はてなキーワード: マイナンバーカードとは
■こんなカード
カードの表面には数値(公開キー)のみが書いてある(誰でも見える。コピーされてもいい)。
ICチップが埋め込まれており、カードリーダーで読み込むと、パスワードの代わりとなり本人情報(名前や住所)が出てくる。
※どのカードリーダーから読み込まれたかは記録に残る(警察やホテルなどがカードリーダーを所持する)。
■IDについて
カードの表面の数値はあくまで公開キーであり、IDではない(なので公開キーは晒されたりした場合には変えられる)。
カードリーダーは、持つ人の権限によって引き出せる情報が異なる(市役所と警官と旅館では引き出せる情報が異なる。例えば警察は顔写真まで出せる)。
また、一部の情報(住所移転の記録や本籍地など)はICチップとは別に、持ち主が記憶している「パスワード認証」が求められる。
住民課にある権限の強いカードリーダーに持ち主がパスワードを入力することにより、住民票の移動などが可能となる。
上に書いたようにカード1枚を市役所に持っていけば身分証なく住民票を移動できるが、オンラインでももちろん可能である。
公開キー、パスワード、あと名前・現住所とGPS情報をオンラインで入れることにより、家にいながら住民票の移動が可能。
■こんなカード
どうでしょか?ツッコミは許す。
ブロックチェーンや暗号通貨、Web3.0、Dweb というのはここ数年、そしてこれからのバズワードであるようだ。
ここ一週間ぐらいだろうか。マイナンバーにブロックチェーンを導入しようとしている事業に関して色々な議論が発生しているようである。例によって議論に向かない Twitter 上で発生している。というか何が議論の中心になっているのかイマイチよく分からない。ただ雑然と荒れているという感覚がある。
私は技術・歴史・文化といった面からブロックチェーンや暗号通貨に対して知識がなく、学び始めたのはここ一ヶ月と言ってもいいだろう。学ぶ、といっても転がっている日本語の一般的なメディアの記事を気が向いたときに読み散らかすぐらいである。真に技術的なことは何一つ分からない。暗号通貨は Bitcoin とEthereum しか知らないし所持しているのはたまたま貰った僅かな ETH しかない。金銭的に貧しい多摩川に転がっている石くらいどこにでもいる17歳JKである。と逃げの文言を置いておく。
囲み取材で数十秒話したことが記事になっているので、正確に伝わって無さそうです。
・マイナンバーカードをいずれカード不要にしてスマホにインストールできるようにしたい
・その前にそもそも、普及のためマイナンバーカードの発行総数を増やす必要がある
という趣旨かと。
加納氏のこの時期のタイムラインから現在に向けて遡れば様々な第三者の感想や疑問を得ることができるだろう。これらに纏めて答えているのが以下の記事である。
ブロックチェーンの優位性①疎結合|加納裕三/Yuzo Kano
https://blog.blockchain.bitflyer.com/n/n4b45329e308c
加納氏とは一体何者なのかは以下を参照。
東京大学大学院工学系研究科修了。ゴールドマン・サックス証券会社に入社し、エンジニアとして決済システムの開発、その後デリバティブ・転換社債トレーディング業務に従事。
2014年1月に株式会社bitFlyerを共同創業し、2019年5月に株式会社bitFlyer BlockchainのCEOに就任。
bitFlyer創業以降、法改正に関する提言や自主規制ルールの策定等に尽力し、仮想通貨交換業業界の発展に貢献。
日本ブロックチェーン協会代表理事、ISO / TC307国内審議委員会委員、官民データ活用推進基本計画実行委員会委員。
2018年G7雇用イノベーション大臣会合、2019年V20 VASPサミットに出席。
ttps://finsum.jp/ja/2019/speakers/recQMoKK5nD9yb8Ht/profile/
ブロックチェーンを語るうえで何が重要かというと、その言葉の定義である。議論に参加している人が同じ言葉を使っているのに、各人の言葉に対する定義が異なっていると、言葉は理解できるが内容が理解できないといった状況に陥ってしまう。このことは実生活でも頻繁に起こっているように思えるが、Twitter という短文が好まれるプラットフォームでは著しくないがしろにされ不毛な議論を生む原因になっている。
加納氏が代表の JBA (日本ブロックチェーン協会)に依ると、ブロックチェーンの定義は以下の内容である。
ブロックチェーンの定義
1)「ビザンチン障害を含む不特定多数のノードを用い、時間の経過とともにその時点の合意が覆る確率が0へ収束するプロトコル、またはその実装をブロックチェーンと呼ぶ。」
2)「電子署名とハッシュポインタを使用し改竄検出が容易なデータ構造を持ち、且つ、当該データをネットワーク上に分散する多数のノードに保持させることで、高可用性及びデータ同一性等を実現する技術を広義のブロックチェーンと呼ぶ。」
定義策定のアプローチ
まず、Satoshi Nakamoto論文およびその実装である、ビットコインのブロックチェーンをオリジナルのブロックチェーン(以下「オリジナル」)として強く意識しています。
狭義のブロックチェーン(定義1)は、オリジナルを意識し、それが備える本質的で不可分な特徴を捉え、言語化しました。
広義のブロックチェーン(定義2)は、昨今〜今後の技術の展開を鑑み、オリジナルが備える特徴であっても、別の実装方式や別の目的への展開などにおいて、置換や変化が行われていく広がりを許容しながらも、特徴を捉えられるよう、言語化しました。
総務省のページも見つけたが JBA が定義するものを基礎としている。
ttps://www.soumu.go.jp/johotsusintokei/whitepaper/ja/h30/html/nd133310.html
私が疑問と漠然としたモヤモヤ感を抱くのは、最近の一般層で使われているブロックチェーンの定義には「信頼できる第三者が不要である」という点が抜け落ちているように思われることだ。非中央集権SNSで暮らし脱中央集権を推進したい私にはこの点が"ブロックチェーン"の一番重要な点であると思うが、JBA の第一定義にはこの点が記載されている。不特定多数へのインセンティブによって不特定多数による合意を形成している。これによって「信頼できる第三者が不要である」は満たされている。
blockchain (3.6)
distributed ledger with confirmed blocks organized in an append-only, sequential chain using cryptographic links
Note: Blockchains are designed to be tamper resistant and to create final, definitive and immutable ledger records.
distributed ledger (3.22)
ledger that is shared across a set of DLT nodes and synchronized between the DLT nodes using a consensus mechanism
Note: A distributed ledger is designed to be tamper resistant, append-only and immutable containing confirmed and validated transactions.
ISO の定義によれば、ブロックチェーンは、暗号化リンクを使用した一連の鎖で、追記のみで構成された確認済みブロックからなる分散台帳を指す。改ざんに強く、最終的で確定的で不変の台帳記録を作成するように設計されている。分散台帳は、一連の DTL(分散台帳技術)ノードで共有され、合意メカニズムを使用して DTL ノード間で同期される台帳である。確認された有効なトランザクションを含む全てが、改ざん耐性、追記のみの不変性を持つように設計されている。
さて、加納氏の投稿やその他の加納氏に批判的/賛同的な人たちの反応を見ても、彼らの言っている内容がブロックチェーンの定義を満たすものなのかいまいち分からなかった。
・ビザンチン耐性(BFT)
・改ざん耐性
私はブロックチェーンの主な利点はこの5つ(ただし5つにだけではない)だと考えています。これをここでは5大利点と呼びます。
なおかつ、この5大利点を概ね満たしているものをブロックチェーンと呼んでいます(ただしブロックチェーンと呼んでいるものは、すべてこの定義だとは言ってない。かつ、ブロックチェーンの厳密な定義はこれではない。)
なぜ前提として厳密な定義を加納氏の言葉で説明せずに、勝手に加納氏が定義した内容を”ブロックチェーンである”と語っているのか理解に苦しむが、加納氏の説明したい"プライベート・ブロックチェーン"を ISO の定義を基に判断すると、
加納氏の上記の2つの投稿からは、"プライベート・ブロックチェーン"と"パブリック・ブロックチェーン"のどちらを指しているのか不鮮明ではあるが、note の記事では"プライベート・ブロックチェーン"を想定している、と明記されており、議論の発端となったマイナンバーとブロックチェーンに関しても"プライベート・ブロックチェーン"を指していると思われる。5大利点を満たす"プライベート・ブロックチェーン"は存在しないのでは…。
"一方で、誤解と批判を恐れずに書けば、ブロックチェーンがBitcoinの論文に端を発するものであるとするならば、いわゆるプラベートブロックチェーンやコンソーシアムブロックチェーンと呼ばれているものは、ブロックチェーンと呼ぶのをやめて、「タイムスタンプ2.0」のような別の言葉を使うことも考えてはどうだろうか。それは、これらの技術が、リンクトークン型タイムスタンプのデータ構造の上に、決められたノードによる合意アルゴリズムを加え、記録した情報に対するビジネスロジックに応じた情報処理を加えたものであるからだ。根っこの技術は、同じHaberらによるタイムスタンプを元にしているものの、ブロックチェーンの発端となったBitcoinの論文が目指した「信頼できる第三者機関を不要にする」という方向とは別の方向の進化をしているもので、その別の2つの方向のものを同一の枠で扱うことには無理があり、理解や発展を考える上で両方にとって弊害がある。"
https://link.medium.com/TgeOXv8Dlab
https://link.medium.com/4pz5oNlHpab
これらの記事を読むと、そもそもブロックチェーンと呼ばれるものにおいてパブリックではないものは、なんびとも信用しない状況において根本的に非改ざん性を保障することができないのではないかと感じる。"パブリック・ブロックチェーン"こそがブロックチェーンであり、他のものはブロックチェーンから発展してきた技術を使ったブロックチェーンの定義を満たさない分散台帳なのではないか。
加納氏に関して覚えておきたいことは、彼は bitFlyer の CEO であり bitFlyer は miyabi という"コンソーシアム・プライベートブロックチェーン"を開発しているという点だ。当然行政に対して彼がブロックチェーンを推しているのはこれを売り込むためなのであろう。これが厳密にブロックチェーンなのかは置いておいて、このプロダクト自体は素晴らしい取り組みだと私は感じる。デジタル化によって今までの煩雑な手続きが簡単になる可能性は大いにあるし、公的文書の保存にも役にたつ。黒塗り秘匿文書を撲滅しろ。
ただ、ブロックチェーンをただの空虚なバズワードとして扱うのではなく、厳密な定義の上で使うのは大事なことだ。今回の件は、果たして全てにおいて加納氏が良くない、と言えるのだろうか。言葉というのは多数が使うことによって定義が決まる。時代が変われば定義が変わってしまうこともある。ブロックチェーンという言葉を便利な魔法の言葉にしてしまったのは誰だろう。本質を見極めない我々だ。AI 搭載!!といたるところで見る言葉だが、何をもって AI と呼んでいるのか不思議になる。実際のところ今まで"システム"と呼んでいたものなのに。日々の中で言葉をしっかりと見つめ直すのは大事だ。
この記事は、そもそもブロックチェーンとは何か、という個人的な疑問をまとめたものであり、加納氏を批判する意図は無かったわけで、最後の締めはやんわりとしたかった。だが、加納氏は立場的には日本ブロックチェーン協会の会長で、言葉を定義する立場である。言葉を定義した側がこの有様というのは遺憾である。日本の行政のデジタル化の推進は頑張って欲しい。
俺はまぁラディカルというか原理主義者なので、本人確認なんてものはID+パスワードでいいと思っているわけ。
でも割とよく世間では、ID+パスだけだと本人の確認になっていないとか言うアホ理論がまかり通っていて、そんなわけねーだろということを証明します。
他要素認証を使えば本人確認になる、という説がまことしやかにまかり通っているけど、そんなのじゃ「本人確認」にはなりません。
例えばメジャーなスマホを使った確認を例に取ると、ID+パス入力だけじゃなく、事前登録したスマホに入っている暗号アプリで、自動生成した暗号を入力すると、ID+パス+スマホの所持が揃ったので本人です。って感じで認証するんだけど、これスマホ奪われてたら誰でもできるよな。
確率低い?とはいえ本人意外もできるっていう点だと、ID+パスワードと同じで「本人を確認」したことにはならんだろう。
同じことはEメールへワンタイムパスワードを送付して、ID+パスワード+ワンタイムパスワードで認証する方法もだけど、これも、メールアドレスの権利を確認してるだけど、それが奪われていたら、本人以外でも利用できる。
事前に物理的な乱数表もドングルもマイナンバーカードつかった認証も、奪われれば本人以外が認証突破できるので、「本人確認」できるとは限らない。
ID+パスワードより強度は上がるけど、それは認証の強度が上がったと言うべきであり「本人確認」できるとか、いいきっちゃうのは、本質を知らないで適当にセキュリティ語ってて、だるい。
じゃあ生体認証使えば良いという。感じもするかもしれないけど、指紋のコピーとか簡単にできます。
顔認証も難しいかもしれないけど頑張れば突破できそうだし、何なら本人の指やら首を切り落とせば、突破できると思うので、これも「本人確認」したことになるとは限らない。双子とかクローン使うこともできるしな。
例えば友人とか、本人の許可を得て代理としてシステムやサービスを操作する必要がある場面ってあるわけで、
そういう場面だとID+パスワードだけ知っていれば代理操作をすることができるわけです。
あ、お前らは友達居なかったな。でも大丈夫、ボットサービスとかに代理に処理をしてもらうことを考えれば同じで、
ボットサービスに操作してもらいたいサービスのID+パスを登録すれば、それだけで代理に操作してもらえる。
これが、多要素認証になると、代理操作出来ないくなる。「本人」が操作を代理させる意志をもっていても、端末を友達に貸し与えて四六時中持ち歩かせるわけにもいかないし、よくわからねーボットサービスに指紋情報やら、生体認証を登録するのやりすぎてる。
セキュリティ上がってるとか喜んでるけど、それは裏を返せば使い勝手が下がっているとも言えるわけです。
そこまで使い勝手が下がってて、じゃあそれに報いるだけのセキュリティ上昇が期待できるかと言われれば、前述のように本気を出せば他人がそのセキュリティを突破することはできるわけで、基本的にはコスパ悪い。
もちろん医療とか金融とかクリティカルな場面では使うべきだと思うけど、何でもかんでも多要素認証、生体認証、みたいなノリは気が狂ってるとしか言いようがない。
あとセキュリティが上がっているだけで「本人確認」ではない。ボットにスマホを預けるとかメールを読み取る権利を渡せば実現できる。くっそめんどくさいし危険だけどできる。本人意外が操作できるってことは「本人確認」として機能していない証拠です。
はい、出来ません。限りなく本人っぽいです。ということまでしかわかりません。
仮に対面で人間が認証するって事になっても、詐欺師の人は整形もすれば書類も偽造で取り揃えます。
軽々しく「本人確認」とか言うな。本人って誰が判定するんだよ。まわりか?
まわりが勝手に「本人」であることを認証したり確認したとしてだよ、その「本人」が記憶喪失になって、「本人」であることを拒絶したのならそいつは本人なのか?それとも別人か?
答えろ!
マイナンバーカードに記録されている署名用電子証明書に個人情報の基本4情報が含まれている件でグズグズ文句言ってる人がいたんだけど
正直個人情報が記載されていないけど押印が必要な文書ってのが想像できない。
証明書に個人情報の基本4情報が含まれていることについて文句言ってる人はそれに関して思い当たる文書があるから文句言ってるんだと思うので教えてほしい。
俺が今まで関わらなかったとしてもこれからも関わらないとは限らないから知っておきたい。
あと、識別IDだけにしてサーバに問い合わせて個人情報参照すればいいのにってブコメに大量に星が付いてたけど、
全国の押印が必要な文書の個人情報問い合わせのリクエスト受け付けるサーバの運用コストってどうするの?
それならハンコのほうがマシだ。