先週遊びに行ってきたEngadget Japaneseのイベント「Engadget Fes 冬の陣」。一番楽しみにしていたのは、高木浩光さんとやまもといちろうさんのセキュリティに関するトークセッションでした。

00


その内容は今後(あるいは今すぐ)検討されるべきIT産業におけるセキュリティの論点を整理したものでした。例えばドローンとかペッパー君ってプライバシー的にどうなの? とか、実際に海外ではどうなってる? とか、Tポイントカードはどうよ? みたいな感じです。

とても真面目な事柄なんですが、このお二人が話していると面白い。なぜかセキュリティ関連の話題なのにところどころ爆笑が起きる。以下、メモったところをここに記してみたいと思います(※その場で殴り書きしたものですので、それなりに抜け・漏れがありますことをご了承ください)。

25
左から司会の石原愛美さん、高木浩光さん、やまもといちろうさん。


やまもといちろうさん(以下「やまもと」):「アドマック」という会社がありました。動画をダウンロードできると謳ったAndroidアプリ「the Movie」を通じて個人情報を不正に取得し、逮捕されたグループです。動画をダウンロードできるとしながら、その実は個人情報をデータを抜き取ってしまうというアプリ。メアドや電話帳などを吸い取る。『裏側は恐ろしい不正アプリの実態は…』とNAVERまとめに記されていますが、このNAVERまとめ自体が恐ろしいですけどね


個人情報1183万件流出アドマック!!恐ろしい不正アプリの実態は?⇒その後不起訴処分!! - NAVER まとめ


やまもと:このNAVERまとめによると、指定暴力団、山口組系のヤミ金のマネロンで逮捕された人たちが開発をしたアプリだそうです。個人情報は名簿屋さんに流れるのでしょう。これでアプリとプライバシーの問題が重視されるようになった。しかし逮捕はされたけど、起訴はされなかったんです。

18
 

高木浩光さん(以下「たかぎ」):刑法改正がありましたね。コンピューターウィルスなどを刑法で処罰できるようになった直後だったので、摘発されると思いました。でも逮捕され、家宅捜索されたけど、不起訴処分になった。弁護士が「ユーザーがパーミッションで同意しているから違法じゃない」と弁護したようです。新聞に出てましたけど。「手順を明確にしている以上、利用者の意図しない動きではない」と。じゃあ全部パーミッションで押せば、ひとつも摘発できないんじゃないかとなってしまう。起訴できなかった理由は証拠隠滅を計ったからではないか。PC全部破壊、完全黙秘。いろいろとプロっぽい。

やまもと:個人情報は名簿屋さんから出てきました。非常に罪の構成は難しい。テクニカルでしたね。

たかぎ:この頃、こういうアプリとかが処罰できないのなら不安だ。スマホアプリは今後どうなるのか、と言われていました。幸い同じことをやらかす人たちがいて、別グループが逮捕され、起訴、有罪判決が出た。いまでは情報を盗むアプリは出てこない状況になりました。

やまもと:ユーザーがアクセスを承認したけど、問題になるんですね。

たかぎ:パーミッションは「個人情報にアクセスしますよ」ってところに同意するだけで、外部に送信するってことのパーミッションではない。そういう理由で、違法、犯罪になります。

やまもと:「電池革命」というアプリで電話帳データ抜き取りという事件もありました。60歳前くらいの容疑者でした。不正アクセス目的でデータを抜き取るのは穴がふさがりつつあります。これから出てくるいろいろな技術、製品で世の中が便利になります。その反面、ドローンとかは問題になるでしょう。

38
 

たかぎ:ドローン欲しいです。かなり安くて、性能もいい。日本ではまだ使ってる人そんなにいないけど、米国だとマニアが多い。いろいろな動画がアップされています。サンフランシスコのゴールデンゲートブリッジとかを撮影してます。

やまもと:着替えとか撮ることを考えるやつもいますね。いろいろな考えを持つやつが。

たかぎ:欲しいけど悪用しか思いつかない。こんなPVみたいな利用シーンは実際ないでしょ。



ドローンのPVです。非常にさわやか
 
やまもと:使う我々の実態の格差ですね。ドローンの問題はすでに米国ではハレーションが起きています。プライバシーを侵害する機器は利用制限すべきとの記事がガーディアンに出た。エリック・シュミットも「人間のクズはなるべく使うな」と主張しています。軍事上の脅威があるとも指摘されています。市民社会へのよくない影響がある。しかるべき抑制が必要だそうで、じゃあ作んなよ、と。

安全保障上の理由だけじゃなくて、42の州でドローンに利用を制限かけようと言われています。実際に6州? では可決された。利用上の安全でも問題がある。墜落の可能性があって、子どもとかにぶつかると危ない。プライバシー、安全保障上の問題。飛行の高さでも制限をかけようと。

たかぎ:日本はいま何も制限がありません。航空法上の規制はあるけど、250m以上飛ばなければ規制はない。もっと危ないことやっててもおかしくないです。民家の上に入ると、民事上の問題になりますけど。個別にプライバシー侵害にあたる撮影をしたら訴えられて負けるかもって感じ。

やまもと:こういうカメラのついた空飛ぶ機器、何に使うんでしょう。

司会の石原さん(以下「いしはら」):楽しいムービーを作りますよ。結婚式のとか。

やまもと:そんなわけないだろ。米国では制限がいるんじゃないかと議論がありました。米国では400件くらい訴えあったけどまだ判例はない。

たかぎ:火山の噴火口をマスコミが撮影した例がありますが、これはいいですね。でも個人には使わせないっていう規制があったら悲しい。自分のまわりに飛びながら自撮りするとかも考えられます。それも禁止していいのか。

やまもと:個人が適正に利用するのはかまわないし、そこで終わればいい。

たかぎ:花火の動画も良かったです。ドローンが花火に突入して、撮影した。海外の事案です。





たかぎ:日本でも花火に突入したそうですが、苦情が寄せられたらしい。何の問題があるんでしょうね。まあそのうち飽きるけど。それで?って感じで。これ見て思ったのはストリートビューが日本で始まったときのこと。あれもハレーションがあった。Googleの撮影する車が長い棒を立てて、カメラで撮影した。米国だと塀があるといいけど、日本は塀が低いので、見られてしまう。

いしはら:私そのとき、マンションの2階に住んでたんですけど、干してた布団が写ってました。

やまもと:よかったですよね、布団くらいで。 

たかぎ:日本では1.8mくらいまで棒を下げて解決しています。上から撮影するのはイカンのではないかと。でもある人は言いました、「車は空飛ぶようになるのでは」と。当時は「何言ってんだ」となりましたが、そういうのがもう来ちゃってる。ドローンがびゅんびゅん飛んでいます。日本ではまったく法規制の議論はない。ガジェット好きな人が買って、がんがん問題起こしてくれると議論が深まるかもしれないですが。

やまもと:いま森の配置はどうなっているのか、ドローンで上から撮影しようと国交省がやっていますね。

たかぎ:ソニーもそういうビジネスをやろうとしていると報道がありました。Google Glassも問題になりつつある。Google Glassが出て懸念されたのは、顔認識されるようになれば、街なかを歩いている人の顔を認識して、Googleに情報が溜まっていくこと。それはたまらないという世論があります。Googleが自主規制して、顔認識アプリは当面認めないと発表しました。そういうアプリは出さないと。最近の報道でもこの部分の反対は根強いです。

やまもと:米国の法制度を見据えて、EUも議論している。でも日本では進まないですね。

たかぎ:顔認識は日本のメーカーが高度な技術を持っている。それを使わないわけにはいかないので規制しない方向もあります。でも問題はあります。

いしはら:Facebookのタイムラインは私の顔だらけです。大好きなんですよ、撮影されるの。お化粧さえしていれば。

たかぎ:いまはノーメイクでも化粧していても識別できる技術になっていますよ。
 
やまもと:東芝がメガネ型を発売するという地雷みたいなニュースがありましたね。顔認識もやるし、なによりデザインがださい。メガネの横にモノレールみたいな物体がついている。すごください。


東芝が眼鏡型「Toshiba Glass」2015年発売、スマホと接続。担当者「Google Glassは使えない」 - Engadget Japanese


たかぎ:日本で規制、問題ないようになるか心配。なかなか議論が始まらない。問題が起きてからになりそうで心配ですね。

やまもと:そろそろ本題へいきましょう。ペッパー君、なんですかこれは。ふざけんな。なんだよあれ(壇上にいるペッパー君を指さして)。

37
このイベントの大スポンサーであるソフトバンク様が置いたペッパー君


たかぎ:ちょっと目が怖いですね。これも同じ問題が当然でてくる。カメラとマイクがついてまして、顔識別をする。音声認識もする。だから目の前の人が誰だかわかる。呼びかけると誰だかわかった上で対話する。問題はこれ、どうやって識別処理しているかというと、ロボットの中ではなく、ネット通信してサーバーに情報をアップして処理しています。「クラウドAI」と呼ばれています。

iPhoneの「Siri」とかも同じ。あれもサーバーにアップして、処理している。そうすると当然問題になります。Appleはそのへん注意しています。初めて使い始めるときに説明が出ますね。Siriで使う情報はSiriのためだけに使うと。ほかの情報、個人とは結び付けないように配慮している。同じ問題がペッパー君にも出てくる。そのへんのポリシーがみえない。報道ではちらっと出たけど、これ音声識別とか顔識別だけではないんです。

やまもと:家庭の中で使うと、誰がどこにいるかわかりますね。

たかぎ:あとこの家には「何があるか」がわかるんです。テレビがなければテレビの宣伝をしたり…。

やまもと:その情報が楽天に流れて、すごいメールがくるんですね。「テレビ、テレビ、テレビ」ってプッシュされて、ばばあが騙される。大変なことですよ。恐ろしい世の中。ロボットが意識を持って、自ら「あれが欲しい、これが欲しい」とか言いかねないですよ。

たかぎ:思い出すのが、映画に出てくるロボットはどんなのだったっけと。

いしはら:アトムとか

たかぎ:いきなりアトムって言われると辛い。例えばスターウォーズの「C3PO」とかはロボットが自分の中で情報を処理している前提です。まさかクラウドで指令を受けているなんて昔は思いもしなかった。当時の作家も誰も予想しなかった。けど実際は完全に操り人形です。サーバーから指示を受けて動いている。これは敗北待ったなし。

やまもと:ロボットが人間になる過程を描いていましたよね。ロボット個人がいて、それが人間とコミュニケーションして成長していた。それが「私の本体はインターネットでござる」となってきた。

58 


たかぎ:これは過渡期なのか、本物なのか。ロボットに性能がないからサーバーがやっているのか。でも実際はたくさんのペッパー君から集まった情報を組み合わせることで、人工知能の性能が上がるとさえ言っています。それはどこまでやっていいのかと。ロボットがクラウドの手先になるかもしれない。

やまもと:殴り合いですよ。ペッパーの反乱。何が完成形かちゃんと示されていない。いまできる限界だからだといえばある程度容認せざるを得ない。どういう処理だからこのペッパー君という端末が安全かという説明がない。

たかぎ:プライバシーへの配慮について、方針がない。GoogleはGoogle Glassに関して早い時期からやっていました。そういうのはソフトバンクも早く打ち出したほうがいいですね。このあとペッパー君のセッションがあるらしいので見てみたいです。

やまもと:かぶりつきで見たいですね。あとこのペッパー君に毛が生えてないのは社長を模しているのでは? 毛が生えていないのが業を表しているのではないでしょうか。まさよし感ありすぎませんか?

いしはら:それは……どうしょうか。

たかぎ:アプリはどんなものを載せるかという話しになっていますが、同意が大事ということになる。問題はスマホとロボットじゃ違うということ。スマホは自分の問題なので、自分が良ければいい。でもロボットはみんなのいるところを歩きまわる。持ち主はいいけど、俺たちは知らないよ、と。それはスパイだよと。「みんな!このペッパーはスパイだ。叩いたろ」ってなってしまう。

やまもと:いい話しですよね。ペッパー君が他人の家に行って、勝手に小僧寿しを頼むこともあるでしょう。「だってぼく、小僧寿し毎日食べたいんだもん」ってこと言いかねないですよ。

たかぎ:新しい話なので日本が率先してやるなら制度的なところが必要になります。

やまもと:ロードマップを見せて欲しいという気持ちはあります。このペッパー君という有望な未来がどこに向かって進んでいるのか、強く思います。続いての話題は、みんな大好き「Tポイントカード」です。


高木浩光@自宅の日記 - Tポイントは本当は何をやっているのか


たかぎ:もともとTポイントは個人情報を「共同利用」すると言っていた。この共同利用というのは法律用語ですが、解釈が違っていると指摘されていました。なので「第三者提供」に変えました。そもそも個人データの提供しているんですかっていう疑問もありました。これはしてないと思う。「こういうことはやってない」と説明がありました。集めた履歴を加盟店のために分析してあげる。これはもともと勝手にやっていいことです。ファミマはファミマ、ガソリンスタンドはガソリンスタンド、ファミレスはファミレス、別々にやるなら合法。もう1つあります。クーポンを出したいとき。子どものいる家族の父親におもちゃのクーポンを出したいときに、ファミレスで子どもと来た人に出すとなると別問題。


高木浩光先生のTポイントカード情報共有オプトアウト検証まとめ - Togetterまとめ


たかぎ:Tポイントカードを出さなきゃいいとも言えますが、商品単位の履歴まで集めているとは周知されていないと問題になっていました。だからレシートに説明書きを出すようにした。指摘には対応しています。一歩前進した。大変良いことなのでこれは評価したいです。ただオプトアウトが変なんです。オプトアウトするために、まずYahoo!IDでログインしないといけないのです。

やまもと:やりやがったな、別所直哉という。

08
 

たかぎ:これにはみなさん怒っています。Yahoo!にログインするということは、Yahoo!の閲覧履歴とTポイントの相互連携の合意になってしまいますし、また別のオプトアウトしたい事案が発生します。ただオプトアウトするために、別の何かが生まれるという、ひどい状況です。

やまもと:僕らの大好きなGIGAZINEに載ってましたが、Tカード個人情報提供先新着botというのがあります。

Tカードが個人情報を提供する企業を通知してくれる「Tカード個人情報提供先新着bot」 - GIGAZINE


たかぎ:Tポイントでは、全部一括してオプトアウトできますが、新規の提携先が増えるとまた新たにオプトアウトしないといけない。だから怒っているんです。そういうお知らせはTポイント側はやらないので、第三者がお知らせのbotを作った。これはCCCとしてはかっこわるいです。

やまもと:水前寺清子みたいなもんで、三歩進んで二歩下がるんです。それが世の中を渡るコツなんだと彼女も歌のなかで言っていますね。

たかぎ:大事なことはどんな履歴を集めているかです。ちゃんと知らせればいい。

やまもと:最後に、Tポイントカードの動きを見て嫉妬した、我らが楽天がID9000万人に紐づくビッグデータを活用という話もあります。我々は9000万人、4倍だという話をしています。楽天マーケティングがユーザーデータベースを顧客に提供する方針を表した。解析したものをデータ提供するけど、パーミッションがよくわからない。


「楽天ID」9000万人分に紐づくビッグデータを活用--楽天マーケティングジャパン事業 - CNET Japan


たかぎ:加盟店で売買した履歴を楽天が使っちゃう。

やまもと:そういう規約に変更したと。

いしはら:すみません、時間がきてしまいましたね。

やまもと:どうでしたか?

いしはら:思ったより攻撃がなくてほっとしています。

たかぎ:まとめるのが大変ですが、全部通してネガティブなことを言いましたけど、基本的にはポジティブにいきたいんです。進めて欲しいけど、やり方に問題があります。Tポイントにしろ楽天にしろ、個人情報であればパーソナルデータについては、法改正が準備されています。こういうビジネスが不可能になるわけではありません。一定のルールのもとに、と。

やまもと:そうするとKDDIのクソみたいなサービスについてもあれですよね。

いしはら:時間になりました。皆さまありがとうございました。


ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー


なんか最後の最後に出てきた話題も気になりますし、もっと時間があればいいのになーと思いましたが、最近のセキュリティ上の課題のようなものがざっと整理されてとても有意義な50分でした。

しかし、イベントのスポンサーであるソフトバンクの展示の横でこのようなトークセッションを企画するEngadget Japanese編集部は素晴らしいと思う。このセッションの後に続いたペッパー君の登壇がどうなったのか、非常に気になるところではありますね。