RFIDその後
しきり直し。
高木氏の意見の骨子は
- 今までの盗難防止タグより長距離のスキャンが可能
- IDがユニーク&購入後も無効化されない→追跡情報として利用可能
- 周知されていない
ですな。これに対してセキュリティホールmemo-MLで活発な意見交換が行われましたが…正直言って得たものはほとんどなかったような。
というのも、この骨子そのものは可能性としては反論の余地がないわけで。無論「追跡情報としては収集に手間&コストがかかりすぎるのではないか」と いった論調の反論もあったんだけど、それは可能性を論じているのに対して反論たり得ないわけです。また、この可能性自体がごく小さなものであるから、危険性を誇張しているという論調もあったのです。しかし、これも反論としては弱い。確率で危険性の低さを主張するのであれば大前提としてユーザが危険性を知っている必要があるわけです。この類の意見を出される方は例としてクレジットカードや携帯電話の追跡性を上げるのですが、この二つに関しては既にユーザが危険性を知っているわけです。運が悪い[1. 無論本人の不注意を含めて言ってます]と追跡されると。[2. カード会社は当然ユーザの使い方をデータとして蓄積してると思いますが]周知でないものに対して危険性は低いと切って捨ててしまうのは検討したうちには入らないでしょう。
さらには運営で対処可能ではないかといった論もありました。しかし、この論は運営する人間に対する信頼が絶対的に必要です。仮に運営主体、導入に積極的な出版業界やアパレル業界を信用したとしても[3. それにしても全ての社員やアルバイトを信用できるわけではない]悪意を持つ第三者がIDを収集していれば成り立たない。ここで言う第三者とは別に個人でもいいが、MLで懸念されていたのは名簿業者だった。
と、追ってみると結局RFIDによるプライバシーの侵害の可能性は否定できない。高木氏の主張を否定できるものはなかったのである。[4. 最初から否定するつもりはない、と反論していた人たちは述べている。念のため]
議論が生じたことで検証は出来たことと、こうしてリンク集が出来たことで高木氏の望む「周知」は一部ながら果たせたのではないだろうか。[5. しかし、長々とやってこれでは2ちゃんのヲチャたちも盛り上がらなかったのもわからないでもない]
俺個人としては自社の技術を利用してガードする方法[6. 狭い業界なので言えない…確実に身元が割れるわ]も考えたが、これは悪意ある第三者に対する防御になり得ない。購入後もIDが生きている、という仕様である限り解決方法は今のところないようだ。[7. なんて結論は当初から出ているんだが。そのわりにMLで収束しなかったのは何でだ]