静脈認証も安心できない? 大根で作った偽造指で認証に成功(ITPRO)
個人情報保護法の20条をご覧下さい。
| 個人情報の保護に関する法律 第二十条(安全管理措置) 「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」 |
個人情報保護法の20条は、個人情報保護法の土台となったOECD8原則のうち、「安全保護の原則(Security Safeguards Principle)」を本邦の法律として昇華させたものです。
OECD8原則、別名OECDガイドラインとはOECD(経済協力開発機構)が示した「プライバシー保護と個人データの国際流通についての勧告」の中にある8つの原則のことで、目的明確化の原則、利用制限の原則、収集制限の原則、データ内容の原則、安全保護の原則、公開の原則、個人参加の原則、責任の原則をいいます。
個人情報の取り扱いが各国バラつきがあることで、国際的に悪用されうる個人情報、たとえば過日のニュースで採り上げられたようなクレジットカード番号などが、セキュリティの甘い国から搾取され、別の国で悪用されてしまう事態を憂慮して、個人情報取り扱いに関するルールの世界統一規格を設けようと25年前に発表されたものです。
鍵というものは、それが物理的なものであろうとも電子計算的なものであろうとも、人が作り、そして全うな開け方が作られている以上、必ず別のルートの開け方が存在します。
これを知的好奇心から見つけようとする行為のことを、本来はハックと呼んでいました。
歴史上もっとも有名な最初のハックとは、アメリカでかつてシリアルのおまけの笛の音が、長距離電話をかけるときの周波数と同じであることを発見した有名な行為です。
この原理を利用したブルーボックスという電話のタダがけマシンがウォズニアックとジョブズという二人のアップル創業者の第一号作で、彼らに大金をもたらして現在の会社の礎を作ったとさえいわれています。
この辺の事情、映画「バトルオブシリコンバレー(PIRATES OF SILICON VALLEY)」に詳しいのですが、そこでスティーブ・ジョブズが、無料で世界のどこにでも電話をかけられるその青い箱を見つめてこう語ります。
「軍が大統領を退陣させる方法と同じさ。彼らはまず伝達手段を奪い取る。ラジオ、テレビ、新聞だ。情報こそが支配するのさ(Information is power)。」
昨今の買収騒動を仕掛ける側のIT産業と同じロジックが早くもここで見られます。
情報を制御することは、いわば社会全体をハックすることに他なりません。
それが産業の新興勢力がTVや新聞を欲しがる理由です。
個人情報保護法20条に直結する最先端の認証技術であるはずの静脈認証システムは、大根とサランラップで見事にハックされました。
社会のフタが一部開いてしまっています。
