コスタリカで、憲法にアイデンティティ権を書き込む運動が再始動
2004年に一時期試みられていた、Virtual Personality (英語で言うとDigital Identityかな)を持つ持たないを個人が決定する権利を憲法で規定しようとする動きが、6/3にコスタリカ国会で再始動した模様。 例の大阪地裁でのアイデンティティ権の話1について、ID厨板で、 「海外では、アイデンティティへの権利というと、自らのアイデンティティを証明して、教育だとかもろもろの権利を享受することができるようにするための権利だと思うけどね~。たとえば、国連のTHE 2030 AGENDA FOR SUSTAINABLE DEVELOPMENTのGoal 16.9 2とか。主に、Thin filed people (身元証明できるような書類が非常に少ない人)日本で言えば無戸籍児とか、今の欧州なら難民とか向けの話で。 そういえば、2004年にはコスタリカで改憲運動が起きていて、
無情社会と番号制度〜ビクトル・ユーゴー「ああ無情」に見る名寄せの危険性
どうも最近、「国民ID」やら「番号制度」やらというキャッチフレーズで「見える不変の汎用番号」を人に振ろうという話が巷で盛り上がってきている。これによって、年間1兆円の特需が恒久的に続くなどといって、株価が上がる企業まで出る始末だ。 名寄せを効率化することによって業務効率が劇的に改善するというのだが、議論が荒すぎて危惧を覚える。私自身、業務効率化のために「不変の番号」を導入するのにはやぶさかではない。だが、名寄せによるプライバシー侵害などの副作用を生むから、それは「見えてはいけない」と思っている。 しかし、この名寄せの脅威、なかなか一般にはご理解いただけないようだ。 曰く「名寄せがプライバシーの脅威と批判されても。番号制がもたらす脅威とは具体的にどのようなものか?」 「プライバシーとは何か」から説き起こした情報モデル的解説は、12月19日(日)の堀部シンポ 資料(当日公開)に詳しく書いたので
MacOS XとiOSのXARA脆弱性について
今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で: 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS
「番号」は漏れると危ないのか?
さて、マイナンバー対応バブル真っ盛りの夏を迎えつつありますが、皆さんいかがお過ごしでしょうか? 折しも年金番号が盛大に漏れて1、マイナンバーへの影響もあるのではないかとなども言われておりますが、そもそも「番号」が漏れることを「住所・氏名・生年月日」などの各種個人情報以上に大騒ぎするのには私は違和感があります。それは、こと漏洩に関して言うと、プライバシーインパクトは「番号」<「住所・氏名・生年月日」<<「付随する情報」だからです。 以下、簡単化のために「番号」<「住所・氏名・生年月日」に焦点を絞ります。 1. なりすましによる被害 「番号」それ自体は、その本人のデータを他の人のデータから区別するという能力しか無いはずです。米国のSSNなどは、誤った理解から番号自体を本人確認に使ってしまったりしてなりすまし事故を盛大に起こしております2が、日本のマイナンバーや年金番号はそんなことはしていないは
JWSとJWTがRFCになりました!
ずいぶん長くかかりましたが[1]、JSON Web Signature (JWS)とJSON Web Token (JWT) がようやく Standard Track の RFC[2]になりました。それぞれ、[RFC7515]と[RFC7519]です。 ご存じない方のために申し上げますと、JWSはJSONにデジタル署名するための規格です。XML署名のJSON版ですね。JSONシリアライゼーションとCompactシリアライゼーションの2種類あり、Compactシリアライゼーションがあります。 JWTは、このCompactシリアライゼーションのJWSに、いくつかの有用なパラメータ名を導入して、ログイン情報やアクセス許可情報を伝達できるようにしたものです。主にRESTfulなシステムでの利用を想定していますが、もちろんそれ以外でも利用可能です。既に、GoogleもMicrosoftも大規模に実装
セミナー:企業にとっての実践的プライバシー保護~個人情報保護法は免罪符にはならない
明日3/2、OpenID BizDay #8 で、「企業にとっての実践的プライバシー保護の考慮点」について、新潟大学の鈴木正朝教授と、産総研の高木浩光先生をゲストにお迎えして座談会を行います。わたしが司会者としていろいろ質問していく中で、企業活動として、プライバシーにどのように向き合っていったら良いのかということを浮かび上がらせて行くことができればと思っています。ちなみに、OpenIDファウンデーション・ジャパンでなんでこんなことやるかというと、OpenIDというのは、同意取得のフレームワーク+属性提供のフレームワークだからですね。 予定は未定にしてしばしば変更す、ですが、今のところ以下の様なことをお聞きする予定です。これだけ見ても、ワクワクするでしょ?! あ、ちなみに、有料イベントです。イベント申込みはこちら。 Q.1 個人情報保護法(今年改正予定)、刑法、消費者契約法、債権法(今年改正
新年にあたって、2003年〜2014年の現金価値を振り返ってみた
「新年にあたって、2014年の現金価値を振り返ってみた」では、2014年一年の現金価値の遷移を振り返ってみたわけですが、「リーマンショックの前後を含む過去8年位は引っ張らないとダメだ」とのご批判をいただきましたので、為替データが簡単に手に入った2003年からのグラフを引っ張ってみました。これです。 図1 – 2003年からの現金と株式の価値の推移 株は確かにボラティリティが高いです。ですので、長期投資を考えるコトが必要です。底値で換金を余儀なくされるようなことは避けなければならないので、短期的に必要になる資金を株にするのは勧められません。ボラティリティは、株>債券>現金ですから、資金の需要計画に応じて適切に配分する必要があります。年金などはこの資金需要が予めある程度わかるので、それに合わせてポートフォリオ・バランスを設定して、それを維持するのが結構重要だと思います。インフレターゲットと同じ
縦割りスパゲッティの情報基盤整理しようとしているが…
尊敬する國領先生にお題を頂いたので、ちょっと時間がかかりましたが、ブログにまとめてみました。 まずは結論から。 (1) 識別子 → Identity Register+RA (2) 本人確認基盤 → IdP+CSP (3) 属性 → IIA/IIP (4) サービス → RP/SP と読み替えるならば、このように分割して分別管理するのが良さそう、ということになります。 以下、その解説です。 IdMの基本は、当該ユーザの識別です。識別とは、その存在を母集団の中の他の存在から一意に区別するということです。わたしたちは、存在を直接的には観測できないので、これは、その存在に紐付いている属性の値の集合が一意になるまで集めるということに他なりません。この状態では、その属性の値の集合が「識別子」になっています。ただし、値はどんどん変わり得て、別の時点では識別性がなくなるかもしれないので、識別された時点で
ベネッセ個人情報漏洩事件所感
ベネッセから、子供等の個人情報が最大2070万件漏洩[1]したらしい。 これはいろいろな面で示唆深い事件だ。いくつか挙げて見よう。 子供のデータであること。 諸般の事情で名簿屋が取得できなくなっていたデータであること。 実際に個人の被害が確認されていること。 転々流通が確認され、その問題が意識されはじめたこと。 個人情報保護法改正のまっただ中であること。 これらのうち多くの点は、楠さんのブログ「ベネッセが埋めた名簿屋のミッシング・ピース」[2]で指摘されているので、そちらを参照されると良いと思う。(なお、転々流通の問題は、5年前にこの記事[3]で言及しているが、ようやくちまたに意識されるようになってきたようで感慨深い。実際今回の件では、複数の事業者がこのデータを販売しているが、そのうち少なくとも2つは、同じIPアドレスにサーバを持っており事実上同一であるように思われる。5年前に指摘した、個
プライバシーを考えるなら、データの種類よりその行為の影響を考えたほうが良い
これはあちこちで話しているので「聞いたことあるよ」という方も多いかと思いますが…。 現在、パーソナルデータに関する検討会[1]というのが内閣官房で行われています。基本は、「どうしたら個人情報をもっと利活用できるようになるか」ということを検討するのがミッションで、安倍政権の第三の矢の一翼を担うものです。公開会議なので、だれでも傍聴できるのですが、あっという間に定員に達してしまうためなかなか取れないプラチナチケット化している会議でもあります。 そこで検討されていることに「(仮称)準個人情報」だとか「(仮称)個人特定性軽減データ」というのがあります。定義については、この検討会の下で開催されている技術ワーキングの中間報告書[2](←非常な労作で、必読)を参照してください。ざっくり言うと、「準個人情報」が、「個人が特定されていない情報であっても、個人が特定されるおそれのある情報」、「個人特定性軽減デ
均衡とか選好関係とか一物一価とか、すごく誤解されてるよね
以前から気になっているのだが、どうも基本的な経済学のコンセプトである選好関係とか均衡だとか、そこから導き出される一物一価の法則とかが、間違って認識されていることが多い。今日も、 @takuyakitagawa さんが「昨日は僕はワインが飲みたかったけれども今日は日本酒の気分なので、選好関係が成り立ちませんね、的なことだと思います」という風に仰っておられた。 なぜこのような誤解が起きるかというと、恐らく、経済学における財 (goods) の概念がきちんと伝わっていないからだろうと思う。そこで、ここでは、若干不正確な説明になることには目をつぶって、大胆に簡単に説明しようと思う。 経済学における財とは、ある物理的性質を持ったもののある時点・場所における状態のことを指す。つまり、「ワイン」という財は無い。同じグラスに入れた Chateau Margaux 1992 でも、今この瞬間と、次の瞬間では
オオカミが来た:人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった?!ーCNETがダメダメな件
オオカミが来た:人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった?!ーCNETがダメダメな件 「OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。」(出所:OAuthとOpenIDに深刻な脆弱性か–Facebookなど大手サイトに影響も) あのなぁ…。英語版のCNETで出てから、ZDNetとかMashableとかですぐにこの記事を叩く記事が出て、その後日本語版が何日も出なかったので、「あぁ、日本のCNETは良識があるな」と思っていたら、単にゴールデンウィーク
偽ベートーヴェン問題に見られる5つの誤解
正直、佐村河内守という名前は私にとっては、今回の事件についての投稿がtwitterで流れてくるまで完全にノーマークであった1。いつのまにやら「現代のベートーヴェン」とか持ち上げられているなどつゆほども知らなかった。何でも高度聴覚障害者(中途失聴者)身体障害者2級にして、交響曲などを書き上げ、評論家などからも非常に高い評価を受けていたが実は違ったという話のようでなんとも香ばしい。私は単なる音楽好きの素人兼身近に聴覚障害者がいるためにその辺りにある程度詳しくなってしまったやはり素人というダブル素人なわけだが、それでもこの絡みについての世の中の誤解が香ばしすぎるのでちょっと誤解シリーズを書いてみようと思った。 作曲という概念についての誤解 新垣氏は表に出られない事情があったから佐村河内守名義にしたのだという誤解 あの作曲指示書がすごいという誤解 ベートーヴェンは高度難聴者だという誤解 現代音楽は
平均律から脱却しよう(1)
平均律とは、1オクターブを12の半音に均等に分ける調律法で、19世紀後半からポピュラーになってきたものです。これによって、24の調どれで弾いても同じ響きが得られるようになり、転調も自由になりましたが、反面、どの和音をとっても音が濁っていてキタナイという状況が生まれました。どのくらい汚いかをまず初音ミク演奏で体験してみましょう。それぞれ最初の1分で良いです。 平均律クラヴィーア曲集第2集9番 BWV878よりフーガ(平均律版) 平均律クラヴィーア曲集第2集9番 BWV878よりフーガ(キルンベルガーIII版) そしてもう一度: 平均律クラヴィーア曲集第2集9番 BWV878よりフーガ(平均律版) え?!ってなりませんか?平均律キタナイ。とても聞く気にならない。 でもあなたは言うかもしれません。「だって、バッハは平均律のために書いたんでしょ?平均律クラヴィーア曲集というくらいだし。」 ぶーっ。
非技術者のためのデジタル・アイデンティティ入門
「非技術者のためのOAuth認証(?)とOpenIDの違い入門」が800はてブ超えをしたのに気を良くして、今度はアイデンティティについて書いてみることにしました(*0)。 (デジタル)アイデンティティとは、聞きなれない言葉だと思います。デジタルはまだしも、アイデンティティとなると、はてさて一体何?という感じではないでしょうか? ところがこの言葉、OpenIDにせよ、OAuthにせよ、「認証」を語るときには、必ず出てくる言葉ですし、先日ニコニコ動画で放映され、のべ27000人以上の来場者を数えた「一番いいのを頼むための共通番号制度徹底解説 ~そんな共通番号制度で大丈夫か?~ MIAU Presents ネットの羅針盤」が取り扱っていた「番号」制度を考える上でも実際には欠かせないものなのです。 そんなに大切な概念なのに、ぱっと分かりやすい解説というのがなかなか無いのですね。私の大好きな
プライバシーって何?
洋の東西を問わず、プライバシーという単語はあやふやな理解の上で議論されることが多い単語です。 そこで、ここではちょっと時間をとって、プライバシーとは何かということを考えてみたいと思います。 1. プライバシーの語源 Online Etymology Dictionary によると、privacy は15世紀に出現した単語で、private + -cy からなっています。「-cy」は語幹を名詞化する語尾ですね。つまり、プライバシーとは「private」の名詞形。 「Private」 は14世紀後半に出てきた単語で、ラテン語の「privatus」(他から分離して、自身に帰属させた。公共の「publicus」、共同体の「communis」と対比される。)という語から来ています。つまり、自分のみで決定できるという意味で、したがって「プライバシー」とは、自分自身や自分の所有物など「自己決定可能なもの
意味ある同意と情報共有標準ラベル
みなさん、フェースブックやらグーグルやらのサービスを使ったりするときに、サービスの利用規約やプライバシーポリシーをちゃんと読んでますか? 私は読んでません。いや、フェースブックとグーグルは読みました。が、他の殆どは読んでいません。だいたい、そのサービスが使いたくてそこに行ったのに、何十ページもある規約なんか、読めるわけ無いですよね。 顧客がそれらを読まないことは、サービス提供者側も十分承知なはずで、この場合の同意に意味があるかどうかは大いに疑問なのであります。 こうした状況は、サービス提供者にとってもユーザにとっても不幸なことです。 この課題に対する一つの回答として Kantara Initiative の Information Sharing Work Group で検討されている仕様に、Standard Information Sharing Label (情報共有標準ラベル)という
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Internet Identity年表
オープンデータ三要件
