高木浩光＠自宅の日記

この記事は致命的に誤っている。アドレスバーに緑色で表示されるのは﹁認証局名﹂ではなく﹁サイトの運営者名﹂である。この記事は、運営者名が表示されることを一言も説明していない。運営者名を確かめて利用することに一言も触れずに、ただ﹁アドレスバーが緑色になるサイトなら大丈夫﹂などと無責任なことを教えている。

実際、EV証明書を取得できる基準*1を見てみると、普通の民間企業でも取得することができる。EV証明書は、その企業が実在することを証明するだけで、その企業が信用できる会社かどうかを保証するものではない*2。そもそも、﹁信用できる会社﹂なるものを一律に定義することは困難なのだから、どの会社を信用するかは、利用者各自が自分で判断するしかない。そのために、EV対応Webブラウザは、運営者名を表示するのだから、利用者はそこを読まなくてはいけない。

ところで、今後、EV証明書は金融機関だけでなく、普通の事業者も採用するようになっていくと思われる。EV対応Webブラウザは、SSL接続時の表示において、EVでないサーバ証明書の場合は︵いわゆるClass 3の証明書であっても︶﹁このサイトの運営者‥︵運営者は不明です︶﹂などと表示するようになった︵図1︶。このような表示を嫌う企業が増えるかもしれない。

もちろん、このような証明書も、サーバとブラウザ間で暗号化通信を実現して盗聴や改ざん、DNSスプーフィング等の通信路上の攻撃から防御するという目的では十分であり、これからも依然として有効であるし、そのような機能しか必要としないサイトも少なくないだろう*3。元々、SSLはそういう目的で使用するものであり、実在証明は付加的な機能である。

では、どんな企業でもじゃんじゃん気軽にEV証明書を採用してよいものだろうか。次の例を検討してみたい。

図2は、ブログサービスの一つである﹁ドブログ﹂のユーザ登録の途中の画面である。SSLが使われており、https:// のページになっている。

ANSER WEBというASPサービスでインターネットバンキングを提供している金融機関が、EV証明書を導入した理由は、﹁NTT DATA CORPORATION﹂という社会的信頼の高い企業による運営であるという表示によって、利用者に本物サイトであることの確認手段を提供したことにあるのだから、これらの金融機関は、利用者が﹁NTT DATA CORPORATION﹂という名称さえ見てくれればいいことを前提としている。

しかし、もし、図3のように、ドブログのようなサイトでまで緑色で﹁NTT DATA CORPORATION﹂と表示されるような世の中になってしまったら、どうなのだろうか。

まず、少なくとも、EV証明書導入サイトがやってはいけないことがある。

もし、ドブログのユーザコンテンツ︵つまりブログ︶のページが、https:// でも表示できるようになっていたらどうか。どこの馬の骨ともわからない者によるコンテンツが、﹁NTT DATA CORPORATION﹂という緑色表示の下に表示されることになってしまう。これはまずいのではないか。

現在のところ、実際には、ドブログのユーザコンテンツを https:// で表示しようとアドレスバーの http を https に変えてアクセスしてみると、 http:// のページリダイレクトされるようになっていて、そのような表示は起きないようになっている。︵たまたまそうなっているのか、わかっていて対策されているのかはわからないが。︶

つまり、ブログサービスのようなサイトが EV SSLを導入するときは、ユーザコンテンツのページが EV SSLサイトとして表示されないようにするべきだ。

ドブログの場合は、ユーザコンテンツに対する制限が非常にキツく、HTMLタグは全く書けないタイプのようなので、閲覧者を誤解させるようなphishing的なコンテンツを作られることはないと思われるが、スタイルシートを自由に書けるタイプとか、<input>タグを書けるタイプとか、レンタルサーバのように自由にHTMLコンテンツを書けるタイプのサービスで、ユーザコンテンツが https:// で表示可能で、かつ、EV証明書で運用されているとしたら、それは脆弱性であると言ってよいと思う。*4

しばしば、﹁共用SSL﹂などとして、共同利用型のSSLサーバを提供しているレンタルサーバサービスを見かける︵たとえばこのサービスなど︶。レンタルサーバ会社が代表でサーバ証明書を取得して、コンテンツは利用者に自由に書かせるというものだ。もし、こういったSSLサーバで、EV証明書が使われるようになると、運営会社の信用を誰でも汚すことができるようになってしまう。このようなサービスにEV証明書を導入する意義はなく、避けるべきである。

さて、NTT DATA CORPORATIONの場合はどうだろうか。

インターネットバンキングサービスの﹁ANSER WEB﹂のサーバ証明書の詳細を見ると、組織の部門名︵OU︶が﹁ANSER2008﹂となっている*5。ANSER事業部なのだろう。ググって調べてみたところ、﹁決済ソリューション事業本部﹂がそれだろうか。一方、ドブログの https:// ページのサーバ証明書の部門名︵OU︶は、﹁Business Incubation Center﹂となっている。

加えて言えば、先月25日の日記に書いた、B-CAS社の個人情報登録サイトのSSL証明書も、﹁NTT DATA CORPORATION﹂だったわけだが、部門名︵OU︶は﹁Media Industry Business Unit﹂となっている。

まさか、NTTデータが﹁共用SSL﹂のレンタルサーバを運営することはないだろうとは思うけれど、社内的にそうした合意が取れているだろうか。上記の3つの社内組織は、互いに、サーバ証明書の取得にあたってコミュニケーションはとれているだろうか。

決済ソリューション事業本部としては、﹁NTT DATA CORPORATION﹂という緑表示を、信用のおけるサービスの印としてEV証明書を導入したのに、B-CAS関係のMedia Industry Business Unitが勝手にEV証明書を取得したら、さらには、ブログ運営のBusiness Incubation Centerが勝手にEV証明書を取得したら、その信用を下げることになる。

従来のSSLでは、会社名だけ見て判断することは普通なかった。﹁安全なWebサイト利用の鉄則﹂にもあるように、閲覧者は、ドメイン名を確認することがまず基本で、初めて訪れたサイトでドメイン名を知らない場合に限り、サーバ証明書の発行先を見るものだった。しかも、そのサーバ証明書の確認では、組織名と部門名と所在地を確認するものだった。ところが、EV証明書では、ブラウザが緑表示する会社名だけを見て判断することになる。

そのため、EV証明書の導入にあたっては、会社単位で管理するべきであると思う*6。従来のSSLでは、部門単位で勝手にサーバ証明書を取得することができたが、EV証明書の取得では、会社で唯一の管理部門の許可なくしては部門が勝手に取得できないようにするべきではないだろうか。

管理部門としては、自社名で運営するサービスのうち、最も信用の問われるサービスが何であるかを把握しておく︵たとえば金融サービス︶。そして、それとは段違いで信用性の低いサービス︵たとえばブログやレンタルサーバ︶に対してEV証明書の取得を許可しないよう、管理する。

それだけではない。巨大な企業︵NTTデータのように︶が多数の種々雑多なサービスでEV証明書を使用している場合、そのうち一か所にでもクロスサイトスクリプティング脆弱性が存在すると、同社の全サービスがphishingの危険にさらされることになる。

従来でも、phishing被害を防止するにはクロスサイトスクリプティング脆弱性がないように対策する必要があったが、それは同じドメイン名の下のサーバに対して求められることだった。これが、EV証明書がどこでも使われるようになると、企業名しか見られなくなるので、同じ企業名で運営している全部のサービスが影響される。

EV証明書を取得するということは、そのリスクを新たに抱えることであり、全社的なサービスの把握なしには安易に導入してはいけないのではないか。

もっとも、ANSER WEBのEV証明書を﹁NTT DATA CORPORATION﹂とせずに、各銀行の会社名にしていたならば、そのリスクは回避された。銀行がレンタルサーバやブログサービスを運営することはないのだから、銀行名でEV証明書を取得していれば、リスクは銀行サイト内で閉じたものになる。

ANSER WEBが銀行名ではなく﹁NTT DATA CORPORATION﹂でEV証明書を取得したことについて先月27日の日記では、﹁まあ、それでもいいかと思うようになった﹂﹁NTTデータは著名な会社であるし﹂と書いたが、やはり、これは愚かな行為であると思う。EV SSLの普及とともにNTTデータは重大な責任を負っていくことになる。もしくは、NTTデータはANSER WEB以外で一切EV証明書を採用しないよう全社的に管理することで、リスクの拡大を防ぐほかないだろう。

︵注記‥この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。︶

終わりの始まり

今年3月31日、NTTドコモのiモードが、契約者固有ID︵個体識別番号︶を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。



●重要なお知らせ:﹃iモードID﹄の提供開始について, NTTドコモ, 2008年2月28日  


ドコモは、お客様の利便性・満足の向上と、﹁iモード(R)﹂対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID﹃iモードID﹄︵以下、iモードID︶機能を提供いたします。

︵略︶

■お客様ご利用上の注意

・iモードID通知設定は、お客様の利便性を考慮し初期設定については﹁通知する﹂設定となっております。通知を希望されないお客様は﹁通知しない﹂に変更していただく必要があります。

 



これに気付いたのは予告が公表された翌週のこと。私は大きなショックを受けた。これまで、auのサブスクライバーID︵現在の呼称は﹁EZ番号﹂︶について問題があることを各方面に伝えてきたが、その拠り所の1つが﹁NTTドコモはやっていない﹂であったからだ。いろいろ考えてみたものの、もう何を言っても無駄であると悟った。

NTTドコモがそれまでそれをやらないできたのは、ちゃんと理由があってのことで、それは2001年の総務省の研究会﹁次世代移動体通信システム上のビジネスモデルに関する研究会﹂の議事録と報告書、パブリックコメントに記録が残っている。このことについては昨年の6月30日の日記でまとめている。



●﹁ガラパゴス携帯のパラダイス鎖国﹂をWebの技術面から見る, 2007年6月30日の日記  


当時は、IDを送信しているのはKDDIのauだけで、NTTドコモとJ-PHONE︵現在のソフトバンクモバイル︶は、公式サイトにしか送信しない策を講じていた。ジェイフォン東日本株式会社から提出されたパブリックコメントには、




ジェイフォン東日本株式会社

ユーザIDに関しては報告書︵案︶にも述べられているとおり、ユーザのプライバシーと密接な繋がりがあるため、その取り扱いについては十分慎重であるべき。現在、ドコモやJ-フォンが公式サイトに限ってユーザIDを提供しているのもそのためである。︵略︶

コンテンツ提供者自身はユーザIDを直接不当に利用するものではなくても、獲得したユーザIDを他者に転売するなどして利益を稼ごうとするものは存在しうるし、社員管理の徹底がなされていない企業では不心得な社員による情報の流失も十分想定される。

 


と書かれているし、2001年6月の研究会報告書は次の通り結論づけている。




ユーザＩＤそれ単体では個人を特定することはできないものの、ユーザ情報との紐付けを行うことで、悪意ある者がユーザの意向に反して個人情報を利用してプライバシーを侵害することも技術的には難しくないようで、ユーザＩＤを無差別に提供することの危険性も指摘されている。

このような機能と特性を持つユーザＩＤに関しては、ＮＴＴドコモやＪ−フォンが自らが採択した﹁公式﹂サイトのみにユーザＩＤを提供しているのに対し、ＫＤＤＩでは全てのコンテンツプロバイダに対して提供するなど、通信キャリア間で取扱いに差異があるのが現状である。また、最近では、ユーザの個別の同意確認をシステムに組み込み、端末製造番号をコンテンツプロバイダに送信する端末も出現している。

ユーザＩＤの取扱いについては、近年のモバイルインターネットの普及やIMT-2000 で期待されるビジネスモデルの高度化、多様化といった現状を踏まえる一方で、ユーザの利益を保護する観点から、個人情報保護のみならず﹁通信の秘密﹂確保という法益にも配慮し、ユーザＩＤの特性とユーザに及ぶリスクの可能性を十分に検討しなければならない。ユーザの同意のあり方を含めた、ユーザＩＤに係る取扱いルールを早急に確立する必要がある。 

﹁次世代移動体通信システム上のビジネスモデルに関する研究会﹂報告書, 総務省, 2001年6月  


この問題は、この研究会の後、結局議論が深まることはなく、事態にあまり変化のないまま時が過ぎていた。

それが、2007年になって転機が訪れた。総務省の﹁モバイルビジネス研究会﹂が、﹁ユーザIDの利活用の推進﹂を掲げたのである。



●モバイルビジネス研究会報告書︵案︶, 総務省, 2007年6月


ユーザーＩＤの利活用の推進 

︵略︶現在、通信事業者の公式サイトにおいては、携帯端末の端末認識番号をユーザーＩＤとして利用して利用者の認証を行い、課金等を行っている場合が多い。この仕組みは利用者側からみればＩＤの入力を省略でき、利便性が高いものである。しかし、端末認識番号は各事業者が携帯端末の利用者を認識するために割り当てている番号であり、利用者が事業者を変更すると、番号ポータビリティが実現している電気通信番号︵電話番号︶とは異なり、端末認証番号は変更される状況にある。また、各事業者ごとに端末認識番号を利用できるサイトの運用基準が異なっている。

このため、コンテンツプロバイダは、利用者が通信事業者を変更するとＩＤが変更されて認証ができなくなる等、必ずしもオープンな環境が実現していない。また、一般に利用者が公式サイト上のコンテンツプロバイダから有料コンテンツの提供を受ける場合、利用者、コンテンツプロバイダ、通信事業者の3者間の契約となる旨が各通信事業者の契約約款で規定されている。このため、利用者が通信事業者の変更を行うと、利用者とコンテンツプロバイダとの間の契約も自動的に解約され、新たに契約を締結することが必要となっている。

したがって、ＩＤポータビリティを実現するため、研究開発や標準化を含む技術的な観点からの検討に加え、ＩＤポータビリティを利用した様々なサービスが創出されることから, 費用面・制度面からの検討を同時並行的に進め、２０１０年の時点で実現する方向で結論を得ることが望ましい。その際、ＳＩＭカードを携帯端末に限らず広くネットワークに接続される多様な端末において、ユーザーＩＤを認証するためのツールとして活用することについても具体的な検討を進めていくことが適当である。  



この研究会報告書案には、IDを勝手サイトにまで送信するようにするとは書かれていない。あくまでも、ナンバーポータビリティの延長として、IDもポータブルにする︵携帯電話会社を変更しても、IDがそのまま使えるようにする︶ということを提言しているだけになっている。

2001年の研究会のときは、﹁NTTドコモがIDを公式サイトにしか送信しないのは、囲い込みがしたいだけではないか﹂という声もあったらしい。それに対して、2007年のモバイルビジネス研究会は、今度こそ囲い込みを排して競争を促そうという狙いになっていると聞く。たしかに、2001年のときには、NTTドコモがプライバシーを盾に囲い込みを維持するという面もあったのかもしれない。しかし、上記のようにジェイフォン東日本もそのプライバシー上の問題を指摘していたわけであり、問題の所在は現在においても同じである。

この研究会報告書案のパブリックコメント募集に対して、産業技術総合研究所情報セキュリティ研究センターが次の意見を提出した。この意見は、報告書案の方針に反するものではなく、むしろその方針を補強するための提案になっている。



●﹁モバイルビジネス研究会﹂報告書案に対する意見  , 産業技術総合研究所情報セキュリティ研究センター, 2007年7月31日  


意見の概要

(1) ユーザIDの利活用の推進にあたっては、平成13年6月に総務省から公表された﹁次世代移動体通信システム上のビジネスモデルに関する研究会﹂報告書で指摘されているプライバシー上の懸念に配慮する必要があることを明記するべきである。 

(2) そのプライバシー懸念を払拭しながら同時にユーザIDの利活用を実現するために、︵運用方針による回避ではなく︶技術的手段による抜本的な解決策を模索するべきである。

(3) その技術的解決手段を実現可能とするために、各通信事業者は、WebのHTTP通信においてcookie機能に対応するべきである。

︵本文略︶  



しかし、総務省の﹁報告書案に対する意見招請の結果及びこれに対する考え方﹂を見ると、この意見に対しては﹁☆︵今後の検討に当たって参考又は留意すべきご意見 ︶﹂とマークされただけで説明はなく、最終報告書に何ら反映されないという結果になった。

このとき嫌な予感がした。(3)の意見はすぐに受け入れられないにしても、(1)の意見は、総務省自身による過去の報告書を踏まえるようにというものなのだから、これに応じることは本来自然なことであるはずであり、それに応じないということは、それをやりたくないという意思が隠れているように感じられた。

これはまずいと思っていたところ、日経デジタルコアの11月の勉強会で、モバイルビジネス研究会の担当課長である谷脇康彦氏の講演があるというので、これに出席して、私が懸念することを直接述べた。

その時点では、さすがにIDを勝手サイトにまで送信するようにするわけではないだろうと、あまり心配してはいなかった。IDの統一化は長期的な話であり、そのときまでに考慮してもらえばいいと思っていた。

それが、3月になって突如、NTTドコモが契約者固有IDを全サイトにデフォルトで送信することに決定したというのを知り、呆然としたのであった。

青少年ネット規制対抗策としてのID送信

4月になって、もうひとつ驚いたことがあった。3月28日から、イー・モバイルが音声通話サービスを開始したのだが、それと同時に﹁EMnet﹂というサービスが開始された。ケータイWatchの記事では、﹁携帯向けインターネットサービス﹂、﹁iモードやEZweb、Yahoo!ケータイにあたるもの﹂と形容されている。このEMnetを契約して︵接続先をEMnetに設定して︶いると、Windows MobileのInternet Explorerでアクセスした際に、全てのWebサイトに対して、契約者固有IDをHTTPのリクエストに独自ヘッダ﹁x-em-uid﹂として送信するようになっていたのである。

このことは、イー・モバイルの技術情報のページに書かれているし、実際に、EMONSTERを買って試してみたところ、送信されていることを確認できた。




ユーザID

HTTPリクエストヘッダの﹁x-em-uid﹂を取得することで、EMnet対応端末から通知されるユニークなユーザIDを確認できます。

フォーマットは、"u"から始まる18Byteの文字列になります。

ユーザIDはユーザの操作によって通知を停止することが可能です。その場合、本拡張ヘッダは付加されません。

※初期設定は﹁通知する﹂になっています。

 技術情報, イー・モバイル  


どうやら、平成19年度中という区切りで、契約者固有IDの全サイトへの送信というのが、﹁日本のケータイWeb﹂の﹁標準仕様﹂となったようだ。

これが総務省の公開されていない方針に基づくものであるかどうかは知らない。何をもって﹁ケータイWeb﹂であるのか、その定義が存在するのかわからないが、とにかく、NTTドコモの﹁iモード﹂、auの﹁EZweb﹂、ソフトバンクモバイルのWeb、イー・モバイルの﹁EMnet﹂のいずれも、契約者固有IDをHTTPのヘッダに載せて全サイトに送信するようになった。

なぜこの時期にこのような展開になったのか。2001年当時の議論では、勝手サイトでも課金を利用したいという、モバイルコンテンツ業界からの要請によるものであったようだが、その後その声はあまり聞かれなくなり、この時期になって急にこうなるというのは、どうも解せない。

ここでピンと来たのが、2月にある人物から相談を受けていたことだ。﹁青少年ネット規制について高木さんはどう思うか﹂という相談を受けたのだが、正直、青少年ネット規制のあり方には、これといって考えがなかったので、あまりたいした意見を述べることができなかったのだが、﹁なぜ私に聞くのか﹂という違和感を覚えていた。その疑問が、次の記事を読んで氷解した。



●劣勢に立つコンテンツ業界を救う手はあるか・MCF岸原事務局長に聞く, ガ島流ネット社会学, 藤代裕之, 2008年3月14日  


総務省主導で導入に動き出した未成年者向けの携帯フィルタリング。ユーザーの閲覧自由を奪う、コンテンツ産業の振興を阻害するといった意見はあるものの、﹁ネット・携帯の闇から子供たちを守れ﹂という声に押されて議論が賛否に単純化されている感がある。また、フィルタリングや有害コンテンツ対応に関わる人々の思惑が複雑に絡み合っていることも理解を難しくしている。︵ガ島流ネット社会学︶

︵略︶

第三者機関は、サイトの審査、定期的なチェック、教育プログラムの開発の3つを担う。気になる、サイトの審査はどのようなものになるのか。

﹁サイトにあるコンテンツの健全性・有害性そのものを判断するのではなく、監視制度、教育などサイトを健全化させる仕組みがあるか、取り組みが行われているかどうかを判断することになる。ISOやプライバシーマークと似た仕組みと考えてもらえれば分かりやすいのではないか﹂

携帯電話のユーザーIDを利用した年齢の確認、悪質なユーザーへのコミュニティーサイトからの締め出しなども検討している。  



﹁なるほどそういうことか。﹂と理解した。つまり、悪質なユーザを締め出すために、契約者固有IDの勝手サイトへの送信を必要としているわけだ。

このことは、5月28日の日経デジタルコアの討論会﹁民間主導によるネット有害情報への取り組み﹂を聴講して明確になった。配布資料には次のように書かれている。




健全コミュニティ検討WG︵準備委員会︶での検討状況

︵略︶

フェーズ1

・サイト管理領域でサイト認証基準を策定するとともに、啓発・教育プログラム策定WGと連携して活動を実施する。

フェーズ2

・個別サイトごとの取り組みに加え、共同監視プログラム︵例‥悪質ユーザーのブラックリストの管理︶の導入を検討する。︵略︶

 認証基準︵案︶の主要項目



●︵略︶  
●悪質ユーザーへの注意警告制度・ペナルティ制度・強制退会処分の整備  
●ユーザーとの協力関係による通報制度の運用  
●︵略︶  
●不適切書き込み事前掲載防止システムの整備  
●不適切書き込み事後確認・削除フローの整備  
●不適切書き込みに対する削除所要時間  
●書き込みログの一定期間の保存  


モバイルコンテンツ審査・運用監視機構が考える青少年保護施策について, モバイルコンテンツ審査・運用監視機構  


講演者の岸原孝昌氏は、この部分の説明で、﹁ドコモも3月からユーザIDを取れるようになりましたし﹂と発言し、また、﹁認定サイトではユーザIDを取ることを義務化する﹂とも説明していた。*2

つまり、これは、一定の基準を満たす﹁健全コミュニティサイト﹂というものを認定して、青少年保護のコンテンツフィルタリングの対象から、明示的に外してもらえるようにしようという計画のようだ。*3

これは良い方策だと私は思う。

フィルタリングでコミュニティサイトを丸ごと見えなくするような施策を国会議員から強制されてしまう前に、健全な書き込みからなるコミュニティサイトを実現できるようにするというのは、とても良い考えだと思う。

私は、以前から小倉秀夫弁護士が主張していたような﹁全てのサイトを実名制にする﹂という考えには賛成しないが、﹁全てのサイトで2ちゃんねる的な匿名のノリを理解せよ﹂という意見にも賛成しない。2ちゃんねる的な匿名を極めたコミュニティも、匿名を排した実名前提のコミュニティも、両方存在して使い分けられるようになるのがいいと以前から思っている。匿名・顕名には様々なレベルがあり、表示上の匿名・顕名、ログ上の匿名・顕名もいろいろな組み合わせがあるだろう。

そんな中で、青少年に限って、デフォルト設定で︵親の許しがない限り︶、匿名性のないコミュニティサイトにしかアクセスできないようにするというのは、良い落しどころではないかと思う。

しかし、問題はその実現手段である。

たしかに、携帯電話のWebでは、Webサイト側で、IPアドレスで書き込み者を区別することができないという問題がある。通常のインターネットのWebならば、アクセス元IPアドレスと時刻の情報でISPに開示請求すれば契約者を突き止めることができるが、携帯電話のWebでは、アクセスが携帯電話会社のゲートウェイを介して来るため、ゲートウェイが匿名化Proxyのようになってしまっている。犯罪的な書き込みがあったときに、犯人を突き止めるために、﹁何時何分何秒にこの書き込みをした人は誰か﹂と、携帯電話会社に開示請求しても、携帯電話会社がPOSTアクセスの送信データ本体をログに記録していなければ、時刻とURLだけを頼りにどの契約者なのかを判別するほかなく、時刻が1秒でもずれていたら犯人を正確に特定できなくなってしまう場合も生じ得ると思われる。通信の秘密の原則からして、電気通信事業者がPOSTのデータ本体を記録してよいとも思えない。

その理由からも、HTTPのリクエストヘッダに何らかの識別情報を送信する必要性があるのはわかる。ProxyサーバがX-Forwarded-Forヘッダを付加して中継するのと同様に。

ただ、その目的のためであれば、常時同じIDを送信することは必要ではないことに留意しておきたい。例えば、︵IPアドレスと同様に︶何日かで変わるランダムなIDを送信するようにして、携帯電話会社側でそのIDと時刻から契約者を特定できるログを保管しておけば、十分その目的を達成できる。固有ID送信によるプライバシー問題の発生を回避しながら、犯罪的書き込み者等の追跡を可能にすることは、両立できる。︵PCから利用する通常のインターネットではそうなっている。︶

にもかかわらず、契約者固有IDを直接使うというのは、別の目的、つまり、悪質なユーザを締め出すという目的があるからであろう。

通常のインターネットでは、悪質なユーザの締め出しが困難である。コミュニティサイトをユーザ登録制にしても、新規登録を繰り返し行われたら、何度でも悪質なユーザが名前を変えて再びやってくる。

これを排除するには、韓国のように、コミュニティサイトでのユーザ登録時に住民登録番号︵日本ならば住民票番号︶を入力させ、他人の番号を使ってなりすましする者には刑事罰を科すという方法があるが、日本では実現できないだろう。

その目的のために、携帯電話の契約者固有IDを使うというのは、そこそこ有効だと考えられる。もちろん携帯電話を新たに契約すれば別のIDを使うことができてしまうが、青少年にとって携帯電話を再契約することのハードルは高いため、青少年のためのコミュニティサイトにおける健全性維持の目的であれば、そこそこ機能すると思われる。

ユーザの希望で契約者固有IDを変更することができるかどうか、各社のサポートセンターに問い合わせてみたところ、au以外は基本的に変更できないとの回答だった。



NTTドコモ  
iモードIDは﹁基本的にお客様にずっと通して使って頂くもの﹂とのことで、ID変更手続きは存在しない。ただし、電話番号の変更手続きをするとiモードIDも変更されるとのこと。  
KDDI au  
EZwebサービスの利用を﹁廃止﹂して、同サービスの﹁再追加﹂を行うと、EZ番号は新しいものが割り当てられる。廃止に1時間、再追加に1時間かかり、計2時間ほどメール等が受信できなくなる。メールアドレスも新しいものが割り当てられるが、1つ前のメールアドレスに戻すことができるので、2時間の空白を気にしなければ、同じメールアドレスを維持できる。ただし、1日1回までしかできない。IDが変更されることで、有料コンテンツは一旦すべて退会となる。未受信のメールは消える。お財布ケータイに不具合が生じるかもしれない、とのこと。  
ソフトバンクモバイル  
変更できない。電話番号を変更する手続きをとってもIDは変更されない。SIMカードの再発行手続きをすれば変更されるが、紛失した場合など限られた事情があるときにしか応じていない。  
イー・モバイル  
変更できない。迷惑電話など事情により電話番号を変更することはできるが、電話番号を変えてもIDは変更されない。SIMカードを交換すると番号が変わるが、紛失時にしか交換しない。交換手数料は2100円。  


EZweb開始当初からIDを送信していたauは、上記のように容易にIDの変更が可能であるが、最近になってIDの送信を始めた各事業者では、ID変更のハードルが高くされている。もしこれが、青少年ネット規制対抗策として位置づけられた施策であるならば、auも近いうちに、EZ番号の変更をできなくしてしまうのではないだろうか。︵EZwebを廃止して再追加しても前のEZ番号が割り当てられるようになる。︶

もちろん、この目的のためであっても、全てのサイトで共通のIDを送信することは必要ではない。例えば、アクセス先のサイト︵ドメイン名またはホスト名︶ごとに異なるIDが送信されるという仕組みでも、悪質ユーザの排除には役立つだろう。ある日サイトAで出入り禁止になった青少年が、サイトBでも同時に出入り禁止になるというのは、あまり良いやり方だとは思わない。悪質ユーザ認定は、サイトごとに独立していた方がいいと思う。

しかし、サイトごとに別々のユーザIDを送信するという仕組みを、携帯電話会社のゲートウェイに作り込むというのは、技術的な理由から、すぐにできることではないのだろうと思う。

なにしろ、青少年ネット規制の話は、国会議員らによって性急にもたらされたものだ。当初は極めて強い規制がかけられそうになったわけで、それに抵抗する一つの方法が、民間による自主的な取組みを進めることだったのだろう。このような国会情勢から、悪質ユーザの排斥は今すぐにでも実現できる必要があったのだと思われる。*4。

したがって、すぐに簡単に実現できる、契約者固有IDを全てのWebサイトに送信するという仕組みの導入は、たとえプライバシー上の問題が生ずるとしても、やむを得ない選択だったのではないだろうか。

既に、iモードIDを活用するケータイサイトが続々登場しているようで、今後、iモードIDの送信を止めると使えなくなるサイトが増えていくと思われる。

契約者固有ID送信時代の安全なケータイWeb利用リテラシ

auなど一部の事業者だけが送信していたときは、﹁これは脆弱性であり廃止されるべき機能である﹂という立場をとっていたが、今年からとうとう各社横並びの標準仕様となってしまったので、私としては立場を変えざるを得ない。

契約者固有IDを全サイトに送信するのが標準仕様である﹁ケータイWeb﹂においては、次の通り使い方に注意する必要がある旨、情報セキュリティを専門とする者として一般利用者へ勧告したい。



●ケータイWebにおいては、絶対に住所氏名を入力しない。  

●商品配送先として住所氏名の入力が必要となるネットショップは利用しない。︵着メロ等のダウンロード購入のように、住所氏名を送信する必要のないショッピングしかしないようにする。︶  
●どうしても物を買いたいときは、携帯電話会社が運営するショップを使う。︵携帯電話会社は、ユーザIDを流用することはないので。︶  

●ケータイWebにおいては、完全に匿名で使うことを覚悟するか、又は、常に非匿名であることを前提に行動する。  

●匿名を選択する場合は、自分が誰であるかわかるようなことを、どのサイトでも明らかにしないようにする。  
●非匿名を選択する場合は、自分が誰であるかはどのサイトでも知られ得ると覚悟して、それでもかまわない行動しかとらないようにする。  



PCから使う通常のインターネットなら、GoogleやYahoo!で検索して見つけた、初めて訪れるネットショップで、いきなり買い物をする︵代引き等で︶というのも、そこそこ普通のことである。商品の送付先として住所氏名を入力するわけだが、仮にそのネットショップの信頼性が低いものだったとしても、単に住所氏名を渡すことくらい、たとえ名簿に記載されて販売されようと、それだけなら問題がないという判断もあり得る。実際、私も、3年前に東京に引っ越した際には、かなりの数の見知らぬネットショップをWeb検索で見つけて利用した。

しかし、ケータイWebではそうはいかない。住所氏名を送信する際に、同時に携帯電話の契約者固有IDも送信してしまう。当該サイトの信頼性が低い場合、その固有IDの契約者が誰であるか、住所氏名とひもづけられて記録され、第三者に販売されるおそれがある。ひとたびそうなってしまうと、別のサイトを訪れても、訪れただけで、住所氏名を特定されてしまう︵そのサイトがその名簿を購入している場合︶。このような事態は、PCから使う通常のインターネットでは起こり得ない。IPアドレスは固定ではないからだ。

PCから使う通常のインターネットでは、匿名で使うサイトと、顕名で使うサイトの両方を利用することができた。SNSやblogでは名前を明らかにして活動し、掲示板では匿名で活動するということが安心してできた。︵警察の取り調べが入るような犯罪的行為をしない限り。︶

ケータイWebではそうはいかない、どこかのサイトで匿名で行動したいと思うなら、他のどのサイトでもずっと匿名のまま使うように気をつけないといけない。どこかに明かした個人的な情報は、契約者固有IDと紐付けられて他のサイトで共有され得る。逆に、どこかのサイトで自分が誰か明かして行動したいなら、他のどのサイトでも自分が誰かは知られていると覚悟の上で行動しなくてはならない。匿名で使うことを選択したなら、ネットショップを使うわけにはいかない。

契約者固有IDの全サイト送信は、このように、ユーザの利用行動を制限せざるを得ないものである。

とはいえ、ケータイWebをPCほど積極的に使っていないユーザ層にとっては、元々そのような行動をとっていたのではないか。少なくとも私はそうだ。ケータイWebで使っているのは、ごく少数の着メロサイトと、銀行、NAVITIME、交通情報通知サービス、都バスの運行情報サイト、2ちゃんねる掲示板の一部スレッドの閲覧、はてなブックマークのホッテントリの閲覧などに限られ、いずれもブックマークから直接訪れて閲覧し、そのリンク先の外部サイトまで訪れることはほとんどないし、Web検索で新たなサイトを探すことはしていない。この使い方は、上記の﹁安全なケータイWeb利用﹂の要件を満たしている。上記に加えてmixiを使っている場合でも︵外部サイトまで行かないようにしていれば︶要件を満たす。そのようなユーザにとっては、これまで通りにしている限り、おそらく問題は起きない。

しかし、一昨年のauとGoogleの提携に端を発して、ケータイWebでもWeb検索を活用する動きが活発になった。ソフトバンクモバイルなどは、ケータイWebのビジネスをPC同様の広告モデルで成功させると予告していた。今後ケータイWebもPCと同様のスタイルで使われるようになっていくだろうと言われていた。

そんな折に、契約者固有IDの全サイト送信を全キャリアが足並みを揃えて開始したことは、そうしたPC流の利用形態の普及にとって足かせとなるであろう。業界が自ら首を絞めたと言えるが、それは業界自身が選択したことなのだから仕方がない。私としては、ケータイWebビジネスの健全な発展、つまり、PCから使う普通のインターネットと同様の発展を願って、契約者固有IDの全サイト送信はやってはいけないと啓蒙してきたつもりだったが、業界がそれを選択した。たとえネットショップの新規参入が阻害されようとも、青少年ネット規制で魔法のiランドやモバゲータウン等を潰されてしまうのを避けることの方が優先されたということなのだろう。

3月にNTTドコモがiモードIDの送信を開始する直前、日経新聞が次のように報じていた。



●ドコモ、携帯電話の﹁識別番号﹂・コンテンツ会社に通知, 日本経済新聞 2008年3月30日朝刊  


ＮＴＴドコモは31日から携帯電話の﹁識別番号﹂をコンテンツ会社に通知するサービスを開始する。コンテンツ会社は識別番号を活用し、携帯でサイトを閲覧した履歴などが把握できるようになる。利用者の特性に応じた広告を提供することができるなど、携帯向けのネットサービスを活発にするのが狙い。

ドコモがコンテンツ会社に情報提供するのは、携帯の電話番号ごとに付与される﹁ｉモードＩＤ﹂と呼ばれる識別番号。電話番号とは異なる英数字の組み合わせで構成。﹁氏名やメールアドレスは含まれておらず、個人情報開示には当たらない﹂︵ドコモ︶という。  



ドコモからの﹁重要なお知らせ﹂では、導入の目的が﹁お客様利便性の向上﹂﹁特別な操作をすることなくカスタマイズされたページを表示することができるようになります﹂として、耳障りのよい話だけで説明されていたが、日経新聞が言うように、裏の目的には、広告会社に便宜をはかることがある。翌々日には、日経新聞は次の報道もしていた。*5



●エイチエム、利用者好みの広告配信・携帯向け参入, 日本経済新聞 2008年4月1日 朝刊  


インターネット広告配信のエイチエムシステムズ︵略︶は携帯電話のサイト閲覧履歴を分析し、利用者の興味に合った広告を配信するサービスを始める。履歴を把握するのに必要な携帯端末の識別番号をＮＴＴドコモが3月31日から携帯関連事業者に公開したのに対応する。︵略︶

エイチエムが4月中をメドに参入するのは﹁行動ターゲティング﹂と呼ばれる広告市場。サイト別の履歴情報を収集して利用者の興味にあった広告を配信するシステムを自社開発した。まず百サイトと提携する。  



ここで重要なのは、これらのケータイWeb向けのバナー広告会社は、サイト横断的に閲覧者の行動履歴を取得できてしまうという点である。

バナー広告の貼られたWebページを閲覧すると、同時に、広告会社のサーバにもアクセスすることになる。これは、埋め込まれている広告画像をダウンロードするために発生する。そして、その広告会社のサーバへのアクセスには、契約者固有ID︵個体識別番号︶が送信されることになる。したがって、あちこちのWebサイトに同じ広告会社のバナー広告が貼られている状況になると、同じ人物がどのWebサイトを何時何分に訪れたかを広告会社が把握できるようになってしまう。﹁行動ターゲティング広告﹂とは、消費者がどんなWebサイトを閲覧しているかの行動を分析することで、それに合った広告を表示しようとするものである。

しかも、契約者固有IDは全てのWebサイトに同じ番号が送信されているのだから、通販サイトや、懸賞サイト、アンケートサイトなど、どこかのサイトで住所や氏名を入力すると、そのIDの人がどこの誰であるかが紐付けられることになる。

もし、広告会社が、各IDの人のWeb閲覧履歴情報を他社に販売するような事態になると、その情報を購入したWebサイト運営者は、自分のサイトに来た人がどんな行動をしている人か把握できるようになる。また、自分のサイトに入力される住所氏名によって、どこの誰がどんな行動をしているかを把握できるようになる。

日本の法律ではこういった行為が明確に禁止されていない。日経新聞の記事でNTTドコモが言っているように、契約者固有IDが個人情報保護法の言う個人情報に該当しないのであれば、広告会社が﹁各IDの人のWeb閲覧履歴情報を他社に販売する﹂行為は合法ということになってしまう。

NTTドコモのサポートセンターが言うように、iモードIDが﹁基本的にお客様にずっと通して使って頂くもの﹂であるなら、何年、何十年にも渡って行動履歴が蓄積される。しばらくの間は匿名のままでいられるかもしれないが、いずれ、それが誰であったか紐付けられる日が来ると、過去に遡って何年、何十年もの行動が自分のものだと特定されてしまう。

﹁自分の趣味に合ったダイレクトメールが郵送されてくることくらい気にならない﹂という人もいるだろうけれども、こうした﹁行動ターゲティング﹂は、必ずしも真っ当な事業者だけが行うとは限らない。たとえば、ヤミ金融業者や、悪質リフォーム業者、架空請求詐欺団などは、弱者を求めてカモリストを欲しがっており、ケータイWebの閲覧行動履歴は、そうした業者にも活用されてしまうだろう。

そうした被害に遭わないためには、上記の﹁安全なケータイWeb利用リテラシ﹂が必要になる。

日本のインターネットが終了する日

個人的には、ケータイWebが不自由なものになろうとも、私は気にならない。ケータイWebはごく限られたところしか使っていないからだ。Web検索が付いて、広告も発展し、PCに近づきつつあるケータイWebであるが、契約者固有IDが全サイトに送信される以上、今後もごく限られたところしか使わないつもりだ。

しかし、この調子で進むと、最悪のシナリオが訪れるおそれがある。

当面、ケータイWebにおける青少年保護は、契約者固有IDを用いた悪質ユーザの排斥によって、健全コミュニティサイトを育むことができ、一定の成功を収めるであろう。しかし、何年か後には、携帯電話デバイスが進化し、PC並みの性能とソフトウェアを備えるのが普通になっていくと考えられる。また、PCも小型化して、携帯電話並みに持ち歩いて利用するのが普通になっていくだろう。ケータイとPCの区別がなくなり、青少年もPCでコミュニケーションするのが普通となるときがやってくる。

すると、いずれ、健全コミュニティサイトのモデルが立ち行かなくなるときがやってくる。なぜなら、PCから利用する通常のインターネットには﹁契約者固有ID﹂が存在しないからだ。再び、青少年保護を目的としたインターネット規制が叫ばれるようになり、PCもケータイWebと同じ仕組みを導入するよう、議員立法で義務づけられてしまうかもしれない。

PCに対する法規制は既に始まりそうな様子がある。国会で審議された青少年ネット規制法案では、フィルタリングソフトのプリインストールをPC販売者に義務付ける案が急浮上したと伝えられている。*6



●サイト規制‥﹁有害﹂民間が判断…自民と民主が法案合意, 毎日新聞, 2008年6月2日  


法案は携帯電話会社に対し、子供がネットで有害情報を閲覧できないようにするフィルタリング︵閲覧制限︶サービスの提供を義務づける。パソコンメーカーには、フィルタリングソフトの組み込みを義務づける。  



この調子で、何年か後には、﹁PCもケータイWeb同様に固有IDの送信を義務づける﹂という法案が浮上するかもしれない。*7

そんな法案が出そうになったとき、私たちは、ちゃんとくい止めることができるだろうか。

﹁PCもケータイ同様に!﹂という勢力に対して、ID送信の何が問題で、どうしてインターネットではそれをやってはいけないのか、いつでもすぐに30秒で説明できるよう、構えておかないといけない。

こういうとき、私たちのインターネットの自由を守る代弁者として、村井純先生にご登場願いたいところであるが、村井先生は、RFIDを推進するAuto-ID Lab. Japanを率いておられる関係上、固有IDは問題ないとするお立場かもしれない。

先月の白浜シンポジウムのナイトセッションで︵私は登壇させられたのだが︶、岡村久道先生から、ちょうどその日に青少年ネット規制法案が衆議院を通過したとの紹介があったため、私は、契約者固有IDの全サイト送信と青少年ネット規制との関係についての話題を持ち出した。すると、会場からこういうことを言い出した人がいた。

﹁銀行の口座だって名寄せされているんですよ。複数の口座を持っていても住所氏名で名寄せして1人の情報として役所に報告しているんです。﹂

そんなことは誰でも知っているわけだが、その発言者は得意げだった。WebのID送信の話をしているのに、銀行口座の名寄せの話など何の関係もない。IDの話をしただけで全否定してしまう人が今もいるようだ。これは、6年前の住基ネット反対運動で﹁牛は10桁、人は11桁﹂などという愚かなキャンペーンがはられたことの弊害だろう。IDの問題を語る者がすべて櫻井よしこレベルだと混同して、個別の問題を検討しようとしない人がいる。重要なのは、IDがどのように使われ得るかの個別の検討であって、IDが付くことではない。

その人は続けて、﹁IPv6だって、MACアドレスを含むIPアドレスが一人一人に付き、アクセス先に通知されるようになるんです﹂とも言った。それは生半可な知識に基づく誤った理解だ。まさにそういう設計はプライバシー上許されない欠陥であるとして、1999年に批判が巻き起こり、RFC 3041という解決策が作られて、そうはなっていない。︵詳しくは後述。︶

また、その後の二次会の席で、﹁cookieと同じでしょ﹂などという人もいた。その認識も技術的に明らかな誤りである。︵詳しくは後述。︶

こんなふうに、白浜シンポジウムに出席するようなセキュリティ関係者にさえ﹁IPv6だって……﹂﹁cookieだって……﹂などと言い出す人がいるような状況では、日本のインターネットをケータイWebと同様にする議員立法の動きがもし始まったら、もう止めることはできないのではないかと不安になる。

白浜シンポジウムのナイトセッションでも、﹁私はこうしてこの問題についてずっと言い続けてきたけど、もっと他の人たちも声を出してくださいよ﹂と訴えた。

まずは、すべての関係者にこの固有IDの問題を正しく理解してもらいたい。私はなにも、ケータイWebでID送信を開始したことに反対しているわけではない。冒頭に書いたように、青少年ネット規制対応のためには避けられないことだったと理解するし、限られた使われ方しかしないケータイWebでなら概ねあり得る選択かなと理解する。それなのに、この問題について語っただけで、反発する人がいる。そういう人は、反発するが故に、問題自体が存在しないと主張する。それが危険だ。

問題の存在を理解した上で最終設計を選択するならよいが、設計が先にあってそれに不都合な問題には目を瞑るという態度は危険だ。より良い︵問題の小さい︶設計が存在しても、それに気付かなくなってしまう。

固有IDの全サイト送信という携帯電話のやり方は、冒頭にも書いたように、必然ではない。ドコモのiモードがcookieをサポートしてさえいれば、他にいろいろなやり方があっただろうが、すぐにそれを導入することは難しいという、やむを得ない事情があったための選択にすぎない。PCの普通のインターネットにはそういう制限がないのだから、他の方法がいろいろ考えられる。プライバシーの問題を生じさせない手段で、健全コミュニティサイトも維持するという、両立させる手段はある。

たとえば、OpenIDや、Liberty Allianceなどの標準的なID連携技術を用いて、健全コミュニティサイト間を連携するログイン環境を構築しておくという実現手段も考えられるだろう。

ただ、誰がそれを準備するのかという問題がある。ビジネスとしてまわるものでなければ、誰も準備する気にならないかもしれない。ボヤボヤしている間に、ケータイとPCの垣根が崩れてきて、青少年ネット規制の機運が再び性急に浮上し、﹁これから設計して構築します﹂などという意見が通らない情勢になってしまうかもしれない。

あまり高度な仕組みを作ろうとすると実現しなかったりするので、もっと単純化した落とし所を考えておくのも重要かもしれない。たとえば、フィルタリング事業者が、Proxyサーバでフィルタリングサービスを提供している場合に、認証付きProxyとした上で、ホワイトリストでフィルタリングから除外する健全コミュニティサイトに対してだけ、ユーザIDを送信するというアイデアが考えられる。大人も、そういった健全コミュニティを利用したい人は、当該サイトへのアクセスについてだけ、そのProxy経由でアクセスするようにブラウザを設定して使うことになる。Proxyによるフィルタリングサービスがビジネスとしてまわるのであれば、このユーザID付加機能もいっしょに実現できるのではないだろうか。

こうしたアーキテクチャ設計を今のうちにやっておかないと、問題が顕在化してからでは遅い。

注視しておかないといけないのは、冒頭で参照した総務省モバイルビジネス研究会の、谷脇康彦課長の動向である。モバイルビジネス研究会の報告書には全サイトID送信をするとは書かれていなかったが、5月に出版された谷脇氏の著書﹁世界一不思議な日本のケータイ﹂︵インプレスR&D︶には次のように書かれている点が気がかりだ。




IDポータビリティーとは何か

︵略︶しかし、ユビキタスネットワーク化が進展する中、1回のユーザー認証で複数のコンテンツやネットワークを利用できるとすれば、利用者はもっと便利になる。特に共通のユーザーIDによって異なるネットワーク上においてもシームレスに認証を可能とする仕組み、つまりIDポータビリティーが実現すれば、新しいビジネスの登場も可能性として出てくる。

︵略︶個人のID情報は、あくまで携帯会社が格納して厳重に管理し、その個人の承諾なく部外の利用を許すことは個人情報保護法に違反する行為となる。しかし、個人の承諾を得て、そのIDに紐付けられた年齢や性別などの属性情報を一定の基準を満たしているコンテンツプロバイダーに提供する仕組みが確立されたら、何ができるようになるだろうか。

 広告ビジネスにもメリットがある情報のタグ化

︵略︶タグ情報自体が結びついて、このコンテンツにアクセスした利用者は別のコンテンツにも興味があるといったことも把握しやすくなる。いわゆるセマンティック・ウェブ︵semantic web︶と呼ばれる世界で、情報のタグ化とID情報を組み合わせると、コンテンツプロバイダーは特定の顧客グループをターゲットにしたコンテンツの販売が従来以上に容易になるだろう。

ネット広告の分野でも、こうした情報タグとID情報を組み合わせて、広告の訴求効果を詳細に分析し、効果的なスポット広告を展開するといったことも可能になる。

︵略︶モバイル広告やモバイル検索広告が急速に拡大してくる可能性がある。その意味でもIDポータビリティーの実現は、重要な課題になってくる。

︵略︶クッキーなどを使ってこれらの情報を記憶させておくことも可能だが、これからのシームレスネットワークの時代にはもう一歩先を見越して、固定系であれ移動系であれ、ネットに接続した瞬間に同じ作業環境を実現させて作業を再開するといったことも求められるようになるだろう。

 世界一不思議な日本のケータイ, 谷脇康彦, インプレスR&D, p.184より  


90年代末にインターネットを舞台に言われていたような構想が、再びこんなふうに語られている。Intel社がPentium IIIにプロセッサシリアル番号︵PSN︶を搭載して﹁電子商取引に活用してください﹂と提案したのが、消費者団体の反対運動を招き、Pentiumの不買運動にまで発展したのは1999年のことだった。日本のケータイWebが今やっていることは、まさにIntelがPCの世界でやろうとして潰されたことである。*8

携帯電話のネットはどうぞご自由になさったら結構でしょう。でも、僕らの自由なインターネットまで同じようにされたのではたまったものではない。

固有IDの全サイト送信というアーキテクチャは、韓国の、掲示板の利用に住民登録番号を登録させる設計よりも粗悪な選択だ。

日本の消費者は欧米と違って反対運動をしない。嫌なことは嫌だとちゃんと普段から声をあげるようにしていないと、ある日突然、議員立法で日本だけインターネットの世界を変えられてしまうかもしれない。

︵おわり︶

補足

固有IDの全サイト送信がなぜいけないのか、この日記の読者なら既に理解されているところと思われるが、白浜シンポジウムの二次会で﹁cookieと同じ﹂と言った人はセキュリティ専門家の方だっただけに、まだまだ説明し続けなければならないと思った。以下、IPv6やcookieとどのように違うのか念のためまとめておく。

IPv6のプライバシー問題は既に解決済み

IPv6は当初、下位64ビットにデバイスのMACアドレスを含めるという設計がなされたが、1999年にこのことがプライバシー上問題があるとされた。Internet-Draftの﹁Privacy Considerations for the Use of Hardware Serial Numbers in End-to-End Network Protocols﹂にこのことがまとめられている。

そして、その問題を解決すべく、RFC 3041﹁Privacy Extensions for Address Configuration in IPv6﹂という規格が作られた。これがどのような解決方法であるかを理解するには、Internet Week 2005 チュートリアルなどが参考になる。

ユーザは、通常の固定のIPv6 IPアドレスの他に、﹁Anonymous Address︵匿名アドレス︶﹂ないし﹁Temporary Address︵一時アドレス︶﹂と呼ばれる、一日か最大でも一週間で変化するアドレスを使うことができる。IPv6では、1つのネットワークインターフェイスに複数のアドレスを持つことができるので、待ち受け用アドレスとは別のソースアドレスを使うことができる。

したがって、Webブラウザは、Anonymous Addressをソースアドレスとして使うよう実装されるだろう。アクセス先のサーバから見ると、アクセス元は、現在のIPv4のIPアドレスと同程度に変化するアドレスとして見えるようになり、新たなプライバシー問題は生じない。*9

このように、﹁IPv6になればどのみちIPアドレスで個人が特定されるようになる。それは世界の技術者が許しているのだから、問題ないはずだ﹂という考えは、半可通の技術者が陥りやすい誤った考えである。

第一者cookieと第三者cookie

cookieはプライバシーと関連づけて語られることがあるため、﹁IDのプライバシーの問題は、せいぜいcookie程度のものだろう﹂と考える人がいるようだ。まず、cookieには2つの種類があって、問題とされるのはその一方であり、現在ではその問題がおおむね解決されていることについて理解して欲しい。

cookieは、第一者︵1st party︶cookieと第三者︵3rd party︶cookieとに分けられる︵図1︶。第一者cookieとは、訪問したサイトから発行されるcookieのことで、再三者cookieとは、訪問したサイトに埋め込まれているオブジェクト︵画像や、Flash等︶の置かれている︵訪問先とは別の︶サーバから発行されるcookieのことである。