指紋とられちゃいました

先日、とある会社のデータセンターに入るための入館証を作成した。そのときに左手の指のすべての指紋をスキャナーで採取し、その会社が運営する認証システムに登録する必要があった。なんだか犯罪者みたいだなーとか考えながら素直にスキャンされてきた。

どうやらシステムの初導入後の一発目だったらしく、認証危機メーカーの技術担当者も同席していたのでいろいろ聞いてみた。担当者曰く、

1. 指紋の画像は保存しない
2. 指紋の特徴点情報のみが保存される
3. 保存した情報は暗号化されている
4. 保存した情報から元の指紋は抽出できない
5. 保存した情報を暗号化した鍵はデータを保管するPCに保存されている。

問題は5.だね。暗号化したデータは独自のDB(と言っていた。どうせファイルだろうが）に保存され、暗号鍵を知らないと情報を取り出せないらしい。そしてその暗号鍵は指紋 情報と同じPC内に保存されていると。これはよくない。全くよくないぞ。だって鍵が入手できれば全員の特異点情報を情報をゲットできちゃうじゃん。それってヤバくね？ダイアル式の金庫の扉に、付箋で暗証番号を張っておくようなもんだ。「右に３、左に1、右に6」なんてね。

ちなみに登録を担当している人（技術者じゃないよ）に、「入館証の有効期限が切れたら指紋データを削除してください。」と言ったら、「できるかどうか検討します」って言われた。いままでそんなこと言われたことがないらしい。えぇー！御社の社員はそんなに会社を信頼しているのですか！つーか、このVisual Basicで作った学生の宿題みたいなソフトを信用していいんですか！金属探知器があるデータセンターを自社で持ってるのに....

そもそも指紋は、本人が意図しないところに指紋の陰影を公開してしまう可能性がある。ということは、指紋自体はPKIで言うところの公開鍵みないなもんなんじゃないのかなーとか考えたりした。