世界各地で拡大する医療分野のNFT利用、国内医療機器メーカーも対応を迫られる：海外医療技術トレンド（99）（3/3 ページ）

[笹原英司，MONOist]

米国NISTがNFTセキュリティに関する文書草案を公開

　ところで米国では、2022年6月9日、大統領府科学技術政策局（OSTP）が、国家科学技術会議のネットワーキング・情報技術研究開発（NITRD）小委員会、国家人工知能イニシアチブ室、NITRD国家調整室の先進的プライバシー保護データ共有・分析ファストトラックアクション委員会を代表して「プライバシー強化技術の進化に関する情報提供依頼書（RFI）」（関連情報）を発出するなど、プライバシー強化技術強化施策が活発化している。

　2023年8月31日には、米国国立標準技術研究所（NIST）が、「NIST IR 8472 非代替性トークンのセキュリティ」初版公開草案（関連情報）を公表し、パブリックコメントの募集を開始した（募集期間：2023年10月16日まで）。本草案は、NFT技術を評価し、潜在的なセキュリティの課題を特定することを目的としている。

　本草案では、NFTについて、物理的または仮想的にリンク付けされた資産がデジタル的に表現されたような、所有された転送可能で分割できないデータ記録と定義している。データ記録は、ブロックチェーン上のスマートコントラクトによって、生成され、管理されるとしている。

　そして、NFT資産として、以下のような例を挙げている。

1. 所有された：NFTは、ブロックチェーンのアドレスを記録することによって、所有権を設定する
2. 転送可能な：所有者と設定された承認済主体は、NFTの所有権を他のアドレスに移転できる
3. 分割できない：NFTはさらに分割できない（ただし所有権は、細分化される可能性がある）
4. リンク付けされた：NFTは、それが表現する資産を参照する
5. 記録された：NFTは、ブロックチェーン上に保存されたスマートコントラクトのデータ記録である
6. 来歴：NFTは、記録された所有権のチェーンを有する
7. 永続性：NFTは、通常、不滅である（ただし消滅するよう設定された場合がある）
8. 普遍的な：NFTが表現する資産は修正できない
9. 一意的な：個々のNFTは、一意の資産を表現する
10. 真正な：個々のNFT資産は、NFTがそのように主張するものである（例：特定のアーティストの芸術作品）
11. 認可された：個々のNFT資産は、所有者によって、NFTとして販売するよう認可されてきた

　その上で、NFTの所有権とトークンのスマートコントラクト管理に存在し得る潜在的なセキュリティ上の懸念事項として、以下の27項目を挙げている。

• 所有された
  • 1．NFTの購入者は、資産への参照を含むスマートコントラクトのデータ記録の代わりに、資産を購入していると考えるようだまされる可能性がある（資産全体に権利が付与されていない可能性がある）
  • 2．技術的には、誰でも何かにリンク付けされたNFTを生成できるため、スマートコントラクトは、その資産に対して行う法的権限なしに、資産にリンク付けされたトークンを生成する可能性がある
  • 3．もしブロックチェーンのアカウントが侵害されたら、悪意のある行為者が、そのアドレスに関連する全てのNFTを、行為者が所有するアドレスに転送ことができる
• 転送可能な
  • 4．盗まれたトークンは、暗号通貨のために、悪意ある行為者により直ちに販売される可能性があり、簡単なトークンの復元が、そのようなメカニズムが利用可能であっても妨げられることがある
  • 5．盗まれたトークンを正当な所有者向けに復元するようなスマートコントラクトのメカニズムは、存在しない可能性がある
  • 6．スマートコントラクトが、コントラクト管理者による盗まれたトークンの復元を可能にする場合、管理者がトークンを没収、凍結、または一方的に転送するために、管理者がこの機能を利用する可能性がある
  • 7．スマートコントラクトが、管理者による盗まれたトークンの復元を認めない場合でも、スマートコントラクトが、管理者により制御されたアップデートのメカニズムを有する可能性があり、将来このような機能が追加される可能性がある（従来言われていたセキュリティの懸念が実現する）
  • 8．スマートコントラクトにおけるコーディングエラーにより、攻撃者がトークンを盗んで、自分のアカウントに転送することが可能になる場合がある
• 分割できない
  • 9．断片的な所有権の中に、断片的な所有権を処理する追加的なサードパーティーのスマートコントラクトが含まれることによって、NFTの攻撃面が増大する
  • 10．断片的な持ち分の所有者は、強制買収を通じて、取り分を失う可能性があることを認識していない場合がある
• リンク付された
  • 11．不適正に保存されたメタデータ（悪意を持ってなされたか、または偶発的か）は、NFTとそれが表現する資産のリンクを効果的に切断し、無価値にする可能性がある
  • 12．デジタル資産を利用不可能にするようなサーバエラー（例：破損したファイル、サーバ障害、ストレージサービスの中断）は、NFTとそれが表現する資産のリンクを効果的に切断し、無価値にする可能性がある
  • 13．NFT識別子とURLをリンク付けするオフブロックチェーンのテーブルが侵害されたら、攻撃者は、NFTとそれらの資産のリンクを切断し／または、NFTがどの資産かを表現する部分を変更することが可能である
  • 14．オフブロックチェーンのテーブルが、NFT識別子とURLをリンク付けするために利用される場合、テーブルのオーナーは、このアクセスを利用してNFTとのリンクを切断し／または、NFTがどの資産かを表現する部分を変更することが可能である
• 記録された
  • 15．NFTの所有者は、自分のアカウントおよびそのアカウントが有するNFT上の情報が、関連するブロックチェーン上の公開情報であることを認識していない可能性がある
  • 16．ブロックチェーンのアカウントは匿名であるが、個人識別情報（例：名前とアドレス）を含むアカウント所有者の購入を通して、非匿名化することができる
• 来歴
  • 17．ブロックチェーンは、攻撃を受けて、ブロックチェーンの履歴に対する変更を可能にする（これは確立したブロックチェーンでは起こらない）
  • 18．誰もアクセスしていないアドレスに送付することによって、NFTが消滅する可能性がある（偶発的または悪意的に）
  • 19．NFTのスマートコントラクトが自己破壊して、管理されたNFTを破壊することが可能である
• 不変的な
  • 20．スマートコントラクトのコードに脆弱性が含まれている場合、悪意ある行為者により、データ記録が変更される可能性がある
  • 21．ブロックチェーンは、場合によって、参加者のコンセンサスを介して変更されたり、コンセンサスが主要課題の解決に至らない場合は別々に異なるバージョンに分割されたりすることがある
  • 22．ブロックチェーンの分割は、NFTコントラクトが複製される結果となり、2つのブロックチェーン上に、同じNFTを所有するNFT所有者が存在することになる。1つを販売して、他を保持することができるが、リンク付けされた資産に対する所有権を取り次ぐNFTに重大な課題を引き起こす
• 一意性
  • 23．購入者は、交換所が複数の時間に同じNFTを販売している（例：ビデオクリップ向けに限られた数の直筆を許可する）ことに気付いていない可能性がある
  • 24．同じ資産（または人間の目に見えない変更のあるコピー）が、複数のNFT交換所またはスマートコントラクトによって、同時に販売されることが可能である
• 真正性
  • 25．NFTにリンク付けされた資産が、偽物であるか、真正のオリジナル作品で期限が誤って表現されたり異なるクリエイターに帰属したりするものである可能性がある
• 認可された
  • 26．販売者が、特定の資産にリンク付けされたNFTを販売する権限を付与されていない可能性がある
  • 27．購入者が、NFTの購入によって獲得したと思っている資産にリンク付けされた権利を受け取っていない

　日本政府が2022年6月に閣議決定した「経済財政運営と改革の基本方針2022（骨太の方針2022）」（関連情報）により、NFTやDAOに代表されるWeb3.0推進策が盛り込まれたが、医療分野におけるNFT利用に関連した記述はその後の施策に見当たらない。世界各国／地域において、医療NFTへの取り組みが顕在化する中、グローバル展開する日本の医療機器企業も、何らかのメッセージを発信していく必要に迫られつつある。

筆者プロフィール

笹原英司（ささはら えいじ）（NPO法人ヘルスケアクラウド研究会・理事）

宮崎県出身。千葉大学大学院医学薬学府博士課程修了（医薬学博士）。デジタルマーケティング全般（B2B／B2C）および健康医療／介護福祉／ライフサイエンス業界のガバナンス／リスク／コンプライアンス関連調査研究／コンサルティング実績を有し、クラウドセキュリティアライアンス、在日米国商工会議所、グロバルヘルスイニシャチブ（GHI）等でビッグデータのセキュリティに関する啓発活動を行っている。

Twitter：https://twitter.com/esasahara

LinkedIn：https://www.linkedin.com/in/esasahara

Facebook：https://www.facebook.com/esasahara