献血カードの4桁の暗証番号について思うこと
2009年10月26日
先月、大勢の人出で賑わう休日のイベントに設けられた臨時の献血会場にて、筆者は久しぶりに献血した。受付で献血カードを提示すると、4桁の暗証番号の入力を求められた。住所に変更があったことを告げると、献血カードの作成時と同様に、本人確認できる証明書の提示をあらためて求められた。献血の順番を待つ間、3年前に献血カードを作成し暗証番号を登録した時のことをあれこれ回想していた。
献血の受付手続は3年前の2006年に大きく変更された。本人確認の強化に加えて、2006年10月には従来の献血手帳に代わって磁気記録による献血カードが導入され、現在に至っている。献血カードの作成時には、本人確認できる証明書の提示とともに、4桁の暗証番号の登録が必要である。次回の献血以降は、証明書を提示しなくても、献血カードの提示と暗証番号の入力で本人確認を済ませられる。
献血に本人確認が求められるようになった理由は、献血・輸血を介したウィルス等の感染を防ぐためである。日本赤十字社が導入している最先端の検査方法でも、血液中のウィルスを検出できないことがある。その上で日本赤十字社は、『一部の献血者において、氏名等を偽って献血される方や、ご自身が感染症に感染しているかを確認するため、献血される方がいらっしゃいます。輸血用血液の安全性をさらに向上させるため、本人であることを示すこと(本人確認)によって「自ら提供する血液は安全である」という意識をもって献血されるようお願いしております。』と各所で説明している。
しかし、本人確認できる証明書を持参して提示することを、大多数の善意の献血協力者にまで毎回求めるのは、ハードルが高すぎる、あるいは受付手続が煩雑となる、といった意見があった。それに応える形式とタイミングで導入されたのが、献血カードである。
さて、献血カードとその暗証番号の管理についての意識は、金融機関のキャッシュカード等と比べてしまうと、あまり高くないのが現状である。献血カードを紛失しても直ちに赤十字に届け出る必要はないし、生年月日や電話番号を暗証番号に指定することも特に禁止されていない。ただし、それらが一概に悪いということではない。献血協力へのハードルを低く抑えつつ、安全な血液に関する献血者の意識の向上や、他人のカードの安易な使用の防止といった効果は期待できる。そうしたことを総合的に判断して、現在のような簡易的な運用がなされているのだろう。
ただし、暗証番号について献血者が注意すべきことが一つある。献血カードに、金融機関のキャッシュカード等と同一の暗証番号を登録するのは、避けるべきである。
キャッシュカードの暗証番号には確かに利点がある。他人が容易に推測できない数字を指定しているだろうし、使用頻度が高いので忘れる可能性も低い。献血の受付等で不意に暗証番号の登録を求められたら、つい指定してしまいがちな数字である。
しかしたとえば、キャッシュカードと献血カードを同じ財布に入れていて、財布ごと盗難に遭ったような場合に、同じ暗証番号を登録しているリスクが顕在化する。つまり、いったん献血カード側で暗証番号の入力を試行し、その結果を踏まえてキャッシュカード側で試行するという悪用の手口が想定されるのである。
そして、こうした手口で暗証番号を特定された上で不正に預金を引き出され、かつ、キャッシュカード(を入れた財布)の管理にも被害者本人の過失があった場合、預金者保護法に基づく被害補償が4分の3に減額される可能性がある。「暗証番号をロッカー、貴重品ボックス、携帯電話など金融機関の取引以外で使用する暗証としても使用していた場合」(銀行の注意書きより引用)には、暗証番号の管理にも過失があったとされてしまうからである。
そもそも、リスクの程度も性質も異なるキャッシュカードと献血カードが、4桁の暗証番号という同一の認証方式を採用していることに、問題の本質がある。これはロッカー、貴重品ボックス、携帯電話などにも当てはまる議論である。キャッシュカードについては、以前から言われているように生体認証等を導入してセキュリティを強化すべきということになる。一方、献血カード等については、求められる認証の程度に応じて3桁あるいは5桁以上の暗証番号とすることも一つの対策として考えられる。セキュリティに関する社会全体のバランスという観点から個々の認証方式を検討することが、各システムの設計者には求められるはずである。
とはいっても、利用者から見た現実問題として、複数の4桁の暗証番号を適宜区別して使用する必要は当面なくなりそうにない。IT業界に身を置く者の一人としては、そのような状況が歯がゆく思えてならないというのが正直なところである。
現時点で各個人ができる対策として、献血カードの4桁の暗証番号はどのように指定すべきか。3年前の筆者は、暗証番号の入力端末を前にしてしばらく考え込んでしまった。いっそのこと生年月日にしてしまおうかとも一瞬考えたが、輸血用血液の安全性の向上という元々の意義を鑑みれば、いささか良心がとがめた。結局、他人が容易に推測できず、かつ、キャッシュカード等とは別のところで使用している同じ4桁の数字を、暗証番号として登録した。
なお、東京都赤十字血液センターでは、「献血カードを発行する際に、4桁のパスワードを設定いたしますので、ご準備の上、献血会場へお越し下さい。」(Q&Aより引用)と呼びかけている。筆者のように献血受付の係員をむやみに待たせないためにも、引用して周知する次第である。
このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。
