中国で「生体認証データ」の国家統一管理案が浮上 すまほん!!

 顔認証、指紋認証、虹彩認証、静脈認証……私達が普段生活する中で、様々な生体認証システムが使用されており、そのために多くの個人情報が収集されています。

 このほど、中国で「国家『データバンク』の速やかな設置を提言する。個人生体特徴、医療健康データ等の唯一性があり再現性のないデータ収集を優先し、需要に応じてデータを応用、厳格に監査し、個人にデータを開放して検索できることを保証するのだ」と、全国政治協商委員、上海市信息(情報)安全行業協会名誉会長・談剣鋒からの提案があったと、中国「南方都市報」が伝えました。

中国人民政治協商と談剣鋒とは

 中国人民政治協商について簡単に説明しますと、中国共産党の指導下で、政権運営について意見を交換するための組織という位置づけで、成立当時は国共内戦で共産党を支持した政党による統一戦線組織という性質でした。

 こう書くと形式上存在しているような感じになりますが、最近は財界・産業界代表の存在感が強く、小米創業者・雷軍も委員だったりします。

 中国人民政治協商で提案が出て、中国共産党で方針が固まり、中国人民全国代表大会か国務院で法令になったり、政策として実施されるという流れですね。

 談剣鋒は、親子三代にわたって軍人の家庭に生まれ、中国人民解放軍信息(情報)工程学院卒業、シンガポール国立大学で修士号、中国社会科学院金融専攻で博士号、フランス・ニース大学でDBA(博士 経営学)というピカピカな履歴書。

 情報セキュリティを専門とし、中国の金融機関や通信企業、政府機関等の個人認証システムを開発した、中国の「個人認証」の権威です。ちなみに中国共産党員ではありません。

 この種の逸材に一種の民意代表機関をやらせることができる中国の国家システム、下手すれば一応民主主義国家である日本より風通しいいのではという気がしますが、たぶん気のせいです。

中国のデータ管理立法は不十分

 データ技術イノベーションと世代交代速度は明らかに加速し、データはインフラ的な戦略資源にしてキーとなる生産要素となっているのと同時に、データ管理とデータ安全という新たな課題が浮上しています。

 談剣鋒は、「目下中国のデータ安全立法体系は漸次整備されつつあるが、特定領域におけるインフラ的なデータ安全体系の建設はいまだ不十分であり、たとえば生体特徴データの管理や、医療健康データ管理でとくに明らかである」と指摘。

 また、個人生体特徴データ(顔、指紋、DNA等)は、唯一性と再現不可能性があり、個人識別と認証に用いられており、一度盗まれると取り返しもつかず変更もできないため、個人プライバシー保護にとって極めて大きくかつ不可逆的なリスクをもたらしているといいます。

国民の個人情報は国家安全保障にも影響

 さらに、提案の中では「大量の国民個々人の医療カルテ、健康情報を集めれば、その国の労働力状況と経済、関連産業の発展状況を分析することができ、敵対勢力にとられると、国家安全と産業経済発展に計り知れない危害をもたらすことになる」とも。

 談によれば、生体特徴データの管理モデルは国際的には3つに分けられるといいます。

 一つは、国家による明確な統一管理で、代表的な国々としてロシア、ドイツ、英国、インドなど。つぎに、国家間の身分相互認証を目標として、デジタル個人情報に生体特徴データを加え、各国または複数国でデータベースをつくるもの。3つめが曖昧な管理。国家レベルでは明確なデータ管理立法がないものの、実務上は企業による収集・蓄積を制限するもので、EUや米国が典型。

 じゃあ中国はどれだというところですが、談によれば「新型生体特徴データは現段階において主に企業が掌握」しており、これらのデータが集中管理されなければ、データ要素の価値に限りが生じ、データ使用の管理監督が困難となり、データを濫りに収集し濫りに使用する状況と、データの独占が併存することとなって、データの安全を保証し難い。それにより、データ安全の法令実施が困難となり、縦割り管理、管理が行き届かない現象が多発することとなると指摘します。

国家による統一管理と技術の発展が必要

 これについての談の提案は、関連法令を細かく定め、データの権利帰属を明確にし、データ安全法令の実施の操作性を高めて、すでに収集された生体特徴データを公共の製品にして「重要データ」として管理、一定の数量に達したものは核心的なデータとみなすべきというもの。

 同時に、国家『データバンク』の速やかな設置を提言する。個人生体特徴、医療健康データ等の唯一性があり再現性のないデータ収集を優先し、需要に応じてデータを応用、厳格に監査し、個人にデータを開放して検索できることを保証すべきといいます。

 また、談は、安全技術発展を促進し、安全産業インフラを固め、データ管理能力とデータ管理監督レベルを増強すべきであり、データ身分インフラ施策を整えて、データ空間における個人認証と管理に関する革新的な技術問題を解決しなければならないと提案しています。

まとめ

 「生体認証情報は一度盗まれると変更が不可能なのでどうにもならない」「国家の安全保障問題」といった意見は、「はえー、ごもっとも」ですが、米国IT企業を中国が締め出したのは「なるほど、そういうことか」とも感心しました。

 自国SNSや国際ブランドと言うに足りるスマートフォンメーカーが育たなかった日本は、情報戦でかなり不利なのかもしれません。

 これは余談ですが、「頼むから役所間で情報をちゃんと共有して、俺たちを管理してくれ」と思っている人は少なくないと思います。手間が多すぎます。