パズルの壁
人間か、人間ではないか…なにをもって人間とするか、という哲学の問題ではなく、「認証」のお話です。
ネットショップをはじめとして、ロボットによる操作を弾くために認証を取り入れているサイトはたくさんあります。
このAI黎明期に既存の認証の防御率はどれだけなのか、そしてこれからAIと防御するサイト制作者の戦いは激化してことでしょう。サイト制作者には是非頑張っていただければと思います。
さて、本題に入りますと、東武鉄道の特急切符を買うときに「パズル認証」が障壁となり、購入できない、ということがありました。(パズル認証が障壁に 視覚障害で特急切符買えず 東武鉄道「不正利用防止への理解を」 識者「バリアフリー対応は責務」【ちば特 千葉日報特報部】(千葉日報オンライン)別ウィンドウで開く)
電話で認証が不要となる期間についての話題も入っていますが、パズル認証がそもそも適切かどうかというところも問題かなと思います。
画像に対して代替テキストを入れるのはウェブアクセシビリティの対応の中では最初の達成基準になりますので対応されているところも多いかと思いますが、逆にロボットに答えを教えるようなものなのでセキュリティの意味がなくなりますし、東武鉄道の言うように「セキュリティ面」からも簡単になくすことはできないものです。
WAIC(ウェブアクセシビリティ基盤委員会)の日本語訳ページではCAPTCHAについては、以下のようになっています。
WCAG に適合する意欲のある組織は、このトピックの重要性を認識することが望ましく、かつ可能な限りこのガイドラインの最低要件を遥かに超えることが望ましい。追加の推奨される手段は、以下のものがある:
-
CAPTCHA を二つよりも多くのモダリティで提供する
-
CAPTCHA を回避できる、カスタマーサービスの担当者へのアクセスを提供する
-
認証された利用者には CAPTCHA を要求しない
東武鉄道側も「視覚障害者から申し出があったときは個別対応している」と書いており、「カスタマーサービスの担当者へのアクセスを提供する」「認証された利用者にはCAPTCHAを提供しない」の対応をしているのかなと思います。
WCAG2.2でもアクセシブルな認証として知識や認知能力を必要とする認証はNGとなりそうです。
障害者差別解消改正までも半年を切っており、セキュリティとアクセシビリティの問題はまだまだ出てきそうだなと思います。