生体認証と社会統制

個人認証データ管理に潜むリスク


フランソワ・ペレグリーニ(François Pellegrini)

ボルドー大学 情報学教授

アンドレ・ヴィタリス(André Vitalis)

ボルドー・モンテーニュ大学 情報・コミュニケーション学名誉教授


訳:生野雄一


 フランスでは、個人の身元特定データの電子化と国による一元管理が進められようとしている。この政策により、いつでもどこからでもデータを瞬時に検索でき、なりすまし犯罪の防止に役立つ一方で、権力によって濫用されるリスクもある。検索機能の効率性の観点からだけでなく、リスクについてもよく考えて進める必要がある。[日本語版編集部]

(仏語版2018年4月号より)

Juana Gómez. — « Distaff», 2017
www.juanagomez.com / Michael Hoppen Gallery

 非常事態[訳注]の真っただ中の2016年10月28日に、ある政令によって創設された電子身分証明書(TES)のデータベースが、個人の自由の名のもとに過去に何度となく葬り去られてきたプロジェクトを実現した。すなわち、全国民の生体認証データの電子化だ(1)。この巨大データファイルは既存のふたつの当局資料──生体認証パスポート申請書のファイル(2017年1月現在で2900万人分)と全国の身分証明書の管理ファイル(2004年以降発行された5900万人分)──を統合し、精度を上げる。こうして個々人の氏名、生年月日と生誕地、性別、親子関係、目の色、身長、住所、さらには、顔の電子画像、指紋、署名が一元管理され、20年間(未成年者は15年間)保存される。2016年11月17日の上院のヒアリングで、情報処理および自由に関する全国委員会(CNIL)トップのイザベル・ファルク・ピエロタン氏は、「網羅的で、扱いに慎重であるべきこうした生体認証データが、別の目的で使用されるリスクがある」と述べた。

 実際、生体認証には、本人確認(authentification)と身元特定(identification)というふたつの異なった目的がある。本人確認の目的は、ある人物が本当にその人であるかどうかを判断することだ。そのためには、その人の生体認証データを、生体認証登録申請時に事前に獲得されたデータと比較する。双方のデータ情報が一致しない場合は、その人物は別人ということになるが、それが誰だかはわからない。一方で身元特定とは、犯罪事件の捜査で、あるいは、たとえば記憶喪失者から収集した生体的特徴から身元を明らかにするのが目的だ。その人物の生体的特徴を参照データベースの全ての生体認証データと照合して一致するものがあれば、その人物の身元が明らかになる。本人確認を目的とする行政ファイルが身元特定の目的で警察のデータベースとして使用されるリスクがあるとして、これまで20年間にわたって生体認証ファイルの一元管理の実施が拒まれてきた。たとえば2012年のケースがそうだった。[合憲性審査を行う]憲法院が、全国の身分証明書の管理ファイル近代化プロジェクトを差し止めた事例だ(2)。TESファイルは、現状では指紋からある人物の身元を特定することはできないが、そうした機能は難なく開発できるだろう。

 治安維持のための取り組みを優先したために、厳格で一元管理された身元特定データに潜む危険性を忘れて、個人の自律性をより重視した他の解決策を退けてしまった。この問題を理解するには歴史を遡ってみることが不可欠だ。長年、身元特定は証言と人同士の対面に拠っていた。1560年のトゥールーズで、他人に身分を詐称されたとして控訴裁判で争われたマルタン・ゲール事件では、300人が喚問され、そのうちの280人が“詐称者はマルタン・ゲールではない”と明言した。人々の移動が増えて国家権力に対する肯定的な空気が出てきた19世紀には、姓を記載した紙の身分証明書が出現した。20世紀の終わりからは、ITによる身元特定の方法が大きくふたつに分かれてきた。番号制と、(身長、目の色など)いくつかの身体的特徴によって個人を識別する生体認証だ。

 刑務所や軍隊のように服従関係に基いている組織では、番号制による身元特定が実施された。その最たる例がナチスの強制収容所であり、そこでは腕に入れ墨された番号が個々人の人格を完全に消し去るのに使われた。国家は、身分証明のために、姓に加えて国民に番号を付した。フランスでは、国民識別番号の創設は1940-1941年に遡る。これは、愛国的かつ軍事面の目的を、占領軍のナチスドイツから隠すためだった。その後、福祉国家政策および社会保険にも利用され、間もなく国による管理のために不可欠なものとなっていく。

 1970年代の初めに、フランス国立統計経済研究所(Insee)が保有する番号台帳を電子化しようとしたことが、ある議論を惹起する。それは、全ての電子ファイル作成者がアクセスできるこのひとつの番号を手掛かりに、ある個人に関するさまざまな電子ファイルをリンクさせるという問題だった。この論争の結果、「有識者」委員会が設置され、1978年にはCNIL(情報処理および自由に関する国家委員会)を設立する法律が可決された。ファイル作成者には新たな義務を、そしてファイルにデータを記録された個人には新たな権利を設けることがその法律の基礎だった。

 番号制と同様に、生体認証の話も国と国民が主役だ。19世紀の最後の30数年間に、裁判所における身元特定が、身体測定、指紋採取という識別技術の実験の場となる。1912年に住所不定者の人体鑑識手帳が設けられたときがひとつの重要な時点となる。この手帳は、それまでは受刑者か犯罪者しか対象にしなかった身元特定記録を、家族全員に適用するものだった(3)。植民地の行政当局もこれを現地人社会に課すことになる。身分証明書を通じて、行政による身元特定機能は広がり、ほどなく「誠実な人々」にも及んでくる。1917年にはまず外国人に、次いで、1921年にはセーヌ県の住民も対象となった。ヴィシー政権が身分証明書を義務付けたのは1940年のフランス政府崩壊に乗じてのことだった。 終戦で廃止されたものの、アルジェリア戦争が始まって間もない1955年に再び導入された。ただし、任意の扱いにとどまり、県レベルで管理される紙のファイルが作成されただけだった。1969年には、国民の75%がこの身分証明書を所持していた。

 身分証明書の電子化の最初の試みは1980年に遡る。翌年、社会党新政権に問題視されたが、一元管理された「国民IDカード」の発行提案と、そしてとりわけ、警察や憲兵隊が国内のどこからでもリアルタイムでアクセスできる国家管理ファイルの確立に伴って、1986年にその試みは復活する。国民の生体認証データの電子化は、何度も阻まれながら[アメリカ同時多発テロ事件が発生した]2001年9月11日以後のセキュリティ強化の文脈で再び俎上に上った。一方で、米国は入国の際には機械で読み取り可能な生体認証パスポートの提示を義務付けている。他方、歴代のフランス政府はIT・通信技術を国家統制の技術に転換する法律を何度も制定している。警察のデータファイルの数は、2006年に35種類だったものが2015年には80種類に増えている。また、使用目的も変容している。たとえば、調書作成犯罪に関する情報システム(STIC)という巨大なファイルが司法調査のために作られ、2001年には当局による素行調査に、2003年にはフランス国籍請求の審査に、そして2005年には公職への志願者に関する調査のために、次々と使用されていく。1998年に性犯罪常習犯のために創設された全国遺伝子情報ファイル(Fnaeg)についても同様だ。2003年には最もありきたりの犯罪に適用範囲が広げられ、そして2016年には「誠実な人々の遺伝子ファイル」の形に転換される(4)

 立法者は歴史を忘れている。第二次世界大戦のときに、何万人もの人が偽造書類で身元を変えることでしかナチスから逃れることができなかった(5)。もし、1930年代の為政者の一部が今日の指導者と同じ思考方法を採っていたならば、こうした人たちの運命は前途を閉ざされていたことだろう。1975年に発表された当局報告で、ある高官が示唆に富むエピソードを語っていた。「私が所属していた“青年トルコ人”の部隊は、16歳か18歳以上のフランス人に身分証明書の保有を義務付けるという、とてつもない計画を1938年に作っていた。それは、当時犯罪の取り締まり手段が限られていた警察にとって疑いなく前進となるに違いなかった。その政令を大臣署名に上程するときになって内務省の事務局長が、どう考えても『これは居心地がよくない』と言って上程を取り止めた。もし、事務局長のジャン・ベルトワン氏が『鼻が利く』人でなくて血気盛んな仲間たちの言うままになっていたとしたら、ドイツ軍によってパリが陥落した2年後にはレジスタンス運動はどうなっていただろうか? ドイツ軍は、パリに侵攻するやいなや、当然何よりもまずフランス人の身分証明書のセントラルファイルを奪ったに違いない」

 こうした筋書きから逃れるためには、自由を重んじてデータ処理を分散化する2つのアプローチがとりわけ興味深い展望を開いてくれる。最初のアプローチは、「システム設計段階からのプライバシー保護」(privacy by design)と呼ばれるもので、情報システムの設計段階から個人情報の尊重と個々人の自律性を組み込んだものだ。この情報システムは、情報処理の目的に照らして厳に必要なデータしか保存しない。たとえば公共輸送企業は、乗客の写真を一旦定期券に印刷してしまえば保存する必要は全くない。また、こうした個人情報は(データベースに格納するよりは)当該個人のできるだけ手近かなところに保存することが重要だ。あるいは少なくとも、遠隔地からデータを利用する場合には、個人データへのアクセスを許容する行為は本人自身によるもの(同意について本人が自覚し、知らされてもいる)でなければならない。

 ふたつめのアプローチは「初期設定としてのプライバシー保護」(privacy by default)と呼ばれ、情報システムに外部からできるだけ侵入されないような初期設定が常に行われているというものだ。利用者は使いたいサービスに応じて自分自身でプロテクションを解除することになる。

 北米地域で考案されたこれらのふたつのアプローチは(6)、欧州のあらゆるデータ保護機関から推奨されている。個人データ保護に関する欧州での今後の規制は、たとえ政府や企業の利益に反する場合でも、情報処理責任者にこれらのアプローチを用いることを義務付けている。

 独裁権力が「コンピュータを使って一斉検挙」する能力を制約するために、当局の一元管理手法のもとでは個々人の身元特定情報にアクセスできないようにすべきであろう。生体認証データは、データベースに集中化されないためにも、使用者が自ら保存するという原則がルール化されるべきだ。これはすでに生体認証パスポートで実施されていて、個人の生体認証データは、国だけが保有している暗号鍵によって「署名」されて、パスポートに埋め込まれたチップに格納されている。だが、この情報は集中データベースTESにもコピーされているが、これはここからは削除することが重要だ。何人もこのようなファイルを情報の突合せによって作成することができないように、個人の写真のような本人確認用の生体認証データはいかなる公共企業体もその情報システムに保存するべきではないだろう。

 さらに広い視点でみれば、公開鍵によるデジタル暗号法のような堅固で使い易い暗号技術が出現したことで(7)、個人の身分証明の問題とその身元特定の方法についてもう一度、より深く考え直すことが求められている。証明書の発行当局としての国の現在の役割は、申請者の身元を確認する能力があるという前提に基づいている。しかし、ある個人の近親者が暗号を使って文書に署名することでその個人の身分を証明するというように、より分散された他のシステムを考えることができる。すでにそのような仕組みは、暗号を使って知人の鍵に署名し、それによって第三者に対してその信用度を高めることに使われている。このようなアーキテクチャは実際、共同体メンバーによる知り合い関係という身分証明の基本に回帰することにつながるだろう。これによって、取り消しができないために扱いが難しい生体認証情報への依存を回避できるかもしれない。しかし、この方法は独裁政権下では重大な欠点を抱えることもあり得る。証明書の偽造が困難になり、複数人が身分証明書名義人の保証人として名義人とともにわが身を曝さなければならなくなる。

 デジタル技術が突如として出現したことで、個人の自由と安全性のバランスを見直す必要がある。歴史が示すように、ある行為を禁ずる権力が翌日にはその行為を容認する別の権力にとって代わられることがあるだけに、このバランスを法律で防護するのは脆いことがわかっている。従って、デジタル手段がなかった時代に考案された行政プロセス全体についてもっとよく振り返って考えることが重要だ。常に高まり続ける情報処理能力と個人データの膨大な収集は、人々に対する監視の強化に繋がる。それに対応して、身元特定情報の管理システムの新たなアーキテクチャが必要となる。そして、現代社会がすでに経験したような歴史の大混乱が将来起こるかもしれないことに対して予防措置を講ずる必要がある。



  • (1) この論考は、フランス国立情報学自動制御研究所(Inria)の2017年3月の研究報告『生体認証と社会統制 』をまとめたものである。
  • (2) Conseil constitutionnel, décision no 2012-652 DC, Paris, 22 mars 2012.
  • (3) Armand Mattelart et André Vitalis, Le Profilage des populations. Du livret ouvrier au cybercontrôle, La Découverte, coll. « Cahiers libres », Paris, 2014.
  • (4) Ousmane Gueye et François Pellegrini, « Vers une remise en cause de la légalité du Fnaeg ? », actes du colloque « Convergences du droit et du numérique », Bordeaux, 2017.
  • (5) Françoise Gallouédec-Genuys et Philippe Lemoine, Les Enjeux culturels de l’informatisation, La Documentation française, Paris, 1980.
  • (6) Ann Cavoukian, « Privacy by design : The 7 foundational principles »(PDF), Information and Privacy Commissionner, Toronto, 2011.
  • (7) このシステムはふたつの異なった、数学的に対をなす暗号鍵から成り立つ。すなわち、非公開の個人鍵と、誰でも知ることができる公開鍵である。一方の鍵で暗号化されたものは、もう一方の鍵でしか解くことができない。こうして、公開鍵によって暗号化されて相手方から送られてきたもの(秘密情報)を、ある個人はその個人鍵を使って読むことができる。そして、その個人鍵で暗号化されたものだけが公開鍵で読み取れる(身元証明情報または暗号化された署名)。

  • 訳注]2015年11月のパリ同時多発テロを受けてその数時間後に発せられたもの。延長されて2016年10月時点でも非常事態は続いていた。

(ル・モンド・ディプロマティーク 仏語版2018年4月号より)