どんなに生体認証が進んでも、パスワードや身分証はなくならない?

2019/8/28
いま世界で「生体認証」の爆発的普及が注目されている。
 デジタルカメラの高性能化や法律の整備などが進み、フィンテック分野では生体認証による安全かつスピーディーな決済や取引が行えるようになった。
 このイノベーションは今後、金融のみならず、MaaS(交通サービス)や無人コンビニ、医療や飲食店など幅広い分野で活用されていく見通しだ。
 生体認証が画期的な利便性をもたらす一方で、生体情報というパーソナルデータが誰にどのように扱われるか、といったデータ管理の課題が不安視される。
 そこで今回、東京都市大学教授として、都市のデジタルトランスフォーメーション研究に携わる葉村真樹氏を招き、生体認証技術を提供するポラリファイの開発部長・松山次郎氏と対談を実施した。
生体認証は既に生活を変えている
──海外はもちろん日本でも生体認証の普及が進んでいるようです。都市のデジタルトランスフォーメーションの研究に携わる葉村さんは、生体認証技術についてどのようにお考えでしょうか?
葉村 人間の生活をすごい勢いで、アップデートしていると感じます。
 技術の革新って、要は人間の能力を拡張していっているんです。生体認証は、今まで人力で行っていた本人確認が、正確かつスピーディーにできるようになりましたよね。つまり眼を拡張して、人間を超えた識別能力をもたらしたといえます。
 メディア論の大家・マーシャル・マクルーハンは、テクノロジーを“人間の機能と感覚を拡張したもの”と喝破していますが、その意味でも生体認証は最先端のテクノロジーといえます。
Google日本法人で経営企画室兼営業戦略企画部統括部長、ソフトバンクでiPhone事業推進室長、Twitter日本法人でブランド戦略部門日本及び東アジア統括、LINEで執行役員(法人事業戦略)などを歴任し、現職。東京都市大学の総合研究所内に設置された未来都市研究機構の機構長として都市のデジタルトランスフォーメーションをテーマとした産学協同研究をリードする。著書に『破壊──新旧激突時代を生き抜く生存戦略』(ダイヤモンド社)がある。
──現在、どのような分野で生体認証が活用されているのでしょうか。
松山 世界に目を転じてみると、SkypeやSpotifyといったデジタル企業発祥の地であるスウェーデンでは、行動追跡ができたり、クレジットカードやICカードとして利用できたりするマイクロチップを手に埋め込む人びとが増えています。
システム会社で業務系Webアプリケーションの開発に従事した後、2007年にSMBC(三井住友銀行)へ転職し、主に海外拠点のシステム統括、大規模プロジェクトの推進を担当。2016年からポラリファイ立ち上げに参画し、2017年5月より現職。SMBCITイノベーション推進部上席推進役を兼務。前職と合わせて米国にて13年勤務。
 インドは国家を挙げて2009年からアドハー(Aadhaar)という指紋や目の虹彩を一元管理する国民IDシステムが導入されました。既に12億人以上が登録し、公共福祉サービスが効率的に提供されるようになり、不正行為も激減しています。
──日本だとどうでしょう。
松山 日本でも、スマホの指紋認証や顔認証を起点に、さまざまな生体認証が進んでいます。
葉村 一部の空港で出入国管理に顔認証による自動化ゲートが導入されましたよね。
松山 たしかに。先日も記事にしていただきましたが、一般ユーザーへの影響が大きいものとして、犯収法が改正された影響で、顔認証を使ってオンライン上で金融口座を即座に開設できるようになりました。
 転送不要郵便による居住確認が不要となり、セルフィー(自撮り)と身分証明書の画像を送るだけで金融口座を開設できます。
【スッキリ図解】犯収法改正の衝撃! 本人認証技術が左右する天国と地獄
葉村 自動運転バスの分野では「顔パス」による利用が研究されていますよね。自動運転の無人バスなどを利用する際、事前に認証登録をしておけば、あとは財布や身分証明書がなくても、カメラで顔認証して、自動決済を行うという仕組みです。
松山 煩雑な本人確認を行っていたサービスも、生体認証を使えば、より迅速かつ安全に利用できるようになります。最終的には、あらゆるショッピングの現場で現金やクレジットカード、ICカードを持たずに「ツケ払い」ができたり、交通機関を利用する際も「顔パス」で手続きが済んでしまう未来が訪れるはずです。
 我々は生体認証のメリット・ユースケースについて、次の5つのレベルがあると考えています。
 例えば、生体認証の中でも精度の高い顔認証についてお話ししますが、レベル1では、本人確認のときにセルフィーを撮ってもらい、それが写真付き本人確認書類と一致するか確認します。
 ここでセルフィーを預けることが重要なんですね。サービス利用開始時に、本人と顔データを結びつけておくことで、その後の本人認証がスムーズかつ安全になります。
 オンラインサービスのログイン時も、顔認証が使えます(レベル2)。オンライン取引では、いちいちワンタイムパスワードを入力せずに、顔認証だけで済みますし、コールセンターでの本人確認も、オペレーターと電話を繋ぐ前に、顔認証しておけば口頭で住所を述べたりして本人確認をする手間が省けます(レベル3)。
 レベル4はサービスの本流ではないのですが、セキュリティ上、重要な手続きです。そして、レベル5がリアルな世界でのユースケースになりますね。店舗に来た人と、オンラインで登録した人を照合して、店頭での取引で、「○○さんご本人ですね。ではお金はいりません。後からカードから引き落とします」みたいな手続きだけで買い物ができる。それってとても快適ですよね。
「生体認証×IDパスワード」が最強のセキュリティをもたらす
──これからは生体認証を使えば、IDパスワードは必要なくなるんですね。
松山 将来的に生体認証だけで完結する世界が来る可能性はありますが、今のところは、IDパスワードは不要というわけでもないんですよ。
そもそも認証には次の3つの方法があります。
 現在は、この3つの認証を組み合わせて安全性を高める「多要素認証」が主流といえます。
 例えば、物理的なカードを発行する電子マネーって「このカードを持っているから、このカードの所有者」ということで、決済に使えるようになっていますが、これってカードを盗まれた場合、利用停止するまでは無制限に不正利用されてしまいますよね。
 そこで知識認証や生体認証という関所も設ければ、カードを盗まれたとしても、お金を使われてしまうことはない。複数の認証方法をミックスすると、より堅牢なセキュリティになるんです。
葉村 今、生体認証の話をすると、「じゃあIDパスワードやICカードは要らなくなるんですね」という二者択一的な話になってしまいがちですが、実はそうじゃないんですよね。
松山 そうですね。生体認証が主流になりつつありますし、それだけで完結するサービスも増えてくると思いますが、より一層堅牢なセキュリティを一般ユーザーも享受できるという意味で、多要素認証の重要性も強調しておきたいんです。
 また、複数の認証方法があると、リスクに応じて認証の強度を変化させられる、というメリットもあります。
 これはリスクベース認証と呼ばれるもので、ユーザーの属性や普段の行動、取引内容によって、リスクを判断し、それに応じて認証強度を変えるものです。
──具体的にはどういったケースが考えられるのでしょうか。
松山 私が普段行動している範囲って港区のオフィスか自宅のある文京区なんですけど、例えば毎月25日に住宅ローンを払うのにA銀行からB銀行に送金しているとします。来月の25日にA銀行に対して私の口座からB銀行に同額の送金依頼があった場合、私である蓋然性はめちゃくちゃ高い、つまりリスクとしては非常に低いですよね。だから、現状求められるワンタイムパスワードの入力をなくしてもいい。
 一方で、日曜日の朝4時に突然香港から、100万円をA銀行の私の口座から海外の銀行に送金する依頼があったときって、私の日常行動からするとありえないことじゃないですか。
 リスクが高いから、認証レベルを上げて、セキュリティを強化するんです。普段使っているIDパスワードに加えて、生体認証を要求したり、メール認証を行ったりするのが、リスクベース認証です。
葉村 AppleIDとかでも使われている手法ですよね。普段ログインしていない場所やデバイスからログインしようとすると、フェイスIDだけでなく、AppleIDも要求される。
松山 そうですね。ゆくゆくは生体認証だけでもかなりのセキュリティを実現できるようになるでしょう。しかし、今はまだひとつの要素での認証に課題があると思うので、堅牢性を高めるひとつの手段としての生体認証が利用され、人びとの生活に浸透していくタームにあると思っています。
イノベーションの鍵は、利便性と安全性のバランス
──今お話にもあったように、生体認証が生活をますます便利にすることを実感する一方で、この新しい技術に対する不安も感じます。このユーザーの不安をどう見ていますか?
葉村 生体認証に限らずイノベーションにおいては、利便性と安全性のバランスを考えることが重要です。不便と不安のバランスと言ってもいい。
 利便性を求めるユーザー心理がアクセルとすれば、安心を求める気持ちはブレーキの役割を果たします。イノベーションを急ぎすぎるあまり、安心をないがしろにしてアクセルをベタ踏みすれば大事故を起こしかねない。
松山 そうですね。弊社ポラリファイとしては、もともと金融機関出身ですから、セキュリティに関する意識は非常に高いです。
 中でも、アイルランドのDaon社の生体認証プラットフォームを利用しているのが大きな特徴です。
 Daon社はアメリカの入国審査にも採用される高精度の生体認証を開発していて、技術力は業界トップクラスです。彼らがユニークなのは自社の認証エンジンにこだわらず、ライバル社のエンジンまでも組み込む点にあります。
 彼らは認証技術のひとつひとつをプラグインで差し込めるソフトを開発していて、どの認証エンジンも組み込む。さらに、各社の認証エンジンを検証して評価してくれる。
葉村 それはすごくおもしろいですね。デューデリジェンス(評価調査)をしてくれる企業と国内独占契約を結んでいるのはたしかに強みですね。
松山 はい。生体認証技術は世界中で研究、開発されいて、進化のスピードがすごく速いので、自分達だけですべてをフォローし、実際に評価するのは非常に困難です。しかし、Daon社との提携で常に最新で最高レベルの技術を提供できる体制を構築できたのは我々にとって強みだと考えています。
葉村 なるほど。ということは大局的に見れば、生体認証に関して今後最も議論されるべきは、「誰が生体データを管理するのか」という点かもしれませんね。
松山 情報管理のガバナンスは大きな課題です。国家に生体データを管理されるとしても、「どこまで私のプライバシーを国が管理するの?」という批判は絶対にある。
 逆に民間企業、特にプラットフォーマーと呼ばれる企業が管理するのが安全かというと、先日Facebookがパーソナルデータを不正に利用していたことが表面化したので、法律の整備なども含めて、議論が始まったところです。
葉村 生体認証からは少し話がズレますが、例えばFacebook以前は、実名をインターネットに掲載するなんてありえませんでしたが、今ではみんな実名で利用している。かつてはアメリカですら、実名でネットを使うのは危険視されていたのに、です。
松山 たしかにユーザー心理に関しては、情報管理のセキュリティ的な問題というよりも、イデオロギーの問題も大きいかもしれませんね。
葉村 一方で生体認証サービスについて私は楽観的に見ていて、ユーザーがその利便性を知れば、ひとりでにこのテクノロジーが浸透するはずだと思います。
 今もパスポートのICに生体情報が登録されていますが、さほど懸念の声は聞こえてきません。それは結果的に安全だし、圧倒的に便利だからですよね。
 人びとが運転免許証やパスポートを持つのって、身分を証明するためではなく、運転したり海外渡航したりするためですよね。生体認証も、ユーザーが個人データを預けることに大きなメリットを感じれば、自然と受け入れられるしょう。
松山 実際、生体認証は技術的にはかなり利便性の高いサービスを提供できる域に達していますので、問題はユーザーの心理的ハードルをいかに越えるかです。ユーザーが生体情報を預けることに安心しつつも大きなメリットを感じられるようなサービスを開発することが、我々の責務だと思っています。
(編集:中島洋一 構成:安里和哲 撮影:小林由喜伸 デザイン:九喜洋介)