真正性とは
見た目では、もう本物とフェイクを見分けられません。真正性は、目で確かめるものから、証明で確かめるものへ変わりました。
真正性とは、データやコンテンツが本物であり、作られてから改ざんされていないこと、そして出所(来歴)が確かであることを指します。英語では Authenticity と呼びます。「誰が・いつ・何を作り、その後どう扱われたか」をたどれる状態が、真正性が保たれている状態です。
生成AIによる画像生成や文書加工が広がり、本物と見分けのつかないフェイクが流通するいま、真正性は情報を扱うすべての現場で前提条件になりました。報道、金融、行政、医療、製造、そしてAIエージェントの運用まで、「目にしたデータは本物か」を確かめられることが、意思決定の土台になります。
検出は、証明ではない。
異常を後から見つける検出は、被害の把握に欠かせません。ですが「いま扱うデータが本物か」を、事が起きる前には立証しません。真正性は、実行の前に来歴を独立検証する層があって、初めて担保されます。
真正性・完全性・機密性の違い
情報セキュリティでは、真正性は近い概念と並べて語られます。混同しやすいため、ここで切り分けます。
- 真正性(Authenticity):本物であること。誰が作ったか、出所が確かか、なりすましでないか。
- 完全性(Integrity):改ざんされていないこと。作成時点から内容が変わっていないか。
- 機密性(Confidentiality):許可された者だけが見られること。
完全性は「中身が変わっていない」を保証しますが、それだけでは「そもそも本物の出所から来たのか」までは保証しません。真正性は、完全性に出所(来歴)の検証を加えた、一段広い概念です。
「真正性・見読性・保存性」— 日本の電子記録に求められる三要件
日本の規制では、真正性は具体的な要件として定められています。電子帳簿保存法[1]や、厚生労働省の医療情報システムに関するガイドライン(電子カルテ・診療録)[2]では、電子記録に 真正性・見読性・保存性 の三要件が求められます。
- 真正性:記録が本物で、改ざん・消去の有無をたどれること。作成者の責任が明確であること。
- 見読性:必要なときに読める形で出力できること。
- 保存性:保存期間を通じて読める状態を保つこと。
このうち真正性の確保は、電子署名・タイムスタンプ・操作履歴(来歴)の管理で支えられます。Lemmaの来歴証明は、この「誰が・いつ・どの版を作り、改ざんされていないか」を、暗号的に検証できる形で固定します。詳しくは 規制属性証明(Pillar 04) をご覧ください。
真正性が問われる場面(ジャンル別)
真正性は一つの言葉ですが、求められる現場ごとに中身が変わります。
- 規制・電子記録:電子帳簿、電子カルテ、契約・監査証跡。改ざんされていない正規の記録であることを、後から立証できる状態が要ります。→ 規制属性証明(Pillar 04)/業務での適用は AIに業務を安全に任せるデータ基盤/関連事案:Wirecard:銀行残高確認書の偽造(No.021)
- 報道・コンテンツ:写真・映像・記事が、撮影時点から加工されていない本物であること。業界標準の C2PA(Coalition for Content Provenance and Authenticity)[3] や Content Credentials が、出所と来歴の記録を標準化しています。→ 関連事案:ディープフェイクで実在の人物を生成(No.050/053/084)
- 金融・DeFi:取引やクロスチェーン送金が、正規の発信元から来た本物であること。発信元の来歴を検証しないと、裏づけのない発行や不正送金に直結します。→ 関連事案:ブリッジの infinite-mint(No.085)
- AIエージェント・AI出力:AIが参照した事実や生成した出力が、何に裏づけられているか(来歴)をたどれること。→ 検証可能AI(Pillar 02)
- サプライチェーン・調達:部品・検査記録・サプライヤー資格が、正規の発行元による本物であること。→ サプライチェーンESG
ジャンルは違っても、根は同じです。「どこから来た、誰の、どの版か」を独立して検証できるか。それが真正性の核心です。
真正性データは、発行する側と受け取る側で扱いが変わります
真正性のあるデータは、出す側が来歴を付けて発行し、受け取る側がその証明を検証します。
作った写真・記事・動画が本物で、改ざんされていないことを、相手に示したい。
- 何を証明するか決める(撮影者・作成日時・未編集など)
- 元データは渡さず、来歴と署名を付けて発行する
- 受け手には証明だけを届ける
来歴の付与と発行は Seal。C2PA(Coalition for Content Provenance and Authenticity)と並んで動きます。
発行のはじめ方を見る →受け取った画像・記事が、正規の発行元による本物か、事前に確かめたい。
- 添えられた証明を受け取る
- 発行元と改ざんの有無を検証する(中身は開かない)
- 確認できたものだけ使う・配信する
検証は 検証可能AI(Pillar 02) と 来歴証明(Pillar 01)。証明だけを受け取ります。
検証のはじめ方を見る →技術的な詳細は下の 「真正性をどう検証するか」 へ
標準(C2PA/W3C VC)に、Lemma の暗号的な検証層を重ねます。発行と検証は一組で、同じ来歴を両側から扱えます。
真正性をどう検証するか
真正性を支える技術は、いくつかの層に分かれます。
- 電子署名:作成者が本人であることと、署名後に改ざんされていないことを示します。
- タイムスタンプ:いつ存在したかを固定します。
- ハッシュ:内容が一致しているかを照合します。
- 来歴(プロヴナンス):誰が・いつ・どこで作成・編集したかの連なりを記録します。C2PA はこの来歴をコンテンツに付与する標準です。
- ゼロ知識証明(ZK証明):元データを開示せずに、「条件を満たす」ことだけを証明します。
ここで重要なのは、検出(detection)と証明(proof)は別物だという点です。異常を後から見つける検出は、被害の把握に欠かせません。しかし検出は、「いま扱っているデータが正規の出所から来た本物か」を、事が起きる前に立証はしません。事後に異常を見つけても、すでに通ってしまった処理は止まりません。真正性は、実行の前に来歴を独立検証する層があって初めて担保されます(参考:検出は証明ではない)。
Lemmaの来歴証明で、真正性を満たす
Lemmaは、データを渡さずに来歴を証明します。元データは Lemma に渡さず、受け取るのは「来歴をたどれる」という証明だけです。
- 暗号的に検証された来歴:「誰が・いつ・どの版を作り、改ざんされていないか」を、改ざんできない証明として固定します。
- データを出さずに証明する:ゼロ知識証明により、元データを開示せずに真正性だけを示します。選択的開示で、必要な属性だけを最小限に出します。
- 標準と並んで動く:C2PA、MCP、A2A、x402 と協調する設計です。コンテンツの来歴標準を置き換えるのではなく、その上に検証の層を重ねます。
- モデルに依存しない:AIモデルが入れ替わっても、来歴の証明は残ります。
詳しい設計は 来歴証明(Pillar 01) と Seal、AIの出力に対する検証は 検証可能AI(Pillar 02) と Trust402 をご覧ください。
よくある質問(FAQ)
- 真正性と完全性は何が違いますか?
- 完全性は「内容が改ざんされていない」ことを保証します。真正性はそれに加えて「出所が本物か(誰が作ったか、なりすましでないか)」までを含む、一段広い概念です。
- 電子帳簿保存法や電子カルテで求められる真正性とは何ですか?
- 記録が本物で、改ざん・消去の有無をたどれ、作成者の責任が明確であることです。電子署名・タイムスタンプ・操作履歴(来歴)の管理で確保します。日本の電子記録では真正性・見読性・保存性の三要件として定められています。
- C2PA と来歴証明はどう関係しますか?
- C2PA はコンテンツに来歴情報を付与する業界標準です。Lemmaの来歴証明はそれと並んで動き、付与された来歴を暗号的に検証する層を担います。置き換えではなく補完です。
- 検出ツールがあれば真正性は守れますか?
- 検出は異常を後から見つけるもので、被害の把握に不可欠です。ただし「実行前に、本物の出所から来たか」を立証はしません。真正性には、事前に来歴を独立検証する層が必要です。