2019年12月1日以降、中国規制当局が新規に携帯電話を契約するユーザーに対し、契約時に顔をスキャンして提出することを義務づけた。こうした事実に対し、私（Tony Anscombe）と同様に、プライバシーの侵害だと感じた人も少なくないことだろう。政府はなぜ、携帯電話の所持を希望するユーザーに対し顔をスキャンさせ、その情報を収集しようとしているのだろうか。

BBCニュースの記事によれば、中国政府は「サイバー空間において国民の正当な権利と利益を保護」したいと見解を述べている。モバイルデバイスを介したユーザーの位置情報の追跡とスキャンした顔のデータ、認証情報を組み合わせて利用するのであれば、プライバシーを擁護する立場の意見は一理あるかもしれない。

ここで、少し振り返ってみよう。世間的には、顔をスキャンして取得したデータが不適切に利用されると想像しがちだが、この考えには正しい部分もありそうだ。しかし、あくまでプライバシーの問題を引き起こすのはテクノロジーそのものではなく、テクノロジーの利用方法であることに注意しておかねばならない。

ユーザーの立場からすれば、モバイルデバイスに搭載された顔スキャン／顔認証の機能がどのような問題を解決することができるか。あるいは、正しく使用される限り、プライバシーの侵害を受け入れるべきなのだろうか。そのことについて考える必要性があるだろう。

認証機器としてのスマホ

スマートフォン（以下、スマホ）などのモバイルデバイスは、もはやID認証のための機器に変わりつつあるといっていい。自らを証明するために、SMSやアプリを通じて認証コードを受け取るプロセスを考えてみてほしい。銀行でATMの限度額引き上げを依頼すると、銀行の店員はカウンター内で依頼した人のスマホにコードを送付し、その依頼者が本人であるかの確認を行う。そう考えると、認証に際して照合の誤りを回避するためにも、そもそもスマホを契約する際には、本人であるかどうかを強固なまでに確認するプロセスが必要だろう、という問題提起につながるのだ。

サービスを利用するにあたって、当初は大きな問題にはならないだろう。しかし、契約内容の管理や変更というタイミングでは少し話が違ってくるのではないだろうか。さらに、まったくの赤の他人がSIMスワップ^*1を行って自分の利用するサービスを不正にコントロールし、多少なりとも自分のIDをコントロールされてしまうような事態に直面したらどうだろうか。

^*1 不正な手段で、携帯電話の電話番号を乗っ取ること

FBIが最近、SIMスワップに関して個別に二つの警告を発表している。暗号資産（仮想通貨）の盗難と、業界に向けた警告に関するものである。基本的に、サイバー犯罪者は偽のIDを所持してスマホの販売店舗に来店（あるいはスマホのキャリアに電話）し、コントロールしたいスマホの新しいSIMカードのアクティベートをカスタマーサービスの担当者に依頼する。サイバー犯罪者はIDを持たずとも、こうした行為を行う可能性もあり、公開されているソーシャルメディアや他の公的機関のWebサイト上の情報をもとに、契約者の自宅住所や基本的な情報などを入手し、ソーシャルエンジニアリングを仕掛けてくる可能性も否定できない。

新たなSIMがアクティベートされてしまうと、サイバー犯罪者は認証テキストの受信や、アプリのダウンロード、被害者になりすますことが可能となる。Eメール、ネットバンキング、ソーシャルメディアをはじめ、数多くのサービスでスマホがパスワードを再設定するための認証端末として使われているため、サイバー犯罪者にとっての選択肢はよりどりみどりということになる。

一方、被害に遭遇したユーザーは、なぜ自分のスマホが動作しなくなったのかと戸惑い、スマホが元通りになることを期待している間に、サイバー犯罪者は犯罪を着実に進める。ユーザーが悩み、困っている時間は、サイバー犯罪者にとって金銭を得るための猶予時間となるのだ。

先日、交換用のSIMカードを入手するハードルを確かめるべく、検証に臨んだ。私自身が利用するキャリアの店舗で、スマホを紛失したと偽り、新しいSIMカードを求めた。その際、事前に一部情報をマスキングして作成した偽造IDを提示したが、店舗の担当者が確認したのは私の名前、誕生日および免許証の番号のみであった。数分後、私は新しいSIMカードの入手に成功した。IDに記載された情報の精査どころか、偽造IDかどうかという点にも疑いを持たれなかった。もし私がサイバー犯罪者であれば、簡単に認証に利用するデバイスをコントロールすることができることを証明したエピソードだといえよう。

さて、中国の顔スキャンに関する規制に話を戻そう。先述のようなSIMスワップやID詐称からの保護にテクノロジーが使用されるのであれば、ユーザー保護の観点からみても、ポジティブな対応と考えられるのではないだろうか。あくまで収集したデータが適切に使用されるという条件下であれば、このレベルの保護を許可するかどうかという問いに対し、私は｢YES｣と答えるだろう。