米国国土安全保障省が1月末からシンガポール、オーストラリア政府との電子パスポート共同試験の実施を公表

 Last Updated:Marchh 31,2021

　米国・国土安全保障省（DHS）は、2006年1月13日に偽パスポートの使用排除を目指す「電子パスポート」の第２次試験をサンフランシスコ国際空港、シンガポールのチャンギ（Changi）国際空港、オーストリアのシドニー国際空港ならびに各政府と共同して4月１５日までの間行うことを発表した。同パスポートはデジタル写真と生体認証情報を記録した非接触型チップを有している。

　US-VISIT（注）および国土安全補保障プログラムの担当部長であるジム・ウイリアムズによると米国は2006年末までに国際的なパートナー国の協力のもとに電子パスポート用リーダーを設置することで重要な機能提供を行うとしている。米国の外交官、オーストラリア・ニュージーランドの市民、シンガポール空港（2005年11月の試験時に45台以上のカードリーダーを設置）の職員等が同パスポートを使用し、選別機能のチェックを行う。
さらに、ウイリアムズ氏は、以前行ったロスアンゼルス国際空港とシドニー空港の試験結果は結論まで至っていないが、これらの試験結果は協力各国における電子パスポート（国際航空民間機関：ICAOが定めた規格に適合したもの）の開発を支援するとともに関連する情報収集に寄与すると述べている。

　また、今回のテストの特性として、早期の電子パスポートの仕様はテロリストが通りで国民のパスポートをスキャンできるRFID読み取り機を使えるといった脆弱性を指摘した批判に対し、電子パスポートの無権限の読み取りを阻止するBAC（Basic Access Control）技術をチェックする点が挙げられている。

（注）「US-VISIT」プログラムは、生体認証バイオメトリクス式、米出入国審査・監視システム。US-VISIT生体認証プログラムは、米国入国者のデジタル写真や指紋を登録し、外国人の出入国、滞在期間や違法行為等を自動的にコンピューターで管理する包括的な監視・管理システムで、指紋照合や身分証明技術を導入するUS-VISIT生体認証システムで収集した外国人の情報は、米国移民・関税局(Immigration and Customs Enforcement：ICE )やその他の政府機関のデータベースと照合され、検索結果によっては、米国訪問者は入国を拒否されたり、米国在住の外国人は米国外退去審問の対象になる。

〔参照URL〕
http://news.com.com/E-passport+test+takes+flight/2100-7348_3-6027090.html?tag=cd.top

************************************************************

（今回のブログは2006年1月17日登録分の改訂版である)

Copyright © 2006-2010 芦田勝(Masaru Ashida )．　All Rights Reserved．

EUの司法・内務関係閣僚理事会、生体認証に基づく国民IDカード導入を曖昧承認

　　Last Updated:March 27,2021

　2005年12月1・2日に開催された「EU司法・内務関係閣僚理事会(Justice and Home Affairs Council)」(http://www.statewatch.org/news/2005/dec/jha-press-rel-1-Dec.pdf)（注）は、EUの生体認証国民IDカードに関する「最小限のセキュリティ規格（minimum security standards）」について承認した。
　公表されたリリースによると、採択された結論は次のとおりであるが、英国のように積極的な国がある一方で、なお、国内法としての判断は各国に委ねるべきとする意見が併記されており、なお今後の調整があるように思える。

①ハーグプログラムにより各国に与えられた権限ならびに2005年7月13日の同理事会の決議を承認する。
②安全な旅行ならびにその他の個人識別文書によるセキュリティの保証の重要性を承認する。
③セキュリティ基準に関する権限は承認するが、これは国民IDカードの国内使用や法的な拘束力ならびに発行スケジュールを強制するものではないことを承認する。
④国民IDとしての最小限の安全規格の調和を得る方法とについて可能な法的根拠問題について先入観を持つべきでないし、また、生体認証技術を使用の可否について各EU加盟国の判断に影響を与えるものでない。
⑤パスポートに関する「2004年EU理事会規則（EC 2252/2004）」およびビザや住民に関す修正立法についての規則案において確立された規格遵守の優先性につき承認する。これらの規格は国民IDカードの開発に当たり参照すべき点となる。
⑥パスポートに関し、すでに機能を始めた安全手段を構築すること、ならびに国際民間航空機関（ICAO）規格との相互運用性確保を優先すること。

　これと並んで、同理事会は欧州委員会が提案していたこの数年以内に約7千万人の指紋を用いた生体認証ビザシステムのEUでの展開工程表について議論している。
　この欧州委員会の提案は、既存の「シェンゲン情報システム（Schengen Information System）」（シェンゲン条約（Schengen treaty）とはヨーロッパにおける、相互国境間での検問廃止並びに共通の出入国管理政策に関する取り決め。アイルランドと英国を除く全てのEU加盟国およびEUに非加盟であるアイスランド、ノルウェーとスイスの計26カ国が条約に調印し、そのうち15カ国が施行している。）をカバーしているが、委員会はその他の取組み課題も提唱している。すなわち、①EU域内の移動の登録・退出についてのモニタリング・システム、②頻繁な旅行者（frequent traveller）システム、③欧州犯罪者自動指紋識別システム（AFIS）の設立である。

　以下の内容は、英国チャールズ・クラーク内相等が閣僚理事会におけるEU加盟国の「国民IDデータベース」の構築を前提としたセキュリティIDカードシステムの導入に保守的な姿勢について批判を述べたものである。

　IDカードで採用される最小限の規格(Minimum security standards)は、ICAO規格に準拠したEUの生体認証パスポート（FRID　ICチップを用いた顔イメージ認証と2本の指紋認証）ですでに効率的に採用されている。

　欧州のシェンゲン条約の調印国間の越境移動においてID識別は不要であり、またIDカードは域内の航空機の旅行（英国とアイルランド間も同様）において不要とされる。このため、各国で識別方法が異なる各国のカード搬送者が利用することから、すでに実用化されている数カ国のIDカードシステムは鍛造（偽造）可能であり、「弱いつながり（weak link）」と言えるため、現行のEUの各法律は生体認証規格によるセキュリティ盲点をふさぐことには極めて制限的である。

　一方、英国が導入を進めている国境において英国以外のIDカードも読めるシステムは十分に機能するものであり、このことは生体認証ビザを広く行き渡らせることを支援するため導入されたカード読取機によってはじめて可能となる。現状のEU加盟国の国民に関する「集中化した生体認証データベース」がないということは、カード上の登録指紋データと指紋の保有者との比較が可能となるのみで、本当にカードが偽造されておらず、また詐欺的にカードが発行されていない場合のみセキュリティ上問題がないということになる。

　閣僚理事会の保証自体についても、「規格に合ったIDカード」は実は本来の標準規格ではなく、拘束力はないといえる。つまり、理論的に加盟国は意図しなければ忠実に守らない、しかし政府間では国ベースで合意によって守ることのないEU規格カードに関与する内相の事例（バランスの悪い妥協）が多くなるといえる。
************************************************************************************************
（注）同理事会はEUの意思決定機関である欧州連合理事会（Council of the European Union）のうち「36条委員会（司法・内務閣僚が参加）」である。今回の理事会で決定された内容は、EUにおけるテロ対策、過激主義および雇用問題に対する行動計画を合意・決定した。その内容は、①行動計画の適用に関する報告書の作成、②国内における法的調整の評価、③反テロリズムに対する勧告方針、④テロ資金との戦い関する報告書、⑤EU加盟国における緊急・危機時の協調に関する調整、である。また、以下の合意がなされた。①12月15・16日に開催される次回欧州理事会（European Council）での移住問題に関する優先的な行動についてのフォローアップ報告書の準備、②EU全体にわたる法執行機関間の情報交換強化に関する枠組み決定、③人身売買阻止の観点からの行動計画ならびに難民の受入れ及び強制送還に関する加盟国の手続きについての最小限の標準化、である。

〔参照URL〕
http://www.theregister.co.uk/2005/12/01/jahc_biometric_id_standards/
http://www.statewatch.org/news/2005/dec/jha-press-rel-1-Dec.pdf

（今回のブログは2005年12月4日登録分の改訂版である)
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 芦田勝(Masaru Ashida)．All Rights Reserved．No reduction or republication without permission．

米国FRBがインターネットバンキング・サービスにおける認証技術の関する監督指導通達を出状

　

　米国市中銀行の監督や金融政策等の中心となる連邦準備制度理事会(FRB)は、2005年10月13日に各連邦準備制度銀行の監督・検査担当官ならびに傘下金融機関に対し認証技術の強化に関する遵守通達を出状した。その内容は、米国金融監督機関協議会（Federal Financial Institutions Examination Council：FFIEC）が同年10月12日に公表した「インターネットバンキング・サービスにおける認証技術ガイダンス」（2001年版の改訂版：全14頁）の遵守期限を2006年末とするものであるが、この期間中においても検査官はモニタリングを進めるとある。

　同ガイダンスは、現在世界中において各金融機関がすでに実用化済、実用化実験中、予定段階にあるすべての認証技術を網羅した資料として、わが国の金融機関にとっても極めて有用な検討資料といえるものである。

　なお、米国金融監督機関である連邦預金保険公社(FDIC)は2007年12月に同ガイダンスを踏まえた「監督面から見た洞察(Authentication in Internet Banking: A Lesson in Risk Management)」報告を行っており、あわせて検討すべきと考える。


（以下の部分は2010年10月10日現在、白紙であるが、適正な委託先が見つかればあらためて検討したい）
　現在仮訳作業中であり、訳文を希望される方は次のメールアドレスまでご連絡いただければ後日当方から通知する予定である。
→XXXXXXX
　なお、従来本ブログで取り上げてきたテーマについて、今後は詳細版は別途メーリングリスト登録者（当分の間、無料）のみ通知する方式に変更するので、詳細資料版を希望される方は個人、法人を問わず下記内容を記入のうえ申し込んでいただきたい。また、登録いただいた内容については、個人情報保護法ならびに関係省庁のガイドラインに基づき「XXXXXX」」が善良なる管理者の注意義務を厳格に履行し、ブログ情報の発信のみに利用すること、ならびに第三者へ情報提供を行わないこととする。
(1)本件 欄：メーリングリスト申込
(2)本文：①登録希望メールアドレス　
　　　 　②法人の場合：企業名（フリガナ）、個人の場合：姓名（フリガナ）


（今回のブログは2005年11月2日登録分の改訂版である)
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 芦田勝(Masaru Ashida )．All Rights Reserved．No reduction or republication without permission．

フィンランド政府のモバイル国民証明制度（開発責任者に聞く）

　Last Updated: March 16,021

　筆者は2005年8月31日(2010年10月8日更新済)付のブログでモバイル国民証明制度について紹介し、その中で４桁のデジタル数字のみの本人認証では「なりすまし問題」のリスク、さらにモバイルとセットして使用するIC(SIM)カード中の個人情報の盗難・漏洩などにつき「政府が保証する」ことの意味について同システムのプロジェクト責任者のElisa（大手携帯電話会社）のMikko Saarela部長に紹介したところ、すぐに詳しい返事が届いた。同国の国民登録センターなどのウェブサイトにも記載されていない点もあり、念のため、ブログでの公開にあたり同氏に再度了解を取っていたため、紹介が遅くなった。

　今回はとりあえず、同氏からの回答内容を紹介しておくが、実はフィンランドは1999年EUの電子署名指令に基づきに同年にICカード式の国民電子IDカードシステムを稼動している。このカードの保有者数は2005年8月31日現在で73,300人（現時点の同国の人口は5,250,740人）である。多いと見るか少ないと見るか、いずれにしてもその目的は国民管理カードではない、EU加盟国を中心とする29カ国への旅行パスポートであり、インターネットバンキング、社会保険・教育その他公共サービス、民間の各種サービスを受けるためのアクセス・カードである。警察がカードを発行していたり、発行手数料（大人と未成年で金額は異なる）の設定、カードの有効期限、公開鍵・私有秘密鍵（RSA）によるセキュリティ管理（PKI:デジタル署名）と本人のPINコードのセキュリティ対策など工夫がなされている。

　フィンランド政府は1999年に公開鍵・私有秘密鍵（PKIデジタル署名）方式を採用した国民IDカードの発行を始めた。同カードに記録されるデータは本人の写真が貼付されており、バーチャル以外の利用も可能である（筆者注：カード見本は次のとおり。

　また、EUを中心とする29カ国（注1)に渡航する際の公的な旅券として利用できる。強固な本人認証に基づき公的・民間サービスが受けられ、電子署名における「否認防止（Non Repudiation）」（注2）など安全性に特徴があるものの、一方では特定のデジタルサービスに限られていた。つまり、利用時にカードリーダーへの挿入や都度PIN入力など手間がかかり、複雑であった。これが政府がモバイル運用型のSIMカードの採用を始めた理由である。モバイル自体がカードを不要とした公開鍵読み取り機の役目を持ち、パソコンの利用認証、ウェブへのアクセス、デジタルTVサービスなどいわゆるecommerceサービスが簡単に受けられることになる。

************************************************************************************

(注1) 1985年シェンゲン協定の加盟国である。同協定は全EU加盟国のほか、近隣国も含まれており、その目的は人の自由な移動を認める地域を設定し、域内の加盟国間の検閲を廃止し、一方で国境を越えた犯罪対策では緊密な関係を強化するというもの。

(注2）デジタル署名において、私有鍵で署名したものは署名者以外はなしえないということ。否認を防止するためには署名鍵のバックアップは取らないなどの策が必要である。

　サービスは1999年の電子署名に関するEU指令やフィンランドの国内法に基づくもので、SIMカードはこれら政府の求めに応じて製造されたものである。

　この電子認証を得ようとする利用者はまず証明条件が整ったPKI（公開鍵インフラストラクチャ）（注3）対応SIMカードを入手し、次に警察に出向きモバイル証明を受ける手続きを行う。警察はデジタル証明について本人であることの確認手続きを厳格に行う責任を負う。このときに政府機関である「人口登録センター」に登録され証明機関（Certification Authority）としての全責任は同センターが負う。

（注3）「文書への電子署名」と「PKI認証」のセキュリティ面の違いを正確に理解しておくことが必要である。後者の場合、認証する側が送付する乱数（チャレンジ）を認証される側がその乱数に署名することで認証側はチャレンジ署名を検証し、その検証後当該デジタル署名は破棄される。前者は永続的なものであり、検証後も保存されるものである。

　モバイル国民証明は政府によるデジタル認証（署名）により保証される。すなわち、認証を要する電子サービスや電子署名が必要なときに、国民はSIMカード記録された秘密の私有鍵を使用する。認証のために４桁のPINコード、電子署名のために6桁のPINが使用される。私有秘密鍵は決して同カードから出されることはなく、本人のみが知り得るし、その変更は本人のみ可能である。

　国民証明用のモバイルが紛失・盗難にあった場合、国民は政府の証明取消サービスを受けられる。その取消方法はクレジットカード発行業者に対する場合と同様であるが、365日毎日24時間可能である。国民登録センターの方針では、各種のサービス提供者は利用の都度顧客の認証の有効性チェックが義務付けられ、モバイル証明の場合も同様である。

　SIMカードの利用時の責任について要約すると次のとおりとなる。あらゆる証明発行者の責任（正当な本人以外の者に証明書を発行したり登録を取り消すべきでない場合に取り消した場合などの「補償」を含む）は、前記のEU指令やフィンランドの国内法（電子署名法）に定められている。また、カード発行者として活動する者は証明機関（CA）、国民登録センターが定める要件を満たすことになる。責任内容はサービス提供者のポリシーに記述しなければならないし、国身登録センターの取消者リストとの照合チェック義務が求められる。

　PKI認証は、本人認証の最も強固な手段であり、電子取引における否認防止対策としても有効であり、商業ベースで展開されている。なお、同方式は現在フィンランドの銀行がオンラインバンキングで使用している「ワンタイムパスワード」（注4）に比べ、より使い勝手が良く、安全性が高い。

（注4）ワンタイムパスワードは簡易な機器（トークン）を使って取引の都度暗証を組成して、使用後、暗証自体を抹消するものであり、欧米の大手銀行等（バンカメ、バークレーズ銀行、e*Trade等）で使われている。

***********************************************************

（今回のブログは2005年9月8日登録分の改訂版である)
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
Copyright © 2005-2010 芦田勝()Masaru Ashda)．All Rights Reserved．No reduction or republication without permission．