韓国で携帯電話の新規契約手続きに顔認証が試験的に導入され、個人情報保護やセキュリティへの懸念が高まっている。これに対し政府は、本人確認アプリ「パス(PASS)」の顔認証は、顔画像や身分証情報を暗号化した上で一時的に処理し、認証完了後は直ちに廃棄する仕組みであると強調した。
科学技術情報通信省と、システム構築を担うIT企業のデイサイドによると、顔認証は携帯電話開通の過程で、身分証の写真とリアルタイムで撮影した顔映像を照合し、同一人物かどうかのみを確認する方式。顔映像や生体情報を別途保存することはない。
利用者が携帯電話で身分証を撮影すると、その情報は暗号化されて顔認証システムに送信される。サーバー側では一時的かつ暗号化された状態でのみ保存し、認証が終わると開通事業者に結果を伝えた後、即時に廃棄する。
続いて利用者はリアルタイムで顔を撮影する。まばたきや顔を左右に動かす動作を求めるのは、写真や動画によるなりすましを防ぐためである。撮影された顔情報も暗号化されてサーバーに送られ、身分証写真との比較は0.04秒以内に完了する。確認が終われば、顔情報はすべて即座に削除される。
データ通信経路も高い安全性を前提に設計された。利用者が接続するたびに一度限り使用される専用経路(ワンタイムURL)が生成され、その都度新たな暗号鍵が作られる。携帯電話側で顔情報をまず高度暗号化標準(AES)方式で暗号化し、その暗号鍵をさらに公開鍵暗号方式(RSA)で二重に保護してサーバーへ送信する。サーバーは鍵を復号して認証を行い、使用後の情報は直ちに廃棄する。
韓国政府は、顔認証導入は避けられないとの立場だ。科学技術情報通信省ネットワーク政策室長のチェ・ウヒョク室長は「ボイスフィッシング被害が急増しており、名義貸し携帯電話を遮断するため、より強力な手段が必要だ。公益的必要性が上回ると判断した」と述べた。リアルタイムのディープフェイク技術などによる偽造の可能性については、攻撃シナリオを想定した防御エンジンを適用しているとした。
(c)news1
