生体認証の基本を押さえておきましょう。マイナンバーカードで、一体何が起きているのか。
みなさんは、マイナ保険証を使ったことありますか。結構、顔認証してもらえず、暗証番号を使っている方も多いのではないでしょうか。一方、スマホでは、指紋による生体認証がかなりの割合で使われています。そこで今回は、生体認証に関する基本事項をおさらいいたします。
■生体認証に使用される身体的特徴
以下のような身体的特徴がよく使われています。
・指紋
・顔
・指静脈、手のひら静脈
・虹彩
■偽造容易性
生体認証の利用において、留意しておきたいのは、偽造の容易性です。
いちばん危ないのは、指紋です。なぜならば、皆さんは素手であちこち触るごとに指紋を残しますし、スマホの表面のような認証装置の上にも指紋を残してしまいます。そして、そのような残留指紋があると、そこからレプリカを簡単に生成できてしまうのです。
ですので、スマホのロック解除に指紋を用いれば、暗証番号を入力するより簡単という利便性がある一方、技術のある相手にスマホが渡れば、スマホ画面の残留指紋からレプリカを作られ、解除されることは覚悟しなければいけないのです。
一方、静脈は体内にあるため、その情報の取出しには生きた本人の協力なくしてできないので、指紋よりもセキュリティは高いと言えます。
■他人受入れ率、本人拒否率
生体認証は、登録した身体的特徴と認証時に取得したした身体的特徴の一致度合いを確認しています。つまり、他人を本人と間違わないように厳しくチェックしたいのですが、このチェックを厳しくすると、逆に、本人であっても本人と認識できないという基本的な性質をもっています。つまり、生体認証を使えばどんな場合も百発百中、他人と間違わず本人はいつも認識できるわけではないのです。
技術的には「他人受入れ率」(他人を間違えて本人と判断してしまう確率)と「本人拒否率」(本人を他人と判断する確率)で評価します。
「他人受入れ率」「本人拒否率」ともに小さい生体認証システムが優れているということになります。ただ、コストとのトレードオフにもなり、低コストのものは「他人受入れ率」「本人拒否率」ともに大きくなりがちです。
例えば、日立指静脈認証装置 H-1の仕様値では、他人受入率:0.0001%、本人拒否率:0.01%です。わかり易く言えば、100万人に一人程度は、間違えて他人を本人と判断してしまいます。また、1万人に一人程度は、本人を本人と判断しませんというレベルの性能ということになります。
■必要な製品の選定
「他人受入れ率」と「本人拒否率」の関係は一般に下図(左)のように反比例の関係になっており、ある生体認証装置を設計する際、この曲線上のどこに製品の仕様を定めるかということになります。そうやって各製品の「他人受入れ率」と「本人拒否率」は狙いの性能を定めます。
一方、利用者側としては、その利用目的から、安全性からは「他人受入れ率」a%以下、利便性からは「本人拒否率」b%以下ということで製品を選定します。下図(右)では、A製品のみ採用可となります。
■マイナンバーカードはどうなっているのか。
マイナンバーカードで、本人認証ができないとか、他人が本人として認証できたという報道がありますが、元々、生体認証はそのような性質を持ちますので、その確率がどの程度であるのかがポイントなのです。また、そのような性質を理解した上での運用が求められます。
■文書管理システムでの利用時の留意事項
文書管理システムで生体認認証を利用する場合は、セキュリティ対策のことが多いです。安全性が求められるので、他人受入れ率が十分低いことが望まれます。
いかがですか、皆さんも自部門のレベルアップのために、文書情報マネージャー認定セミナーを受講して、基本から応用までを学びませんか。募集要項はこちら。
