不可逆的なステップ

詐欺や偽造との戦いは、今後ますます厳しくなるばかりです。攻撃者が保護レベルを突破するたびに、私たちは新たな武器を駆使して阻止せざるを得なくなります。そして今回は、「生体認証」という武器庫に手を伸ばします。

詐欺や偽造との戦いの本質は、魔法の剣を抜いたとしても、攻撃者がそれを無効化できないようにすることです。即効性は確かにありますが、その効果を長期的に維持するには、慎重な戦略が必要です。

オンライン詐欺はますます巧妙化しています。生体認証を防御策に加える動きは、戦いが激化する兆しです。生体認証の武器庫には多くのレベルがあり、より高いレベルを使うたびに「不可逆」なステップを踏むことになります。そして、レベルが徐々にエスカレートし続け、遺伝子データまで利用されるようになったら、それが最終段階となり、敗北すれば他に武器は残らないでしょう。

今や、取引の確認には実物のリアルタイム画像を使用する必要があります。もちろん、画像や照合・認証のための生体認証データを保管するための巨大なデータウェアハウスが必要になります。もちろん、実物画像は情報チャネルを通じて送信されます。これらのデータウェアハウスが攻撃され、伝送路や端末にアクセスされたらどうなるでしょうか？悪意のある人物が再びユーザーデータをすべて入手してしまうでしょう。そして、ますます強力になるAIツールの中で、悪意のある人物が新たな認証の壁を突破できないようにするにはどうすればよいでしょうか？

私たちはますます多くの個人データを収集しています。古いデータを守ることはできないのに、既に収集され、そして今後収集される膨大な新しいデータを確実に守れるという保証はどこにあるのでしょうか？さらに危険なのは、悪意のある人物が画像や生体認証データにアクセスした場合、銀行認証だけでなく、銀行業務とは無関係の様々な目的で私たちになりすますことができるということです。彼らは、私たちが制御できず、なりすましであることを証明できない、私たち自身の偽りの世界を作り出すことができるのです。

まず第一に、人々は自分自身の保護を要求することを自覚する必要があり、管理機関は生体認証データが悪意のある者の手に渡らないように保護する責任があります。

銀行が不可逆的な措置を講じる場合、人々を保護する責任と法律が不可欠です。その本質は、個人データを保護するための技術的対策が不十分であること、そしてデータ開示の責任を表面的に割り当てているという方針に起因しています。そのため、悪意のある者は容易に保護措置を突破し、システムの制御を徐々に無効化することができます。

本当に保護するためには、個人データを収集する前に、政府と銀行は次のことを約束し、明確にする必要があります。

- 生体認証データが漏洩した場合、銀行の責任はどうなるのでしょうか？ 誰、あるいはどの部署が責任を負うのでしょうか？ また、どのような制裁が科されるのでしょうか？

- 個々のリンクが機密データにアクセスできないようにするために、システムにはどのようなセキュリティ対策が施されていますか？ 技術システムは、銀行員（管理職を含む）が不正に操作された場合でも、個人データにアクセスして販売できないようにする必要があります。

データセキュリティは広範かつ困難な問題であり、最も優秀なIT担当者でさえもすべての脆弱性を予測することはできません。7月1日を期限とすれば、銀行は脆弱で未検証のシステムの使用を余儀なくされ、悪意のある人物が容易に侵入できてしまう可能性があり、その結果は予測不可能なものとなるでしょう。私たちは細心の注意を払い、限定的な手順でテストを行い、最大限のセキュリティが達成された場合にのみ、新しい手法を広く適用できるようにする必要があります。

データセキュリティに関しては、世界から学ぶ必要があります。中国の経験を参考にすることができます。広範なデータ収集を経て、中国は個人情報漏洩の重大性を理解し、データを漏洩するすべての組織に対して極めて厳格に対処するための明確な法律を制定しました。データの重要度が高ければ高いほど、責任も大きくなります。責任が非常に高いレベルにまで押し上げられると、誰もそれを無視することはできません。

個人データを保有するすべての組織は、最高レベルの技術的保護ソリューションを真剣に導入する必要があります。こうしたニーズから、セキュリティ評価とセキュリティ対策の実施を専門とする企業が力強く発展し、多くの「ユニコーン」企業が誕生しました。これらの企業は、国家が慎重に検討したセキュリティ基準に準拠した非常に高品質な、ダイナミックなデジタルセキュリティ経済を促進しています。

適切に機能するシステムとは、人々から最小限の個人データのみを収集しながら、個人データの保護を最大限にするシステムのことです。