ペンタセキュリティが毎月(年12回)掲載しているセキュリティコラムです。
当社のR&DセンターのTOSLabは、本コラムより、社会一般必要なICTセキュリティとその課題について提言することで
企業、そして社会のセキュリティ認識の向上およびセキュリティ文化の定着を支援致します。

artificial-photography-119282 (1)

【コラム】 超スマート社会の始まりは、クレジット取引から

 

今日の日本社会は、大きな変化に直面している。高度化された情報社会、「超スマート社会」への変化だ。 これは、政府が積極的に推進している公的制度と政策のためにでも避けられない変化に見える。しかし、その変化に対して、不安を話したり政策推進の理由を分からないという不満もさんざん聞こえている。それで、情報と変化の目的と意義を調べてみて、変化が本格化する前に予め確認しなければならない現実的対応策を検討しようとする。

 

「マイナンバー」の不安払拭

まず検討するものは、超スマート社会を成す各構成員に対する識別手段である「マイナンバー」だ。2015年10月から施行された「マイナンバー」制度は、まだ定着段階にあるとみられるが、すでに全体社会底辺に大きな変化を起こしている。肯定的には、当初制度を打ち立てる趣旨によって、租税行政及び社会保障などの国家システムが前に比べて、より透明で公正になっているとみられる。一方、否定的には財産追跡を避けるため、銀行ではなく家に現金を保管するいわゆるたんす預金が大幅に増えるなど、社会システム変化の過渡期的な現象も現れている。

 

たんす預金問題は、意外にかなり深刻で、この1年間、3兆円以上増加し、現在43兆円規模だという。この1年の増加額は、日本国内総生産(GDP)の0.6%に該当する規模だ。紙幣相当分が市場で流通せず、すぐにたんすの中に入ったわけだ。その理由をすべてマイナンバーの影響と見ることはできないかも知れないが、たんす預金現象の最も大きな理由と分析される政府の課税強化政策の技術的基盤がマイナンバーということは確かな事実だ。

 

しかも、一部市民団体は、マイナンバー制度の導入前、そして施行中の今までも個人識別番号の情報セキュリティ的な危険性を懸念し、韓国の類似した制度である住民登録番号と関連された頻繁なセキュリティ事故を取り上げながら、不安を訴える。しかし、韓国の住民登録番号は、マイナンバーと似ているようで似ていない。同じ識別番号ではあるが、住民登録番号は該当番号を通じて「識別」と「認証」を一緒に処理しようとして、問題を起こしたものであることに比べて、マイナンバーはただ「識別」だけに使われるので、根本的に安全だとみなすことができる。そして韓国は情報化導入初期には、住民登録番号を、暗号化していなかったから事故が絶えず発生したことに比べて、マイナンバーは制度的に暗号化が必須的だ。したがって、マイナンバーの情報セキュリティ的危険性は、それほど大きくないと見られる。

 

「Society 5.0」変化の不可避性

社会構成員の識別手段であるマイナンバーと共に社会情報化に大きく影響を及ぼすのは、現在の日本政府が「超スマート社会」実現を目標として積極的に推進している「Society 5.0」政策だ。これは、ドイツの「Industry 4.0」政策と似ているようで似ていない。モノのインターネット、ビックデータ、クラウド、人工知能、ロボットなどの先端技術を産業現場特、特に工場に適用することにより、生産性を向上しようとする目的の「Industry 4.0」に比べて、「Society 5.0」はそこからさらに一歩進んで、情報化革新を通じて社会全体を全般的に成長軌道に引き上げるという超巨大計画だ。

 

現在、日本の人口は大きく減少していて、平均年齢は増加している。低い出生率と高い寿命増加がもたらすことになる結果は深刻で、これからは今までそうしてきたように若い労働者たちの負担だけでは社会的な脆弱階層の面倒を見ることができなくなるだろうという判断による決定が「Society 5.0」政策だ。これは、とても現実的判断で、政府の立場で大きな社会変化の推進は不可欠な選択だと考えられる。日本のように自然災害が頻繁な国家でかなり老朽化した産業インフラを保有したまま、労働力が減少するというのは国家において極端に危険なことだから、国家生存のためにも自発的に大きな変化以外は、避ける方法がないということは、ただ、日本だけでなく、今日、全世界のほとんどの国が直面した深刻な問題だ。

 

一応、その方向性だけは本当に正しい。企画者の能力がうらやましいほど適切だ。しかし、いくら正しい方向性であっても、現実的に適切な対策の支えがなければ無用の長物になってしまうだろう。超スマート社会を構築する第1の現実的条件は、信用である。私たちがお互いに信じて相生しようという抽象的な意味での信用ではなく、厳格な電算的定義による信用である。そういう意味で、社会そして国家の情報化という十分な電算的な信用を確保するための総体的努力と見られる。そして、「マイナンバー」そして「Society 5.0」などは、まさにそうした努力の一環だ。そういう意味で筆者は情報セキュリティ専門企業としての自社ビジョンを「開放された社会のための信用、Trust for an Open Society」に設定したことがある。

 

超スマート社会の基盤は、電算的な信用

超スマート社会政策の実際の適用について考えてみよう。そうすると、先に頭の中に浮かんでくるのが電算的な信用の不実さだ。その不実さは、公的制度だけでなく、特に私的システム、すなわちクレジット取引で大きく表れている。日本の商取引文化は、クレジット取引という世界的な動向から大きく離れていて、現金使用に固執してきた。現金の代わりにカードを使っても、クレジットカードではない銀行デビットカードを使用するので、それもまた現金使用の延長線上にあることだ。クレジットカードでは最初から支払うことができない店もよく見られるが、文化的にも電算的な信用が不実な環境だと判断される。

 

現金払いの強要を置いて、事業者の脱税への疑惑を持つのは変ではない。これは、非常に疑われることでもある。しかし、脱税の意図まではなくても、政府によって自分の財産状況が明らかになること自体が嫌な自己保護心理が大きく作用するようだ。過度な国民統制や監視に対する懸念は過ちではなく、国民としてとても当然な権利だと見られる。しかし、先にも述べたように、情報社会への変化、つまり電算的な信用システムの構築は国家生存のためにも避けられないことだけに、懸念の方向を変化そのものではなく、変化要素の適切性に集中することが適切な態度だという気もする。

 

国家的レベルの情報化推進の目的は、行政的な手続きの浪費を除去し、行政効率を向上することで、国民の負担は減らし、利便性は高め、厳格な租税正義を通じて確保した十分な財政で社会保障など国家システムを円滑に運営するためだ。効率的かつ透明な公正社会を実現するための社会インフラの情報的基盤がまさに電算的信用ことだ。これは、政策的側面だけでなく、技術的にもそうだ。たとえば、モノのインターネット技術(IoT)は、究極的には人ではないモノとモノの間の取引にまで至ることになるだろう。このため、ブロックチェーンなどの技術を通じて、事物にも商取引が可能な電算的な信用を付与する研究が進行中にある。これはもうすぐやってくる未来だ。

 

しかし、ほとんどの変化はまるで手の平を返すように急変することではなく、少しずつ徐々に近づいてくるものだ。そのため、大きな変化であっても事前に対策を立てることが可能だ。それでは、今、急を要する問題から調べてみよう。

 

最も急がれる問題は、オフライン電子商取引の現場

あまりにも当然なことだが、最も急がれる安全措置は、最も危険なところからまず保護することだ。クレジット取引の文化定着において、今最も危険なところはよくある誤解とは違って、オンライン電子商取引ではない。オンライン上で取り交わされる信用情報は、各種の関連規制によって相対的に厳しく検証されたインフラを通じて起こるため、オフラインの現場に比べては比較的安全に維持される。一方、オフラインの電子商取引は、実際の取引が起こる現場の数があまりにも多いために、取引に使用されるPOS(Point Of Sale.販売時点情報管理)端末機などのデバイスに対する基本的な安全性さえ十分確保することが難しいという現実的問題がある。

 

オフライン電子商取引の安全が特に重要なもう一つの理由は、消費者そして販売者ともにクレジットカードという実物を通して、取引プロセスに直接参加する、クレジット取引関連行為の中で最も具体的かつ可視的な行為だからだ。したがって、もしオフラインの現場でクレジット取引事故が発生するようになると、それによる社会的な不安が今後の信用社会構築においてとても大きな障害になるためでもある。

 

オフライン電子商取引の現場の中でも特にPOS端末機のセキュリティに集中する必要がある。オフライン取引現場にも安全関連規制があるが、オンライン環境に比べて相対的に管理に盲点が多いしかないため、セキュリティを疎かにする場合が多い。POS端末機の運営体制から見ても、すでに製造会社の技術的サポートを終了した運営体制を使用する場合をよくみられる。最も危険なところにも関わらず、最も管理が疎かにしているのだ。

 

超スマート社会の基盤は、社会構成員各自の電算的信用確保、そして今現在、電算的な信用の安全のための最も至急な措置は、オフライン電子商取引の現場だ。オフライン電子商取引セキュリティの具体的な内容については、以前書いた「POS&CATの決済、財布からサーバーまでデータの流れ」そして「クレジット取引セキュリティ、P2PE暗号化で安全」を参照してほしい。