携帯電話に搭載されている固有IDが波紋を呼んでいる。
問題の発端は、NTTドコモが開発者向けに開示した情報だった。公開されたのは、同社のスマートフォン向けコンテンツ開発に関する情報で、ドコモがスマートフォンにプリインストールする「メディアプレイヤー」アプリが、動画を再生する際にIMEIと呼ばれる端末一意の固有IDを送信する、というものだった。
この記述自体はその後、マイクロソフトの「PlayReady」と呼ばれるDRMを使った動画の再生時に「ライセンスが確認できない場合」のみ送信され、1回ごとにユーザーに送信の可否を問うダイアログが出る仕組みであると説明が追記(修正)され、問題自体は終息している。
しかし、これをきっかけに、スマートフォンのIMEIを利用することへの問題提起の声が大きくなっている。
IMEIとは何か
IMEIは「International Mobile Equipment Identity」の略で、携帯電話ごとに個別に与えられた固有の番号であり、一般的に携帯電話本体にも記載されている。標準化団体の3GPPが定めた標準的な取り決めで、15ケタの番号の割り当てが決められている。
番号は、最初の8ケタが「TAC(Type Allocation Code)」、次の6ケタが「SNR(Serial Number)」、最後の1ケタが「CD(Check Digit)」または「SD(Spare Digit)」になる。
古くて新しい固有IDの問題
IMEIは「その端末に固有のID」だ。
固有IDは古くから問題になっており、例えば1999年に米Intelが発売したCPUの「Pentium III」には、固有IDである「PSN(Processor Serial Number)」が登録され、ユーザー認証やシステム管理などで活用しようという動きがあった。しかし、ソフトウェアから偽造可能である点、IDを追跡することでユーザーの行動が把握できる点など、いくつかの問題点が強調され、大きな批判の中で結局使われることはなかった。
マイクロソフトのWindows Media Playerは、今回の「メディアプレイヤー」アプリと同様にプリインストールされるプレイヤーソフト。そこには「一意のプレーヤーIDをコンテンツのプロバイダに送信する」という設定項目があり、デフォルトはオフで「匿名プレイヤーID」が送信されるようになっている。
こうした状況は、固有IDの送信がこれまで長らく問題視され、それを送信しないような仕組みが構築されてきたことを意味している。ユーザーの認証や同定に関しては、任意のユーザーIDとパスワードによる組み合わせやCookieといった手法が使われ、サービスをまたがって安全に同一IDでアクセスするOpenIDのような仕組みも作られてきた。
固有IDのリスクとは何か
では、こうした固有IDのリスクは何があるのだろうか。
