パスワードの人権宣言

概要[編集]

「パスワードの人権宣言」は、パスワード管理が単なる技術運用ではなく、利用者の自由と尊厳に結びつくという見方を制度的にまとめたものとされる。文書では「秘密の保持は人格に類する」として、強制変更の連打や過剰な質問攻めを“圧力”として位置づけた点が特徴である^[1]。

この宣言が広く参照されるようになった経緯は、1990年代後半の大規模障害が「パスワード流出」以上に「説明責任の欠如」を可視化したことに求められるとされる。とりわけ、利用者が復旧手続に長時間拘束される事態が、心理的拘束として問題視されたという。なお、宣言の条文は法的拘束力を持たない建て付けでありながら、のちのガイドラインや契約条項の“雛形”として流用されたと指摘される^[2]。

成立の背景[編集]

一覧：人権として扱うべき「パスワードの権利」[編集]

「人権宣言」という名が付く一方で、文書は抽象論だけではなく、実務に近い“権利のパッケージ”として整理されていたと伝えられている。以下は、付帯勧告（全14項目）のうち、引用されやすいとされる代表的な権利・原則の一覧である。

選定基準は、(a)契約条項に転用されやすい語尾を持つこと、(b)運用コストの計算式が付いている（あるいは付いているように見える）こと、(c)当時の労働組合や消費者団体が“具体名”で言及したこと、の3点に置かれている^[2]。なお、各項目の解釈には同時代の編集者の嗜好が反映されており、本文のリズムが微妙に揺れるとも言われる。

## 権利・原則の一覧

1. 回復手段の選択権（最大3経路）（2001年） 利用者は回復時に「メール復元」「端末再登録」「本人確認窓口」のいずれか最大3経路を選択できるとされた。理由は、選択を奪うことが“同意なき人格改造”に近いという考えに基づくと説明される^[7]。

2. 強制変更の比例原則（ΔP≤2段階）（1998年草案） 流出懸念がある場合でも、更新要求は最大2段階（短縮→再設定）に留めるべきとされた。作業部会の報告書では、段階が3以上になると利用者の再入力誤り率が「+11.7%」増えるとされ、数字が妙に具体的だと評された^[8]。

3. 確認質問の回数上限（Q≤4）（2001年採択） 「母の旧姓」などの質問を4回超えないことが求められた。4回を超えると“質問が人格の採掘”に変わるという比喩が採用されたとされる^[9]。

4. 再説明義務（同一障害は一次回答で）（1999年） 同じ障害が再発した場合、問い合わせ対応は同じ説明を“要約で再提示”すべきとされた。窓口が毎回違う説明をすることで利用者が「毎回リセットされた気分になる」ことが調査で明らかになったという^[10]。

5. ロック解除の待機設計（待てる時間は17分）（2000年） 誤入力や疑義判定でロックされた場合、待機時間は原則17分を超えないとされた。なお、例外として“公共交通系認証”のみ19分まで許される旨が付帯したとされるが、当該条項を執筆したとされる編集者が後に「なぜ19なのかは覚えていない」と証言したと伝えられる^[11]。

6. 秘密の転用禁止（広告用の再利用は不可）（2001年） パスワードや回復コードの断片情報を広告目的に使わないことが要請された。実際には“断片”の境界が曖昧であり、ある団体は「断片は断片でなく“種”である」と抗議した^[12]。

7. 第三者による推測補助の制限（推測率<0.3）（1997年） 不正推測を抑えるため、事業者が推測を“学習データ化”する行為を抑制するべきだとされた。具体的に「推測率0.3」という閾値が書かれていたとされるが、推測率の定義は後の改訂で“用語集に委ねられた”とされる^[13]。

8. 通知義務（流出疑いは72時間以内）（1999年） 流出疑いを検知した場合、72時間以内に利用者へ通知すべきとされた。作業部会は「72時間は人間が寝返りを打つ回数に近い」と説明したという^[14]。

9. 二要素強制の慎重運用（同意なき提示は禁止）（2001年） 二要素認証の導入は、選択肢を与える形で進めるべきとされた。利用者が拒否した場合の代替経路を用意しないことが“能力の剥奪”に当たると主張された^[15]。

10. 端末紛失時の救済（「最後の同期」保護）（2000年） 端末紛失時、回復を“最後の同期地点”から開始し、ゼロからの再入力を避けるべきとされた。ここでいう同期地点は、横浜市の実証拠点で管理されたと記されているが、実証拠点の正確な所在地は資料から削除されている^[16]。

11. ログの人格性（照合ログは最小化）（1998年） 照合に使われるログは人格性を帯びうるため、保持期間を最小化するよう求められた。保持期間は「平均6か月＋緊急時最長18か月」とされたが、緊急時の定義が“緊急の気配”と書かれていたとする証言もある^[17]。

12. 教育の非辱め（上達圧の禁止）（2001年） パスワード強化の教育において、弱さを嘲笑するUIは禁止された。ある事業者のUIが“弱いパスワードほど雪だるまが溶ける演出”をしていたため、利用者団体が「情操的暴力」として訴えたとされる^[18]。

13. 共同利用の同意（家族共有は別人格）（1999年） 家族が同じ端末やアカウントを共同利用する場合でも、共有は同意に基づくべきとされた。「別人格」扱いにすることで、追跡や削除が乱暴に行われないようにする趣旨だったとされる^[19]。

14. 窓口のアクセシビリティ（言語は最低5種）（2000年） 回復窓口の案内は最低5言語で提供されるべきとされた。もっとも、その5言語が「英語・仏語・独語・日語・“やさしい手話”」であったとされ、後年に注釈が付くまで疑義が出たという^[20]。

影響と運用の広がり[編集]

批判と論争[編集]

批判としては、宣言が技術的実装を伴わないために“言葉だけの保護”になっている点が挙げられている。とくに「推測率<0.3」や「緊急の気配18か月」など、用語が曖昧なまま条文が広まったことで、結局は各社が都合のよい解釈を採用したのではないか、という指摘があった^[26]。

さらに、宣言が利用者の選択権を強調した結果、回復手続が複雑化し、問い合わせ窓口の負担が増えたという反論もある。ある労組レポートでは、窓口の担当者が「待機17分×復旧3経路×再説明2回」で月あたり推定3.2時間増のストレスを受けたとされるが^[27]、数値の出どころは明確でないと注記されている。

このように、宣言は理念として評価されつつも、運用に落とし込む際の“抜け道”が論点になった。なお、宣言採択に関与したとされる「鍵と尊厳」作業部会内部で、条文の順番をめぐる投票が行われた際、ある委員が「上位条項ほど守られるから、先に笑える項目を置くべき」と発言したとされる^[28]。

脚注[編集]

関連項目[編集]

パスワード疲労

二要素認証の社会史

認証疲労計測研究所

回復不能事件

SLAにおける権利条項

秘密の転用禁止

脚注

1. ^ M. A. Thornton『秘密の代償—認証運用における人格コストの測定』Northbridge Academic Press, 2004.
2. ^ 佐藤礼子『回復手続の沈黙—パスワード保護と窓口設計』東京情報通信出版, 2006.
3. ^ A. J. Dupont「Proportional Update Demands and User Harm」『Journal of Authentication Ethics』Vol.12 No.3, pp.44-67, 2002.
4. ^ 林慎太郎『Q≤4の時代—確認質問はどこまで許されるか』コンピュータ人権研究所紀要第5巻第2号, pp.101-139, 2003.
5. ^ C. Moretti「Waiting Time as Psychological Contract: 17 Minutes Revisited」『European Review of Service Rights』第3巻第1号, pp.1-18, 2001.
6. ^ 「認証負担の比例原則の実装ガイド（草案集）」鍵と尊厳作業部会編, 2000.
7. ^ K. van der Meer「Retention Windows and the Myth of Minimal Logs」『International Journal of Identity Operations』Vol.9 No.4, pp.210-238, 2005.
8. ^ 田中悠真『強制変更の段階設計—ΔP≤2段階の実務検証』丸善デジタル工学叢書, 2007.
9. ^ M. A. Thornton『Declaration Drafting in Multi-Language Recovery Channels』Northbridge Academic Press, 2001.
10. ^ J. H. Kessler「緊急の気配と保持期間：18か月の再解釈」『Cryptographic Administrative Notes』Vol.1 No.0, pp.77-88, 1999.

外部リンク

• 鍵と尊厳アーカイブ
• 認証疲労計測研究所データページ
• 回復不能事件の記録室
• パスワード権利条項ライブラリ
• 欧州議会関税圏（非公式）技術メモ