本人認証
 | 出典は列挙するだけでなく、脚注などを用いてどの記述の情報源であるかを明記してください。 |
本人認証(ほんにんにんしょう)は、サービス提供を受ける資格を持つ、当該個人であると主張する人の真正性を確認する行為であり、対面交渉を前提としないサービスにおける認証においては、パスワードによる本人認証が代表的な認証手段である。
概要
サービス提供時における「本人確認」は、「個人識別」と「本人認証」というレベルを異にする2つの領域から成り立っている。「識別 (identification)」と「認証 (authentication)」は個別の概念で、「個人識別」は対象とする人を特定の個人と判別する行為であり、肉体的特徴や所持物などが代表的識別手段となる。
「本人認証」は識別された人が当該個人である事を確認する行為となる。
所持物や身体の特徴点の照合は、当人の否認を他者が否定するには有効であるが、当人の主張(それは俺だ)を他者が肯定するには無効である(例えば替玉自首を許してしまう)。
記憶の照合は、当人の否認(それは俺ではない)を他者が否定するには無効であるが、当人の主張を他者が肯定するには有効である(当人しか知り得ない事実を知っている)。
背景
情報処理推進機構 (IPA) セキュリティセンターの『本人認証技術の現状に関する調査報告書』(2003年3月)は「「認証」は真正性の確認 (Authentication)」であり(報告書3頁)、「認証とは何らかのサービスを提供する側が相手の真正性を確認する行為である」(報告書8頁)と定義している。
本人認証は何らかの経済的・法的行為の入り口となるものであり、本人の意思の確認が必要であって、権利義務の主体の確定にかかわる分野で適用される。これに対して、個人識別では識別対象となる個人の意思は問題とされず、識別される側は主体ではなく客体として登場する。
法的観点から考察するならば、すべての契約行為において契約主体には権利能力、意思能力、行為能力の三つの能力が要求される。つまり意思を持っていることが契約成立の前提の一つとなっており、契約当事者が泥酔や心神喪失状態にあるときは意思能力を認められない。民事訴訟法第228条4項に「私文書は、本人又はその代理人の署名又は押印があるときは、真正に成立したものと推定する。」と規定されているように、「署名・捺印」は本人の意思発現の象徴とみなされている。さらに、商法第32条では「この法律の規定により署名すべき場合には、記名押印をもって、署名に代えることができる。」と規定されており、法律では、署名を第一議とし、記名押印に署名と同等の効果を認めるという考え方を取っていることが示されている。
課題
- 非対面における認証
- モバイルやインターネットなど対面交渉を前提としない世界においては、サービス提供側にとって向こう側にいる眼に見えないユーザの「意思」を確認するのは容易ではない。登録したパスワードを入力するという行為はユーザ本人の「認証してもらいたい」という意思の発現と解釈できるので、「ID・パスワード」が認証方法として使われてきた。しかしパスワードの代替手段として登場してきた所持物照合や生体照合を単独で用いる場合、特定の物(ICカードや携帯電話など)を持っていることや肉体(指紋や静脈など)の特徴が登録されたものと一致していることをもって意思の発現とするにはやや問題がある。これは酩酊状態や意識のない状態でも可能だからである。
- 本人認証は何らかの経済的・法的行為の入り口となるものであるから、泥酔状態にあっても遂行可能な認証方法を単独で用いるわけにはいかない。従って、非対面の世界を含む場合において、主たる認証手段は記憶照合に頼らざるを得ず、所持物照合や生体照合は記憶照合と組み合わせて使う補助手段として機能させるべきであろう。
- なりすまし
- 情報サービスの利用における本人確認を例に取れば、まず利用者を識別し、続いて識別した利用者が本人であるかどうか認証が行われる。一般的には、情報サービスへのログインに使うIDが個人識別に、パスワードが本人認証に使われている。ATM利用時の暗証番号の入力を例にあげると、キャッシュカード上の利用者特定情報により利用者の個人識別を行い、その利用者しか知り得ないとされる4桁の暗証番号を入力させ照合する事により本人と認証している。(所持物照合、記憶照合の組み合わせ)
- ただし、複数のパスワードを管理しなければならない現代社会において、適切な管理を怠るとパスワードの盗難、漏洩により不正にサービスを利用される危険性が考えられる。
- 入館時の本人確認を例に取れば、ICカードを使った多くの入館システムでは、ICカードに書かれた(または、結び付けられた)識別情報にて個人の識別を行い、ICカードが有効な状態であれば入室を許可するという仕組みをとっている。こうしたICカードだけの確認は、発行されたICカードが正当なものということを確認するだけで、ICカードにより識別された個人が本人かどうかについて問わない識別即認証となるため、ICカードを取得してしまえば容易になりすましが可能となる。
- このような事から個人識別後の本人認証は、確実に行われる必要がある。
関連事項
参考文献
- 情報処理推進機構 (IPA) セキュリティセンター『本人認証技術の現状に関する調査報告書』(2003年3月)
利用者認証
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/04/30 22:42 UTC 版)
日本では、機器利用者の本人認証のために、磁気情報が記録された専用のキャッシュカードまたは通帳と、通常4桁の暗証番号を用いる。かつては、暗証番号そのものを平文のまま、磁気ストライプカードに記録していた(生暗証)が、カードリーダーを使って容易に読み取る事が出来るため、旧富士銀行の盗難キャッシュカード事件(1993年(平成5年)7月19日最高裁判決。「判例時報」第1489号111頁以下を参照)を契機に、現在[いつ?]は暗証番号はカードに記録せず、入力した暗証番号は、ホストコンピュータ上の口座登録情報と照合されるようになっている。 しかし、暗証番号の詐用に加え、近時はカードの磁気ストライプ自体の複製により預金が不正に引き出される被害が相次いで問題となっており、以下の取扱が一部の銀行、信用金庫等で始まっている。 カードの情報を磁気ストライプに代え、複製の困難なICチップに記録したICカード 預金者の手指や手掌の静脈叢紋様を予め登録し、利用者の当該部位を取引の都度照合して生体認証するATM生体認証の対象となる部位については、現状では銀行等の個別規格と、全国銀行協会の統一規格とが並存しており、提携先のATMが異なる形式で生体認証を行う場合には、ICチップ・生体認証を用いた取引を行えない。この場合は、併せて搭載された磁気ストライプ記載の情報を用いた取引となり、取引金額や取引項目に制限が生じることもある。なお、将来的には他の生体認証情報も記録して、いずれの生体認証型ATMでも利用できるように準備が進められている(2006年(平成18年)8月現在)。
※この「利用者認証」の解説は、「現金自動預け払い機」の解説の一部です。
「利用者認証」を含む「現金自動預け払い機」の記事については、「現金自動預け払い機」の概要を参照ください。
- 利用者認証のページへのリンク
