PR

<http://www.schneier.com/blog/archives/2005/01/...>

 米国では,スクール・バスに乗り降りする児童を記録してトラッキングするセキュリティ・システムが導入され始めた。テキサス州スプリングのある学区では,児童のバスの乗り降りに関する情報を記録するIDバッジを導入している。記録した情報は,バッジから警察署に無線で送信される。アリゾナ州フェニックスの学区では,指紋読み取り装置を使う同様のシステムが稼働中だ。こうしたシステムには,誘拐や事故による児童の失踪を防ぐ効果があると考えられている。

 いったい何が起こっているのだ?システムを導入した人々は,本気なのだろうか?子どもたちのスクール・バスの乗降をトラッキングするなんて馬鹿げた考えだ。コストがかかるうえ,プライバシの侵害になる。それに,セキュリティはそれほど向上しない。

 セキュリティは常にトレード・オフである。私は著作「Beyond Fear」の中で,セキュリティ対策を評価する5段階の手順を紹介した。これを使えば,評価対象の対策が役立つかどうかを合理的に判定できる。Beyond Fearでは,この5段階の手順を,家庭用の侵入警報装置から軍用の対テロ行動まで,あらゆるセキュリティ対策に適用した。児童向けセキュリティ・システムにも適用してみよう。

 第1段階:「何を守るシステムなのか?」を考える。答えは「子供たち」だ。

 第2段階:「守る対象に起こりうるリスクは何か?」を考える。答えは「誘拐または事故による失踪」。米国では,子供の誘拐が深刻な問題になっている。1年間に誘拐される子供の割合は,家族によるものが340人に1人,家族以外によるものが1200人に1人だ(この数値――記事の最後にあるリンクを参照――は1999年のもので,通常は誘拐とされない事件もすべて含んでいる。さらに私の推測では,テキサス州スプリングの誘拐発生率はもっと低いだろう)。こうした誘拐のうち,スクール・バスが関係する例は極めて少ない。そのため,スクール・バスにかかわる失踪のリスクがどの程度深刻なのかは明らかではない。

 第3段階:「このセキュリティ対策がどの程度リスクを軽減するのか?」を考える。答えは「それほど軽減しない」。

 誘拐発生時に,このシステムがセキュリティとしてどの程度役立つか考えてみよう。誘拐犯――ここでは,誘拐される子供の知人だとする――がスクール・バスに乗り,普段と違う場所で子供を降ろして誘拐したとする。この場合,システムはこの行動を記録する。ところが,子供がバスに乗る前か降りた後に誘拐されたら,システムは怪しい状況を記録しない。確かに,登校前の,バスの乗車前または下車後に誘拐が起きたなら,システムの記録を見れば警察にはそのことが分かるだろう。しかし,こうした断片的な情報のためだけに,これほどのシステムを導入する価値があるだろうか?私はその価値はないと思う。

 映画のシナリオなら,誘拐された子供の救出に,主人公がこの種のトラッキング・システムを使うことはありえる。しかし,一般的な状況ではほとんど役に立たないだろう。

 第4段階:「セキュリティ対策が何か別のリスクをもたらさないか?」を考える。答えは,「このシステムでは,定期的な監視により個人の情報を収集される」という新たなリスクが生じる」。「どこに情報を集めるのか?」「誰が情報のアクセス権を持つのか?」「どの程度の期間,情報を保存するのか?」が問題になる。これらは,表立って語られないセキュリティ上の大きな疑問だ。

 第5段階:「このセキュリティ対策には,どのような代価(代償)が必要か?」を考える。必要な代償は2つ。まずは,対策を講じるためには当然お金が必要だ。具体的には見積もっていないが,高額になることは間違いない。全児童にIDカードを配布し,すべてのスクール・バスにシステムを搭載する必要があるからだ。もう一つの代償はもっと漠然としている。プライバシの低下である。我々が育てている子供たちは,日々の生活が警察の監視下にあることや記録されることを当たり前のことだと思ってしまう。プライバシに対するこうした感覚は,簡単に見過ごしてはならないことだ。

 結論:「このシステムは役に立つのか?」。答えは「ノー」だ。システムに必要な予算と,システムによって侵害されるプライバシに見合うだけのセキュリティ向上はもたらされない。子供の安全を高めることが目的なら,もっと適切な予算の使い方がある。学校の警備システムや子供向けの安全教育などに金をかければよい。

 このシステムに意義がほとんどないのに,米国ではなぜ少なくとも2つの市が導入したのだろう?明白な答えは,「導入した学区が問題をきちんと検討しなかった」というものだ。その技術,あるいはそのシステムを構築した企業にたぶらかされたのだ。しかし,もっと興味深い別の答えも考えられる。

 Beyond Fearの中で,「最優先課題の概念(notion of agenda)」に触れた。ここで紹介した5段階の判定手順は主観的な手法なので,トレード・オフを決定する人物の立場で評価すべきだ。学校の関係者がトレード・オフを決めると想定すれば,突然このシステムが意味を持つようになる。

 もしも,学校の敷地やスクール・バスといった学校関係の場所で誘拐が起きると,捜査によって学校関係者の立場が悪くなりやすい。職を失うこともあるだろう。このセキュリティ対策を,子供たちだけでなく学校関係者を守る手段とみなせば,急に大きな意義がみえてくる。このシステムのトレード・オフは,全体的な安全確保が目的なのではなく,学校関係者のためという可能性がある。

 誘拐は現実の問題であり,そのリスクを減らす対策は大切なことだ。しかし,セキュリティが常にトレード・オフであることを忘れてはならない。優れたセキュリティ・システムは,費やした「予算」,あきらめた「利便性」と「自由」に見合うだけの価値をもたらす。だが,このシステムは何ももたらさない。

ニュース記事:<http://news.com.com/...>

誘拐に関する統計:<http://www.ncjrs.org/pdffiles1/ojjdp/196467.pdf>(PDF形式)

Copyright (c) 2005 by Bruce Schneier.


◆オリジナル記事「Fingerprinting Students」
「CRYPTO-GRAM January 15, 2005」
「CRYPTO-GRAM January 15, 2005」日本語訳ページ
「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。