真正性ハブ

真正性とは

見た目では、もう本物とフェイクを見分けられません。真正性は、目で確かめるものから、証明で確かめるものへ変わりました。

真正性とは、データやコンテンツが本物であり、作られてから改ざんされていないこと、そして出所(来歴)が確かであることを指します。英語では Authenticity と呼びます。「誰が・いつ・何を作り、その後どう扱われたか」をたどれる状態が、真正性が保たれている状態です。

生成AIによる画像生成や文書加工が広がり、本物と見分けのつかないフェイクが流通するいま、真正性は情報を扱うすべての現場で前提条件になりました。報道、金融、行政、医療、製造、そしてAIエージェントの運用まで、「目にしたデータは本物か」を確かめられることが、意思決定の土台になります。

検出は、証明ではない。

異常を後から見つける検出は、被害の把握に欠かせません。ですが「いま扱うデータが本物か」を、事が起きる前には立証しません。真正性は、実行の前に来歴を独立検証する層があって、初めて担保されます。

真正性・完全性・機密性の違い

情報セキュリティでは、真正性は近い概念と並べて語られます。混同しやすいため、ここで切り分けます。

  • 真正性(Authenticity):本物であること。誰が作ったか、出所が確かか、なりすましでないか。
  • 完全性(Integrity):改ざんされていないこと。作成時点から内容が変わっていないか。
  • 機密性(Confidentiality):許可された者だけが見られること。

完全性は「中身が変わっていない」を保証しますが、それだけでは「そもそも本物の出所から来たのか」までは保証しません。真正性は、完全性に出所(来歴)の検証を加えた、一段広い概念です。

「真正性・見読性・保存性」— 日本の電子記録に求められる三要件

日本の規制では、真正性は具体的な要件として定められています。電子帳簿保存法[1]や、厚生労働省の医療情報システムに関するガイドライン(電子カルテ・診療録)[2]では、電子記録に 真正性・見読性・保存性 の三要件が求められます。

  • 真正性:記録が本物で、改ざん・消去の有無をたどれること。作成者の責任が明確であること。
  • 見読性:必要なときに読める形で出力できること。
  • 保存性:保存期間を通じて読める状態を保つこと。

このうち真正性の確保は、電子署名・タイムスタンプ・操作履歴(来歴)の管理で支えられます。Lemmaの来歴証明は、この「誰が・いつ・どの版を作り、改ざんされていないか」を、暗号的に検証できる形で固定します。詳しくは 規制属性証明(Pillar 04) をご覧ください。

真正性が問われる場面(ジャンル別)

真正性は一つの言葉ですが、求められる現場ごとに中身が変わります。

ジャンルは違っても、根は同じです。「どこから来た、誰の、どの版か」を独立して検証できるか。それが真正性の核心です。

真正性データは、発行する側と受け取る側で扱いが変わります

真正性のあるデータは、出す側が来歴を付けて発行し、受け取る側がその証明を検証します。

Issuer side
発行する側
コンテンツを作り、送り出す
報道・メディア出版社(パブリッシャー)制作会社・クリエイターブランド/EC

作った写真・記事・動画が本物で、改ざんされていないことを、相手に示したい。

やること(作り方)
  1. 何を証明するか決める(撮影者・作成日時・未編集など)
  2. 元データは渡さず、来歴と署名を付けて発行する
  3. 受け手には証明だけを届ける

来歴の付与と発行は Seal。C2PA(Coalition for Content Provenance and Authenticity)と並んで動きます。

発行のはじめ方を見る →
Receiver side
受け取る側
コンテンツを受け取り、使う
配信プラットフォーム広告主・代理店二次利用する事業者検証する別のAI

受け取った画像・記事が、正規の発行元による本物か、事前に確かめたい。

やること(検証)
  1. 添えられた証明を受け取る
  2. 発行元と改ざんの有無を検証する(中身は開かない)
  3. 確認できたものだけ使う・配信する

検証は 検証可能AI(Pillar 02)来歴証明(Pillar 01)。証明だけを受け取ります。

検証のはじめ方を見る →

技術的な詳細は下の 「真正性をどう検証するか」

標準(C2PA/W3C VC)に、Lemma の暗号的な検証層を重ねます。発行と検証は一組で、同じ来歴を両側から扱えます。

真正性をどう検証するか

真正性を支える技術は、いくつかの層に分かれます。

  • 電子署名:作成者が本人であることと、署名後に改ざんされていないことを示します。
  • タイムスタンプ:いつ存在したかを固定します。
  • ハッシュ:内容が一致しているかを照合します。
  • 来歴(プロヴナンス):誰が・いつ・どこで作成・編集したかの連なりを記録します。C2PA はこの来歴をコンテンツに付与する標準です。
  • ゼロ知識証明(ZK証明):元データを開示せずに、「条件を満たす」ことだけを証明します。

ここで重要なのは、検出(detection)と証明(proof)は別物だという点です。異常を後から見つける検出は、被害の把握に欠かせません。しかし検出は、「いま扱っているデータが正規の出所から来た本物か」を、事が起きる前に立証はしません。事後に異常を見つけても、すでに通ってしまった処理は止まりません。真正性は、実行の前に来歴を独立検証する層があって初めて担保されます(参考:検出は証明ではない)。

Lemmaの来歴証明で、真正性を満たす

Lemmaは、データを渡さずに来歴を証明します。元データは Lemma に渡さず、受け取るのは「来歴をたどれる」という証明だけです。

  • 暗号的に検証された来歴:「誰が・いつ・どの版を作り、改ざんされていないか」を、改ざんできない証明として固定します。
  • データを出さずに証明する:ゼロ知識証明により、元データを開示せずに真正性だけを示します。選択的開示で、必要な属性だけを最小限に出します。
  • 標準と並んで動く:C2PA、MCP、A2A、x402 と協調する設計です。コンテンツの来歴標準を置き換えるのではなく、その上に検証の層を重ねます。
  • モデルに依存しない:AIモデルが入れ替わっても、来歴の証明は残ります。

詳しい設計は 来歴証明(Pillar 01)Seal、AIの出力に対する検証は 検証可能AI(Pillar 02)Trust402 をご覧ください。

よくある質問(FAQ)

真正性と完全性は何が違いますか?
完全性は「内容が改ざんされていない」ことを保証します。真正性はそれに加えて「出所が本物か(誰が作ったか、なりすましでないか)」までを含む、一段広い概念です。
電子帳簿保存法や電子カルテで求められる真正性とは何ですか?
記録が本物で、改ざん・消去の有無をたどれ、作成者の責任が明確であることです。電子署名・タイムスタンプ・操作履歴(来歴)の管理で確保します。日本の電子記録では真正性・見読性・保存性の三要件として定められています。
C2PA と来歴証明はどう関係しますか?
C2PA はコンテンツに来歴情報を付与する業界標準です。Lemmaの来歴証明はそれと並んで動き、付与された来歴を暗号的に検証する層を担います。置き換えではなく補完です。
検出ツールがあれば真正性は守れますか?
検出は異常を後から見つけるもので、被害の把握に不可欠です。ただし「実行前に、本物の出所から来たか」を立証はしません。真正性には、事前に来歴を独立検証する層が必要です。
  1. 国税庁「電子帳簿等保存制度特設サイト」(電子帳簿保存法)
  2. 厚生労働省「医療情報システムの安全管理に関するガイドライン 第6.0版」
  3. C2PA(Coalition for Content Provenance and Authenticity)公式・技術仕様
次の一歩

真正性を、本番の意思決定に組み込む

真正性の確保を、自社の業務でどう設計するか。Lemmaの導入で何が変わるかを、30分の Discovery Call でお話しします。元データを開示いただく必要はありません。