Assertions and Protocol for the OASIS Security Assertion Markup Language (SAML)” , OASIS Standard, Version 1.1. Organization for the Advancement of Structured Information Standards, Sep. 2003. [4] E. Maler, P. Mishra, and R. Philpott, editors. ”Bindings and Profiles for the OASIS Security Assertion Markup Language (SAML)” , OASIS Standard, Version 1.1. Organization for the Advancement of Structured Information Standards, Sep. 2003. [5] 高 木 浩 光 . ” ユ ビ キ タ ス 社 会 に 潜 む プ ラ イ バ シ ー の 落 と し 穴 ”. Computer & Network LAN, pp. 9–16, May 2004. [6] T. Wason, editor. ”Liberty ID-FF Architecture Overview” , Version 1.2. Liberty Alliance Project, Nov. 2003. http://www.projectliberty.org/specs. 3.2.2 Web における個人情報管理規格 P3P(豊内) 3.2.2.1 背景 インターネットの急速な普及に伴い、ネットワーク上に存在するサー ビ スや 情 報 の 数 や種 類 は日 々 増 加 し つつ あ る。 ユ ー ザ は イン タ ーネ ッ ト・ブラウザーという GUI から、Yahoo!に代表されるディレクトリサー ビスや Google、Infoseek といった全文検索エンジンなどの WWW 情報検索 サービスで希望する Web サイトを検索し、これらのサービスや情報を簡 便に利用できる。しかし、個々のユーザのニーズに応じた検索結果のカ スタマイズを行なうには、現在の情報検索サービスの機能では不充分で ある。一方、サービスや情報の提供者(以下、サービス・プロバイダ) にとっても、自分の提供するサービスや情報を誰からでもアクセス可能 とするのではなく、特定の条件を満たすユーザにだけ開示したい場合で も、現状の WWW 情報検索サービスでは実現できない。更に、ユーザのニ ーズにあったサービスの選択やサービス・プロバイダ側での細かいアク セス制御を行うためには、その引き換えとしてユーザの嗜好や履歴など の個人情報が必然的にネットワーク上を流れることになり、漏洩の危険 性が増す。また、ユーザが望んでいないにもかかわらず不特定多数のサ ービス・プロバイダにも、個人情報が際限無く伝播される可能性が高く なる。このような状況下では、ユーザとサービス・プロバイダの双方に とって、安全・安心に個人情報の交換を行うことへのニーズは高い。 3.2.2.2 P3P の概要 インターネット上できめ細かい個人情報管理を行い、その際のユーザ の判断の手間を削減する技術として、W3C が勧告仕様を定めた技術標準 である P3P (Platform for Privacy Preferences Project:プライバシ ー情報取扱いに対する個人の選好を支持する技術基盤)がある。P3P では、 Web サイトがユーザの個人情報をどのように扱うかを明示するプライバ シーポリシーの項目をマシンリーダブルな形式(XML 形式)を用いて記 述することによって、ポリシーを自動処理する。一方ユーザ側では、Web サイトに提供可能な個人情報、個人情報を提供する場合の条件(利用目 的など)と開示範囲などをユーザのプリファレンスとして、事前にブラ ウザ内の P3P エージェントに登録しておく。この P3P エージェントが Web サイトから取得したポリシーとプリファレンスとを照合して、個人情報 を提供するか否かの判断を半自動で行う。 図 3.2-5 に、P3P エージェントをインターネット・ブラウザに組み込ん だ場合の、個人情報の交換手順を示す。ユーザがブラウザを用いて Web サイト(サービス・プロバイダ)にアクセスすると、先ず Web サイト側 の P3P システムは、P3P ポリシーをブラウザの P3P エージェントに転送す る。P3P エージェントは、P3P ポリシーと自らが保持するプレファレンス をつき合わせて、互いに合意が取れるのならば(自律ネゴシエーション)、 個人情報(の一部)を Web サイトに提供し、Web サイトはその結果として コンテンツを提供する(合意した範囲で提供)。その際に、Web サイトが 個人情報の内容に応じて、コンテンツの内容や提供範囲をカスタマイズ することも可能となる。P3P エージェントは、一部のインターネット・ブ ラウザーには既に搭載されている。 ①アクセス ブラウザ ブラウザ (ユーザ) (ユーザ) P3P エージェント プリファ レンス 図 3.2-5 個人 情報 ②説明と合意 (自動ネゴシエーション) ③個人情報 (合意した範囲で提供) Webサイト Webサイト (サービス・ (サービス・ P3Pシステム プロバイダ) プロバイダ) P3P ポリシー P3Pによるプライバシー情報管理方式 3.2.2.3 サービス仲介システムへの P3P の適用 このように、個人情報の開示範囲のコントロールと、サービス・プロ バイダによるサービスのカスタマイズを実現できる P3P 技術ではあるが、 ユーザに適したサービスを検索するために、インターネット・ブラウザ ーに搭載された P3P エージェントが、膨大な数のサービス・プロバイダ と逐次ネゴシエーションの処理を行うことは現実的ではない。そこで、 より効率的な個人情報の交換とサービスのカスタマイズのために、ネッ トワーク上の情報やサービスを仲介するシステム(サービス仲介システ ム)へのニーズが高まっている。仲介サービスシステムには、例えばユ ーザ要求とオンライン・ショップの商品の詳細情報との間のマッチング によって商品情報をきめ細かく提供することに主眼を置くものから、個 別に開発・提供されているネット上のサービスをフロー制御によって複 雑に連携させるサービス統合システムまで、様々な種別が存在する。い ずれのシステムも、現在の WWW 情報検索サービスよりも高度なサービス 特徴情報(メタデータ)の記述方式や、ユーザの個人情報や履歴などの 管理機能を前提技術とし、集約した情報を活用して、ユーザやサービス・ プロバイダに対して付加価値の高いサービスの提供を可能としている。 ここでは、この仲介サービスに P3P 機能を適用することで、ユーザの個 人情報を仲介しつつ、伝達される範囲を制御する方式について述べる。 サービス仲介システムにおける P3P 技術の適用を検討するために、先 ず3つのプレイヤから成る基本的なシステム構成を規定する。図 3.2-6 はメディエータすなわち仲介サービスのプロバイダを軸に、ユーザが適 したサービス・プロバイダのサービスを選択し、必要に応じて統合して 利用可能とするためのシステムの基本構成である。このシステムでは、 メディエータの基本機能はサービス・プロバイダ(以下プロバイダ)が 提供するサービスの情報(サービスの特徴やアクセス方法、提供条件な ど)をサービスディレクトリに集約するとともに、ユーザからの要求に 応じて、ニーズにマッチしたサービスの情報を検索し、提供することで ある。 サービス情報 収集・登録 サービス情報 検索要求 メディエータ ユーザ ユーザ (マッチングサービス・プロバイダ) 検索 エンジン 機能 ユーザ ユーザ サービス・ サービス・ プロバイダ プロバイダ サービス・ サービス・ プロバイダ プロバイダ サービス ディレクトリ サービス・ サービス・ プロバイダ プロバイダ ユーザ ユーザ 図 3.2-6 サービス仲介システムの基本構成 ②サービス要求 ①サービス選択 サービス・ サービス・ プロバイダ プロバイダ メディエータ アプリケーション ユーザ ユーザ 個人 情報 図 3.2-7 個人情報 DB サービス・ サービス・ プロバイダ プロバイダ 個人 情報 サービス・ サービス・ プロバイダ プロバイダ サービス要求時の個人情報の流れ また、ユーザがメディエータの検索サービスを利用するたびに毎回個 人情報をメディエータに転送するのは煩雑であるので、メディエータ内 部にユーザ個人情報を管理するDBを持つことは処理効率上も有効であ ると考えられる(図 3.2-7)。検索処理に続き、ユーザがメディエータか ら提供されたサービス情報のリストに基づいてサービスの選択を行うと、 メディエータを介してプロバイダにサービス要求が伝達される。ここで、 プロバイダがユーザに応じてサービス提供の可否を判定したり、サービ スをカスタマイズしたり、あるいは商品を郵送したりするためにはメデ ィエータは保持しているユーザの個人情報またはその一部をプロバイダ に提供する必要がある。 P3P 仕様は、ユーザの個人情報の管理方針を P3P エージェントに登録 し代行させることによって、自動的に情報開示の可否を判断する優れた 仕組を持っているので、これを3層の仲介サービスシステムモデルに拡 張したモデルを提案する。図 3.2-8 に、P3P の機構を組み込んだサービ ス仲介システムにおける個人情報と、個々のプロバイダの P3P ポリシー およびユーザのプリファレンスの流れを示す。図にあるように、ユーザ は個人情報をメディエータが管理している個人情報DBに登録する。同 時に P3P ポリシーに対するユーザの方針を記載したプリファレンスもメ ディエータに登録しておく。このプリファレンスは、個人情報DBに保 存しておいてもよい。また、本エージェント・システムに参加するプロ バイダは個人情報の取り扱い方針を定めた P3P ポリシーをメディエータ に渡しておく。あるいはメディエータがプロバイダにアクセスする際に、 毎回取得してもよい。なお、図のモデルでは個人情報DBはメディエー タの外部に置かれているが、メディエータに対する信頼度に応じてメデ ィエータの内部に置かれるモデルもあり得る。 メディエータ ユーザA ユーザA プリファ レンス 個人 情報 ユーザAの エージェント 個人 情報 P3P ポリシー サービス・ サービス・ プロバイダ1 プロバイダ1 個人 情報 P3P ポリシー 個人 情報 サービス・ サービス・ プロバイダ2 プロバイダ2 個人情報 DB 図 3.2-8 P3P のサービス仲介システムへの拡張 ユーザからのサービスの要求によって、メディエータは個人情報とプ リファレンスを用いて、ユーザの P3P エージェントとして動作する。こ こで、ユーザの個人情報を提供すると判断した場合は、個人情報の全て あるいは一部の項目をプロバイダに送信する。また、個人情報を暗号化 する必要がある場合にも、効率向上のためにメディエータが P3P エージ ェントの役割を果たすのが望ましい。このモデルで注意すべきは、P3P エージェントがユーザのブラウザの中ではなくメディエータ側にあるこ とである。P3P エージェントがユーザ側ではなくリモートのメディエータ にあるのは、権限委譲が行われていることを意味する。しかし、P3P エー ジェントの制御をユーザから操作できることと、エージェントの判断結 果をユーザに送信して最終的な判断の機会をユーザに与えることも可能 であるので、この問題はリモートかローカルかという単なるロケーショ ンの違いに帰結できる。 ここでは、インターネットにおける個人情報管理方式である P3P を紹 介するとともに、今後ますます重要度が高まっていくであろうサービス 仲介システムへの適用方式の一例を提案した。本方式は、P3P 仕様を3層 仲介システムモデルに拡張し、情報の転送を自動的に行うことで、安全 かつきめ細かい個人情報の開示を少ない労力で実現できることを示した。 また、標準の P3P を拡張して利用しているため、ユーザ、プロバイダと もに導入コストも低く実現できる。 3.2.2.4 【参考文献】 [1] P3P Public Overview http://www.w3.org/P3P/ [2] The Platform for Privacy Preferences 1.0 (P3P1.0) Specification W3C Recommendation, April 2002 http://www.w3.org/TR/2002/REC-P3P-20020416/ [3] Privacy Information Management System Page http://www.nmda.or.jp/enc/privacy/ 3.3 個人情報漏洩のパターン分類(豊内) ここでは、個人情報が漏洩する場合のケースと問題を技術と運用の双方 から整理する。 3.3.1 外部からの侵入による漏洩 外部から個人情報の不正な取得を目的に、システムやオフィスに侵入す るケースである。 (1)ICT 的進入 電子的な手段でコンピュータやシステムに侵入し、個人情報を外部へ持 ち出す。具体的な手段としては、以下の2つが代表的である。 ・ハッキング:外部コンピュータからネットワーク経由で内部のコンピュ ータに不正にアクセスし、情報を取得・改ざんする。 ・コンピュータウィルス:パソコンやサーバに感染し、コンピュータ内部 に保存された情報やキー入力を、外部に送信する。Web ページ閲覧やソ フトウェアの導入と同時にインストールされるスパイウェアなどとと もに、マルウェアと総称される。 (2) 人的進入 外部からオフィスやコンピュータルームに侵入し、コンピュータ内の情 報や記録メディア、およびドキュメントなどを持ち出す。PCが窃盗に遭 い、結果的に PC 内蔵の HDD の情報が漏洩するケースもある。 3.3.2 内部者による漏洩 現実に起こる情報流出事故の3分の2以上は、内部者によるものと言わ れている。 ・漏洩する理由:意図的(金銭や悪意によるもの)/無意識/過失 ・漏洩のルート: ・オンライン:電子メール/インスタント・メッセンジャー、ファイル 転送、掲示板や blog への書き込みなど ・オフライン:記憶メディア(CD/DVD/フラッシュなど)や紙メディア(プ リンタ出力)の持ち出しや紛失、PC の盗難や置忘れなどによる HDD からの情報流出など 3.4 個人情報保護対策(豊内) 3.4.1 現状分析 現状でも情報漏洩に対する様々な対策が取られており、それらは、一般 的にセキュリティ技術と総称される技術的対策と運用的対策とに分類でき る。以下では、企業や官庁などの組織において講じられている対策の事例 を示す。 (1)技術的対策 ・コンピュータ(特にモバイル機器)や USB 型フラッシュメモリ製品への 情報漏洩対策:パスワードの設定(ハードディスク、スクリーンセーバ ーなど)、ノート PC 用盗難防止チェーン ・ウィルス対策:ワクチンソフトとウィルス定義ファイルの自動配付サー ビス) ・スパイウェア対策:スパイウェア駆除ツール ・コンピュータ及び外部メディア廃棄時の保存データ消去ソフト ・Windows セキュリティパッチ配付サービス ・スパムメール・フィルタリングサービス ・Web コンテンツフィルタリング ・アクセスログ、電子メールログ (2)運用的対策 ・セキュリティ対策規則や組織の整備(各種機器、ソフトウェア、情報媒 体、書類などの取り扱い規則、設計規則など) ・IT施策導入・運用ガイドライン ・緊急対策ガイドライン(情報漏洩事故が起こった場合の報告ルート、公 表・公開手順、報告書式、再発予防案策定などの) ・情報漏洩事例、セキュリティ知識(ウィルス被害例など)の公開と定期 的アナウンス ・情報漏洩対策の従業員への教育と徹底、監査の実施 ・入退室管理(監視カメラなども含む) ・セルフチェックリスト 3.4.2 プライバシ保護対策 情報漏洩対策は、セキュリティ技術のみでは、十分な実効を挙げること は困難である。上述したような技術的対策と運用的対策の両者を連携し、 全組織的に適用してこそ相乗効果を発揮する。また、いかなる対策も完璧 なものではなく、技術的/社会的動向などに鑑み、常にその有効性は見直 さねばならない。プライバシの保護に関しては過剰な対策を施すことで無 駄なコスト(導入や運用の費用、利用者の負担など)をかける必要はない が、逆にそのリスクを過小に評価して対策を怠ってはならない。 従って、効果とコストのバランスを考慮した上で、以下の3つの視点か ら、プライバシ保護対策を統合的に検討することが望ましい。 (1) 予防・抑止 情報漏洩を防ぐための対策。各種のマルウェア対策やフィルタリングな どの技術的対策の多くはこれに当たる。また従業員への教育なども有効な 予防手段である。 (2) 原因/関与者の特定 情報漏洩が起きてしまった場合に、その原因や関与者を明確にすること が、早期対策の実施、再発の防止に有効であり、かつ抑止力にもなり得る。 アクセスログや電子メールログおよび入退室管理などの記録類が、この対 策の手段である。 (3)善後策 情報漏洩が起きた後の対応策。早急な再発防止対策や必要に応じた公開 などの手順のガイドラインを作成し、事前に徹底しておく必要がある。 4. まとめ(豊内) 本稿では、ユビキタス情報社会におけるプライバシ管理に効果的な対策 を検討するため、その要件を整理した。先ず、現時点で計画および想定さ れる様々なユビキタス・サービスの利用シーンを紹介し、そこにおける個 人情報の内容やそれを扱う主体を分析した。また、個人情報の分類と個人 情報漏洩のメカニズム分析を行い、個人情報保護対策の事例を示した。今 後はこれらの分類・分析結果を用いて、ユビキタス情報社会においてユー ザが安心・安全に各種サービスを利用できるよう、それぞれのシーンで有 効な個人情報保護対策のガイドラインを構築することが期待される。 付録 B:有識者に対するヒヤリング資料 プライバシ保護関連 B-1:セキュア端末上での「プライバシー拡張技術(PET)」の 分析・実装モデルの開発 (日本 PKI 木村吉博氏) B-2:ユビキタス環境におけるトラスト形成支援 (京都大学 八槇博史氏) 2004年 2004年8月19日 19日 発表レジュメ H17~ H17~H19経済省委託調査研究草案 H19経済省委託調査研究草案 (次世代の社会基盤における認証 次世代の社会基盤における認証 のあるべき姿を端末機側から探る) セキュア端末上での「プライバシー拡張技術 (PET)」の分析・実装モデルの開発 ~SMAP(Secure Mobile Agent Platform/Place)構想編 (財) JIPDEC ECPC ECPC PKIPKI-J 次世代認証基盤プロジェクト担当研究員 木村吉博 次世代認証基盤プロジェクト担当研究員 木村吉博 (東京大学 新領域創成科学研究科博士課程) (東京大学 新領域創成科学研究科博士課程) 第1部(総論) 「プライバシー拡張技術(PET)」の調査研究? ユニバーサルな市民サービスを提供するため、個人 情報が各種情報基盤で利活用される近未来に、 (cf.PKI-J 次世代認証基盤プロジェクト スマート・ゲートウェイ・コア事業Æ情報の横断的活用) 当人及び関係者の適切なアクセス・コントロー ル下で個人情報を保護するための手段の開発を なす Æ 技術的担保策を中心とした調査研究 i.e. 今後のPET(Privacy Enhanced Technology) の方向性を示すことを目指した調査研究 例、MDA 、TPM端末、 SAML、 、そしてエージェント技術・・・ 例、MDA、 TPM端末、SAML 1 1-1、 9.11テロ事件が招いた近未来像? 米国連邦政府の e-Authentication構想 (2004年運用開始) 米国連邦政府のe Authentication構想( 2004年運用開始) Æ アイデンディティ(個人情報集合)の一貫管理、横断活用 Æアイデンディティ(個人情報集合)の一貫管理、横断活用 機密情報 プロバイダ Direct Access Capability Preserved 市民 事業者 代理人 tity Iden tion ica Verif quired Re Not 連邦政府 ワンストップ ポータル アイ デン ティティ 検 証を 委託 (CSP) 連邦・州政府 アイデンティティ 検証/活用 連邦による認証 を信頼する市民 サービス提供者 eAuthentication ゲートウェイ 連邦政府シングルサインオン認証サービス 医療機関 教育機関 1-2、近未来の水平統合型情報サービスに向かう いくつかのトレンド!? サーバ側のトレンドÆ 認証情報に基づくリモート分業 認証情報に基づくリモート分業 (MVCの分離、サービス単位のサーバ・・・) MVCの分離、サービス単位のサーバ・・・) 「疎結合」型の サービスの水平統合の実現に向け・・・ ・・ 「疎結合」型のサービスの水平統合の実現に向け・ (サーバ間のメッセージ仕様を標準化し、認証情報を再利用) チップの普及? ローカル側のトレンド Æ 耐タンパIC 耐タンパICチップの普及? 日本でも、公的個人認証基盤用の ICカード、 カード、携帯 携帯Felica Felica、 、 日本でも、公的個人認証基盤用のIC Icoca/ さらにはセントリーノ対応PC PC等、多数 等、多数の の Icoca/Suica等、 Suica等、さらにはセントリーノ対応 デバイスにIC チップが搭載されつつある されつつある デバイスにICチップが搭載 ICチップ等に格納された PKI秘密鍵・バイオメトリクス情報等を 秘密鍵・バイオメトリクス情報等を ICチップ等に格納されたPKI ベースとする、セキュアなリモート認証が可能に ベースとする、セキュアなリモート認証が可能に ☆ でも、ローカルな端末機が悪さをしたならば・・・ ☆ でも、ローカルな端末機が悪さをしたならば・・・ 2 1-3、近未来に向けて 次世代認証基盤プロジェクト : 市民のための水平統合型情報基盤を実現!? 目的 市民の属性(アイデンティティ)を適切に管理・活用 手段 各種サービスと動的に「疎結合」できる認証基盤 Æ SAML等のwebサービス・セキュリティ仕様を使用し整備 イメージ図:Any 2 B 2 C ※本調査研究では市民が用いる端末機のセキュリティに注目 各種サービス SSO (C)市民 B 市民認証 ゲートウェイ Any Service アイデンティティ活用 PKI DB 1-4、(ややエッジな仮想近未来シナリオ・・) ゲノム情報に関するソーシャル・ネットワーク カウンセリングSP ゲノム情報を活用した オーダーメイド医療 機密情報プロバイダ CSP (バイオメトリクス情報・ ゲノム情報等 Æ適宜、匿名・仮名化 ゲノムカルテSP (医師の管理下) 薬物副作用を防止等 健保SP (生保等と提携?) 運用・管理・技術を組合せての総合的な情報セキュリティ対策が必要なのは 明らか。加えて、ELSI(倫理的法的社会的含意)に関する考察も必要 Æ 記述されないことの価値、匿名になることの価値!? 3 1-5、本調査研究の目標 セキュア端末、セキュアなセッション確立 そして、SMAP(Secure Mobile Agent Platform/Place) による、個人情報の一貫した保護と利活用 ] 応用アプリ例2 応用アプリ例1 電子契約 コンテンツ 保護に関係 するアプリ (次ページ) 応用アプリ #TBS [PKI応用アプリ部] セ キュア端末と連動する 各種PKIアプリケーションにつき 、複数の実証実験を実施 Æエージェント技術を適宜活用 セキュア・セッション・フレームワーク ※ 適切な権限認証とセッション確立をなす Æ モバイル・エージェントの実行プラット フォーム(SMAP)として機能 セキュア端末 ※ローカルな情報の秘匿性 ・完全性を確保する Æ 活用ガイドラインを作成 [セキュア端末 ・フレームワーク部] セキュアな通信、個人情 報や各種コンテンツの確実 な保護を実現するアプリケ ーション実行環境を構築 第2部(各論) SMAPによる個人情報・コンテンツ保護 出発点 : サービスの水平的な連携の流れ 垂直連携 Æ イントラネットやグループ内VPNによるドメイン 内連携(inB, inG…)では、生じた問題は担当のIT技術 者により処理されるのが通例である Æ 課題は主に技術的なもの 水平連携 Æ 「A2B2C型」のドメイン間連携では、 当事者間の紛争予防等、協調関係の構築が肝要に ・水平的な連携の制度的担保 [例、電子債権法]に加え、 協調関係を担保する技術(例、エージェント技術)も必要 ・ドメイン間の信頼関係確立技術 Æ PKI(公開鍵基盤) 4 2-1 注目技術① MDA(モデル駆動型開発)手法 MDA ≒ 上流工程発の生産性向上技術 cf. IBM Rational Atlantic(2004年度下期) eclipse3.0とOMG UML2.0(及びMOF2.0)を ベースとした統合MDAツールとなる模様 ・・・随分とエンタープライズな臭いがしますが・・ アーキテクトが作成したPIM(Platform Independent Model) により、下流工程の実装を「規定(制約)」 Æ 契約に基づく設計(DBC)を自動化 Æ モジュールの改良過程等でのトレーサビリティを担保 (UML OCL;Object Constraint Language等を背後で使用) Language等を背後で使用) [PET的含意]バグや悪意のコードを容易にする手法 付記、 MDAについての補充 MDA開発過程における、アーキテクトとプログラマとの分業 ⅰ アーキテクトが、MOF(M3)・UML2.0(M2メタモデル)等の モデリング言語を用いPIMを作成 ⅱ MDAツールが各種環境向けの実装雛形を自動生成 ※ むろん、自動生成には限度あるが・・ cf.本調査研究は、 数年後のプライバシー拡張技術(PET PET) )の cf.本調査研究は、数年後のプライバシー拡張技術( 方向性を示すためのもの・・生産性とコンプライアンスの両立 方向性を示すためのもの・・生産性とコンプライアンスの両立 ⅲ プログラマが、環境に依存した適切な実装をなす (PIMと実装コードとの間の数学的可換関係が トレーサビリティを保証する(はず・・ )) 5 2-2 注目技術② TPM(セキュア端末モジュール)の使用 端末オンボードのTPMチップを信頼点として、 端末のHDD 内・メモリ上の各種情報の安全な取扱い 端末のHDD内・メモリ上の各種情報の安全な取扱い ネットワーク上の信頼点からの安全なプログラム配布 ネットワーク上の信頼点からの安全なプログラム配布 TPM搭載端末をリッチクライアントとして使用 例、 4層エンタープライズ・アーキテクチャでいう、 クライアント機能とインタラクション機能の双方を クライアント機能とインタラクション機能の双方を TPM搭載端末上で実現 TPM搭載端末上で実現 ※ こうした端末上で「エージェント・プレース」を動作させたい・・ 2-3注目技術③ SAML(セキュリティ言明記述言語) OASISのSAMLは、サーバ間での認証・認可・権限に 関する言明(Assertion)をなすメッセージング標準 米国連邦政府の 米国連邦政府のeAuthenticationの採用プロトコル eAuthenticationの採用プロトコル ※昨年度に、 昨年度に、SAML1.1の相互運用性テストが終了 SAML1.1の相互運用性テストが終了 [PET技術 ] PET技術] ・ 匿名化を可能とする拡張 シボレス&OpenSAMLプロジェクト(Internet2) 情報資産等へのアクセス権限付与をなす技術アーキテクチャ 2005年度の計画例 OASIS SAML2.0をベースとした Java 2005年度の計画例 OASIS SAML2.0をベースとしたJava APIを公開し、プライバシー管理の個人ツールとする APIを公開し、プライバシー管理の個人ツールとする 6 付記1、SAMLの応用Æアイデンティティ管理、半匿名化 [個人名等のcredential ではなく、pseudonym( pseudonym(雅号・仮名 雅号・仮名) )が流通] 個人名等のcredentialではなく、 が流通] cf. , NEC,等による Liberty構想 構想 cf. Sun, GM, NTT,DoCoMo NTT,DoCoMo, NEC,等によるLiberty 中規模SP 機密情報プロバイダ CSP (個人認証・属性情報管理、 半匿名化とログ管理) 小SP 小SP セキュアな運用 ・厳格な権限管理 多様で豊かなサービスを 多様な主体が迅速に提供 担い手:地域の安定的企業等) 付記2 Shibboleth High Level Architecture Knock, Knock… Authn Authority 出典 Shibboleth 出典 Shibboleth and OpenSAML http://shibboleth.internet2.edu http://shibboleth.internet2.edu// http://www.opensaml .org/ http://www.opensaml.org/ Scott Cantor (cantor.2@osu (cantor.2@osu..edu) edu) Internet2/MACE & Ohio State Univ. Knock, Knock Service Provider Who’s There? Service Provider Mary abcde12345 Attribute Authority abcde12345 who? Attribute Requester Attribute Authority Mary, faculty, contract:001 Attribute Requester Let me in! etc.. Assertion Consumer Service Resource 7 付記3 Shibboleth/OpenSAML の技術アーキテクチャ --- standardsstandards-based architecture and policy framework supporting the sharing of secured web resources and services ・・・ a JavaJava-based “origin” origin” implementation Authentication Authority (HS) Attribute Authority (AA) mod_shib, isapi_shib, etc. Protocol Engine IdP Core NameID Attribute ARP Resolver Resolver Engine Protocol Engine SP Core Shibboleth Core Metadata OpenSAML Session Attribute Cache Filtering Trust Access Control Credentials ( web情報資産に、人とエージェントとがセキュアにアクセスするために・・) 2-4 注目技術④ 新たなplace-agentモデル 3つの技術を組合せ、インターネット上でモバイル・エージェントを実現 MDA Æ 契約による設計( 契約による設計(DBC) DBC)等の抽象度の高い開発手法 は、意味的相互運用性( は、意味的相互運用性(semantic interoperability) interoperability)を 向上させる等、自律性を持ち粒度が粗いエージェントの開発 環境として適しているいるはず TPM端末 Æ エージェントの移動等のための信頼点を提供 TPM端末 Æ Open SAML SAML Æ 認証・認可のためのオープンなメッセージ標準 place間でエージェントをやり取りする際等に使用 place間でエージェントをやり取りする際等に使用 モデル開発の趣旨 永続的なエージェントにより、 一貫した自己情報のコントロールを実現 Æ SMAP(Secure Mobile Agent Platform/Place) の要件を定義し実装(適宜、コンテンツ保護にも応用) 8 2-5 SMAPのターゲット候補1(次年度?) 「(仮)電子こども健康手帳」 {以下の全てのターゲットで、関係する複数人(親権者・ ケア担当者・血縁者等)からのアクセスへの配慮が必要 とされる Æ 高度なプライバシー拡張技術PET が必要なはず} } 高度なプライバシー拡張技術PETが必要なはず 出生時よりのこどもの健康関連情報を、親権者 等が子育てにあたって適切に利活用していくた めの永続的エージェントを仮構築する Cf. Cf. 自治体の協力が不可欠 Æ 公的個人認証サービス・ 公的個人認証サービス・ISO 14443 TypeBカード TypeBカード の活用!? 2-6 SMAPのターゲット候補2 (3年計画?) 「(仮)ユニバーサル介護カルテ」 デイ・ケア~施設ケア間、介護施設間での各種 介護情報を集約し、適切に利活用していくため の永続的エージェントを作成する Æ HL7 v3等のオブジェクト指向モデリング仕様を 適宜参照 Cf. Cf. 次年度は、介護士がモバイル・セキュア端末(TPMed 次年度は、介護士がモバイル・セキュア端末(TPMed PDA) PDA) を所持し、ケア施設で利活用していくシナリオなど について、フィージビリティ調査を実施 (仙台市フィンランド健康福祉プロジェクト等) 9 2-7 SMAPのターゲット候補3(10年計画?) ユニバーサル・ゲノム・カルテ 当人のゲノム情報を数十年に渡り保持し、適切に 利活用していく永続的エージェントを作成 近未来において、永続的エージェントにより、当 人のQOL向上(オーダーメード医薬、生活指導等)のた めにゲノム情報を適切に利活用していく!? Cf.PETの観点に加え、ELSI(倫理・法・社会的な 含意)的な視点からの検証が別途必要 まとめに代えて 情報基盤の分散化が進むほど、自己の知らないう ちに自らの情報が流通しやすくなる。情報基盤の 分散化を推し進めるにあたっては、個人情報保護 の実質化する プライバシー拡張技術( PET) の実用化 も進めていかなければならない。 ※ 匿名の自由(東浩紀氏)等、情報と自由をめぐる議 論の進展に対応した技術開発も今後は必要されよう PETの中心的技術は、他の用途にも応用可能(コンテ ンツへのアクセス制御等) Æ 本プロジェクトでは、 H18に、 SMAPを電子債権市場の実装モデルの一つとすること を試みる予定 10 ユビキタス環境におけるトラスト 形成支援 八槇 博史 京都大学大学院 情報学研究科 社会情報学専攻 概要 { ユビキタス環境とトラスト z z { Web Serviceのセキュリティ z { { トラストとは トラスト形成支援エージェントの提案 WS-Security, WS-Trust, XPKMS… Automated Trust Negotiation トラストの捉え方 z z z Web of Trust SemanticWebとトラスト マルチエージェントシステムにおけるトラスト 1 ユビキタス環境とトラスト トラストとは { 他のエンティティを信頼するかどうかに関する 基準・ルール・意思決定などの総体 z z z z z { 誰から来たどの情報を信頼するか 誰に対してどの資源の使用を許可するか 誰に対してなら情報を公開するか どのような利用方法ならば情報を提供してよいか 皆が信頼するなら自分も信頼してよい … 人間の意志と機械的処理との接点にあたる 2 「セキュリティ」との違い { トラストの部分はgivenとして、その上で本人証 明、データの真贋、アクセス権の判定などを行う のがセキュリティ技術(のほとんど) z z { 暗号:鍵の所有者が出した情報が間違いなく伝わって おり、他人には伝わっていないことを保証するが、鍵 の所有者自体の信頼性については利用者任せ 認証:正しい利用者のみが資源を利用していることは 保証するが、その人がなぜ正しい利用者なのかは考 えない 「セキュリティ関連技術」の一部としてトラストが語 られることも多い トラストとセキュリティとの(現在の)関係 { セキュリティモジュールに対して、トラストは 人間による静的な記述として与えられること が多い z z z UNIXのファイルアクセス制御:/etc/passwd, /etc/group, 各ファイルのパーミション Webのアクセス制御:httpd.conf, .htaccess, ファイアウォール設定etc 企業情報システムのセキュリティ:セキュリティポ リシー = トラストの静的記述+手順 3 セキュリティとトラスト 情報システム ポリシー、ルール、設定etc 読み込み 外界 通信 状況想定 状況想定 価値判断 価値判断 責任…. 責任…. 直接静的に 記述 暗号化・ 真贋判定 アクセス 管理・制御 暗号技術 認証技術 トラストの記述は 人間の仕事 動的なトラスト形成 { 必ずしも静的には与えられないこともある z z z { 静的記述を作るのはコストが高い 無矛盾なルールが常に作れるとも限らない そのときそのときに応じて、人間による判断が求 められる 消費者サイドからみたトラストに特徴的 z 自分のWebアクセスや購買行動などの基準を書 き下せる人はほとんどいない 4 例:ショッピングサイトを使用するか否か の判断 { ショッピングサイトに個人情報や支払い情報を伝えるか z { 相手に関する様々な情報から総合的に判断を行ってい るはず z { この判断があったうえで、SSL等の使用によって、正しく取引 ができる サイトのセキュリティポリシー、買い物の内容(品物や値段)、 売り手のプロフィール、取引手順、評判など 非常にコストの高い判断→トラスト形成の失敗 z z z 判断ができず、結局買い物を中止 毎回考えるのはやってられないので、同じところばかりで買い 物をする とにかく大手しか見ない etc. ユビキタス環境でのトラスト { ユビキタス環境 z z { 環境の中に情報処理能力をもったデバイスが遍在 利用者はそれらの能力を組み合わせたサービスを享受する。 トラスト z z z 目の前にあるデバイスの提供するサービスを信頼できるか? 家庭内、社内などクローズドな環境であれば、誰のおいたどの ようなサービスかわかる。毎回同じものを使っていると言える→ 静的かつ単純なトラストで対処可能 それ以外では? 5 オープンなユビキタス環境におけるトラス ト { 街中でユビキタスな環境では? z z { 目の前にあるデバイスはだれがいつ置いたもの か。何をするものか。これにデータを預けて大丈 夫か。 組み合わせたサービスを受けたときに何が起こる のか その場その場での動的判断が要求される z 同じところだけ使う、という方法も取り難い インターネットとは違い、どこでも同じサービスにアク セスできるわけではない { 全世界ひとつの主体によって提供される、というモデ ルは社会的に高コスト { エージェントによるトラスト形成支援 パーソナルデバイス 人間の判断を エージェントが 代行する 状況想定 状況想定 価値判断 価値判断 責任…. 責任…. 制御 外界 通信 暗号化・ 真贋判定 アクセス 管理・制御 暗号技術 認証技術 人間はエージェントに 判断(の一部)を 任せる 6 トラスト形成支援エージェント { 双方向のトラスト形成 z { 判断のための情報交換 z z z { PKIなどの利用により証明書そのものの真実性は確保可能 どの情報を交換すればトラスト形成に結びつくか 安全な情報交換手順の確立も必要 : Automated Trust Negotiation 判断手法 z z { サービス提供者が利用者を認証するだけではなく、利用者側 からも提供者について判断をする サービスの利用の結果、何がおきるかの推定 おきた結果に関する、利用者の判断を機械にどのようにのせ るか : 合理的エージェント、メカニズムデザイン 判断内容の共有 z エージェントがどういう判断をしたのかを利用者が把握できて 初めて、人間が権利を委譲できる Web Service とトラスト 7 Web Serviceとトラスト { 分散情報システムのトレンドとしてのWeb Service z { 異なるベンダの提供するWeb Serviceを連携して 運用することを想定 z z z z z { 規格化団体 OASIS http://www.oasis-open.org データのXML化、プロトコルの共通化(SOAP) サービス内容の記述 (WSDL, UDDIなど) セキュリティの相互運用 サービス統合方法の記述(コレオグラフィ) トランザクション セキュリティに関するポリシー記述など、トラストを 記述し相互運用する枠組みも整備されている Web Service の規格群 http://www.atmarkit.co.jp/fxml/tanpatsu/25websvc/01.htmlより引用 8 Web Service のセキュリティ規格 http://www.atmarkit.co.jp/fxml/tanpatsu/25websvc/01.htmlより引用 セキュリティ規格同士の関係 http://www.atmarkit.co.jp/fxml/tanpatsu/25websvc/02.htmlより引用 9 WS-Security ロードマップ http://www-6.ibm.com/jp/developerworks/webservices/030228/j_ws-secroad.htmlより引用 WS-Trust { { 2つの組織間の直接的な信用関係と、信頼できる 第三者によって仲介された複数組織間の信用関係 の両方を確立するための標準的なメカニズム より具体的には以下が書ける z z z { ある組織から渡された証明書(security token)を信用 するか、証明を要求するかなどのルール 使用される暗号に関する要件 仲介(delegation, forwarding, proxy)の要件 関連規格 WS-Policy: セキュリティポリシーを記述 z WS-Privacy: プライバシポリシーを記述 など z 10 Web Service諸規格のユビキタス環境へ の適用 { { 多くは参考にすべき内容を含み、これらをベー スに展開していくのが自然 常時接続、組織単位のセキュリティなどの前 提が、個人利用が特徴となるユビキタス環 境においてどの程度成立しているかを明ら かにしていく必要がある Automated Trust Negotiation 11 Automated Trust Negotiation { それぞれが情報(証明書, credential)と情報開示 ポリシーを持っているときに、相互にトラストを成立す るための情報開示手順を求める z z z ポリシー:「相手が証明書Xか、YとZ両方かのいずれかを 開示したら、こちらの証明書Aを開示してよい」「相手が証 明書Wを提示したら信頼して資源へのアクセスを許してよ い」といった記述の束 目標:互いに必要とする証明書を、ポリシーに反することな く交換する手順を求める 理想:証明書だけでなく、ポリシーも相手に知られずに、必 要な情報交換のみで完了する Automated Trust Negotiation(ATN) { { Aさんは元 犯罪者だっ たのか! 最低限の証明書で互いを認証 不要なポリシーを開示したくない Aさんの住民票をください 不要なポリシーの開示 住民票には保護監察官の証明書が必要です 保護監察官の証明書なんて持っていません クライアント (Bさん) 住民票にはAさんの委任状が必要です 個人情報 サーバ Aさんの委任状 Aさんの住民票 12 問題の定式化 { { ATNは,交渉グラフで最小コストの解グラフを求める分散 探索問題に帰着できる (cf. 契約ネットプロトコル) 特徴:クライアント・サーバは,交渉グラフの一部分しか知 らない サーバ クライアント C1←S1∧S2 C2←S3∧S4 C3←true C4←true S1 S2 C3 R S3 S4 C2 S1 S2 C3 C4 R C1 C2 C1 R←C1 S2←C3 R←C2 S2←C4 S1←true S3←true S3 C4 C2 C1 S4 S1 C3 S2 S3 C4 手法1:ヒューリスティック探索による解法 (例えばAO*) { 交渉グラフの探索 z 最低限の証明書からなる解グラフを得るために は,不要なポリシーの開示が避けられない 5← 4← 2 R ∞←1 C2 4←3← 1 C1 1 S1 2← 1 S2 1 C3 C3 不要なポリシーの開示 S3 1 不要なポリシーの開示 保護監察官の証明書 S4 ∞ を要求したのと同じ 1 C4 13 手法2:局所一貫性による解法 { { コストを開示するだけで探索する h(n) : n を根とする最小木のコスト h(n ) = min ci + ∑ h(nij ) i j 5 R クライアント 1 S1 2 S2 1 C3 Rを要求 サーバ h(S1 ) = 1 h(S3) = 1 C2 C1 4 ci : のコスト Pi Pi : 節点 n のポリシー nij : Pi の子節点 h(C3) = 1 h(C4) = 1 S4 S3 1 h(S2 ) = 2 h(C1 ) = 4 C4 1 交渉グラフ { 以下の特徴を持ったAND/ORグラフ z z 枝と終端節点にコストが付与されている 循環がない { z 節点Xの子孫にXが現れることはない 再合流がない { 節点X,YがANDで結ばれているとき,Xの子孫と, Yの子孫に同じ節点がない R X X Y X Y Z 14 節点の展開 { ヒューリスティック探索では,ポリシーの開示 z { 最小コストの解グラフのコストをcとすると,c以 下で到達可能な全節点を展開 局所一貫性による探索では,コストの開示 z z 交渉グラフの全節点を展開 ただし,存在しない証明書の節点などは除く 計算量 { { { { { p:1つの節点の最大のポリシー数 m:1つのポリシーの最大の子節点数 n:終端節点と,存在しない節点に関係する 節点 を除いたグラフの全節点数 最大で,p*m*n 回の加算 n 回のmin演算 15 トラストの捉え方 Web of Trust (WOT) { { 直接の信頼関係をつないでいくことで、コミュニティ内部 での信頼関係を構築するメカニズム PGP z z { FOAF z z { コミュニティの各人が、直接知っている人の鍵の信頼性(トラス ト)について把握している 直接知らない人については、自分の信頼する人のトラスト情報 を辿っていくことで信頼性を判断する 友人関係を記述するためのRDF関連規格 Web of Trustに関する記述が可能 どちらかというとPKIの代替という色彩の強いシステム。 z z 鍵の真偽性のようなものには適用可能 「信用している人が信用している人は信用できる」がどこまで適 用可能か。 16 SemanticWebにおけるトラスト { Webの内容の信頼性を機械が自動的に判 断する エージェント研究におけるトラスト { Social Filtering z { メカニズムデザイン z z { 多数の意見の総合として、信頼性を判断する 合理的エージェント 裏切っても得にならないようなプロトコルを設計 することによって、互いに信頼できる環境を実現 する(あるいは、互いに信頼している必要のない 環境を作る) 認知的アプローチ 17 まとめ { ユビキタス環境とトラスト z z { Web Serviceのセキュリティ z { { トラストとは トラスト形成支援エージェントの提案 WS-Security, WS-Trust, XPKMS… Automated Trust Negotiation トラストの捉え方 z z z Web of Trust SemanticWebとトラスト マルチエージェントシステムにおけるトラスト 18 付録 C:有識者に対するヒヤリング資料 アクセシビリティ、ユニバーサルデザイン関連 C-1: 情報通信分野のアクセシビリティ向上:国内標準化のインパクト (東洋大学 山田肇氏) C-2: IBM におけるユニバーサルデザインの取り組み (日本 IBM 山崎和彦氏) 情報通信分野のアクセシビリティ向上: 国内標準化のインパクト 東洋大学 山田 肇 障害者基本法の一部改正(2004年5月) z 情報の利用におけるバリアフリー化 -第十九条- – 国及び地方公共団体は、障害者が円滑に情報を利用し、及び その意思を表示できるようにするため、障害者が利用しやすい 電子計算機及びその関連装置その他情報通信機器の普及、電 気通信及び放送の役務の利用に関する障害者の利便の増進、 障害者に対して情報を提供する施設の整備等が図られるよう必 要な施策を講じなければならない 1 障害者基本法の一部改正(続き) – – 国及び地方公共団体は、行政の情報化及び公共分野における 情報通信技術の活用の推進に当たっては、障害者の利用の便 宜が図られるよう特に配慮しなければならない 電気通信及び放送その他の情報の提供に係る役務の提供並 びに電子計算機及びその関連装置その他情報通信機器の製 造等を行う事業者は、社会連帯の理念に基づき、当該役務の提 供又は当該機器の製造等に当たっては、障害者の利用の便宜 を図るよう努めなければならない 障害者基本法が求める技術的基準はどこに? z JIS規格 X8341 高齢者・障害者等配慮設計指針 -情報通信における機器、ソフトウェア及びサービス – – – z X8341-1 第一部:共通指針 X8341-2 第二部:情報処理装置 X8341-3 第三部:ウェブコンテンツ これらを2004年5月と6月に発行 2 二段構造 z 法律と技術的基準の二段構造 – – 障害者基本法 国内標準 基本方針を与える 技術的基準を与える z 技術の進展への対応の容易さに配慮したもの z 技術的基準の二段構造 z – 共通指針 – 個別指針 これから生まれるものを含め、 あらゆる機器、サービスに適用 共通指針の思想の下で基準を詳細化 急進展する情報通信分野で利用可能な技術的基準を 与えるもの 国内標準の目的 z z 情報社会の発展とともに、すべての人はますます情報 通信機器、ソフトウェア及びインターネットに代表される ような情報通信技術によって実現されたサービスを利用 するようになる この規格(群)は、主に高齢者、障害者及び一時的な障 害のある人が、これらの情報通信における機器・ソフトウェ ア・サービスを利用する際のアクセシビリティを向上させ るための指針として作成されたものである 3 ウェブコンテンツに関する国内標準:適用範囲 z ウェブコンテンツとは、利用者がウェブブラウザなどを用 いてアクセスするあらゆる情報、サービスを指し、例えば、 インターネット、イントラネット、又はCD-ROMの記録媒 体を介し配布されるワールドワイドウェブ技術を用いて 記述された電子文書、ウェブブラウザを用いて操作する 機器などに適用する ウェブコンテンツに関する国内標準:基本方針 z ウェブコンテンツの情報アクセシビリティを確保し、向上 させるための基本方針を次に示す – – – ウェブコンテンツを企画・制作するときに、可能な限り高齢者・障 害者が操作又は利用できるように配慮する ウェブコンテンツは、できるだけ多くの情報通信機器、表示装置 の画面解像度及びサイズ、ウェブブラウザ及びバージョンで、操 作又は利用できるように配慮する ウェブコンテンツの企画から運用に至るプロセスで情報アクセシ ビリティを常に確保し、更に向上するように配慮する 4 ウェブコンテンツに関する国内標準:目次 z z z z z z z z z 序文 適用範囲 引用規格 定義 一般的原則 開発・制作に関する個別要件 情報アクセシビリティの確保・向上に関する全般的要件 附属書1(参考)ウェブコンテンツに関連する例示 附属書2(参考)関連規格 ウェブコンテンツに関する国内標準:例示 z 一貫性のある表示 English サイトマップ トップページ ダウンロード よくある質問 問い合わせ先 ■ダウンロード このページでは、当社が開発したウェブアクセシビリティ点検ツール(試用版)をダンロードすることができます。 正式版を入手するには、サイト事務局までお問い合わせください。 English サイトマップ トップページ ダウンロード よくある質問 問い合わせ先 ■問い合わせ先 製品に関するお問い合わせは以下まで。 5 ウェブコンテンツに関する国内標準:例示 z 画像の説明 – – 「青い空と遠くに富士山と が美しい冬の写真」 「降り注ぐ朝日、手前に雪 に覆われた草原、遠くに雲 海、その向こうに澄み渡っ た青い空の下に薄っすらと 雪化粧の富士山と南アル プス連峰とを望む冬の景 色」 インパクト:電子政府 z 「行政ポータルサイトの整備方針」 – z z 2004年3月31日 各府省情報化統括責任者連絡会議決定 e-Gov及び各府省のホームページについて、高齢者・障 害者にも利用しやすいものとするため、ウェブコンテンツ に関するJIS策定動向を踏まえ、必要な修正及び作成を 行う 高齢者・障害者も利用しやすいよう、ウェブコンテンツに 関するJIS策定動向を踏まえたシステムの使いやすさ、 分かりやすいエラーメッセージの表示、データ入力に関 する形式チェックの内容等に留意する 6 インパクト: 秋田県 インパクト:政府調達 z 1995年3月 コンピューター製品及びサービスの 調達に係る総合評価落札方式の標準ガイド z 評価基準 評価項目は、調達上の必要性に基づき、別紙に掲げる 項目から選択する。 規格性 国際標準、国内標準等に準拠して評価する項目を設定 する。 z 7 アメリカの動向 z z z リハビリテーション法508条 連邦政府が調達、使用する製品や一般市民に提供する 情報、サービスは、障害を持つ政府職員・一般市民が、 障害を持たない人と同等にアクセスできるようにすること が義務 2001年6月 電子・情報技術アクセシビリティ基準の運用開始 ヨーロッパの動向 z z z z 雇用に関する指令の準備 (指令:欧州連合加盟国に対する法律整備の指示) 公共調達に関する指令の準備 これら指令が参照する技術基準の必要性に対する認識 の高揚 2003年11月 第6次フレームワークプログラム(欧州全体のR&Dプロ グラム)内でe-Inclusionを標榜、具体的なプロジェクト 提案の評価を開始 8 国際標準化活動への提案 z z z z 2003年10月 日本より国際標準化をISO・TC159/SC4 に提案 日本人をプロジェクト・エディターとし、 日本規格をたたき台とする活動を開始 国際標準化の進捗によって、各地域の基準が統一し、 社会生活に、産業活動に大きな影響 情報アクセシビリティに関わる標準の国際整合化のため、 いち早く、JIS規格を国際提案して、世界に貢献すると 共に、産業競争力の強化に役立てたい スケジュール z z z 2004年7月 ISO TC159SC4WG6で作業の開始を承認 2004年12月 東洋大学白山校舎で第1回会合 プロジェクト・エディター 山田肇 2007年春を国際標準化の完成時期と予定 9 IBM におけるユニバーサルデザインの取り組み 資料1 人にやさしいデザインのアプローチ 山崎 和彦 日本 IBM(株 )ユーザーエ クスペリエン ス・デザイン センター 1. はじめに パソコンやインターネットなどを主体とした情 報技術を利用した製品やサービスは,従来の工業 製品と比較して,インタラクティブな操作を必要 とする,ハードウェアとソフトウェアが組み合わ されている,ユーザがいろいろな目的に使う,使 用している途中で使用の目的が変化する,などの ことが異なる。そして情報ネットワーク・コンピ ューティングによって新しい価値観や体験をする 時代にもなってきている。 情報機器のユーザという観点からは,パソコンや インターネットの普及などにより情報をやりとり することは誰にとっても重要となり,また情報機 器によって誰でもが社会へ参加することが可能に なった。たとえば,お年寄りや障害のある方がイ ンターネットによって簡単に情報を得たり,メー ルでやりとりすることが可能になっている。その ような背景から情報機器やそれを利用したインタ ーネットなどにおいても誰にでも対応することが 望まれている。 このような状況で,従来の工業デザイン手法が情 報機器のデザインへそのまま適用できない場合が 多い。そして,ネットワーク・コンピューティン グ時代の情報機器のためのデザイン手法に関する 研究はまだ始まったばかりであり,その方法を提 案し実践的なデザインに導入し誰にでも優しい製 品やサービスの提供が望まれる。 2. 人に優しい情報機器のデザイン・アプローチ 人に優しい情報機器のデザインへのアプローチ としては,ユーザ・インタフェースという視点よ り以下の4つのデザイン・アプローチが考えられ る。 1.アクセシビリティを考慮したデザイン 2.ユーザーセンタード・デザイン 3.ユニバーサルデザイン 4.感性を考慮したスマイルデザイン ここでは,それぞれのアプローチについて、順に 解説する。 2.1 アクセシビリティを考慮したデザイン アクセシビリティを考慮したデザインとは, 情報機器を 使用することができなかった人のために,使用すること ができるようにするための最低限のソリューションを準 備するデザインのことである。たとえば,視覚障害者の ためにパソコンの画面情報を読み上げるソフトウェアを 開発したり,そのためのユーザ・インタフェースをデザ インすることである。 企業における Web サイトを考え た場合,企業の社会的責任として,一定レベルのアクセ シビリティがあることが必要である。 2.2 ユーザーセンタード・デザイン 図1 UCD のデザインプロセス 近年,情報機器を代表とするインタラクティブ な製品やシステムに対して,人間中心の設計手法 としてユーザーセンタード・デザインというアプ ローチが導入されている。ユーザーセンタード・ デザイン(UCD: User-Centered Design) とは,ユーザ をデザインプロセスの中心に据えることで,適切 で使いやすい製品やサービスの提供をめざす手法 である。UCD を活用すると,買いやすい,設定し やすい,習得しやすい,使いやすい,拡張しやす いなど魅力のある製品やサービスを一貫して開発 することができる。ユーザが目にしたり触れるす べてのものを設計し,デザインプロセスの各段階 でユーザ情報とユーザからのフィードバックを収 集するために,UCD には多分野にまたがるチーム が必要である。 図1に UCD のデザインプロセスを示すが、UCD の基本方針は,デザインプロセスの各ステップで ユーザを参加させること,つまり適切な人に適切 な質問をすることである。そして,特に以下の6 項目が重要である。 (1) 事業目標の設定:ターゲットとする市場や 対象とするユーザを明確にする。 (2) ユーザの理解:デザインプロセスにおいて は、対象とするユーザを理解し、参加させ る。 (3) 異なる分野の専門家によるチーム:多分野 にまたがる専門家からなる一つのチームが総合し て設計する。 (4) デザインの対象:ユーザが見ることができ るものや触れることのできる,すべてのものをデ ザインの対象とする。 (5) ユーザの評価:できるだけ実際の製品に近 いプロトタイプを使って,ユーザからのフィード バックを早い時期に頻繁に収集し,このフィード バックを設計に反映させる。 (6) 継続的なユーザ観察:製品寿命の間,継続 してユーザの様子を見て,ユーザから意見を聞き, ユーザからのフィードバックを製品設計に反映さ せる。 2.3 ユニバーサルデザイン 誰にでも対応するような製品や環境をめざすデ ザイン活動としてユニバーサルデザインがある。 誰にとっても,良いデザインをめざすことがユニ バーサルデザインの定義である。そして,その概 念には利用者を年齢,性別,人種,文化,障害な どさまざまな理由によって差別しないという意味 が含まれている。ユニバーサルデザインでは,多 くの障害を取り除くだけでなく,心理的なバリア フリー化,その製品の魅力や商品性,価格なども 含み,特定の対象ユーザだけでなく,誰にとって も良いデザインをめざすことである。 企業において,ユニバーサルデザインは下記のよ うなアプローチがある。 (1) 使いやすさやユーザ・センタード・デザイ ンの延長としてのアプローチ (2) 商品性として購買層を広げるアプローチ (3) 企業の社会的責任としてのアプローチ そして,ユニバーサルデザインの企業への導入方 法は以下の3つのステップにより実施する。 (1) ステップ-1:ユニバーサルデザインの導入の 必要性を確認する。情報機器や Web ページなどユ ーザが目するもの触るものすべてに対してもユニ バーサルデザインが重要であることにて対して全 社的な共通の認識をもつ。社内での教育や勉強会 なども必要である。 (2) ステップ-2:アクセシビリティという観点よ り最低限度,使えることを達成する。たとえば, Web などでは W3C(World Wide Web Consortium)の ガイドなども参照して,それぞれの企業に適した アクセシビリティ・ガイドを制作して,それを運 営する方法も決定して企業に導入する。また,ハ ードウェアやソフトウェア製品などは米国の 508 条への対応も必要となる。 (3) ステップ-3:ユニバーサルデザインという観 点より製品や Web サイトなどを見直す。デザイン プロセスとしては,はじめに,対象とするユーザ グループを整理し、次に,典型的なユーザタスク を整理する。そして,それぞれのユーザタスクで どのような問題があるかを把握する。その問題点 より,企業としてどこまでを対象にするかの要求 項目をまとめる。問題点と要求項目をもとにデザ イン・コンセプトを制作し,デザイン検討をして いく。 2.4 感性を考慮したスマイルデザイン これまでは,機能を主体としたヒューマンインタ フェースをいかに使いやすくするかという目的の ためにヒューマンインタフェース・デザインや人 間中心の UCD が研究・導入されてきた。しかし, 人間は機能だけで判断するのではなく,感性によ っても判断するものである。感性を論理化し,感 性を考慮したデザインのアプローチは,これから のデザインに有益である。たとえば,楽しいデザ イン,気持ちのよいコミュニケーション,うれし いインタフェース・デザインなど多くの可能性が ある。これを総称してスマイルデザインと呼ぶこ とにする。 IBM におけるユニバーサルデザインの取り組み 資料 2 ユーザーセンタードデザインのアプローチ 山崎 和彦 日本 IBM(株)ユーザーエクスペリエンス・デザインセンター 1. はじめに デザインにおけるユーザビリティの追求は,それ自 商品やサービスのブランド力を向上させることができ 体が商品価値やサービスの価値に直結している。ユー る。 ザビリティを追求するための,代表的な手法としてユー ザーセンタードデザインという手法がある。 2-2. ユーザーセンタードデザインとは 製品やサービスを使いやすいデザインするために ユーザーセンタードデザインの手法は市場のニー ユーザーセンタードデザインの手法の導入が考えられ ズと企業のブランドおよび企業収益の融合を目指す代 る。ユーザーセンタードデザイン(UCD: User-Centered 表的な手法である。その手法にはユーザーリサーチ, Design) とは,ユーザーをデザイン・プロセスの中心に ユーザータスク分析,ユーザー評価,ユーザー中心の 据えることで,適切で使いやすい製品やサービスの提 デザイン制作などが含まれる。ここでは戦略的デザイン 供をめざす手法である。ユーザーセンタードデザイン 戦略を牽引するユーザーセンタードデザインについて を活用すると,買いやすい,設定しやすい,習得しやす その手法,プロセスおよび事例について解説する。 い,使いやすい,拡張しやすいなど魅力のある製品や サービスを一貫して開発することができる。ユーザーが 2. ユーザーセンタードデザインとは 目にしたり触れるすべてのものを設計し,デザイン・プロ 2-1. なぜユーザーセンタードデザインか セスの各段階でユーザー情報とユーザーからのフィー ユーザーセンタードデザインを導入することにより, ドバックを収集するために,ユーザーセンタードデザイ お客満足度の向上,コストの削減やブランド・イメージ ン には多分野にまたがるチームが必要である。 の向上の効果が望める。また,それらによって企業へ利 2-3. ユーザーセンタードデザインのキーワード 益を導き出す。 1) お客様満足度の向上:お客様が商品に対して重視 ユーザーセンタードデザインを実践するためのキー ワードとして,プロセス,手法,チームとトータルユーザ しているポイントに焦点をあてた開発活動により,ユ ーエクスペリエンスがある。ここでは,それぞれのキーワ ーザー・エクスペリエンスを効率よくデザインすること ードについて解説する。 が可能になる。 1) 商品に使いやすさを作り込むためのプロセス:単なる 2) コストの削減:開発の早い段階でユーザーの要求を 使いやすさではなく,対象ユーザーにとって魅力の 検討する方法の方が,開発の後半で検討するよりも ある商品,サービスを実現し,ユーザーによりよい体 経済的である。開発の初期に必要な活動を定義す 験を提供するためのプロセスを実施する。 るため,投資額も明確となる。また,出荷後のサービ 2) 使いやすさを作り込むために手法を提供し,専門家 ス費用等(お問い合わせ窓口など)を削減すること を中心とするチームで実施:お客様の声を的確に商 ができる。また,プロセスに沿ったチーム活動をする 品に作り込むために商品開発プロセスの段階に応 ために開発スケジュールの遅延を防止することもで じた手法を活用する。また,複数の専門家から成る きる。 ユーザーセンタードデザインチームで活動する。 3) ブランド・イメージの向上:お客様がある企業に望む 3) ユーザーが体験するすべて(トータルユーザーエク ことを,その企業のブランドに添って開発することが スペリエンス)を対象:ユーザーが商品を知り,商品 できることにより,会社に対するよい印象を増大し, に出合うところから,気に入って,購入し,利用し, サポートを受け,廃棄するまでのすべて体験を考慮 較する。 する。 1) 従来のアプローチ 2-4. ユーザーセンタードデザインの6つの法則 使いやすさという課題への取り組みのほとんどは, 以下に挙げる6つの法則を忠実に守ることである。 技術主導 部品に焦点 限られた組織間協業 内部仕様に焦点 1) 競争力の評価:優れた設計には,競合製品とその顧 ユーザー調査・分析等の専門家不在 客に対する継続的な認識が必要である。ユーザー 競合他社への注意不足 のタスクを理解したら,同じタスクを競合製品と自社 ユーザー評価の前に生産開始 製品を対象として評価することである。 不良品中心の品質観 2) ユーザーの理解:デザイン・プロセスにおいては,対 象とするユーザーを理解することが重要である。 3) 異なる分野の専門家によるチーム:多分野にまたが ユーザーの評価に対する注目不足 既存ユーザーへ焦点 2) ユーザーセンタードデザインのアプローチ る専門家からなる一つのチームが総合してデザイン ユーザー中心 する。 トータル・ソリューションに焦点 4) デザインの対象:ユーザーが見ることができるものや 組織横断チーム 触れることのできる,すべてのものをデザインの対象 外部仕様に焦点 とする。この中には,製品の宣伝,注文,購入,梱包, ユーザー調査・分析等の専門家の参画 保守,インストール,管理,アップグレードやサポー 競合他社に注意深く注目 トなども含まれる。 ユーザーによる検証後に生産開始 5) ユーザーの評価:できるだけ実際のデザインに近い ユーザー中心の品質観 プロトタイプを使って,ユーザーからのフィードバック ユーザーの評価を第一に を早い時期に頻繁に収集し,このフィードバックをデ 既存ユーザーと未開拓ユーザーに焦点 ザインに反映させる。 6) 継続的なユーザー観察:製品やサービスの寿命の 間,継続してユーザーの様子を見て,ユーザーから 意見を聞き,ユーザーからのフィードバックをデザイ ンに反映させる。 3. ユーザーセンタードデザインのプロセス 3-1. ユーザーセンタードデザインプロセス ユーザーセンタードデザインのプロセスの基本的な 考え方は,開発のすべての段階でユーザーのことを考 2-5. 従来のアプローチとユーザーセンタードデザイ ンのアプローチ 慮することである。ユーザーにとって魅力のある商品や サービスを実現し,ユーザーによりよい体験を提供する ここでは,従来の技術主導の従来のアプローチとユ ためのユーザーセンタードデザイン活動の流れは,ど ーザーセンタードデザインの人間中心アプローチを比 のような商品も共通している。どのような商品・サービス ①市場の定義 ②ユーザー情 報・競合商品 情報の理解 ④設計の洗練 ⑤評価と 妥当性の検証 ③コンセプト ・デザイン 図1 ユーザーセンタードデザインのプロセス ⑥市場での評価 であっても,ユーザーが誰であるのかを知らなければ, 4. ユーザーセンタードデザイン事例 魅力的な製品を開発することは難しいし,デザインの方 4-1. ノートブック PC の事例 向性を決めるために,ユーザーの現状や要望を把握す ることは非常に重要である。 図1に示すように,ユーザーセンタードデザインの基 現在,ノートブック PC はオフィスや家庭で一般的に 使用されていて,使いやすさやブランド・イメージはます ま す 重 要 に な っ て い る 。 IBM の ノ ー ト ブ ッ ク PC 本的なプロセスは,次の6つのステップからなる。 (ThinkPad)では,ビジネス戦略に基づいて,ユーザー・ 1) 市場の定義 <目標の明確化と活動の計画>: 「誰 エクスペリエンスに関連する市場調査,ユーザーリサー が何のためにその商品を使うのか」を明確にする。 チから,商品開発におけるよりよいユーザー・エクスペリ 2) ユーザー情報,競合製品情報の理解 <タスク分析と エンスの作り込みまでをユーザーセンタードデザインの 競争力の調査>: 「ユーザーは,何を求めている 取り組みとして活動している。また,ユーザーセンタード か」を把握する。 デザイン活動の成果をビジネス戦略へフィードバックし 3) コンセプト・デザイン <よりよいユーザー・エクスペリ エンスづくり>:「何をどのように提供すべきか」を策 定する。 4) 設計の洗練 <設計とウォークスルーの繰り返し>: ている。 図2に示すように,「ユーザーの声を聞く部分」では, グローバルな市場調査により,ユーザーの不満や期待 を聞いたり,どのようなユーザー層がいるのか調査をす 「商品は魅力を備えているか」を確認し,洗練させて る。また,「イノベーションでリード部分」では,ユーザー いく。 の声を聞いた結果に対応するために,革新的な技術に 5) 評価と妥当性の検証 <想定ユーザーによる評価と よりユーザーをリードする。また,ブランドという観点より 検証>:「ユーザーの期待に応えているか」を評価し, デザイン DNA という概念を導入する。そして,「ユーザ 課題を解決する。 ーの声を聞く部分」と「イノベーションでリードする部分」 6) 市場での評価 <ベンチマーク評価>:市場でのユー を結び,多くの分野の専門家に共通のゴールを持つた ザーの評価を確認し,今後の開発に活用する。 めに,ユーザーシナリオとプロトタイピングを活用する。 3-2. ユーザーセンタードデザインの活動と手法 ユーザーセンタードデザインのプロセスを実践する ための活動と代表的な方法を以下に示す。 図3に示すようにユーザーシナリオは,ビジュアル化 しポスターのような物を製作し,関連のある部署に配布 する。たとえば,企画,開発,製造,営業,マーケット, 1) 市場の定義: 開発する商品/サービスの明確化,ユ ーザーセンタードデザイン活動のプランニング ユーザーの声を聞く イノベーションでリードする 2) ユーザー情報,競合製品情報の理解:タスク分析の 実施,競合製品評価,現製品評価 3) コンセプト・デザイン:ユーザーシナリオ手法,ローフ ィデリティ・プロトタイプの制作,デザイン・ウォークス グローバルな市場 ユーザーセンタードデザ 調査 イン ユーザーセグメンテ ユーザーシナリオ DNA デザイン ーション プロトタイピング ルーの実施 4) 設計の洗練:ハイフィデリティ・プロトタイプの制作, ユーザー評価,デザイン・ウォークスルーの実施 5) 評価と妥当性の検証:詳細デザイン,ユーザー評価, ヒューリスティック評価 ビジネス戦略 6) 市場での評価:ベータサーベイ,ベンチマーク評価 図2 ユーザーセンタードデザインを基本にした デザイン戦略 ザーによる2段階評価を実施した。 5. 参考資料 1) ユーザーセンタードデザインについては IBM 社の Web サイトを参照 (www.ibm.com/ jp/ design) 2) K.Yamazaki, “Listening and Leading in User-Focused Design ICSID (International Council of Societies of Industrial Design) ”, Proceedings ICSID2001, pp.382-388, Seoul 3) 山崎和彦,山崎正孝:ソフトウェアに対するユーザー センタードデザインアプローチ,日本人間工学会ア ーゴデザイン部会 事例/コンセプト発表会,2001 4) IBM and ThinkPad are trademarks of IBM 図3 シナリオの例 Corporation. ストラテジーなど関連するすべての部門である。これま でに,それぞれの部門で対象となるユーザーをそれぞ れ定義していたものを一つにすることにより,ビジネス戦 略に基づいたユーザーセンタードデザインを達成する ことができる。 4-2. ソフトウエアの事例 近年,インターネットやパソコンの普及により,パソコ ンの初心者など一般の人達がソフトウェアに触れる機 会が多くなっている。そうした人達を主な対象ユーザー 図 4 ウィザード方式の画面例 としたコンシューマ向けソフトウェアが数多くあるが,そ れらのソフトウェアは一般の人達にとって必ずしも使い やすくはない。 ここでは,コンシューマ向けソフトウェアをさらに使い やすくするためにユーザーセンタードデザインをコンシ ューマ向けソフトウェアに導入した。コンシューマ向けソ フトウェアの特質に対応するためにアクティング・ユーザ シナリオ手法およびチームとユーザーによる2段階評価 図 5 タイリング方式の画面例 を取り入れたデザイン手法を導入した。 基本ユーザーシナリオに添って,ユーザーにとって 使いやすく感じるソフトウェアとはどのようなタスクフロー, 画面構成,GUI であるのかというデザインの方向性を検 討した。ユーザーが画面を見たときに使いやすく感じる 画面と,使ったときに使いやすい画面とは何かを検討 するために,図 4-6 に示すように3つの画面方式を考え 同じ基本シナリオに添って画面を作成し,チームとユー 図 6 タスクバー方式の画面例 この事業は、競輪の補助金を受けて実施したものです。 平成 16 年度 知的ソフトウェアによる生活者支援に関する標準化調査研究 成 果 報 告 書 平成 17 年 3 月 発行 財団法人 日 本 規 格 協 会 〒107-8440 東京都港区赤坂 4-1-24 電話(03)3592-1408 印刷 スタンダード・メンテナンス 株式会社 〒107-8440 東京都港区赤坂 4-1-24 日本規格協会ビル内 電話(03)3585-4558 -禁無断転載―
© Copyright 2024 Paperzz