CardWave 2001/12 連載第 3 回:

もっといい加減なデジタル署名を。

CardWave 2001 年 12 月

山形浩生



 オンライン取引の発達のために、デジタル署名に法的な拘束力を持たせよう、という動きは世界的に強まってきている。オンラインでの各種の受け取り、契約書のオンラインでの署名などができないと、せっかく中身がオンライン化しても手続きがいつまでも紙ベースのままで足を引っ張る。これもオンラインでできるようにしろ、というわけだ。

 一方デジタル署名という考え方そのものに批判がある。署名、といっても、紙に署名するのとはわけがちがう。署名する――つまり実際にファイルを読んで、それに演算をして、結果を出す――のは機械であり、人間はキーを押すだけだ。それがホントに本人だという保証は? だれがさわるかわからないデスクトップマシンだと、どんな細工をされるかわかったもんじゃない。やるとしたら、みんなにデジタル署名専用端末を持たせなきゃならないだろう、というのが専門家の議論だ。それでも偽造、窃盗など、問題が多発するはずだ、と。そんなものをサインと同列に扱うべきか?

 ある意味で、これは正しい。でも日本人は、これに近いシステムを日々使っている。認証用ハードウェアデバイスで、よく考えると必ずしも本人の確認にはなっていないもの――そう、あのハンコだ。デジタル署名は、実際には署名ではなく、ハンコに近い。すると、いまのハンコの運用を考えることで、デジタル署名を巡る議論はかなり整理できるんじゃないか。完全な本人確認でなくても、システムとしては運用可能だというのは示せるんじゃないか。

 ただし。その場合、いま考えられているよりは複雑なデジタル署名がいるだろう、とぼくは思うわけだ。複雑といってもプロトコルを高度化、とかいう話じゃない。セキュリティを高める話でもない。もっといい加減な利用を考える、ということだ。

 つまりぼくたちが実際の日常生活でハンコを使う場合でも、なんでもかんでも実印なんか使わない。三文判を使う場面、それよりちょっとえらそうなものを使う場面、実印を持ち出してくる場合、という具合に、認証の重要度に応じたいろんなハンコの出番がある。そしてもちろん、三文判の認め印はそこらに転がしておいても平気だし、実印となると、下手すりゃ金庫にしまっておく。

 サインではそんなことはない。宅急便の受け取りサインと小切手のサインと、企業買収の契約書のサインとは同じものだ。ハンコの場合だけなぜいろいろ区別があるかといえば、まさにハンコの持っている欠点、だれがそれを押したかは実はわからない、というものを補うための処置だ。実印は物理的なセキュリティによって保護されているという想定があるので、重要な取引においてそれが強制力を持つことに、日本人の多くは異議を唱えない。

 すると……もし最初に議論したように、デジタル署名というのがその実体は日本のハンコに等しいものであるなら、三文デジタル署名とか、認めデジタル署名、といったニーズが今後は出現するかもしれない。あるいはシヤチハタ署名とかね。朱肉ならぬパスフレーズがいらないとか。そしてそういう用途にカード型のハンコがあるように、カード型デジタル署名デバイスも十分に可能だろう。そういう、いろんなレベルにあったデジタル署名のやり方というのを考えてこそ、たぶんデジタル署名そのものも普及するようになるんじゃないか。単にセキュリティをがちがち固めますとか、絶対になりすましされないデジタル署名プロトコルを作りましょうとか、技術中心で考えると必ずそういうタイト化・高度化の方向に話が進むし、法律議論でも抜け穴がないように、見落としがないように、ということで精緻化、緻密化ばかりに目がいく。でも実際に必要なのは、たとえば「1万円以下の取引ならとりあえずそこらのいい加減なデジタル署名でオッケー」という制度を作って、宅急便の受け取りくらいにそのカード型シヤチハタデジタル署名をホイホイ使えるようにして、まずみんなをならすことかもしれない。そういういい加減な部分の運用がとりあえず普及したら、そのあとで初めて本格的な、数兆円の取引にも耐えられるデジタル署名を整備してみちゃどうだろう。とりあえずいい加減なところから入る、というアプローチは意外と強いのだ。ほかならぬあのインターネットだって、いい加減だったからこそあれだけ普及したじゃないか。

付記:その後、「少額のみオッケーでも、たとえばそれを何度も実行するスクリプトを書けば大金が動いてしまうからこれではまずい」という指摘を(こともあろうに2ちゃんねるで)受けた。はい、確かにその通り。ご指摘ありがとう。だれだ、2ちゃんねるは便所の落書きクズかきこばかりだとか言ったやつは。正しい有益な便所の落書きもあるのである。が、それはさておき、いい加減な運用のできる余地があるといろいろ便利なのはまちがいないし、三文判や認め印に(法的拘束力はさておき)意味があるように、いい加減なデジタル署名だって意味はあるんだけれど、でも確かに金額でそれを切るべきではなくて、「いい加減さ」の切り口をこそもっと考えるべきなんだろうね(……というのを今度のネタにしよう)。(2001/1/6)

さらに付記。「シャチハタ」ではなく「シヤチハタ」なんだって。うーむ。キャノンじゃなくてキヤノン、というのはずいぶん昔におぼえたが……(2002/1/10)

CardWaveトップ  山形日本語トップ


Valid XHTML 1.0!YAMAGATA Hiroo (hiyori13@alum.mit.edu)