システム考える人間なら分かっておいてほしいが、本人確認や同意取得、最低限の「ネットの現状の認識」

俯瞰

next49.hatenadiary.jp

基本的にインターネットでの本人確認周りはほとんど「善意に基づく」形にしている。

例えば、
twitter.com
これ、本人確認がされている訳ではない。Twitter上でのIDに従っていくつかエントリを上げてる事で、傍証としておそらく古谷氏が書いているであろう事は分かるが、それでも確かに古谷氏が書いているかという事を確認出来る所はない。Twitterは古谷氏という事の本人確認はされていない。


現実世界でもそうで、古谷氏がやっているという訳では全くないが出版業界で時々ある事で、古谷氏が出版している本にゴーストライターがいるかどうかというのは定かではない。とは言え、善意に基づくとして、古谷氏が著者という名義で出してるんだから古谷氏で受け取っていいんだとなっている。ここらへんは古谷氏よりはアイドル本とかを言った方がいいのかなあ。しかしまあ某中国の物語の人物事典で友人が文章からイラストまで手掛けたのに名義は先生名義とかあるもんなんで、意外と出版での「著者」は宣伝用に立てられている場合もあるんだとか言っておく。大事な事なので繰り返し言っておくけど古谷氏がそうだとは言ってないからね。


一番は、我々の「ハンコ」文化は本人確認なしに行える為のもので、実のところ、多分ヨーロッパでも印章という形で似たような仕組みがある。商業流通では自然と手形とかが必要になってくるのでまあそりゃなという。


我々、選挙ですら「本人確認」はしていない。最近へえと思っているのだが、お役所的理屈としては、住民票に正しい住所が記載され正しく郵便が届きそれが正しく本人に届いている前提で、誰かが郵便物を勝手に回収していたりしないというような善意に基づくのだろう。ワクチン接種券でも実際されなかったはずだ。ついでながら本人確認とかやってると大変だという所もおそらくはあると思う。当然ながら悪い事するやつはいて、勝手に住民票変更してたりするやついるんだが、まあそれはした方が犯罪だよな。


本人確認を必須にすると、現状は多くの人が不便になるし、マイナンバーカードも長期署名には向いてない。そもそも証明書の有効期限が切れたらチェック通らんからなあ。
電子署名法での電子署名、記録という意味では期限すぎると有効性を失うという、履歴としては残念な形になる。
なので、最近のレシートとかの電子での利用とかって、仕組み結構手間暇かかる面倒なものなんだわ。しかも今はベンダーロックインされる可能性が高い。
ウチ昔契約書のPDFとかをガッツリその手のにしてしまっていて、保存しているサーバを移行するのにコピペでやったら、開いたPDFが全部真っ白に表示されるという地獄絵図があったりした。これはセキュリティ絡みのせいもあるんだけど、そもそも電子証明書とかの運用お安くないので、みんなの監査証跡、お安くADとかでやってるでしょ仕事とかでは。


実はネット上の銀行も本人確認としてeKYCだとか言ってやってる方法は、電子署名より一段落ちる確認方法である。方法論的には、リモートで顔つき証明書と実際の顔を突き合わせてるだけ(そこにAIをぶっこむ)なのだが、このAI技術は精度とかがメチャクチャ高めに宣伝はされるが、実際のところどうなのというチェック機関等がなく、ついでながら人間の識別レベルを超えてない虞はあるし、わりとソーシャルハック的に陥落させられそうなんだよね。TVの収録放送かライブ放送かって、画像で判別出来ると思います?
まあ多分厳密には出来ないが利便性で普及はするとは思う。
あとそもそも顔認証とかそんな精度上げられないんじゃないかなーと思ってたり。だってさー、日常でも同一人物と分からないケースない?身分証見ての本人確認で、「お、おう、まあ自信満々に出してくるからまあ本人だろうね」みたいなのってない?
失礼な話ですが、
oto.co.jp
finders.me
実はどちらかが影武者とか言われてもいいくらいには結構無理じゃねえかと思うんだがなあ。
実は指紋照合ですら結構エビデンスとしてはかなり検討する必要があり、指紋だけで本人たる証拠とする事は難しい(そもそも指紋を偽装する事は可能である)。
10月15日:指紋の一致は本当に動かぬ証拠か?(米国科学振興協会レポート) | AASJホームページ
指紋認証は500円あれば作れる「偽指紋」で簡単に突破できることを示すムービー - GIGAZINE

オープンレターにも現行法上で問題ある所はあった。

個人情報を収集し個人情報保護法上の事業者に該当すると思われる。
あの、学会名簿とかでも個人情報なんで、それについての同意文書ちゃんと同意してもらった?暗黙の同意とか駄目だよ?
という所で、ちょっと賛同者の名前を収集した時の手続きが今ネット上で見られないので分からんが、近年テンプレで記載するものが記載されてないような気がするのよ。
あと、迷惑メールで使われるからとかで、検索避けみたいな事今しているのだが、正直効果は微妙だと思うしgmailなら大抵弾くよ。ちゃんとした統計取られてるのかは知らんが、スパムメール対策よりは、そういうトラブルにハマった人の人生の時間を無駄に使わせるというマイナス要素があるので止めた方が。ハッキリ言うと怒りゲージがたまります。


あと、ちゃんとお問い合わせ窓口を明確に記載する事。これがないと様々な要素で引っかかってくる。最低限「管理責任担当」を作っておかないと、「整ってない」認定にはなる。


単純に言って、なりすましとかやる方が問題だけど、被害者が訴え出る窓口がちゃんとねえと、お問い合わせ先が「Google」になります。被害者からしたら「Googleが勝手に知らない文書に私の名前を載せている」という状況が現在です。怪文書に書かれているいかにも今作りましたメールに出せません。


てか、これ署名者の名前がテキストにあるが怪文書フォーマットなので、署名者にも「これほんとうに先生がかいたのですか?」とか問い合わせしたくなりますよ。

という事で。

賛同者の本人確認がどーのという所は個別に小さく対応すればいいですが、そもそも連絡先をちゃんと記載してないのマジで何考えてるのか分からんです。
オープンレターの内容について、一言言いたい事は出ては来てますが、それ以上に、そもそもこれ怪文書にしか見えないですよ。
左翼も右翼もビラ配ったりしますけど、流石に連絡がつかない怪文書って純粋に問題なんです。


いやマジで、おかしいって指摘の箇所が違うのなんで分からんのかなあとは思います。
けどまあ、「訴えてる内容は間違ってるかもだけど、別の箇所がおかしい」なんて事は沢山あるわけでまあそんなものだとも思うんですが。
流石にSEはちゃんと分かってろよとは思います。思いたい。