千葉日報が2023年10月16日付けで次の記事を掲載していました。27日にはヤフーニュースでも配信されました。ちなみにヤフーニュースでは全文を読むことができます。
- パズル認証が障壁に 視覚障害で特急切符買えず 東武鉄道「不正利用防止への理解を」 識者「バリアフリー対応は責務」【ちば特 千葉日報特報部】 | 千葉日報オンライン
- パズル認証が障壁に 視覚障害で特急切符買えず 東武鉄道「不正利用防止への理解を」 識者「バリアフリー対応は責務」【ちば特 千葉日報特報部】(千葉日報オンライン) - Yahoo!ニュース
記事の冒頭にはこうあります。
「ネットで東武鉄道の特急券を買いたくても、視覚障害のためパズル認証の操作ができず、サービスを利用できない」。船橋市に住む読者の男性からこんな困惑の声が寄せられた。取材を進めると、千葉県内に特急の路線を持つ鉄道のうち、東武鉄道のみがチケットレス特急券の購入時にパズル認証を必須とするシステムを採用し続けていた。同社は「不正利用防止のためには必要」と理解を求める。一方、デジタル化によって生じた新たな障壁について、識者は「公共交通機関はバリアフリーへの感度を高め、対応する責務がある」と指摘した。
パズル認証について
まずもって、パズル認証とは何なのかを改めて確認しておきましょう。新聞記事でも取り上げられていますが、パズルのピースをマウスでドラッグ&ドロップ、あるいはスマートフォンであれば長押しして、パズルを完成させるというものです。記事に記載されている画像をそのまま以下に転載しています。
このパズル認証は、一種のCAPTCHA(キャプチャ)です。CAPTCHAというのは簡単に言えば、ユーザーがプログラムではなく、人間であること証明させる仕組みになります*1。
パズル認証については、目で見て操作する機能であるために、視覚に障害のあるユーザーが、どうがんばっても操作できないという根本的な問題があります。これは、Webアクセシビリティに向き合う理由 事例詳細|つなweBという記事でも説明されています。
画面を見られない視覚障害者は、「スクリーンリーダー」と呼ばれる、画面内の表示内容を音声で読み上げるソフトウェア(オープンソースの「NVDA」やiOSに標準で組み込まれている「VoiceOver」など)を用います。そうしたユーザーが困るのが音声読み上げができない状態で、最たる例がパズル認証や画像認証です(02・例1)。クレジットカードなど決済が絡むWebサイトでよく見かけるこれらの認証は、セキュリティ上の観点からは必要であっても、視覚障害者や、キーボード操作しかできないユーザーだと、認証のための操作ができません。もし代替となる手段の提供もないと、認証後に続く場面には進めないユーザーが出てくることになります。
筆者はセキュリティの専門家ではないので詳しくはないのですが、パズル認証に関しては、IVSで優勝したというパズル型CAPTCHA Capyを突破してみた | Gehirn Newsというブログ記事*2が2013年12月には既にあり、プログラムで突破できることが示されていました。
また、CNNを用いたパズルCAPTCHA攻撃のリスクという論文が2022年に出されています。*3論文のAbstract(要約)をそのまま記載します。
近年,Web サイトに対する bot による不正アクセスが増加傾向にある.Bot による自動アクセスを防ぐ手段として,bot と人間を識別する CAPTCHA が広く用いられている.しかし,bot の高度化により,従来の難度の CAPTCHA を突破する bot が現れている.その一方で高度な bot のアクセスを防ぐような CAPTCHA は人間にとって難しいものとなり,ユーザの利便性と bot に対する認証強度がトレードオフとなってしまうことが問題となっている.本論文では,Capy パズル CAPTCHA を対象に,機械には難しく人間には簡単なインスタンスとはどのようなものか考察する.その第一段階として Capy パズル CAPTCHA と同等のインスタンスを解く機械学習のモデルを生成した.このモデルは背景画像にピースが埋め込まれたインスタンス画像からピースの位置を判別する.判別のモデルには CNN(Convolutional Neural Network)を用い,従来の手法よりも高い 99.81% という精度でインスタンス画像からピースの位置を特定した.これにより機械学習によってCapyパズル CAPTCHA は容易に突破されうるリスクを示した.
結局のところ、(どこまで厳しい条件なのかはさておき)条件さえ整えてしまえば、プログラムがパズル認証を突破できてしまうわけです。そしてその一方で、視覚に障害のあるプログラムではない人間のユーザーが認証できないという問題があります。これはCAPTCHAの本来の目的を果たしているといえるのでしょうか。極端な解釈をすれば、パズル認証はセキュリティとして意味をなさず、視覚に障害のあるユーザーに対する単なる障壁にしかならないということになります。
そういった状況の中で、東武鉄道の言い分を見てみますと、
同社は取材に文書で回答。視覚障害者から申し出があった場合は「個別に対応している」とした上で、
(中略)
パズル認証不要の期間については「セキュリティーと利便性のバランスを鑑みて(中略)」との答え。他の認証方法も考慮した上での判断という。
また、障害者へのサービスは多方面から求められているとし、当事者の視点に立った企業努力をしていると訴えた。
ここまでで見てきたように、技術的にはパズル認証自体に問題があるのですから、そもそも論としてパズル認証をやめよという話になってくるのですが、残念ながら千葉日報の記事ではそこまで踏み込めていません。もっとも、識者として交通ジャーナリストのコメントは掲載されていますが、交通バリアフリーに通じていても情報分野のアクセシビリティやセキュリティに詳しいわけではないでしょうから、ある種の必然なのかもしれません。
ちなみにウェブアクセシビリティについては、前出の記事では以下のように説明されています。
ここで改めて「アクセシビリティ」について説明します。アクセシビリティとは、アクセスのしやすさという意味の言葉で、Webに限らずさまざまな製品やサービス、建築物や機械などあらゆるものを対象とします。対象をWebコンテンツにした場合に、「Webアクセシビリティ」という言葉で言い表すことになります。
ものすごく大雑把には、バリアフリーとアクセシビリティは同じものだと思ってもらえればとりあえずはよいと思います。
国の動きなど
ここで話を変えて、国の動きについて見てみましょう。識者のコメントとしては、
「公共交通機関は、誰でも、どこへでも移動できるのが大前提」と枝久保氏。国基準のバリアフリー以外にも細かい障壁は数多く存在するといい「より感度を高め、対応する責務がある」と注文を付けた。
とあります。ここで、国基準のバリアフリーというものはどういったものでしょうか?
国土交通省のページには、公共交通機関の旅客施設・車両等・役務の提供に関する移動等円滑化整備ガイドライン(バリアフリー整備ガイドライン)というものがあります。このバリアフリー整備ガイドラインでは、「第5部 情報提供のアクセシビリティ確保に向けたガイドライン」にウェブアクセシビリティの項目があります。その中では、
障害者等が円滑にウェブサイト等を利用し必要な情報を得られるようにするために、JIS X 8341-3:2016 に基づき、ウェブアクセシビリティを確保する。
というものがあり、考え方としては、
障害者等にとって、円滑に旅客施設を利用するためにエレベーターやトイレ等の設備の設置状況や設置位置、受けられるサービスの内容等について、ウェブサイト等により事前に情報を収集することが重要となる。
とされています。このバリアフリー整備ガイドラインの書きぶりからは、あくまでウェブサイトで情報収集ができるようにすることを念頭に置いているのであって、千葉日報の記事にあるような、切符が買えない状況を想定しているとは言いがたいのではないでしょうか。言いかえると、公共交通機関の各事業者にウェブアクセシビリティの問題が存在していることをしっかりと認識してもらうのは現状では難しいのではないか、と個人的には思うところです。
ところで、国土交通省には、2023年9月に開催された第10回「移動等円滑化評価会議」の配付資料の「参考資料2 国土交通省等における最近の主な取組」では、
③ウェブによる障害者用乗車券等の予約決済の実現
○ 令和3年度補正予算以降、支援措置をメニュー化。
○ 予算措置も踏まえ、事業者・事業者団体との間で導入促進に向けた調整を引き続き実施。
とあります。これは2021年6月に出された大臣指示に由来するものと認識していますが、大臣指示から2年が経過しているにもかかわらず、何らかの進展があるようには参考資料からは読み取れません。もっとも議事録が出てきていないので、どのような話がなされたのか、現時点では不明ですが。
それとは別に、国会図書館の調査と情報-Issue Brief-というページに、No.1180(2022年3月)として公共交通機関のバリアフリー対策というものを見つけました。
3 その他の課題(有識者の意見)
その他、バリアフリー法をめぐっては「都市と地方の格差」、「情報アクセシビリティ」、「心のバリアフリー」について有識者から課題が指摘されている。
(中略)
「情報アクセシビリティ」について、近畿大学名誉教授の三星昭宏氏は、「視覚・聴覚障害者向けの有効な情報提供はまだ部分的で、視覚障害者が一人で初めての所へ行くことは困難である」と指摘する。また、先述の秋山哲男氏は、「交通において MaaS、CASEなど情報化が急速に進む中での障害者を取り残さない対策が不可欠である」と指摘している。
PDFで15ページの資料の中に、アクセシビリティへの言及が実質1段落しかないわけですが、言及があることに胸をなで下ろすべきでしょうか、それとも1段落しか言及されていないことを嘆くべきでしょうか。秋山氏の指摘は、雑誌福祉のまちづくり研究の特集記事福祉のまちづくりの総括でなされているものですが、今後の課題という位置付けとなっています。交通バリアフリーの専門家からは、ウェブアクセシビリティを含めた情報アクセシビリティというのはどうやらまだまだ遠い存在であるようです*4。
さて、障害者差別解消法という法律の話がウェブアクセシビリティの業界ではよく出てきます。この法律がどういったものなのかは内閣府のリーフレット「令和6年4月1日から合理的配慮の提供が義務化されます!」に譲りますが、この法律は来年4月に改正した法律が施行されます。法改正にあわせて、どのようにすればよいのかという基本方針も改定されています。細かい話は省きますが、その基本方針の中では次のような例示が追加されています。
オンラインでの申込手続が必要な場合に、手続を行うためのウェブサイトが障害者にとって利用しづらいものとなっていることから、手続に際しての支援を求める申出があった場合に、求めに応じて電話や電子メールでの対応を行う(合理的配慮の提供)とともに、以後、障害者がオンライン申込みの際に不便を感じることのないよう、ウェブサイトの改良を行う(環境の整備)。
この例示は、千葉日報が取り上げている「パズル認証切符が買えない」という問題そのものなわけですが、現実には東武鉄道のサイトの改修が行われていないわけです。もちろんこのブログ記事の執筆時点では、民間企業の合理的配慮というものが努力義務であって、義務ではないという話もあります(来年4月から義務化)。
しかし、合理的配慮というものが義務化されることで、本当に環境の整備(これは努力義務のまま)が促進されるのでしょうか? 具体例こそ基本方針に明記されるようになったわけですが、今回のような話を見る限り、明るい未来が待っているわけではないのかもしれません。
バリアフリーについてはバリアフリー法という法律が存在していて、例えば鉄道の駅にはエレベーターを設置するというような決まりがあります。しかしその一方で、情報分野でウェブアクセシビリティというものに技術的に直接言及するような法律は存在していません。
障害者差別解消法で少し込み入った理屈でウェブアクセシビリティを進めようというのではなく、バリアフリー法の情報分野版となる、情報アクセシビリティ法*5でもって、ものごとを進めていく必要があるのではないかと個人的に思っています。あくまで例えばになりますが、「公共交通機関は、音声読み上げで切符を買うことができるウェブサイトを提供する」というような決まりがあればよいのかなと思うのですが、みなさんはどう思われるでしょうか。
技術的な話
もっとも、現状を嘆くだけでは何も始まりませんから、ここでほんのちょっぴり希望が持てそうな技術的な話をしましょう。ウェブアクセシビリティについて明るい各位はご存じのとおり、WCAG 2.2が今月に勧告されています*6。WCAG 2.1から新しい達成基準(Success Criterion)が追加されているわけですが、その中で3.3.8 Accessible Authentication (Minimum) (AA)*7という達成基準がパズル認証を考えるきっかけになるかもしれません。具体的には、
A cognitive function test (such as remembering a password or solving a puzzle) is not required for any step in an authentication process [...]
というものです。ここでいうpuzzleがパズル認証のパズルを指すのかについての確信は持てませんが、この達成基準のUnderstanding WCAG 2.2ではCAPTCHAについて触れられており*8、いずれにせよサイトのログインに関係する達成基準が新たに設けられていることは確かです。
Understanding WCAG 2.2でも少し言及がされていますが、最近では、WebAuthnのようなパスワード不要の認証技術も登場してきています*9。WebAuthnが絶対的な解になるのかどうかはわかりませんが、セキュリティとアクセシビリティ(あるいはユーザビリティ)を両立する1つの方法であることは確かだと思います。WCAG 2.2がパズル認証だけでなく、ウェブサイトのログイン全般についてのアクセシビリティを見直すきっかけになる…のかもしれないという話でした。
まとめ
いろいろと書きましたが、言いたいことのポイントはだいたい以下の感じです。
- パズル認証自体にアクセシビリティ上の根本的な問題が存在している
- 技術的には別の認証方法に変更できる余地がある
- ウェブアクセシビリティという考え方が世の中に広まっていない
- 我が国の法律として、直接ウェブアクセシビリティに切り込めるものがなく、あったほうがよいと思っている
ウェブアクセシビリティの業界にいる人間としては、ウェブアクセシビリティという考え方をもっと広めていく必要があるし、広める努力もしないといけないよね、と改めて思うところではあります。
*1:もう少ししっかりとした説明はCAPTCHA(キャプチャ認証)とは - IT用語辞典 e-Wordsあたりを参照してください
*2:Gehirn(ゲヒルン)https://www.gehirn.co.jp/については、今では特務機関NERV防災で有名ですが、情報セキュリティが本業だという認識です
*3:英文タイトルはIs Puzzle-Based CAPTCHA Secure Against Attacks Based on CNN?ですが、これはIEEEに採択されています https://ieeexplore.ieee.org/document/10049032/metrics
*4:ちなみに三星氏の元文書はウェブでは読めませんでしたhttp://www.tessinkyo.jp/syuppan2.html
*5:情報アクセシビリティ法については、石川先生が言及されています。例えば https://www.normanet.ne.jp/~jdc/tech/semi/ishikawa/index.html
*6:WCAG 2.2の2つ前のバージョンであるWCAG 2.0がJIS X 8341-3:2016と技術的に同等です
*7:仮訳として「アクセシブルな認証」などとされています。参考:https://accessible-usable.net/2023/10/entry_231006.html
*8:W3C NoteのInaccessibility of CAPTCHAへのリンクもあります
*9:Cloudflareの人類はCAPTCHAで毎日約500年をムダにしている。この狂気から脱却する時が来たとかが参考になるかもしれません
