金融審議会金融分科会特別部会(第15回)議事録

平成16年10月15日(金)

金融庁 総務企画局

○ 山下部会長

それでは定刻でございますので、ただいまから金融審議会金融分科会特別部会を開催させて頂きます。本日もご多用のところご出席頂きまして、ありがとうございます。

当特別部会では金融分野における個人情報の保護のあり方についてご議論頂いておりますが、前回の会合では、金融分野における個人情報保護に関するガイドライン案と今後審議することとなる金融分野の個人情報取扱事業者の安全管理措置等のイメージをお示しいたしまして、委員の皆様方より幅広くご意見をお聞かせ頂いたところでございます。なお、前回の部会におきまして議論頂きました金融分野における個人情報保護に関するガイドライン案につきましては、先般10月1日にパブリックコメントに付した旨、事務局より報告を頂いております。委員の皆様の席上にはパブリックコメントに付された金融分野における個人情報保護に関するガイドライン案が配付されているかと思います。

本日の部会では、生体認証情報について現状を把握するために専門家の方々などからヒアリングを行うこととしたいと思います。

本日のヒアリングは、最初に早稲田大学の小松教授、次に株式会社東京三菱銀行、玉井常務執行役員にご説明をお願いしております。

ヒアリングに先立ちまして経済産業分野の信用分野でございます割賦販売業等における個人信用情報保護のガイドラインにつきまして、産業構造審議会割賦販売分科会個人信用情報小委員会で審議が行われておりますので、経済産業省商務情報政策局取引信用課の佐藤課長より、まず審議についてご紹介をお願いしたいと思います。

それでは、佐藤課長よろしくお願いします。

○ 佐藤経済産業省取引信用課長

それでは、経済産業分野のうち信用分野における個人情報保護ガイドライン案に関しましてご説明をさせて頂きたいと思います。

9月30日に第8回の個人信用情報小委員会を開催いたしまして、その場におきましてガイドライン案につきまして、ご了解を得てございます。その翌日10月1日にパブリックコメントに付しておりまして、10月29日までを期限にしまして、これは金融庁の方と同じでございますけれども、パブリックコメントを実施中でございます。その関係でお手元の資料、資料1-1と資料1-2というのがございますので、ごく手短にポイントだけご説明をさせて頂こうと思います。

資料1-1をご覧頂きますと、信用分野における個人情報保護ガイドライン案の資料がございます。要綱の段階で前回ご説明をさせて頂いているものに基本的に沿った形になってございますので、若干追加的に記述されているものを中心に説明をさせて頂こうと思います。

1ページ目のところ、「目的及び適用範囲」のところにつきましては従来からの要綱の関係でご説明をさせて頂いているものが基本的に記述されているところでございます。それから定義のところ、 II のところの定義(3-1)のところでございますが、2ページ目のところの頭の定義のところで5,000人を超えるかどうかという観点では個人信用情報機関につながっている事業者を含めてカウントするということについて記述させて頂いているところでございます。与信事業者の定義のところにつきまして、定義が盛り込まれているのと、それから5,000人を超えない者に関して努力規定というのが盛り込まれております。

それから2ページ目の下の方の(10)のところ、本人の同意に関する記述、これは基本的に要綱のときにご説明をさせて頂いているとおりのものが文章として記述されてございます。

3ページのところの2.のところで「個人情報取扱事業者の義務等」のところでございますが、(1)の利用目的関係でマル1で利用目的の特定のところがございます。利用目的の特定に関する考え方、要綱の方でも既にお示しさせて頂いておりますが、特に第三者提供や共同利用を行う場合につきましても情報の項目と利用目的の対応関係を示して頂くということも記述してございまして、事例といたしましてここに掲げてありますとおり、このページから翌ページにかけて大きく4つほどに情報を束ねて分けた上で、それぞれごとにこういった事業のために、こういった者が使うというようなことを示して頂くということを例として入れさせて頂いておりまして、4ページの上のところにも共同して利用する場合につきましてもそういった形で記述が入れてございます。

それから4ページのマル3のところの真ん中あたりでございますが、個人の支払能力に関する情報を当該個人の支払能力の調査以外の目的に自ら使用してはならないということが割賦販売法の考え方を受けまして記述してございまして、これはまた第三者提供あるいは共同利用の場合も同様の考え方であることが記述されてございます。4ページの(1-2)のところはセンシティブ情報の記述が金融庁の方のガイドラインに合せて盛り込まれてございます。

5ページのところにつきましては個人データの(3)のところが個人データの管理でございまして、(3)の中の2)が安全管理措置でございます。

基本的に要綱に沿った形になってございますが、翌ページをめくって頂きまして6ページの頭のところに「また」で記述してありますとおり、クレジットカードの申込用紙その他のその入力帳票についても安全管理措置、従業員の監督、委託先の監督について努力として措置を講じることを設けてございます。また6ページの上から7行目あたり、事例の下のところでございますが、個人信用情報機関についてはその会員の適正な管理をして頂くという観点から項目が入れてございまして、個人信用情報機関への入会申込時における厳正な入会審査、入会後の会員に対する適切かつ継続的なモニタリング、それから不正利用があった場合の退会等の処分、こういったものについての処置を講じることを入れさせて頂いております。

6ページ以下のところにつきまして、組織的安全管理措置、人的安全管理措置等について記述をさせて頂いてございまして、この辺は基本的に前回までの要綱にお示しさせて頂いたものに沿って基準を設けてございます。ちなみにその7ページの下のところ、マル8のところにつきましては、安全管理措置が確実に実施されていることを確認する仕組みにつきましては、個人信用情報機関にあっては外部監査を行って頂くということが記述されてございます。そこから以降、安全管理措置の項目につきましては省略をさせて頂きます。

それから11ページのところに従業者の監督の項目がございます。また11ページの下に委託先の監督についても項目がございまして、この辺は要綱のとおりでございます。

それから13ページでございますが、(4)第三者への提供でございまして、基本的に要綱のときに記述をさせて頂いているものにしたがって文章を記述しております。3つ目のパラグラフの末尾のところでございますが、「個人信用情報機関についての消費者の理解を容易にするための措置を講じなければならない。」といった記述も入ってございまして、その関連で事例といたしまして13ページの下の方につきましては、個人信用情報機関の示し方というものを挙げさせて頂いております。

また14ページのところにつきましては、個人信用情報機関についてどういった情報が、どういった機関に提供されるかというようなことにつきましての記述の事例も入れてございます。14ページの半ばのところにつきましては第三者提供についてのその利用目的と情報の関係を示すやり方につきまして、これも事例をわかりやすくする観点から入れてございます。

15ページに上から3行目のところから共同利用についても記述を設けてございまして、共同利用を行う際には同意を確認する書面において、その範囲が明確になるように示すということ。また範囲の明確化に当たって原則として個別企業名を列挙するということを記述頂いております。その下に事例といたしまして共同利用の範囲の示し方を示してございます。また、その個々の企業の名前が明らかにならない場合につきましては、別途「そのグループを構成する個別企業名を本人が容易に知り得る状態に置かなければならない。」といったことも記述させて頂いております。

こういった形でポイントといたしましては以上のとおりでございまして、こういった内容のもので現在パブリックコメントに付させて頂いているところでございます。30日の議論につきましてはお手元の資料、資料1-2に議事要旨を付けさせて頂いてございますが、時間の関係もありますので説明については省略させて頂きたいと思います。

以上でございます。

○ 山下部会長

ありがとうございました。それでは本日の議事の方に移りたいと思います。まず、日本バイオメトリクス認証協議会会長でいらっしゃいます早稲田大学の小松教授より「生体認証の現状と個人情報保護の観点からの整理」についてご説明をお願いいたします。

では、小松先生どうかよろしく。

○ 小松教授

ご紹介頂きました早稲田大学の小松でございます。まず、本日このような機会をお与え頂きましたことに対して心から感謝申し上げます。

私、現在学者の立場としてバイオメトリック認証技術も含めまして研究を進めております。ただ私はエンジニアでございますので、最終的にこの技術が世の中に出るということを最終的な目標としております。そのためにはもう皆様ご案内のとおり技術だけの問題ではなく、プライバシーと法的な問題というのが内在しております。これからこのバイオメトリクスと技術、非常に新しい技術であり、これからうまく展開してほしいと私ども願っております。そういった意味でもぜひ新しいサービスもある程度念頭においたご議論、それからそれを必ずしも阻止しないような法的な対応と、さらに技術に対するご注文ということを、ぜひお願いしたいと考えております。

それではスライドをお願いします。

○ 寺田企画課調査室長

両側にスライドがございますし、本席にもペーパーでもお配りしております。よろしくお願いいたします。

(スライド 資料2-1ページ)

○ 小松教授

今日お話する内容でございます。まず最初に、生体認証の現状、それからこのバイオメトリック認証に関しては国際的な議論というのが2002年から立ち上がっております。そのフレームワークについてお話申し上げたいと思います。それから3番以降がこの審議会での議論の中心となろうかと思います。

現在プライバシー問題等に関しましてはISO/IECのJTC1、SC37というサブコミュニティが2002年立ち上がりまして、その中の6番目のワーキンググループで具体的な議論が進められております。私自身そのワーキンググループに属しているわけではございません。また軸足が技術の方においております関係、ある意味では門外漢でございますけれども、そのWG6の議論の背景をここでご紹介いたしまして、話題提供とさせて頂きたいと思っております。その観点から3番目は個人情報保護の視点から見た生体認証、それから4番目、管理が必要な情報の定義についての論点、それから一般的な安全管理に対しての上乗せ措置として考えられる内容ということをご紹介させて頂きたいと思っております。

それでは、具体的に内容をご説明させて頂きます。

(スライド 資料2-2ページ)

まず、現状ということでございますが、現在世の中では本人確認ということが一般的に行われております。多分身近な例といたしましてはキャッシュカードによる本人確認ということかと思います。こちらにお示ししてあるデータでございますが、データとしてはちょっと古いのでございます。皆様キャッシュカードをお持ちだと思います。その4桁の番号をどのように選んでいるか。大体60%以上はこのデータによりますと本人の誕生日、生年月日、それからあるいは自宅、職場の電話番号、そういったところを選んでいるという場合が多いという報告が一般的でございます。それ以外にもかなり安直に決めているという事例も見受けられる。

これはある意味で非常に危険なことでございまして、カードだけ落とすという事象はあまり考えられない。たいていの場合は手帳あるいはかばんと一緒に落とす。その中に個人情報がたいていの場合含まれておりますので、誕生日あるいは会社の電話番号、自宅の電話番号を探り当てますと、大体推定ができる。パスワードの場合、一応1万通りあるということでございますけれども、実際にユーザーが使っているのは記憶しなければならないということから利便性を考えますと、かなりその危険性は高いというようなことが指摘されております。

それからパスワードでございますが、これはコピーが非常に簡単で扱いやすいというイメージがございます。ただ、今申し上げたとおりその人の管理によってその安全性がかなり違ってくる。非常に厳格な管理を行う場合はある程度の安全性は担保される。しかしながらそのパスワードを安直に決めますと、その安全性というのは非常に低い。たった4桁の数字でございますけれども、その管理によっては非常に脆弱性が大きく、またある場合によってはその脆弱性が小さくなる。管理の仕方によって安全性の範囲が非常に異なるということが一つ指摘されようかと思います。

(スライド 資料2-3ページ)

次は個人認証のニーズでございます。これから個人認証に対してどういったニーズがあるか。いまさらこの場でご説明する必要性もないかと思いますが、方向性としては大きく2つであるであろうと。こちらには社会環境の変化、それに対する個人認証のニーズといったことが示されております。キーワードが入れてございますが、今後のネットワーク社会ということを考えますと、まず1つがそのネットワーク社会における我々の生活という観点から見ますと、例えばエレトリックコマースあるいは下の方にございますが、電子投票、遠隔教育あるいはテレワークといったところで本人を特定するといったニーズは当然出てくる。現在もそれは存在するということでございます。

それからもう1つは高齢化。あと10年ぐらいたちますと人口の約4分の1以上が65歳以上という高齢化を迎えるということが伝えられております。現在一部サービスでございますが、遠隔の医療、それから遠隔の健康管理、こういったことが一般的な可能性がある。そこでは本人のプライバシー情報も当然でございますが、生命に関わる情報ということも扱わなければいけない。そこでは厳格な本人の確認ということが当然必要になってくるということが挙げられるわけでございます。

(スライド 資料2-4ページ)

それではどのように本人を確認するかというパラメータとその具体的な方法でございます。こちらに表がございまして大きく3つのパラメータ、方法が示されてございます。1つが知識によるもの、これは先ほどお話いたしましたパスワードが代表例でございます。それから所有による、これは皆様お持ちの例えば社員証あるいは場合によっては鍵というものが具体的な物理的なものが考えられます。

それから今日の本題でございます個人の特徴、この個人の特徴というのはさらに2つに分けられます。1つが個人の身体的な物理的な特徴、ここでは身体的特徴と挙げてございます。代表例といたしましては指紋、顔、それから今日このあとご説明ございます血管パターンといったモダリティ。それから身体的な特性と書いてございますのは、これは行動的な特徴です。代表例といたしましては筆跡、声というものが挙げられる。こういった区分ができます。

それで具体的にどのように本人を特定するかということでございますけれども、最初にご説明いたしました知識、所有、それから身体的な特徴、物理的な特徴というのはあらかじめ登録いたします。その登録のデータと入力のデータの類似性をもって本人であることを確認するというのが、非常にラフな説明でございますが、一般的なやり方です。それから行動的な特徴、身体的な特性に関しましては、今お話申し上げたとおりのやり方で本人を特定するということが可能でございます。それがマル2と示されてございます。

それから技術的にもう1つのやり方があります。例えば今、私は自分の音声で、声で話しているわけでございますが、そこで皆様は私の声を認識されている。いわゆる特徴を認識されている。目をつぶって私の声を聞いても多分そのまま小松がしゃべっているということを認識されている。これは声あるいは筆跡というのは日常的なコミュニケーションの手段として使われております。そこでは相手の特徴を無意識のままに自分の中に記憶する。例えば急に電話がかかってきてもこれは兄弟であるとか上司であるということがすぐわかる。筆跡も同じでございます。そういったメカニズムを技術的に実現できますと、例えば何を書いても本人であることがわかる。あるいは何を話しても本人であることがわかるというような認証の手段が実現できる。これは技術的にいいますと、フレシキビリティーに富んだマシンインターフェースという実現が可能となる。その可能性があるということが挙げられます。こういった従来とは少し異なる新しい認証の仕方というのが技術的には可能になるということを指摘させて頂きたいと思います。

(スライド 資料2-5ページ)

バイオメトリクスという言葉が現在さまざまなところで注目を浴びております。このバイオメトリクスを用いた個人認証、すなわち生体認証。この定義でございますが、こちらに簡単な定義が示されております。これは米国のアニール・ジェーンという学者がその中の著書で示されている一つの定義でございます。バイオメトリクスとしてはここに挙げました3つの特徴、これが理想的な特徴なのでございますが、これをまず持っている。1つが誰もが持っている特徴なんだということ。それから本人以外は同じ特徴を持ちません。3番目といたしましては時間の経過とともに変化しない。この3つを完璧に備えたモダリティ、特徴というのは実はございません。現在のところございませんが、理想的にこの3つの特徴を持った生体的なパラメータ、それを自動的に測定し、照合して最終的に判定する。そういった技術です。ということが挙げられております。ここには定義については Biometric Consortiumでも挙げられております例を参考に示させて頂いております。

(スライド 資料2-6ページ)

これから生体認証の市場規模というのは立ち上がるということが一般的に期待されております。IBGにおきましてもそのホームページで今後の市場動向というのが一応示されております。これも具体的な論拠というのは私自身が確認しておりませんが、2001年、悲しい出来事ですが、そのテロ以降、そのニーズが急速に高まるという市場動向の予測がございます。それに対してそのバイオメトリクスの装置というのはコストが急速に低下しております。当初はその1台当たりの価格というのは非常に高こうございましたけれどもそれが安くなった。デバイス単位から現在はそれがシステムとして提供できるようになった。それは例えばセンサー技術の展開ということも一つ挙げられるかと思います。

今後の展開はどうかということでございますが、この技術が世の中に広まるためには当然面的な広がり、例えばネットワークを利用したサービスとしての広がりということも必要であろうと私自身認識しております。この認証サービスとしてのこれからの展開ということが、このシステムとしての現状の展開の次のステップとして考えられるのではないかというふうに、現在私自身も考えております。

(スライド 資料2-7ページ)

研究事例は非常に多ございます。またその技術を利用いたしましたデバイスというのも多く実現されております。こちらに示しました縦軸にはモダリティ、横軸にはそのモダリティに対する主だった特徴あるいは課題、いくつか解決されているものございますけれども、課題をいくつか示させて頂いております。指紋というのは古くからございます。本人を確定する手段、またAFISと呼ばれますオートマチックフィンガープリントアイディティフケーションシステムというのが警察等で使われておりますけれども、そういった犯罪操作で利用するような技術でもございます。指紋は万人不同、終生不変と一般的にも実験的にも確認されておりまして、証拠として用いるということが一般的に社会的な通念となっております。

指紋から顔というのが先ほどご説明いたしました身体的な特徴、物理的な特徴に当ります。これも一つのデータでございますけれども、現在市場としては指紋が大体半分ぐらい、今後の動向といたしましては例えば顔あるいは虹彩といったところが伸びていくという調査結果もございます。それぞれの特徴を持つ精度的な評価はこちらの方には示しておりませんけれども、認証の精度あるいはセンサーからの距離とかそういったユーザビリティですね、そういった観点から見てもさまざまな特徴を持つということを一つご認識頂きたいと思います。

それから身体的な特性としてこちらでは音声、それから筆跡を示してございます。これも一部商品化されております。ただこれは先ほど私が申し上げたとおり日常のコミュニケーションの手段として用いるモダリティであるということから、ただ単に本人を確認するだけの目的で使うのではなくて日常生活で本人の意思を確認しながら、またそれが本人であるかどうかを同時に確認するといったようなことも、サービスとして提供できる技術として実現できるというような今後の展望というのがあるのではないかなというふうに考えております。

一つひとつについてはここでは詳しくご説明申し上げませんけれども、こういったパラメータの特徴があります。すべてを網羅しているわけではございませんが、さまざまな特徴があるということをご認識頂きたいと思います。

(スライド 資料2-8ページ)

次にご説明いたしますのは、国際的な取り組みでございます。ご存じのとおり2001年9月11日、不幸な事件が起きまして、それが一つのトリガーとなりましてこのバイオメトリクスというのが注目されたというのは事実であろうというふうに認識しております。当然それまでも国際的な制度、運用あるいは技術的なディスカッションというのは行われておりました。ただ、その2001年の事件を契機にいたしまして国際的な技術あるいはそれに関連する制度の議論というのが急速に展開してきたことは事実でございます。このバイオメトリクスという技術でございますが、大きく2つの特徴がございます。これは運用面での大きな特徴がございます。

1つがポジティブリコグニションあるいはポジティブアイデンティフィケーションもしくはポジティブベリフィケーションと呼ばれる性質でございます。これはあらかじめ登録する。ある人がその人の特徴をあらかじめ登録する。で、登録した内容とそれから照合の際に本人が入力した内容の類似性を確認して、本人であることを確認する。それはデータベースに登録された個人情報の中から最も近いものを確認する場合と、それから1対1で確認するベリフィケーション、2つの形態がございますが、あらかじめ登録して本人であるということを積極的に確認してもらうという利用が一つございます。

それからもう1つネガティブリコグニション、これはネガティブアイデンティフィケーションでありますけれどもあらかじめ登録しない。ただ登録はしませんが、このバイオメトリクス情報を使いまして特定の人物を確認する。これがボーダーセキュリティ、いわゆるテロ対策として使える技術であるということが着目されたわけでございます。それがすべてではございませんけれども、そういった特徴というのは先ほど挙げましたパスワードあるいはIDカードには必ずしも持ち得ない特徴でございます。バイオメトリクスだからこそそのネガティブリコグニションができる。そのネガティブリコグニションができることによってボーダーセキュリティが担保されるということから、いわゆる同時多発テロ以降、ホームセキュリティの観点からの生体認証の具体的な積極的な利用という一つの動きがあったわけでございます。

ただ、それだけではこの技術は世の中に入っていかない。当然これが世の中に面的に広く使われるためには、ポジティブリコグニションという観点は当然必要であろう。それが2番目の四角、下の方に書いてある内容でございまして、個人利用の市場への導入、普及というところを積極的にこれから考えていかなければいけないという一つの時期に、節目に現在いるのであろうというふうに考えます。こういった2つの技術あるいはそれに対応いたします市場、アプリケーションという背景を受けましてISO/IECのジョイントテクニカルコミュニティ1(JTC1)では一番新しいサブコミュニティ、37番目のサブコミュニティを2002年の12月に立ち上げたわけでございます。そこでは生体認証、バイオメトリクスを専門的に取り扱うということがその時点で確認されております。

(スライド 資料2-9ページ)

標準化のフレームワークでございますが、ISOのもと、JTC1のもとにいくつかのサブコミュニティがございまして、その一つがSC37であるということは先ほどお話したとおりでございます。ただ、このSC37だけの議論ですべての技術あるいは精度に関する議論ができるわけではございませんで、既に立ち上がっておりますSC17、これはIDカードに関する議論を行っているSCでございます。

それからSC27、これはインフォメーションテクノロジーセキュリティ、ITセキュリティ、この2つのSCとも強力なリエゾン関係を持ちましてISOの中では議論している。それからアプリケーション側から見ますと、金融サービスというのがございます。そこはISOの中ではTC68というテクニカルコミュニティが担っておりまして、そことのリエゾンというのもございます。主なリエゾンとしてはSC17と27、それからTC68というところとリエゾンを持ちながら具体的な議論を現在行っているという状況でございます。

(スライド 資料2-10ページ)

現在、SC37で議論しているあるいはSC37関連で議論している内容、物理的な議論の対象からアプリケーションにかけてちょうど切ったタマネギのような形をしておりますけれども、内側、コアの部分が物理的な内容、それから外側に行くにしたがいましてアプリケーションというような表現で、これはSC37で説明用に使われているものでございます。こういったいくつかのSCあるいはTCとの関連を持ちながら具体的に技術的な問題、あるいはそれに付帯するアプリケーションに関する問題、プライバシーの問題、そういったことが議論されているということでございます。

(スライド 資料2-11ページ)

現在の体制でございますが、2002年からスタートいたしまして足掛け3年でございます。現在6つのワーキンググループが立ち上がっております。技術的なワーキンググループといたしましてはWGの2、3、それから5。2はアプリケーションプログラムインターフェース、APIに関する議論が中心でございます。それからWGの3、これはデータフォーマットに関する議論、それから5というのが制度評価とレポーティングに関する議論です。それからWGの4とございますが、これも技術的な論点からの議論が中心でございますけれども、具体的なアプリケーションターゲットを定めまして、それに関する議論を行っている。それからWGの1、これは用語に関する議論でございます。それから6、これがこの審議会との密接な関係がございます。プライバシー問題あるいは利便性・安全性を考慮したその法的な課題というところを議論しております。

(スライド 資料2-12ページ)

国際の動きに対応いたしまして日本でも専門委員会が立ち上がっております。情報処理学会の規格調査会がバックにございますけれども、SC37専門委員会がございまして、そこで同じタイトルで6つのワーキンググループがございます。国内の主査はこちらに挙げたとおりでございまして、私はWG5の主査を先月までさせて頂いておりました。現在、後任に代わって頂いております。こういった枠組みで日本では検討しているということでございます。

(スライド 資料2-13ページ)

ファイナンシャルサービスに関してでございますけれども、これまでの話は一般的なバイオメトリクスに関する説明、それから国際的な対応でございましたが、この金融サービスについてはどうかということでございます。こちらにはアメリカにおける取組みが書かれてございます。アメリカではANSIという機関のもとにファイナンシャルサービスに関してはX9という委員会が立ち上がっております。それに対してバイオメトリクスに関してはINCITSという組織がございまして、そこで具体的な議論、これもISOでの議論とちょうど対抗するような形で米国での議論が進められる。X9ではそのもとにX9Fという委員会がございまして、そこでデータとそのインフォメーションセキュリティ、情報セキュリティに関する議論がなされております。

そこでの議論の結果、X9.84というドキュメントが出来上がっております。これがお配りいたしました資料の方にございます。2001年の3月に発行されております。その具体的な内容でございますが、管理要件とセキュリティ要件、それから実相に関する技術、それからセキュリティに関する検討事項、それから運用管理要件といった内容でまとめられている。これがANSIで2001年にまとめましたドキュメントでございます。

それをISOの方にUSの方から提案いたしまして、ISOではISOのTC68のサブコミュニティの2(SC2)というところで、ファイナンシャルサービスに関する具体的な議論が始まっております。お配りした資料にございますとおり、現在国際標準化が進んでいる状態でございまして、コミュニティドラフト Part1、Part2ができまして、10月6日にそのコメントの締切りが終了しております。今後残されている検討のペースといたしましては、ファイナルCD、ちょっとお配りしたプリントでミスプリがございますが、CDのあとのファイナルCDとそれからファイナルドラフトインターナショナルスタンダード、それから最終的にインターナショナルスタンダード。ファイナルCDで投票期間が4カ月、それからファイナルドラフトインターナショナルスタンダードで3カ月、そのあと2、3カ月でISになるというのが標準的な標準化の流れでございますので、その足し算プラスあとは委員会のタイミングということで、このドキュメントが最終的にISになるのであろうというふうに想像いたします。

(スライド 資料2-14ページ)

今お話いたしましたX9の一方の中でも、当然ことながら個人情報に関する管理についての議論がなされています。その個人情報に関する管理という観点から見ますと、世界的にはやはり欧州での議論というのが盛んでございます。米国でももちろん行われておりますけれども、欧州では代表的なこれまでの経緯を簡単にお話いたしますと、例えばドイツでのテルトラトラストにおける議論、それから同じくドイツでございますけれども、より具体的なアプリケーションに関する議論としてバイオメトリクスのアプリケーションに関する議論としてバイオトラストでの議論。その後、現在国際標準、ISOにおける国際標準に対して最も影響力のありますのが、このバイオビジョンにおける議論の集大成でございます。

こちらに書いてございますが、2002年6月からちょうど1年間議論いたしまして、「プライバシーのベストプラクティス」というのをとりまとめております。このバイオビジョンにおけるそのドキュメントの内容でございますが、最後の資料に簡単に項目をご紹介しておりますけれども、事前の同意あるいは目的外事業の制限、あるいはアカウンタビリティ、そういった一般的な内容が盛り込まれております。このバイオビジョンでの議論、ロードマップに関する議論はそのあとヨーロピアン・バイオメトリクス・フォーラムで受け継がれておりまして、そこでその議論の延長線上で新たな議論が進められている。またこのバイオビジョンにおけるドキュメント、ベストプラクティスはこのヨーロピアン・バイオメトリクス・フォーラムへのサイトから無料で入手することができます。

(スライド 資料2-15ページ)

次から一つ話題提供という形になりますけれども、まず1つ、重要な観点といたしまして生体認証は二面性がある。いわゆる光と影という表現が適当かどうかわかりませんが、2つの側面がある。個人情報の保護の観点から見た場合でございますけれども、1つがこのバイオメトリクスを使うことに対する有用性、それから他方がそれに対する脅威ということになります。バイオメトリクスをプライバシーの保護の手段として使った場合の有用性ということがこちらに書いてございます。

パスワードとの比較が記述されておりますけれども、パスワードというのは先ほどお話したとおり、ある意味では非常に扱いやすいパラメータでございますが、ある意味では高い脆弱性を持ちうる。それに対してバイオメトリクスというのは詳細な説明は避けさせて頂きますけれども、要は安全性の観点からいきますと、他人を本人と間違えて特定してしまう、他人受け入れの確率からある程度リスクを評価することができる。いわゆる統計的な尺度から評価することができる、そういう特徴もございます。

それから影の部分でございますけれども、プライバシーに対する潜在的な脅威という枠がございます。1つは取り替えができませんと、指に対して新しい指というわけにはこれは当然いきません。そういった特徴もある。それから第三者がこのバイオメトリクスを用いて本人であると名乗ってそれがアクセプトされた場合、それをどのように検知するのかということが非常に難しいという問題点もある。光の部分、それから影の部分、ここですべて網羅できているわけではございませんが、そういった2つの局面があるということでございます。

(スライド 資料2-16ページ)

今お話申し上げたそのバイオメトリクス情報の特徴ということが3点こちらに挙げてございます。1つが先ほど申しましたとおり取り替え不能である。暗証番号と違いましてすぐ再発行はできないということ。それからこれは環境によって当然違いますけれども、場合によっては同意なしにその人の特徴が取り得てしまうということも考えられるということでございます。それから3番目、本人の特徴だけを取ったつもりでありましても、そこからある程度推定できるような、例えば本人の健康に関する情報あるいは年齢に関する情報、そういったこともその中から取り得るというところが単なるパスワードとは違ってくるというところが一つ特徴として挙げられます。また、これは逆にこの特徴を利用して新たなサービスということも展開できるということも併せてご認識頂きたいと思います。

(スライド 資料2-17ページ)

ここに一つ問題設定がございますが、先ほどお話いたしました身体的な、物理的な特徴、それから行動に基づく特徴、これは個人情報として取り扱う以上同等であるべきなのかあるいはないのか。これは現在私自身解を持ち得ておりませんけれども、例えば身体的な特徴というのは行動的な特徴に対しては変更が困難である要因は高いであろうと。それから身体的な特性ですね、行動的な特徴というのは、その物理的な特徴に比べますと時間経過に対する変化というのは大きい場合が多いであろうと。それから身体的な物理的な特徴というのは、偽造というのが技術的にも可能であろうと。これすべて偽造できるというわけではございませんけれども、そういったことも可能であろうというように両者特徴がございます。で、IBGにおける一つのカテゴリー分けといたしましては、物理的な特徴はその行動的な特徴よりも、その管理に対してリスクが当然大きくなるだろうというようなことも報告されております。

(スライド 資料2-18ページ)

個人情報というのは私の認識では、それはあくまでも本人を特定するために使うという枠の中で考えるべきものというふうに認識しております。ここで機械によって自動的に、要は人手を介さずに本人を特定するために使う情報、それからそれ以外のもの、これはどのように扱うべきかと。この両者を同じように管理すべきかそうでないかという論点でございます。

先ほどご紹介いたしましたバイオビジョンの中でも、その両者に対しては明確にカテゴリーを分けている。これに対しては私自身は同意できます。例えば顔写真入りの名刺とか卒業アルバムと一般的に我々がこれまで個人情報ということを必ずしも認識せずに扱ってきたものまで、その管理下に置くというのは日常生活に対して非常に問題が生じるのではないか。ただ一方、その個人情報、モダリティを個人の特定のために使うという限定した領域内であれば、それは当然本人のプライバシーを保つために必要な管理下に置くべきだろう、技術的なあるいは法的なバックアップが必要だろうということは認識するわけでございます。

(スライド 資料2-19ページ)

それから次は、公知の事実あるいは非公知の事実。具体例がマル1マル2で示されております。これも一般的によく言われることでございまして、例えば顔というのは本人の特定のために用いる。その中にはプライバシー情報が存在し得る。ただ顔というのは、この今現在も私皆様に自分の顔をさらしている。写真を録られればそれでプライバシー侵害ということは必ずしも申し上げないわけでございます。結局その指紋にしろ顔にしろ、あるいは行動的な特徴にしろ、本人を特定するという範囲内で使う以上は、それなりの管理する情報としては厳格といいますか当然考慮すべき対策というのは出てくるであろう。指紋あるいは顔そのものというのは必ずしもプライバシーに直結いたしませんけれども、それと本人との属性がリンクされたときに初めて大きな問題として存在し得る。その一つの入口といいますか入口として用いられる可能性がある情報については、やはり管理を考えなければいけないということは少なくとも申し上げられるのではないかというふうに認識しております。

(スライド 資料2-20ページ)

上乗せ措置についてでございます。これはご紹介いたしましたX9、ファイナンシャルサービスに関する米国でのとりまとめ、現在はそれに基づいてISが議論されている。それからバイオビジョン、これについてはユーザーの立場からの一般的な議論がなされております。これが現在参照し得るドキュメントでございますけれども、その中で基準の内容の精査という一つの検討項目が挙げられます。

一般の情報との区別。バイオメトリクスに関して特別な管理の対象項目としては何が挙げられるということを、やはり整理する必要性があるのではないか。それからこのバイオメトリクスの技術に限りませんけれども、日進月歩で進歩しております。そういった技術の進歩ということも当然考慮すべきと。それから冒頭で申し上げましたとおり、それにともないまして今後立ち上げる可能性のあるサービスということも十分ご配慮頂いた議論が必要なのではないかということを考えております。

それから2番目では、日本独自の観点からの精査と。これは当然日本の慣習というのは米国と異にするわけでございますけれども、そういった論点からの議論も必要でございますし、また現在この金融という立場で皆様ご議論して頂いていると思いますが、例えばこの金融と医療とがくっついたときにどうなるのか。いわゆる複数の分野での融合になったときに、どういうガイドラインが必要なのか。いわゆる分野をまたがった技術的な観点あるいは法的な観点からの議論というのが必要なのではないかなということをお話申し上げたいと思います。

○ 山下部会長

どうもありがとうございました。それでは、ただいまのご説明につきまして、ご質問あるいはご意見ございましたら頂きたいと思いますが、いかがでしょうか。

○ 上柳委員

ちょっと脇からの質問かわかりませんけれども、技術的なことでもしわかればということでうかがいたいんですけれども。例えばこの目の虹彩であるとかあるいは指紋であるとか、例えばどっかにその情報を預けた場合にですね、その預けた情報が自分のものなのかどうなのかと。例えば個々の個人、私が確かめたいと思ったときに、どういうことができるのかという質問なんですけれども。ですから、例えばどこかの機関に、例えば警察なんかに私の指紋が登録されているとして、それが自分の本当にものと一致しているのかどうかというのは、多分何か解析されてそれが99.何パーセントの確率でとか何かで出てくるのだと思うのですけれども、本当にその機械を信じるしかないのか、何かもっとこう納得できるようなふうにシステムが進化していっているのか、もしお答え頂ければ。

○ 小松教授

今のご質問というのは、例えば照合のプロセスの中で自分の指紋があるかどうかと。いわゆる識別、アイデンティケーションということになるのかもしれませんが、あるいはベリフィケーションでも多分同じだと思いますけれども、そういった本人を照合するプロセスから例えばある適当なIDを入力して自分の指紋を照合する。そのときにオーケーであれば確かに自分の指紋が登録されていたということを確認する場合と、それからあるシステムの管理をする場合に、例えばAさんという指紋がその中にあるのかないのか。その2つになると思いますが、ご質問の内容というのは後者のことでございましょうか。

○ 上柳委員

多分両方の場合に問題になるのだと思うんですが、質問が悪いんですけれども、例えば自分の顔であれば、顔写真を見れば多分自分の顔写真だろうなというのは何となく納得できるんですね。ところが自分の指紋とか自分ではなかなか確認できないようなものがあって、例えばここに指紋を押したのはおまえに違いないと言われても、その納得できないようなときがあるのではないか、そういう意味なんですが。

○ 小松教授

ちょっとこれはもうまったく私の私見でございますけれども、本人ですらそれが確認できるということは問題になる場合があるのではないかなと。結局、本人の同意をもってまず登録します。その登録のプロセスでまず自分であることを何らかの方法で証明しないといけないわけですね。そこで本人であることがわかって、それから適当なモダリティ、適当というか必要となるモダリティを入力します。そこで本人はその自分のモダリティが登録されたということが一応認識される。また相手もそれを認識する。そこでそのあとのプロセスというのは多分本人もわからないというのが一般的な場合だと思うんですね。

そこで本人のその情報があるかどうかというのを本人が知るということの必要性というんですか、それはちょっと私自身もそういう必要性があるかどうかというのは十分まだ理解できていないわけですけれども、その最初のプロセスをやはり厳格にやる必要性があるだろう。これはあなた本人なんだと、で、本人のその情報なんだという、その対応づけは一番最初のところでやらないといけない。ただそのあとはその対応づけは切らないといけない。場合によって例えばその情報をサーバーにおさめる場合、それはそれなりの管理は必要だと思いますが、そのサーバーにおさめる場合でも例えばデータとしてのバイオメトリクス情報とその人とのID、属性とはやっぱりちゃんと切るようなことが確認できないといけないだろうと。

それから例えばICカードにその人のテンプレート情報をおさめる場合、それは一回入手したら、やっぱりその情報がそこに残っていない。あるサービスを追加するために、再発行のために残すという場合ももしかするとあるかもしれませんが、それが同意されていない場合は、やはり残してはいけないと。そういうユーザーとそれからそのサービスを提供する側との最初の契約、契約というとちょっと大げさなんですが、そこでちゃんと明確にすべき内容ではないかなというふうに、ユーザーサイドから考えるとそういうふうに思います。私見でございますけれども。

○ 堀部委員

最近の動向をいろいろお教え頂きましてありがとうございました。生体認証は今OECDなどでもインターナショナルレベルでセキュリティの問題として議論をしている、来週その会議に出るのですが、国によってどういうものを使うのかというのはその国民性なり何なりで違いがあるように思うのですね。

日本の場合ですと、指紋というのが、外国人登録の指紋押捺との関係でだいぶ議論になりまして、最高裁まで争われたというような経緯もあります。一方、アメリカは今、入国管理に指紋とか写真を使う、こういうようなことがあるのですが、日本の立場で考えてみた場合に、例えば7ページにあります今までの研究事例と特徴などから考えて、どれが一番抵抗なく日本で受け入れられるものであるとお考えでしょうか。

○ 小松教授

ありがとうございます。逆に私の方が皆様にいつも聞きたいような内容なんでございますし、またうっかり一つのモダリティを特定しますと、こちらの方々も皆さん喜ばれるかもしれませんので、もう一般的なお答えしかできないんですが。

確かに標準化、今堀部先生おっしゃったとおり、標準化の席でも日本というのは指紋に対するネガティブな雰囲気があるねということは私的にも言われます。ただ、指紋ということだけに着目しますと、例えば携帯電話等でそういった機能も出てきた。若い世代だけとは申しませんけれども、少し指紋に対するイメージというのも変わってきているのではないかなと。それからもう1つは、センサーの技術的な開発によって、いわゆる指紋を入力するという感覚がだんだんと薄れてきている。いわゆる物を触るとか、それに近いような入力の感覚で自分の情報が入力できると。指紋をこうやって犯罪捜査や何かで押すという感覚がだんだんと薄れている。いわゆる自然な行動の中でその本人の特徴を入力するということで、利便性という観点から今までの暗い概念というんですか、それがもしあるとすれば払拭しかかっているのではないかなというふうに認識しております。

今、先ほどの私の話の中でも申し上げたのは、ある調査によると現在指紋が半分ぐらいで、顔とかアイリスぐらいからこれから伸びるという予測もありますと。確かにそうかもしれませんけれども、やはりこのモダリティをどれを選ぶかというのはその技術だけではなくて、どういうふうにそれを提供するかということが一番問題だと思うんですね。いわゆる運用要件に関するそのガイドラインというのはまだ明確にはございませんけれども、それがあると。

例えばあるシステムにセキュリティ対策をしたい。そのときのセキュリティに対するリスクはどの程度あるのかと。それからユーザーのその要求条件、例えば何秒以内でやりたいとかあるいはそのセンサーというのは自分から離れたいとか、そういった身近にセンサーを置けないんだとか、あるいは湿度がどうだとか、そういったいろんな条件がある。それを総合的に加味して例えばどのくらいのコストで、それからどのくらいの時間で、それからどのくらいの精度で実現できる。そういったものが最終的に出てきましたら、例えばこれは顔でいいんだな。あるいはこれは指紋が必要なんだな。あるいは血管パターンが必要なんだなと。そういったことが最終的に出てくるのではないかなと考えます。したがってその運用要求に関する考え方とそれから精度に関する考え方、それが両者タイアップして一つのモダリティ、最終的にはコストももちろん勘案してモダリティというのは出てくる。

私の個人的な考え方としては、どれかというよりはこういった複合的に、最終的には指紋だけとか何とかだけというよりは、むしろマルチモーダルと申しまして複数のモダリティを使うということがある意味では現実的だなと。そういったいろんな環境をうまく利用して、かつ技術の方もいろんな特徴を持っていますから、それをうまく利用して適用するということが、これからの一つの考え方なのではないかなというふうに私自身勝手に思っております。

○ 堀部委員

ありがとうございました。

○ 山下部会長

よろしいでしょうか。ほかにいかがでしょうか。

(発言する者なし)

○ 山下部会長

それでは、特にご質問ございませんようでしたら小松先生のヒアリングはこの程度にしておきたいと思います。どうも本日はありがとうございました。

続きまして、今週より生体認証を対顧客サービスに導入されました東京三菱銀行常務執行役員の玉井様より、東京三菱銀行における生体認証情報の取扱いについてご説明をお願いいたします。

○ 玉井常務執行役員

東京三菱の玉井でございます。ペーパー用意してまいりましたA4横の「生体認証情報の取扱いについて」というペーパー1枚お開き頂きたいと思います。

(スライド 参考資料)

今日お話させて頂きますのは目次のとおりでございまして、生体認証情報の位置づけ、当行はどう考えているか。生体認証情報をどのように取得するのか。このサービスを始めますに際してとりましたお客様アンケートをご参考までに。4番目として今回採用いたしました手のひら静脈認証とはそもそもどういうものか。それから最後に生体認証情報の実際の登録・照合についてお話したいと思います。

本題に入ります前に、今回、生体認証情報を使ったサービスというのを初めてやるわけですが、そのイメージを持って頂くために商品性をわかって頂きたいと思います。別途お配りしているカラー刷りのA4縦のペーパーがございます。表題に赤く多機能スーパーICカード『東京三菱VISA』(参考資料)となっている紙でございます。これはプレス発表に際しまして記者にお配りした資料でございます。今回、生体認証を使いますのはカードでございます。絵にあるとおりでありまして、説明がいくつかありますが、左の上の説明をご覧頂きたいと思います。

今回、ICチップを使っております。ICチップは接触・非接触、この両方のサービスが可能であります。デュアルインターフェースICチップという、チップの中では高度なチップを使います。そしてこのチップの中にキャッシュカードの機能、クレジットカードの機能、電子マネーの機能、そして身体認証機能、これを全部このチップの中に収めてございます。なお、この文章でここに身体認証とこう書いてありますが、学術的には生体認証が正しいのかもしれませんが、お客様サービス上、生体認証というのはちょっと響きがよくないものですから、私どもの銀行では身体認証と呼ぶこととしております。

その右のご説明のところをご覧頂きたいのですが、ご本人の身体認証データ、これはICチップの中に保管しております。東京三菱はこのデータを保管いたしません。これが特徴でございます。左下のコメントですが、キャッシュカードとしてATMでお取引に使います。右の方にいって頂いてクレジットカードとしてVISAとかDCとかロゴのあるお店でクレジットカード取引ができるとなっています。これが今回のサービスの全体像でございます。

(スライド 資料3-3ページ)

それでは、本文に戻りまして3ページをお開け頂きたいと思います。生体認証情報の位置づけでございます。当行は当然ながらこの生体認証を本人確認の手段としてのみ利用させて頂きます。他には使いません。また生体認証に関する当行の考え方、ベースにある考え方ですけれども、先ほど小松先生のお話にもございました生体認証情報は個人情報の中でも特に取扱いに慎重を要するセンシティブ情報と位置づけております。何なれば身体の特徴情報で取り替えが効かないというのが最大の特徴でございまして、文中「(超)センシティブ」としておりますのは、ある意味ではセンシティブ情報を超える情報ではないかというのが、私どもの考え方でございます。

(スライド 資料3-4ページ)

4ページにまいります。生体認証情報の取得でございます。実は金融取引でこの情報を使います方法には、ペーパーにはございませんが、二通りあると考えました。1つは、お客様の生体認証情報をホストコンピュータなりサーバーなりに登録しておいて、お客様がいらしたときそのサーバーにある情報と照合するというやり方でございます。これは海外で実例がありまして、韓国の一部の金融機関ではお客様の指紋情報をサーバーに保管し、ATMでお客様がATMの指紋照合機に触れると本部が持っているサーバーとの間でやりとりをして照合します。これが韓国の金融機関で既に実用化されております。こういう方式が1つございます。

もう1つが、今回私どもが採用しました、銀行が情報を持たないというやり方であります。(1)で「生体認証情報は銀行で保有しない」と、その理由は先ほど申し上げたように超センシティブな個人情報であると考えるからであります。またそれ故に私どもの従業員がこの生体認証情報へアクセスすることは回避すべきで、触れないようにすべきだと考えておりますし、また事業者としては万万が一の漏えいリスクが耐えられうるリスクではないと思います。漏えいリスク回避のためにも銀行はこの情報を保有しない形にしたいと、こういうことです。

では、どこに保有するか。(2)です。ICカード内のICチップに保管しております。チップに保管し、照合が必要なときもICチップの中で照合を行う仕組みであります。チップは堅牢なセキュリティを有しております。ということで、私どもは生体認証情報をデータベースとして銀行は保管しないということをご理解頂きたいと思います。

3番目、当然ではありますけれども、お客様の同意でこの情報を利用させて頂きます。ただ今回のカード、先ほどご覧頂いた写真ですけれども、ご希望のお客様にはすべて販売をいたしますが、その中で生体認証情報を使うかどうか、お客様がご希望になるかどうか、これはお客様の任意であります。預金のセキュリティをより高めたいというお客様が、生体認証情報がいいとおっしゃればこれを使わせて頂くということであります。

それでは、生体認証情報についてお客様がどういうお考えを持っているか。実はこういうデータがほとんどございませんで、私ども独自に1年ほど前ですけれどもアンケート調査を行いました。5ページをご覧ください。

(スライド 資料3-5ページ)

先ほど各国の習慣とか国民性とかありましたけれども、日本の方々といっても全部のお声は聞けません。一定のアトランダムの抽出のもとにアンケートを行って、どういうお考えを持っているか伺うためいくつもの質問をいたしました。そのうちの質問事項の1つに、「生体認証情報を保管する方法について」という項目を設けてアンケートを行いました。「銀行が持っていいですか」、「ICカードだけで留めますか」という質問です。下にグラフがございます。年代別に多少のでこぼこはございますが、どちらも抵抗ないとお答え頂いた方が6割でございます。多いと考えるか少ないと考えるか、私どもにも判断がつきませんが、その下です。「ICカードに登録する」ことに抵抗を感じる方は1割でございました。一方で、銀行のデータベースで保有してよろしいでしょうかには、「抵抗あり」36.5%という高い比率でございます。お客様のご認識で銀行が保有することは拒否しているというのが私どもの判断でございます。今申し上げました私どもの考え方、超センシティブな情報であるという考え方、それからこのお客様の声、この2つを踏まえまして私どもは今回のサービスはICチップにのみ保管するという方法を選択したわけでございます。6ページにまいります。

(スライド 資料3-6ページ)

今回採用いたしました認証方式、先ほどご質問でどの方式が一般的かというお話がございましたが、どれが一般的かわかりませんが私どもは手のひら静脈認証を採用いたしました。どういう認証かというと、下に絵がございますがセンサーの上に手をかざして頂いて、このセンサーから近赤外線が出ております。近赤外線で手のひらの画像を撮影いたします。近赤外線画像が右側にございます。これによりまして手のひらの表面からはわからない静脈の情報、静脈パターンが撮影できます。これで登録済みの情報と照合するという方法でございます。

登録されております生体認証情報、これも登録時の画像から抽出しましたパターンであります。パターンの特徴化した情報であります。でありますから今回のチップを読み取られることはまずありませんけれども、万万が一チップから情報が取り出されたとしても、手のひら全体の静脈が復元されるということはございません。パターンの特徴だけが出てくるということです。当然ながら暗号化されておりますので、暗号まで解かれた上は、こういうことになります。

どの方式かというお話でご参考までにお話申し上げておきますと、私どもはいくつかの方式を比較検討いたしました。例えば金融機関として使えない方式が1つあります。それは何かというと目の虹彩でございます。一見虹彩は良いのですけれども、ATMにお客様がお立ちになって、お客様の身長が180センチもいらっしゃれば150センチもいらっしゃるので、これを実取引に使おうというのは無理なんですね。カメラをずっと上げたり下げたりする間、お客様にじっと立っていてくださいというわけにはまいりませんので、こういうものは実用性という観点からドロップいたしまして、絞り込んできた結果、指紋と指の静脈と今回の手のひらの静脈、3つに絞り込みました。この3つは金融取引で実用化できると考えました。

これまたそれぞれの機械を約1,000人近くのお客様、実際の当行のお客様ですが、に触って頂きまして体験して頂いてアンケートをとりました。うれしかったのはセキュリティのためにこういう方式を使うということに大半のお客様が賛成してくださいまして、中には早くつくれというお声もあったのですが、その中でネガティブなお答えもいくつかありました。ネガティブなお答えが一番多かったのが指紋でございます。2番目が指静脈、一番少なかったのが手のひら静脈と、こうなっております。

なぜ、指紋にネガティブだったか。指紋に対するネガティブな答えの代表的なものを申し上げておきますと、1つは衛生面の答えです。先ほど携帯電話で指紋というのがありましたけれども、携帯電話は自分しか触らないのが前提ですね。金融機関の取引ですと、例えばATMは誰が触ったあとに触るかわからない。指紋照合機にペタッと触るわけですから、特に若い女性から気持ち悪いという声が強かった。これは事業者としては大変大事なお答えでございまして、もう1つは、中高年の方々から指紋はイメージが悪いというお話がございました。犯罪捜査で使われて、これは確立された技術といいながら、その一方でイメージ的になかなか抵抗が強いということでございます。これまた我々金融機関としてはお客様のイメージを大事にしなければいけないものですから、なかなか使いづらかったということで、それでは、指静脈はどうかというと、指静脈は手のひら静脈と理論的には同じ方式でございますが、やはり指を出してセンサーにというのは指紋のイメージがどうしても切れないようでございまして、抵抗感が強かったということをご参考までにご披露しておきます。情報管理とはまったく関係ない話でございますが、ご披露しておきます。

(スライド 資料3-7ページ)

では、7ページにまいりまして、生体認証情報の登録と照合でございます。どうやっているか。まずICカードのセキュリティですけれども、今回使いますICカード内のアプリケーション、これは書換えもできません。読み出しもできません。そういうロジックにしております。それからICカードと生体認証装置、この両者の間でのみ認証を行いますので不正なアクセスで抜き取られるということがございません。それから登録の処理は生体認証情報、先ほど申し上げましたが暗号化してチップ内に入れてあります。また照合するときもチップ内で登録情報との照合が終わるということでございます。このように申し上げてもなかなか金融実取引のイメージがわかないのではないかと思いまして、もう1枚めくって頂きますと、縦長の大きな紙を付けてございます。

(スライド 資料3-取引の流れ)

こういう流れで実務的には行います。取引の流れ(ICカード方式による生体認証の活用)となっております。一番上、1、カードの申込ですが、お客様が当行の店頭にいらっしゃいまして使いたいということで申込書を記入されます。その申込書は本部に送られて内部処理がされます。先ほど申し上げましたように今回のカードはクレジットカードを兼ねておりますので、与信管理、クレジットの審査が必要でございます。クレジットの審査が通りますとカード発行の処理が行われます。

下へいって頂きますと、ホストコンピュータからの指示でカードが発行されます。発行されたカードは配達記録郵便でお客様のご自宅にお届けするという仕組みです。おわかりのとおり、この時点まで生体認証情報はまったく触られておりません。いよいよ情報の登録が3番でございます。お客様がカードをお受け取りになりますと、そのカードとともに印鑑、通帳、本人確認資料、それまでお届けの暗証番号をそろえて窓口に来て頂きます。先ほど小松先生が登録のときの本人確認とおっしゃいましたが、まさにここでございまして、ここで本人確認をさせて頂いて登録となるわけです。登録はセンサーの上に手をかざして頂いてチップの中に入ります。

右の方を見て頂きますと、ホストコンピュータと何を交信しているかというと、お客様がご希望された登録の口座が生体認証になっているかという信号だけ入れます。イエスかノーかですね、○か×かの登録情報だけがホストに入ります。それはなぜかというと、生体認証○の口座は、以後生体認証照合が行われないと動かない口座になるということでございます。

4番、実際のお取引でございます。ご本人が何かお取引をしたいときはATMあるいは銀行の窓口ともにでございますが、ICカードと生体認証、まさにご自分で来て頂くということが必要でありますし、暗証番号を使ってお取引を行います。

店頭に置いております生体認証のやり方ですが、ちょっと遠くて恐縮でございます。今回使います生体認証の機械、登録機兼照合機がこれでございます。お客様が店頭にいらして、お取引をするときにはお渡ししてあるカードを差し込んで頂きます。これは本人が誰かを確認するためですね。ICカードをこの機械が読み取ってお客様に手のひらをかざして頂き、ここでご本人であることを確認します。確認できたらそのあとは通常のお取引に入るというこういう形でありまして、ペーパーに戻りますと、ホストコンピュータの間に矢印がありますが、ホストコンピュータとの間は生体認証が登録と一致しているというオーケー電文がホストに飛びます。そうするとやっと初めて口座が動き始めるという形でございます。

これをATMの画面で見て頂くと良くお分かりになるかもしれないと思いまして、今日、動画で持ってまいりました。実際のATM画面を映しておりますので、ちょっと鮮明ではございませんが、四、五十秒で一取引は終わりますので、ご覧ください。まずはざっとご覧ください。後ほど説明いたします。

(スライド ATM画面の動画)

ありがとうございます。それでは今の画面展開を紙に落としてございますのでご説明いたします。今、40秒ぐらいだと思いますが、その間に生体認証の照合も終り、キャッシュも出てきたわけですが、このペーパーでもう一度ご説明申し上げます。

(スライド 資料3-ATMカード支払取引フロー)

お客様がATMの前に立たれますと1番の画面が開きます。取引をご選択頂く画面です。東京三菱のスーパーICカードのボタンを押して頂きます。

2番、ICカードを入れて頂きます。

3番、今回、クレジットカードも兼ねたカードですので、「どちらのお取引ですか」と問いかけてキャッシュカードを押して頂きます。

4番、ICカードの読み取りに入ります。これは挿入されたICカードは真正な当行のカードであるかどうかの確認でございます。

5番、その読み取りをしている間にお客様にお取引の選択を頂きます。先ほどの動画ですと「お引出し」を押していました。

6番でカードの読み取りが終わりますと、7番、いよいよ静脈認証処理に入ります。7番は撮影です。左側の方に撮影で三角印がだんだん流れるようになっております。撮影が終わると8番、ペーパーの上にまいりまして、照合です。ここで照合が完了しましたというのが9番のメッセージでございます。

ここまで実はホストコンピュータとの交信が行われておりません。ここからいよいよホストとの交信が始まります。10番以降はもう皆さんキャッシュカードをご利用頂ければ、慣れていると思いますがその取引でございまして、暗証番号を押し、必要な金額を入力して、このあと一番時間がかかっていると思いますが、ホストとの交信です。

13番でお金とICカードは出てくる、こういう流れになっております。

私のご説明は以上でございます。ご質問にお答えしたいと思います。

○ 山下部会長

ありがとうございました。それでは、ただいまのご説明につきましてもご質問、ご意見等ございましたらどうぞ。

○ 上柳委員

多分4ページの(1)の関連する質問のつもりなんですけれども、この銀行で保有しないということの表現というか内容にもよるのだと思うんですけれども、大変工夫されているところで、カードの方にだけこういう情報が入っていると。カードは顧客といいますか個人の方が保管するわけですから、なくしたり何なりするというのもその人の責任ということで、大変工夫されていると思うんですけれども、やっぱりこれ理屈的にはそのカードの所有権は多分銀行がお持ちで、しかもこのデータの読み取りは銀行の機械でしかできないというか、ホストコンピュータとは関係ないけれども、その端末の機械上でしかできないということでいうと、やっぱり何か銀行がお持ちだということの上でのいろんな、それこそ今回の情報管理の新しい法律への対処はされようとしているんでしょうね。という質問なんですが。

○ 玉井常務執行役員

銀行が保有しないという表現はおっしゃるとおり厳密ではありません。厳密にはカードは銀行の貸与物でございますので、そこに入っているという意味では銀行が保有。ですが、正確に言えば銀行はデータベースとしては持っていないということでしょうね。かつ銀行はお客様の承諾なくしてアクセスができないとも言えます。ただ、この表現が一番一般の方にわかりやすいものですからこういう表現にしましたが、法的に何か表現を手当てする必要があればそういう表現にしないといけないと思いますね。

それから今、紛失というお話がございまして、実は今回この方式を採用するのに一番我々として悩んだ問題です。銀行がデータベースを保有していれば、お客様が紛失したときの再発行は極めて簡単であります。ただ、銀行は持っておりませんので、物理的には持っていないわけですね。表現上そういうふうにさせて頂きますが、カードはお客様のお手元にあって、そのカードがなくなってしまったときに再発行といわれたらどうするかというと、先ほどの一番最初の絵に戻るわけです。ご本人確認をもう一回やらせて頂いて、また新しいカードに登録して頂くという面倒くさい作業になります。我々としてこれはなかなか実務的には大変なのですが、いろいろな情報、状況を総合いたしましてこの方式を採用したということでございます。

○ 堀部委員

具体的に事例でお話頂きまして大変よくわかりました。ありがとうございました。今のホストコンピュータに記録、保管するかしないかというのは説明でわかりましたけれども、今後あるいはこれまでの外国の事例等から見て、どちらの方向が多くなりそうなのでしょうか、予測としまして。韓国ではホストコンピュータに入れておくということだったですね。

○ 玉井常務執行役員

予想はなかなかしづらいのですが、私ども今回のサービスの商品化は1年前に計画いたしまして、実は予定よりも早くリリースしております。それはなぜかというと全体の情勢、金融界がどう動くかとかそういう情勢を見ている暇がなくなりまして、ご存じのキャッシュカードのスキミング問題が起きておりまして、できる限り早く、できる限りの範囲で商品化してご提供するということを優先いたしましたので、これから金融界がどっちへどう動くかはなかなか難しいなと。

ただし、韓国の例は別といたしまして、今日は今回の会議に、この会議に呼ばれるといった直後ですが、10月7日に日経新聞に警察がDNAをデータベース化するという記事が出ております。警察が捜査のためにDNAを使う、ただしデータベース化することに日経の編集委員の方は否定的というか疑問を投げかけていらっしゃって、なぜかというとそういうものをデータベース化するコンセンサスはあるのかと、こうおっしゃっています。警察のこういう大事な捜査にデータベース化のコンセンサスはあるのかといわれるぐらいですから、当然ながら我々事業者がデータベースで持つことのコンセンサスを得るには相当時間がかかるのではないかなと当行は判断しております。その時間を待っていては一方のセキュリティの向上というところが果たせないということなので、苦しい中での決断というふうにご判断頂ければいいと思います。

○ 西村委員

実際にこれを開始されてからカード等々お作りなられる方の利用の状況というか、どちらを選択するというか、このあたりはどうでしょう。任意ということですから従来型でもこれは可能だろうと思うのですけれども。

○ 玉井常務執行役員

実は10月12日より受付開始とまだ数日なものですから結果が出ていないのですけれども、お客様からお問い合わせは、その生体認証を登録する前提でのお問い合わせですがセキュリティの向上のためにということでお問い合わせはどんどん入っている状態でございます。

○ 森﨑委員

2つありますけれども、銀行ではトップを切ってこういう形のものを導入されたわけですけれども、その導入をされるきっかけは何か特段のことがあったからとかというのが1つですね。

それからこれはお差し支えなければということで結構でございますけれども、導入コストというのはいったいどの程度のものになるのかということですね。この辺はもしも差し支えない範囲でお答え頂けたらと。

○ 山下部会長

いかがでしょうか。

○ 玉井常務執行役員

ずばりとしたご質問ですので正直にずばりお答えいたしますが、きっかけといいますと、最大のきっかけは昨年の冬ぐらいから増えてまいりました磁気キャッシュカードのスキミング問題がきっかけでございますが、もう少し原因を申し上げますと、当行としては昔から、かなり前からですね磁気カードの安全性の向上についていろいろな研究を進めていたところに例のセキュリティ問題、スキミング問題が起きたというのが正直なところでございます。

クレジットカードの世界では、もう既にスキミングでは悪用はかなり古い話というか問題になっている話でございますし、実は私ども東京三菱銀行の片割れでございます旧三菱銀行がプラスチックカードに磁気テープを張って取引を始めたというのは、これは多分世界で初めてではないかと思いますけれども、昭和40年代半ばでございます。暗証番号というPINですね、暗証番号でセキュリティは守られております。先ほどの小松先生のお話にありましたように、理論的には守られているのですが、スキミングでお金が下りるという事態が起きたことから今回サービス化を急いだというのが正直なところでございます。

コスト、これは企業秘密としか申し上げられませんが、こういうことだけ申し上げておきます。今回のカードは先ほど申し上げましたデュアルインターフェースICチップという大変複雑なというか高いチップを使っておりますので、従来の磁気テープカードに比べますと、1枚当たりのコストは数倍でございます。あとかかるコストといたしましては、ATMをこれが使えるように改造する必要がございます。それから営業店の各窓口にこれを設置するコストと、全体をカバーする運用のためのソフトウエアですね、等々がかかりまして、大変高いお金についてしまいました。

○ 西村委員

この分野では一つの技術が導入されると、その技術の陳腐化が早いという傾向がありますね。と同時に昔のすでに陳腐化したものが、レガシーという形でいまだに使われているということもあります。ICカードもこの形で普及させたとき、この技術がおそらくもし定着する場合には長く使われるわけでね。そのときにこのICのチップのデュアビリティ、持ち方、というのはどのくらいのことをお考えなのか。

○ 玉井常務執行役員

今は、現時点では最新鋭のICチップを使っていると胸を張れますけれども、おっしゃるとおりこの世界、日進月歩の技術でございますので、実はこのカード有効期限を持っております。クレジットカードとしては当然でありますが、キャッシュカードとして多分初めての有効期限付きキャッシュカードでございまして、今回、とりあえずは5年で発行します。ずっと5年でやるかどうかその時々で判断いたしますけれども、5年後にはカードを切り換えます。切り換えるときにはその時点での最新ICチップに切り換えようというのが方針であります。

○ 山下部会長

私も一つ質問させていただくと、個人情報の問題とはずれるかもしれませんが、従来のキャッシュカードですと暗証番号は銀行が保管しておられて、それと客が入力したものを照合している。そういうプロセスを経ますので、何かやっぱり銀行としてはそういう照合していたという記録がシステム上どこか残っているような気がするのですが、今回のものは生体認証情報についてデータとしては銀行は一切お持ちにならないとすると、適正に本人が引き出したということは、とにかく機械を無事に通ったということで全部証明していくということになるのですか。

○ 玉井常務執行役員

そうです。記録としてはある方がお持ちになったカードのチップとその方の手の情報が一致したという記録だけが残ります。銀行ですからビデオで録っているとかそういうのは別といたしまして、コンピュータが記憶するのは一致したかあるいは一致しなかったかという記録です。盗んだカードを持っていらっしゃれば一致しないわけですが、そうすると一致しなかったという記録は残ります。

○ 森﨑委員

せっかくですからおうかがいしますけれども、4ページにはICチップは堅牢なセキュリティを有するというふうに述べておられるのですが、これはカードが盗難に遭ったとか紛失したとかで、そのICチップを取り替えるといいますか、で、中のデータを読み取って、その盗った人間が自分のデータを入れるというようなことでやるというような、そういうようなことというのは絶対あり得ないようなそういうセキュリティになっているのですか。

○ 玉井常務執行役員

100%というのはこの世界では言えないので、まず不可能としか言いようがございませんが、当然ながらもしICチップの中の情報を抜き出したとしても、まずこれ自体が困難とされておりますが、抜き出したとしてもさらには暗号化されている情報でございますから、暗号鍵が必要でございます。その鍵も何らかの形で手に入れて解読したとすると、先ほど申し上げましたように静脈パターンのある一定の特徴が解明されることになりますが、そこまでと考えております。ただ、今のところ技術的には取り出すことはまず不可能といわれておりますので、心配しておりません。

○ 山下部会長

ほかにいかがでしょうか。

○ 西村委員

まず不可能というのはちょっと理解できないのですが。

○ 玉井常務執行役員

絶対不可能と言いたいところですが。

○ 西村委員

いや、というよりもどういう形で情報が入っているのですか。普通は0と1で情報が入っているわけですよね、これも0と1で情報が入っているわけですか。

○ 玉井常務執行役員

そこまではですね、お答えしないといけないでしょうか。それ自体がお答えしかねること……。

○ 西村委員

しかねることですか。

○ 玉井常務執行役員

はい。

○ 西村委員

そうですか、わかりました。

○ 山下部会長

ほかにございませんでしょうか。

特にご質問、ご意見ございませんようでしたら、多少まだ早めでございますが、本日の議論はこのぐらいにしたいと思います。今日お二方のご報告をどうもありがとうございました。

それでは、事務局から連絡事項などございましたら。

○ 寺田企画課調査室長

次回の日程につきましては、また当方の作業の進捗材料を含めまして、またご相談の上、日程を決定させていただきます。よろしくお願いいたします。

○ 山下部会長

それでは、これにて終了させていただきます。どうもありがとうございました。

サイトマップ

ページの先頭に戻る