CardWave 2001/12 連載第 2 回:

セキュリティは、システム全体で考えなきゃ。

CardWave 2001 年 10 月

山形浩生



 今年の前半まで、ぼくはかなり長いことモンゴルにいた。モンゴルではいま銀行が不良債権でぼこぼこつぶれて、それの再建が大きな課題だ。そしてその中で銀行不信を解消して預金者を増やすためのサービス向上の一貫として、ICカードの導入が始まっている。 ぼくは磁気カードは遅れていてICカードは高度、という偏見を持っていたので、なんだ、日本よりヘタすりゃ技術的に進歩してるじゃないか、とぼくはかなり驚いていた。日本の銀行とかがまたサービスで手を抜いてるのか、と思っていた。あるいは、アメリカとヨーロッパを比べると、ICカードを多用しているヨーロッパのほうが技術的に高度なことをやってるんだと思っていたし、アメリカ企業はセキュリティで手をぬいて利ざやをかせごうとしてるんだと思っていた。

その理由が必ずしもそうではないということがわかったのは、ごく最近だった。

要するに、セキュリティというのは単独の技術で実現されるものじゃない、ということだ。クレジットカードその他の巨大な決済システムを考える考えるときに、個別部分を考えるよりも、全体を考えなきゃ行けない、ということだ。単純にカードに使われているテクノロジーの水準だけを考えれば、安全性の面からも処理の高度さからも、ICカードのほうが上だろう。でもシステム全体を考えた場合、ICカードがヨーロッパやモンゴルで使われている理由は、必ずしも単独の技術としてそれが優れているから、だけではない。むしろ、そこで優れた技術を使わなきゃいけない理由があった。

それは、電話の普及ということだ。

アメリカでは、クレジットカードの認証に電話が使えた。かつて、クレジットカード会社は巨大な無効カード番号の一覧表を毎週カード加盟店に配ってまわったけれど、それが非現実的になったとき、電話でのカードチェックに移行した。アメリカは、それが可能にするだけの電話網が全国に展開していたし、電話のないところでもすぐに電話がひけた。電話代も、そんなに高くはなかった。日本でも、電電公社やNTTの悪口はいろいろあるけれど、それでもその点では比較的優秀だった(電話代はさておき)。だから、カードとしてのセキュリティレベルは、高いにこしたことはないけれど、そんなに高くなくてもすんだ。システム全体のセキュリティを考えたとき、クリティカルな部分はそこではなかった。そこでICカードを使ってセキュリティ水準を挙げたところで、システム全体のセキュリティ水準には必ずしも優位に影響しなかった。だから相変わらず磁気カードが使われ続けている。もちろん、すでにそれに対応したシステムができてしまっていたという理由も十分にあるのだけれど。

でもヨーロッパではそれができなかった。電話代は高かったし、電話を持ってない商店なんかざらにあったし、申し込んでから電話がつくまで数年、なんていう国は珍しくなかった。それも東欧の中後進国だけじゃない。ドイツやイタリアでも、半国営電話会社はすさまじい殿様商売をしていて、しばらく前までは電話つくまで数年待ちもざらだったとか。ましてモンゴルにいけば、携帯電話が最近ようやくのびてきたくらい。それもちょっと地方にいけばまったく使えない。電話代も、可処分所得に比べればずいぶん高い。そういう環境下で、電話線を通じたカードの認証が行えないところで、ICカードの提供するセキュリティによって、それを代替するしかなかった。そこでICカードを使うことは、システム全体のセキュリティ水準向上にとって意味があった。

 もちろん本誌読者の方々にとって、こんなことは常識なのかもしれない。ただこういうかんちがいは、他のところでも往々にしてしがちだという点は留意する必要がある。決済やクレジットカードに限らず、セキュリティは、環境すべてを考えた上で、いちばん弱い部分をどう補うかで考える必要がある。そしてたとえば、カードだけのセキュリティなど、個別技術に目を奪われすぎると、本来それで実現しようとしていたもっと大きな目的――ここではクレジットカードなどのセキュリティ――の全体像を見失うおそれがある。

そういうシステムの全体像を見失わない視点というのはとても重要なんだが、それをどう養うかというと――それはおいおい、この連載でぼくなりの考えを説明しきれるかどうか。ではまた。

CardWaveトップ  山形日本語トップ


Valid XHTML 1.0!YAMAGATA Hiroo (hiyori13@alum.mit.edu)