Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

顔認証キャッシュレスは普及するか

考えてみた。

顔認証キャッシュレスの普及・・・その波が近づいている様です。

diamond.jp

 

 そんな中国で次世代決済として始まっているのが顔認証決済だ。顔認証技術は、監視カメラやATMなどで実用化はされていたが、決済での実用化は世界で初めて。2017年秋に中国杭州ケンタッキーフライドチキンで実用化されている。

「Smile to Pay」と称された、このサービスはALIPAY」のアリババグループが運営しているもの。事前にモバイル決済のできる「ALIPAY」アカウントに顔情報を登録すれば利用が可能になる。

 中国では「ALIPAY」「WeChat Pay」が競って中国全土に顔認証決済システムの売り込み攻勢をかけている。そのため、現地では自動販売機や食料雑貨店でも顔認証決済が行えるという。

 日本でもNECが顔認証決済の実証実験を行い、ファミリーマートパナソニックが顔認証で入店、決済が可能な実験店舗を今年4月にオープンさせた。日本においても、顔認証決済の夜明けは近いといえよう。

(Diamond online記事より引用)

 

◆キタきつねの所感

中国は、日本のキャッシュレスがQRコードである事を冷ややかな目で見ている気がしますが、更に先を行って、顔認証決済が本格化しようとしている様です。記事にあるAlibabaの「smile to pay」を調べてみると、気にある通り2017年から実証化していました。

 

参考まで2017年の日本語記事を貼っておきます

jp.techcrunch.com

 

中国はプライバシー侵害懸念が日本のそれよりも問題視されてませんので、AlibabaやWeChat等の既にQR決済などで巨人となっているプレイヤーが実装すれば、次のディファクトスタンダート(中国語圏の)になってしまう可能性が高い訳ですが、日本で”同じ仕組み”がすぐに普及するかと言えば少し疑問です。

 

AlibabaのSmile to Payの基本技術は、Megvii社のFace++というプラットフォームを利用して構築されている様ですが、調べる限りでは

chaitech.jp

 

彼らの顔認識システムのプラットフォームでは、クラウドベースのAPISDK等が提供されており、世界中の開発者と研究者は、自身のプロダクトでFace++の顔認識システムを使用することが出来るようになっています。

現在の彼らの顔認識プラットフォームには、10万人以上の開発者が登録されており、これまでに1億人以上の顔が登録されています。

(中略)

現在まで、Face++顔認識システムオープンプラットフォームには、1億人以上の顔と10億枚以上の写真が登録されており、彼らのオープンプラットフォームを使用するアプリケーションやプロダクトの数は15000件以上存在するとされています。

彼らは、アリババ等から継続的な融資を獲得しており、アリババグループのアントフィナンシャルサービスや、中国の銀行、政府等、大小様々なパートナーへ、そのプラットフォームを提供しています。

(Chaitech記事より引用)

 

顔認証用の生体(特徴点)データは、サーバ保管方式の様です。

 

一方でiPhoneスマホに標準実装されている顔認証(FaceID等)は、端末に生体データを保管する方式です。顔認証精度を高めるためには、Megvii社のFace++のサーバ型の設計思想は優れていると思いますし、既にOpenプラットフォーム化もしている様ですので、特に中国語圏では、更にこの分野では利用が進んでいくと思います。

 

しかし、日本や米国、欧州等でデリケートな問題となっているプライバシー侵害の観点から考えると、サーバ型はセキュリティの要塞化をしても、天才的なハッカーがその壁を破って生体データを入手されてしまうと、漏洩したデータが、パスワードの様に変更が出来ない人間の特性(特徴)に元づくデータであるが故に問題が出てきます。一方で、Alibabaが顔認証データ、あるいは照合技術を、政府などに提供した場合・・・犯人逮捕などの良い面も多々出てくるとは思いますが、一方で『特定個人の監視』にも使えてしまう可能性があります。

 

日本での普及を考えた場合、QRコード決済で乱立している様な・・・顔認証決済プラットフォーマーが、また乱立してしまう可能性が高い気がします。その場合はビジネス上のコストメリット(利益)も分散されるでしょうし、AIの照合技術もMegvii社ら海外のユニコーン企業に追いつく事は出来なくなる可能性がありそうです。

 

そう考えてくると、顔認証キャッシュレスは、顔画像データ保管が、サーバ型か端末型は分かりませんが、世界での普及が進むにつれて、日本でも普及していくものと思いますが、、、AppleGoogle、あるいは中国のAlipayやAlibaba等の海外の巨大なプラットフォーマーの技術がディファクトになってしまう未来の方が近い気がします。

 

もし日本企業がこうした中国のユニコーン企業に対抗するなら、国際規格に近いと言われるFIDOの設計思想※端末側に生体データを保管する)を推し進めて、サーバ型で進めている先行企業の優位性を崩す動きをする位でしょうか・・・

 

余談ですが、Megvii社のホームページでは顔認証だけでなく、「Human Body Recognition」(体認証)が2つ目の生体認証技術として掲載されています。入出国審査などの国境(ボーダー)管理では、ボディスキャナー(不審物検査)の実装が進んでいますが、併せて本人認証も体認証で出来る様になると入出国のスピードが上がりそうな気がします。こちらは、プライバシー侵害の問題も少なく、サーバ型(クローズ型)の方が向いているので、日本でも導入が期待される技術となりそうな気がします。

f:id:foxcafelate:20191005072223p:plain





 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

f:id:foxcafelate:20191005064304p:plain

 


 

更新履歴

  • 2019年10月5日AM(予約投稿)