『パスワード情報の漏えいは、残念ながら珍しくなくなってしまいましたが、生体認証用の身体的特徴データの漏えい（の可能性）も、ついに発生してしまったのです。記事によると、アクセスできた情報には、平文のままの氏名・ID・パスワード、利用者の住所やメールなどの個人情報、機密エリアへの入出許可レベルと入出記録、利用端末とOS、そして指紋データと顔認証用の情報、顔画像が含まれていたそうです。このようなセキュリティ関連企業が、パスワードの暗号化やハッシュ化を施していなかったというのも驚きです。この身体的特徴データが漏えいしたとすれば、そのデータは管理された状態に戻せません。そして、身体的特徴はパスワードのように簡単に変更できません。利用者の身体的特徴データは、今後どこかで使われる可能性が出てきます。しかも、顔画像と個人情報が含まれているので、それらをひも付けて利用されてしまうかもしれないのです。これが身体的特徴データをサーバに預けることの恐ろしさです。iPhoneのTouch IDやFace ID、Windows Helloなど、端末へのログインに使用する生体認証では、身体的特徴データが端末上にとどまっているので大丈夫です（端末が乗っ取られていないことが前提）。しかし、インターネットを通じて身体的特徴データを送信した場合は、どこかのサーバにデータが保存されています。個人情報を一緒に登録していれば、その情報も含まれます。さらに、そのサービスで何を利用していたかという情報も一緒に預けていることになります。前々回の記事でも書きましたが、現在実用化されている大抵の生体認証では、身体の特徴を数値化したデジタルデータを比較して判定しています。例えばNeoFaceでは、瞳の中心や目頭や目尻の位置、鼻翼の左右の端、口の端の位置といった特徴点同士の距離や、位置関係から算出される角度などを数値化したデータを利用しています。顔画像を直接見比べているわけではありません。生体認証においては、身体の各部位の画像をそのまま保管しているわけではなく、本来であれば保管する必要もないのです。デジタルデータ化されていれば、もし情報漏えいしたとしても、不正利用者は身体的特徴をすぐには把握できないのです。その生体認証システムのデジタルデータへの変換方法を知っていて、デジタルデータから画像に戻す方法を編み出せば、やっと元画像に似た画像が入手できるといった具合でしょう。大変な手間がかかりますね。この身体的特徴のデジタルデータ化は、「パスワードのハッシュ化」と似ているなと感じました。一方で、数値化していない画像をAIが認識する画像認識技術も発展してきています。この技術を利用した生体認証も実現できるでしょう。この場合、画像そのままを比較・判定することが可能なので、身体的特徴をデジタルデータ化する技術が不要になります。しかし、顔画像をそのまま保管（※1）しているので、情報漏えいした際には、不正利用者がすぐに身体的特徴を把握できてしまいます。つまり、身体的特徴の画像をそのまま認証に使う方式よりも、身体的特徴をデジタルデータ化して認証に使う方式のほうが、情報漏えいに強いといえます。前述のSupremaの案件では、顔認証用の情報と顔画像の両方が保管されていたようですが、なぜ顔画像の保管も必要だったのかまでは分かりません。認証以外の用途があったのでしょうか。必要なかったのだとしたら余計なデータを保管して、利用者のプライバシーをリスクにさらしていたといえます。生体認証に使われる身体的特徴の中でも「顔」は特別です。顔は基本的に公開されています。あなたのことを知っている人が、あなたの顔を見れば、あなただと識別することができる――顔にはそういう機能があります。声や体形も識別に役立ちますが、顔ほど決定的な要素にはならないでしょう。指紋や虹彩などは、肉眼では測定が困難なため、普段の識別には用いません（※2）。※2：これは現時点の話で、技術発展によって人間の能力が拡張し、顔以外の身体的特徴での個人識別が一般化すれば、その特徴も顔と同様の識別機能を持つようになります。ですので、現時点から全ての身体的特徴データは守っておくべきだと考えます。このような機能を持つ顔を認証に使うのであれば、そのデータは守られた形で保管されているべきだと考えます。顔画像そのままを保管するよりも、デジタルデータ化して保管するほうが安全なのです。そして、デジタルデータでの顔認証でも十分な認証精度が出るようになっています。～必要のない情報を保管しないことはセキュリティの基本です。民間でも顔認証の導入が進んでおり、既にいくつもの事例が公開されています。利用者のプライバシー保護やリスクの軽減を考えると、顔画像を保管しないほうが望ましいので、そうした運用方法を検討するべきだと考えます。顔画像を保管する仕様のサービスには、認証以外に顔画像を使用する用途があるということです（何も考えずにとりあえず保管してしまっている場合もあるかもしれませんが）。～ちなみに、ここまで書いたハナシは「前に登録した人と同じ人かどうかを確認する作業」である「本人認証」のハナシで、「複数の人の中から特定の人（もしくはある特徴を持つ人）を識別する作業」ではありません。特に顔認証に関する記事においては、この「識別する作業」のことを「認証」と呼んでいる場合もあります。先ほど紹介した「NISTのベンチマークテストにおけるNeoFaceの認証精度99.2％」というのは十分に高い数値ではありますが、100％ではありません。サングラスやマスクなどで顔の大部分を覆っていると認証できなかったり、双子だと本人でなくても認証してしまったりという、弱点も克服できていません。しかし、これは人間の肉眼でも同様です。人間も写真と見比べて、100％本人だと判定できるわけではありません。顔を覆っている人には外すように依頼しますし、一卵性双生児を見分けるのは困難でしょう。顔認証は、精度においては少なくとも人間と同程度の性能を担保しながら、高速で手間がかからないという効率面に優位性を持つ認証方式だと考えます。～まず、意識をなくすようなことが起きた際に、どのような医療や生活サポートを受けたいのかをあらかじめ登録しておきます。実際に本人の意識がなくなり救急医療が必要になった際には、本人の身体的特徴を使って生体認証を行い、事前登録しておいた本人の意思を確認した上で医療・生活サポートを行うという仕組みです。「意識がないときに指紋などを使って認証されてしまう」ことは生体認証のデメリットの一つですが、それを逆手にとって「意識がないときでも認証できる」ことに着目し、実用化した取り組みです。取り扱いに注意すべき点もありますが、「意識がないときの認証」を考えるきっかけとなったので紹介しました。今回は、生体認証におけるデータの登録・保管について、顔認証を中心にまとめました。これで本人認証に使われる知識・所有物・生体の「認証の3要素」について、一通り紹介できたかと思います。』

「(本人)認証(同じ人かどうかを確認する作業)」において「顔」はヒトが集団で狩りを行う様に成った時代から「信頼」できる仲間かどうかを識別するのに「目(視覚)」を使って認証していました。その後もいろんな単位(村や国等の共同体)で「信頼」できる仲間かどうかには「認証」と共に「信頼」というデータの「精査と保存と更新」が必要でした。「(本人)認証」と「特定作業」は似て非なるモノなのですが、応用する技術には共通な部分が多くあります。デジタル技術で「信頼」を得るのにもデータの「精査と保存と更新」の部分でのセキュリティが悪用を防ぐ重要な鍵となるのです。

私たちの「顔情報」はどう守られている？　生体認証のハナシ (1/5)
https://www.itmedia.co.jp/news/articles/1908/28/news018.html