PR
[画像のクリックで拡大表示]

 「ECでは相手を特定するためのユーザー認証が不可欠。ただし,セキュリティを重視するあまり,必要以上の個人情報(アイデンティティ情報)を求めると,プライバシを侵す恐れがある。サービス提供者としては,適切なレベルのユーザー認証を実施することが重要だ」---。米RSA SecurityのCEO兼社長であるArt Coviello氏は米国時間2月14日,現在開催中の「RSA Conference 2006」の基調講演において,ユーザー認証の重要性を解説した。

 Coviello氏が講演中に繰り返し強調したのは,「セキュリティとプライバシは衝突する場合がある」(同氏)ということ。サービス提供者側としては,できるだけ多くの個人情報を提供(入力)させて,本人であることを確認したい。しかしながら,取引額が小さい,あるいは詐欺などの可能性が低いにもかかわらず,必要以上の個人情報を提供させることはユーザーのプライバシを侵害する恐れがある。

 加えて,ユーザー認証の手続きが複雑となり,ユーザーの利便性を低下させる可能性もある。そこでサービス提供者としては,取引内容に応じたレベルのユーザー認証を実施する必要があるいう。

 「例えば,航空機のチケットをWebサイトで購入する際には,セキュリティ上の問題から,詳細な個人情報を入力する必要がある。一方,ホテルの予約サイトでは,個人情報の一部,例えば“常連客”だったら顧客番号を入力するだけで十分である」(Coviello氏)

 Coviello氏は,3種類のレベルのユーザー認証を提唱する。まず一つは,実世界での現金を使った取引のように,個人情報を必要としない「匿名(anonymity)」である。もう一つが,デジタル世界の取引(EC)でよく見られる厳格なユーザー認証(absolute indentity)である。この場合には,本名や社会保障番号といったセンシティブな情報も要求する。

 そして3つ目が,これらの中間に位置するレベル「pseudonymity」である。これは,前述のホテルの予約サイトの例のように,個人を特定できる情報だけを要求するユーザー認証である。センシティブな情報は極力求めない。

 「取引の回数が少なく,かつ取引の内容が高額になるようなECでは『absolute indentity』が必要だが,『pseudonymity』で十分な取引については,このレベルで実施すべきだ。そうすれば,セキュリティとプライバシを両立できる」(Coviello氏)