不可逆的なステップ

詐欺や偽造との戦いは、今後ますます厳しくなるばかりです。攻撃者が一定の保護レベルを突破するたびに、私たちは新たな武器を駆使して阻止せざるを得なくなります。そして今回は、「生体認証」という武器庫に手を出す必要があるのです。

詐欺や偽造との戦いの本質は、魔法の剣を抜いた時、攻撃者がそれを無効化できないようにすることです。確かに即効性はありますが、その効果を長期的に維持するには、慎重な戦略が必要です。

オンライン詐欺はますます巧妙化しています。生体認証を防御策に加えるという段階は、戦いが激化する兆しです。生体認証データベースには多くのレベルがあり、その度に上位レベルを使うことは「不可逆」なステップとなります。そして、レベルが徐々にエスカレートしていくと、遺伝子データを利用する段階が最終段階となり、敗北すれば他に武器は残らなくなります。

今や、取引の確認にはリアルタイムの画像を使用する必要があります。もちろん、画像と生体認証データを比較・認証するための巨大なデータベースが必要になります。もちろん、実際の画像は情報チャネルを通じて送信されます。これらのデータベースが攻撃され、伝送路や端末にアクセスされたらどうなるでしょうか？悪意のある人物は再びユーザーデータをすべて入手してしまうでしょう。そして、ますます強力になるAIツールの中で、悪意のある人物が新たな認証の壁を突破できないようにするにはどうすればよいでしょうか？

私たちはますます多くの個人データを収集しています。古いデータを守ることができないのに、これまで収集され、そしてこれから収集される膨大な新しいデータを確実に保護するにはどうすればよいでしょうか？さらに危険なのは、悪意のある人物が私たちの画像や生体認証データにアクセスした場合、銀行認証だけでなく、銀行業務とは関係のない様々な目的で私たちになりすますことができるということです。彼らは、私たちが制御できず、なりすましであることを証明できない、私たちの偽の世界を作り上げることができるのです。

まず第一に、人々は自分自身の保護を要求していること、そして生体認証データが悪意のある者の手に渡らないように保護する責任は管理機関にあることを自覚する必要があります。

銀行が不可逆的な措置を講じる場合、説明責任と人々を保護する法律が不可欠です。これは、個人データを保護するための技術的対策が不十分であること、そしてデータ開示の責任を明確化するポリシーがあまりにも表面的であることに起因しています。そのため、悪意のある者は容易に保護措置を回避し、システムの制御を徐々に無効化することができます。

本当に保護するためには、個人データを収集する前に、政府と銀行は次のことを約束し、明確にする必要があります。

- 生体認証データが漏洩した場合、銀行の責任はどうなるのでしょうか？ 誰、あるいはどの部署が責任を負うのでしょうか？ また、どのような制裁が科されるのでしょうか？

- 個々のリンクが機密データにアクセスできないようにするために、システムにはどのようなセキュリティ対策が施されていますか？ 技術システムは、銀行員（管理職を含む）が不正に操作された場合でも、個人データにアクセスして販売できないようにする必要があります。

データセキュリティは広範かつ困難な問題であり、最も優秀なIT担当者でさえも、すべての脆弱性を予見することはできません。7月1日という期限を設けることで、銀行は脆弱で未検証のシステムの使用を余儀なくされ、悪意のある人物が容易に侵入できるようになり、深刻な結果を招く可能性があります。私たちは細心の注意を払い、限定的な手順でテストを行い、最大限のセキュリティが達成された場合にのみ、新しい手法を広く適用できるようにする必要があります。

データセキュリティに関しては、世界から学ぶ必要があります。中国の経験を参考にすることができます。広範なデータ収集を経て、中国は個人情報漏洩の重大性を理解し、データを漏洩するすべての組織に対して極めて厳格に対処するための明確な法律を制定しました。データの重要度が高ければ高いほど、責任も重くなります。責任が非常に高いレベルにまで押し上げられると、誰もそれを無視することはできません。

個人データを保有するすべての主体は、最高レベルの技術的保護対策を真剣に実施する必要があります。こうしたニーズから、セキュリティ評価とセキュリティ対策の実施を専門とする企業が力強く発展し、多くの「ユニコーン」企業が誕生しました。これらの企業は、国家が慎重に検討したセキュリティ基準に基づいた非常に高品質な、ダイナミックなデジタルセキュリティ経済を促進しています。

適切に機能するシステムとは、個人の個人データの保護を最大限にしながら、最小限の個人データのみを収集するシステムのことです。