日本セキュリティ・マネジメント学会誌 最新号

本人の主体性を尊重した製造者と販売者のパーソナルデータの取り扱いに関する研究－自動車販売業務における事例分析－

パーソナルデータは，本人の志向に合わせたマーケティング戦略において有用である反面，プライバシーの対象となり得る情報であるため，パーソナルデータを取り扱う組織に適切な保護が求められている．パーソナルデータの主体である本人の権利意識の高まりに伴い，誰に開示するのか，どのように取り扱うかを本人が決定することができる自己情報コントロール権が注目されている．本人が主体性をもって自己の情報の取り扱いについて意思決定するには，どの組織が，自身が提供したパーソナルデータの個人情報取扱事業者であるかが明確であることが前提となる．しかし自動車販売業務では多くの場合，製販分離の原則が採用されているため，自動車を製造する自動車製造者と，自動車を販売する自動車販売会社は，別の組織となっている．このことから，本人は，どの組織を自身が提供したパーソナルデータの個人情報取扱事業者とみなすのか，どのような取り扱いであれば妥当と考えるのかが，パーソナルデータを取り扱う個人情報取扱事業者にとって重要となる． 　本研究では，本人は主体性をもち，自己の情報の取り扱いについて意思決定できる必要があるものとする．そのうえで自動車販売業務における製造者であるトヨタと，販売者であるトヨタ販売会社の関係を事例として取り上げる．製造と販売が分離されている自動車販売業務において本人は，パーソナルデータをどの組織に提供したと考えるのか，どの組織が個人情報取扱事業者であるのか，さらには利用目的に応じた組織をまたがる取り扱いの妥当感について，仮説を設定し，質問紙調査を通じて比較分析を行っている．また，トヨタとトヨタ販売会社の事例をもとにした仮説の検証結果を自動車製造者および自動車販売会社に一般化し，自動車販売業務におけるパーソナルデータの取り扱いについて提案している．

「国民IDの原則」の素描：選択の自由を手放さないために

我が国では、マイナンバーカードと健康保険証の一体化により、マイナンバーカードの取得を実質的に義務化しようとする政策が推進されている。しかし、取得が任意とされていたマイナンバーカードを実質義務化することには市民や有識者等からの反対意見も多い。反対意見が多い背景には、日本政府が何らかの原理・原則に基づかずにマイナンバー政策を推し進めていることが影響しているとも考えられる。国などが発行する公的な身分証明書を本稿では「国民ID」と呼ぶ。世界各国で発行されている国民IDは、マイナンバーカードのような物理的な身分証明書（IDカード）と、公的個人認証サービスの電子証明書のような電子的な身分証明書（デジタルID）の2つに分類される。本稿は、これらの国民IDが満たすべき「国民IDの原則」について、現代社会の構成原理に基づいて、そのラフスケッチを検討する。それは「国民IDは、個人の『自由』を保障するために基礎的インフラ・サービス・セーフティネットへのアクセスを提供するものでなければならず、また、個人の『自由』を妨げるもの（個人に何かを強制したり、行動・生き方の選択の幅を狭めるもの）であってはならない」というものである。この国民IDの原則の観点からは、政府は保健医療へのアクセスルートをマイナンバーカード1つに限定するべきではなく、従来の健康保険証等の恒常的な選択肢を残すべきである。また、マイナンバーカードを取得しなくてもデジタルIDを取得・利用できる手段も設けるべきであり、例えばマイナンバーカードを介さずにスマートフォンに公的な電子証明書を発行する方法を選択肢として設けるべきである。このような制度設計は、エシックス・バイ・デザインを実践するものであり、EU各国など、近年の電子政府先進諸国における政策潮流とも整合的である。

フィッシング耐性のあるFIDO認証について

　本稿では，FIDO（ファイド）アライアンスがW3C（World Wide Web Consortium）と共に推進するFIDO認証について解説する．近年，フィッシング攻撃などによる不正アクセスへの対策が急がれる中，FIDO認証はその対策の大きな決め手の一つとなる．FIDO認証は，リモートからの悪意者による攻撃を防ぐため，利用者による認証器の所持を基本とし，公開鍵暗号に基づく署名検証を利活用する．利用者にとって使い勝手が良く，フィッシング攻撃への耐性をもつ「シンプルで堅牢な」認証方式である． 　FIDO認証は，2014年12月に公開されたFIDO 1.0仕様を皮切りに本格的な商用利用が開始され，現在はW3Cが策定するWeb認証（Web Authentication，WebAuthn）の勧告仕様を含めて総称するFIDO2が議論の中心となっている．そして，普及に向けて長い間課題となっていたいわゆるアカウントリカバリーについても一定の方向性が確立し，いま「パスキー」としてさらなる広がりが期待されている．その一方，FIDO認証のために必要な認証資格情報（クレデンシャル）を認証器から取り出すことを認めた結果，新たに取り組むべき課題も認識されつつあり，業界を挙げての取り組みが必要である． FIDOアライアンスは，FIDO2とパスキーに加えて，バイオメトリック部品認定，IoTデバイスと認証にまつわる課題を解決するFDO（FIDO Device Onboard）仕様なども展開し，パスワード課題の解決に向けてさまざまな観点から取り組んでいる．FIDO認証とWeb認証に対しては国内からの貢献も顕著で，引き続くグローバルとしての取り組みで，社会課題の解決に向けてさらに貢献できる．

パスワードレスの理解と実践のための基礎知識

　パスワードレスというキーワードには複数の考え方があり、その実装についても様々な手法がある。これらを整理し、目的に沿ったセキュリティ対策を選択できるようする。