■山田祥平のRe:config.sys■データのアリバイ |
それがディスプレイに表示されたものであれ、紙に印刷されたものであれ、まして、手書きであったとしても、目の前にある文書が、いつどこで誰によって作成されたものであるのかを知る術をわれわれは持っていなかった。
だから、日付の記入された文書に署名と捺印があれば、それはおそらく正しいであろうとされてきたし、押し入れから出てきた古新聞や古雑誌の発行日付はそれを信用する。私文書に関して厳密性を求める場合は、公証人制度などを利用するしかなかった。改竄が容易であるとされる電子文書では、証明に際するハードルはさらに高い。
●未来の写真
ぼくの手元には2003年9月に撮影した画像ファイルが数百枚ある。ちょうどこの時期はサンノゼで開催されていたIDFにでかけていたので、被写体の多くは、カンファレンス会場でのプレゼンテーションなどが占めている。
ところが、写っているスライドの中には、2003年の第2四半期に次世代プロセッサとして、Prescottが登場するとある。さらに、ステージ上に掲げられた看板には、しっかりと「Intel Developer Forum Fall 2002」と大書されている。デジカメ写真のEXIFデータと、そこに写っている内容とを比べたときに、どちらを信じるかといえば、やはり後者だろう。だが、その画像が改竄されていないという保証はない。
こうして未来の日付を持つ画像を手にしてしまった原因は自明だ。ぼくは、海外出張にでかけるときには、飛行機に乗り込んだら、さっさと身の回りの電子機器の時計を行き先の現地時間に変更してしまう。もちろんデジカメもそうで、それを誤設定してしまっただけの話だ。
かつては、パソコンのタイムゾーンも変更していたが、これに関しては、渡航先で決定した帰国後の予定をスケジュールソフトに記入するときに混乱してしまうのでやめてしまった。タイムゾーンを変更すると、スケジュールソフトもそれに連動して切り替わるので、日本時間の木曜日の午後1時を記入するときに、いちいち時差を計算して、金曜日の午後8時に記入することになる。それではどうしても間違いが多くなる。そのおかげで、前日に終了している記者発表会会場に、何度足を運んだことか。
デジカメの時計を現地時刻に合わせて撮影しておけば、EXIFデータを見れば撮影年月日と時刻がわかり、あとで資料として参考にするときにも便利だ。もちろん、日本標準時、あるいは、UTCに固定しておき、年月日時刻情報が必要になった時点で換算してもよいのだが、午前10時の夕焼けというのも何となく気分が悪い。
また、考えにくいが、何十年後に見たときに場所を覚えていない可能性もある。何よりも、この方法で、すでに何万枚というデータをため込んでしまった以上、今からポリシーを変更するというのもたいへんだ。
つまり、電子データのタイムスタンプなどというのは、その程度のものでしかないということだ。人間が時計を合わせ間違えても矛盾を指摘してくれるわけではない。記録されるのは、そのカメラに設定されていた年月日時刻であって、それが実際の時刻に合致するとは限らないということだ。手元に残る2003年秋のIDFの画像データは、そのことを如実に示している。
デジカメのみならず、パソコンの内蔵時計も簡単に変更できる。時計を2年進めれば、2年後のタイムスタンプを持つ文書が簡単に作れるし、インターネットを使って探せば、タイムスタンプを変更するユーティリティもたくさん見つかるはずだ。UNIXを使っていたころは、makeのために、touchコマンドを常用していたものだ。
●非合理な捺印システム
ITの世界には、タイムスタンプの正当性を証明するために使われる仕掛けとして時刻認証サービスがある。このサービスによって、その時刻にその電子データが存在していたことと、それ以降に改竄されていないことを証明することができる。けれども、こうしたサービスを利用したとしても、証明できるのは、ある時点で、そのデータが存在し、以降、改竄されていないという点のみであり、証明時点以前にさかのぼることはできない。
たとえば、3年間かけて小説を書き上げたとしよう。できあがったところでタイムスタンプ認証を受け、世に、その小説を発表しようとした矢先に、まったく同じモチーフの小説の出版を知る。実は、その小説のデータは認証を受ける以前に何らかの方法で盗まれ、別の作品に書き換えられて発表されてしまっていたというオチだ。
こうしたケースは笑い話(ですまない場合もあると思うが)としても、ITがデータの正当性証明をサポートする以前、何かを証明するために、ぼくらの世代は、ずっと捺印というわけのわからないシステムに頼ってきた。これほど馬鹿らしいシステムはないと思う。
以前、ある書面を公的機関に提出する際に捺印を忘れ、サインではダメかと聞いたらダメだといわれ、近くの文房具屋で三文判を購入して捺印してOKになったことがあった。印鑑証明が必要な実印だって理不尽なのに、数百円の三文判が、署名よりも高い信頼性を持っているのが現実だ。
ぼくら日本人の多くは、署名に際して、とにかく同一の筆跡を保つトレーニングを受けていないので、署名するたびに多少異なる筆跡になってしまう。でも、それにしたって、印鑑よりは信頼性は高いんじゃないだろうか。
実印は、第三者としての地方公共団体に印影を届けておき、必要に応じて印鑑証明書を発行してもらって捺印した文書に添えることで、その正当性を証明するシステムだ。印鑑証明書の発行に実印の現物は必要なく、印鑑証明カードの提示で簡単に発行してもらえる。だからこそ、実印と印鑑証明カードは厳重に保管しておかなければならない。
デジタル署名だって同様だ。第三者の認証を受けるという点では仕組みは実印と同様だからだ。デジタル署名の場合は、パスワードが漏れてしまえばそれでおしまいなので、余計に始末が悪い。
●メール配信記録の正当性
ちなみに、電子メールについてはどうなっているのかと思ってちょっと調べてみた。メールサーバーがそのメールを確かに配信したという記録があれば、少しは証明能力を持てるのではないかと考えたからだ。
もしかしたら、自分宛に文書を送信しておくという方法も有効かもしれない。もちろん、ヘッダや内容が改竄されていないという保証はないし、メールサーバーの時計だって、本当に正確であるのかどうかはあやしいので、気休め程度の話ではある。
インターネットプロバイダー協会に問い合わせてみたところ、メール配信の記録保存期間に関して、各プロバイダーでの申し合わせはなく、各社が任意に設定しているという。また、総務省にも聞いてみた。「電気通信事業における個人情報保護に関するガイドライン」では、「電気通信事業者は、通信履歴(利用者が電気通信を利用した日時、当該通信の相手方その他の利用者の通信に係る情報であって通信内容以外のものをいう。以下同じ。)については、課金、料金請求、苦情対応、不正利用の防止その他の業務の遂行上必要な場合に限り、記録することができる」とされているが、「通信の秘密の侵害を考慮し、記録目的に必要な範囲で保存期間を設定することを原則とし、保存期間が経過したときは速やかに通信履歴を消去(個人情報の本人が識別できなくすることを含む。)する必要がある」としている。
つまり、ログの保存期間に関してはプロバイダーまかせであり、通信の秘密が最優先されていることがわかる。これはこれで納得できるガイドラインだ。ちなみに、プロバイダー大手の@niftyに問い合わせたところ、配信のログの保存期間に関しては公表していないとのことだった。
データがどこでいつ誰の手によって作られたものなのか。日常の生活には何の不便もないのだから、それを知って何になるのかという議論もあるだろう。けれども、それを誰にでも簡単にできるようにしておくことが、21世紀の社会に課せられた使命だと思う。それができてこそ、パソコンはコモディティとして胸をはれるのではあるまいか。
(2004年11月12日)
[Reported by 山田祥平]