{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
インターネットを介したショッピング、金融取引、チケット予約、オンライン診療など、私たちを取り巻く生活において、さまざまなものがデジタル化されています。そうした状況の中で注目されているのが「デジタルIDトラスト」です。ユーザーの身元を確実に確認し、認証し、適切なアクセス管理を行うことで、安全で効率的なデジタル環境を実現するこの取り組みは、グローバルで進んでいます。本稿では国内外でデジタルIDトラストの推進に携わる方々をお迎えし、その重要性や導入の利点、さらに今後日本企業がとるべき戦略について伺いました。(本文敬称略)
登壇者
Open Identity Exchange
Chief Identity Strategist
ニック・マザショー(Nick Mothershaw)氏
デジタル庁
セキュリティアーキテクト
満塩 尚史氏
PwC Japanグループ
Digital Identity顧問
OpenID Foundation, Chairman
﨑村 夏彦
ファシリテーター
PwCコンサルティング合同会社
ディレクター
柴田 健久
司会
Forbes JAPAN 編集部 編集長
藤吉 雅春氏
※法人名、役職、インタビューの内容などは対談を実施した2024年1月のものです。
左から藤吉氏、柴田、満塩氏、マザショー氏、﨑村
藤吉:
「デジタルIDトラスト」という言葉は、多くの方にとって耳慣れない言葉かもしれません。最初に柴田さんに伺います。「デジタルIDトラスト」が実現する世界とはどのようなものでしょうか。消費者と事業者の両方の視点から教えてください。
柴田:
消費者を取り巻く環境は、あらゆる場面でデジタル化が進んでいます。オンラインバンキングやe-Tax、オンライン診療などです。デジタルIDトラストが実現すれば、こうしたサービスのシームレスな連携が可能になり、利用者は利便性の高いサービスを享受できます。
一方、事業者の視点では、さまざまな分野のサービス事業者が個別にサービスを提供している現状から、事業者同士が互恵関係を結ぶことで、付加価値の高い新たなサービスを創造できるようになります。
藤吉:
デジタルIDトラストを実現するには、デジタルIDの普及が大前提です。デジタルIDを取り巻く日本の状況を教えてください。
柴田:
近年、個人情報保護法をはじめとする関連法規の整備が進み、法制度面での環境が整ってきました。日本人はプライバシーに関して慎重な傾向がありましたが、メリットを感じられれば自分のデータを提供するという意識の変化も見られます。法制度の整備とサービスに対する意識の変化により、デジタルIDの普及に向けた土壌は整いつつあります。
藤吉:
海外ではデジタルIDの普及が進んでいると聞きます。
柴田:
そうですね。EUでは「eIDAS(*1)2.0」という法規制のもと、「EU Digital ID Wallet」と呼ばれるプログラムが推進されており、特定のプラットフォーマーに依存しないデジタルIDを全住民が利用できる環境の実現を目指しています。こうした施策はインドやシンガポールなどでも進められており、デジタルIDを活用したサービスが急速に広がっています。
*1 eIDAS:Electronic Identification, Authentication and Trust Services(電子取引に関する欧州連合規則)。電子識別の相互承認、電子署名の標準化、トラストサービスの規定などを定めた規則。eIDAS 1.0は2014年7月制定、2016年7月より施行。
藤吉:
こうした動きは政府主導だけでなく、官民連携や民間主導の形でも進められているのでしょうか。
柴田:
eIDASに則った「EU Digital ID Wallet」は、EU市民が自分の身元情報や資格情報を安全に管理し、必要に応じて提示できるツールで、官民が連携して提供していくことを目指しています。またスウェーデンでは「BankID」と呼ばれる民間主導のIDサービスが、政府サービスや複数の民間サービスでも利用できるようになっています。民間が先行して始めたサービスが政府サービスとも連携できるようになるなど、柔軟に連携が実現しつつあります。
藤吉:
官民がシームレスに連携するためには、共同で利用できる基盤の整備とトラストを担保するフレームワーク(デジタルIDトラストフレームワーク)の策定、そしてデジタルIDの標準化が不可欠だと考えます。ニックさんにお伺いしたいのですが、ニックさんは英国を拠点に、グローバルにおけるデジタルIDの相互運用性を推進・検討されています。デジタルIDにおける現在のグローバル標準の動向を教えてください。
マザショー:
私が所属するOpen Identity Exchangeが目指すのは、クレジットカードや携帯電話と同様に、「世界中どこでも使用できるデジタルIDを誰もが保有できること」です。Open Identity ExchangeはデジタルIDの発行者が従うべき規則を定義している、各国のトラストフレームワーク提供者と協力しています。
Open Identity Exchangeでは、世界8つのフレームワークと協力し、規則や政策の実装過程を詳細に分析しました。その結果、「デジタルID DNA」と定義するものを見出しました。これらのフレームワークには一貫性と相違があります。私たちは、これらのポリシー上の相違を尊重しつつ、フレームワーク間の相互運用を可能にする方法の確立を目指しています。
藤吉:
崎村さんはトラストフレームワークの国際標準の進展について、どのような展望をお持ちでしょうか。
﨑村:
標準化が進むべき分野としては、メッセージフォーマットやプロトコル、ユーザーエクスペリエンス、テスト方法、運用基準などがあります。またIDとプライバシーは表裏一体ですから、個人情報の適切な取り扱いや目的外使用の防止なども考慮する必要があります。こうしたプライバシーの側面からも、国際標準化は重要です。
マザショー:
標準化の観点から「どのような情報が証明(資格)情報になるのか」を分析したところ、パスポート、運転免許証、国民IDカード、銀行口座、通信会社の口座の5つが世界共通で使われる資格情報であることが分かりました。相互運用を実現するには、これらの情報を標準化する必要があります。すでにモバイル免許証の標準化などの取り組みが進んでいますが、より全面的な標準化が求められています。
左から柴田、満塩氏、マザショー氏
左からマザショー氏、﨑村
柴田:
次に日本国内の状況について伺います。満塩さんはデジタル庁や経済産業省など、さまざまな組織でデジタルIDエコシステムの拡大に向けた取り組みを推進されていらっしゃいます。現在、日本での取り組みはどのような状況でしょうか。
満塩:
デジタル庁は、ITの実装を担うチームとして活動しています。各国で策定されているガイドラインやプロトコルを勉強しつつ、日本国内でも「法律レベル」と「技術レベル」の両面で対応に取り組んでいます。例えば、本人確認ガイドラインや、マイナンバーカード、法人認証基盤(Gビズ)などの基盤には、OpenID Connectなどの技術が使われています。
柴田:
エコシステムを拡大するためには、セキュリティの担保が不可欠です。デジタルIDをセキュアに活用するには、どのようなアプローチが必要でしょうか。
満塩:
セキュリティの基本は、アクセス管理です。最近では「ゼロトラストアーキテクチャ」のアプローチが主流になっており、サービスを利用する前には必ずアクセス管理を行うことが求められています。各国のゼロトラストアーキテクチャの推進においても、「デジタルIDの適切な管理」が筆頭に挙げられています。
アクセス管理には「デジタルIDがどのように管理(運用)されているか」が重要になります。またアクセス元が国内か国外かといった情報や、利用しているネットワークに関する情報も重要であり、それらを包含した形で判断するアクセス管理が求められます。
﨑村:
ゼロトラストアーキテクチャをデジタルIDのエコシステムに適用することは、非常に重要だと感じています。今、グローバルで注目されているのは、リアルタイムにイベント情報を共有する「Shared Signals Framework(SSF)」を利用したアプローチです。SSFはセキュリティ製品内のセキュリティイベントを第三者と共有するためのオープンAPIフレームワークです。ユーザーがシステムやリソースにアクセスしている間、継続的にユーザーの身元や権限を検証することで、ゼロトラストを実現します。
これについて米国の国家安全保障局(National Security Agency:NSA)やサイバーセキュリティ・インフラストラクチャセキュリティ庁(Cybersecurity and Infrastructure Security Agency:CISA)は、信頼されたパーティー間でのセキュリティシグナルを交換する規格としてSSFが有望だと述べています。
柴田:
ユーザーの身元を継続的に確認し、認証状態を維持する「Continuous Access Evaluation(継続的アクセス評価)」という考え方は、今後広がっていきそうです。ニックさんはいかがでしょうか。
マザショー:
デジタルIDを不正行為から守るには4つの重要な観点があります。そのうちの2つが、「ゼロトラストアプローチを取り入れたトランザクションの継続的リスク評価」と「侵入を試みる攻撃者を検知する機能の実装」です。これらのプロセスはシグナルプロセスと連携し、エコシステム全体でシグナルを共有する必要があります。全てのデジタルIDには複数のプロバイダーがかかわっていることを前提とし、関係者が一丸となってサイバー犯罪の防止に協力しなければなりません。
柴田:
次に、日本企業におけるデジタルIDの活用について掘り下げさせてください。2023年にPwCコンサルティング合同会社が実施したデジタルIDのトラストフレームワークに関する意識調査によると、デジタルIDを活用予定と回答した企業は1割以下でした。一方で、3割ほどの企業は活用に前向きな反応を示しており、否定的な見方をした企業は1割から2割程度にとどまっています。そのほかは「内容がよくわからない」という回答でした。このような土壌があることから、デジタルIDの推進は加速すると予測しています。満塩さんはこの結果をどのようにご覧になっていますか。
満塩:
デジタルガバメントを推進する中で実感しているのは、相互連携が加速していることです。民間と政府、政府間、さらには民間どうしの連携が検討されています。その過程においてはデータ交換のプラットフォーム化の議論が進んでいます。ゼロトラストの実現には、大前提としてデジタルIDの特定が必要になります。日本国内でもデジタルIDをどのように共有・連携し、相互連携する相手をどのように“トラスト”するかが議論されています。当然、その中にはデータ交換の方法やプラットフォーム化のあり方も議題に挙がっています。
柴田:
相互連携を加速させるためには、議論が必要な課題も数多くありますね。
満塩:
私は「デジタルID=社会システムそのもの」だと実感しています。電子申請を想像してください。「○○社が××の申請をする」という場合、電子申請をするのは部門担当者ですが、「××をする」という意思決定は会社の社長や経営層ですよね。しかし、社長自らが申請することはありません。つまり「意思決定者と申請者(契約者)が異なる」のです。
この問題を遡ると、「そもそも法人のデジタルIDは誰が所有者なのか」「その特定はどのようなプロセスか」といったことも議論する必要があります。こうした状態を日本の民法に照合すると、課題も出てくるでしょう。ですから社会制度と整合性のある形でデジタルIDを管理していくことが求められると考えます。
マザショー:
デジタルIDの社会実装には、企業・政府といったリライングパーティー*2とエンドユーザーの両方の関与と賛同が必要です。EUではトップダウンでの法律・フレームワークの導入、シンガポールでは「Singpass」の社会全体への実装など、各国の事情は異なります。しかし、共通しているのは社会全体に対し、「なぜデジタルIDが有益なのか」を教育している点です。
*2 リライングパーティー(Relying Party):IDプロバイダーから提供されるID情報を利用して、ユーザー認証を行うサービス提供者。
トラストフレームワークを計画するうえでは、法律的要素だけでなく、コミュニケーションとそれによって生まれる信頼が成功の鍵となります。例えばオーストラリアやシンガポールでは、デジタルIDの意義や安全性について消費者に説明するテレビCMが放映されています。
デジタルIDはサービスや情報にアクセスする「手段」です。デジタルIDの導入を検討している企業・組織は計画段階で(デジタルIDを使って実現したい)目的を明確にする必要があります。日本においても、トラストフレームワークの内容はもちろん、エンドユーザーと企業がそれぞれの立場から「デジタルIDによって自分や社会にどのようなメリットがあり、豊かな社会を実現できるか」を考え、その位置づけを慎重に検討する必要があります。
藤吉:
グローバルな潮流に乗り遅れないために、日本企業は何をすべきでしょうか。
満塩:
ビジネスのグローバル化が加速する中でサプライチェーンは複雑性を増していますから、デジタルIDの整備は不可欠です。自社のビジネスをどこまで拡大するかを検討すると同時に、デジタルIDの管理・活用のあり方も戦略的に考えていく必要があります。デジタルIDが整備されなければ、サプライチェーンは広がりません。
マザショー:
そのとおりです。小売業ではネット販売が主流となり、実店舗を削減しています。金融機関も複数の実店舗を閉鎖し、オンラインバンキングに注力しています。こうした業界にはデジタル化が上手くいかずに顧客離れが顕著な企業も散見されますが、デジタルID――特に再利用可能なデジタルID――の導入でその損失を食い止めることができると考えます。
デジタルIDが整備されていない企業との取引に二の足を踏む企業は増加するでしょう。実際、私はデジタルIDの波に乗った企業が市場シェアを獲得し、出遅れた企業がシェアを失うという構図を世界各国で目撃しています。
﨑村:
お二人の見解に同意です。デジタルIDを導入しない、つまりアクセス管理をしないでビジネスを継続することは難しくなっています。「アリババと40人の盗賊」の話を思い出してください。盗賊たちは「開けゴマ」という言葉だけでアクセス管理をしていたため、滅びてしまいました。私たちもきちんとアクセス管理をしないと、同じような状況に追い込まれる可能性があるのです。
左から満塩氏、マザショー氏、﨑村
左から藤吉氏、柴田、満塩氏
藤吉:
最後に今後の展望と、日本企業がとるべき戦略についてアドバイスをお願いします。
マザショー:
世界中でトラストフレームワークの急速な進展が見られます。日本企業や政府には、先行するEUや英国などのトラストフレームワークを参考に変化を受け入れ、標準に基づいた実装を推進することをお勧めします。日本企業は国際標準に目を向け、既存の最善事例を取り入れ、相互運用性の実現を目指していただきたい。将来的に世界と相互運用可能なフレームワークを構築できれば、グローバル取引で優位に立てるでしょう。
﨑村:
日本企業も意識をしていないだけで、何らかのアクセス管理はしていると思います。ですから、今後はデジタルIDがもたらすメリットを意識的に検討し、活用していく姿勢が求められるでしょう。その際には国際標準に準拠することが重要です。なぜなら、世界中のエキスパートが持つ知識をそのまま活用できるからです。また、市場には国際標準に準拠した製品が登場します。ですから、それらの製品を採用すれば、(アクセス基盤を)自分たちで構築する必要もなく、導入コストも削減できるでしょう。
国際標準に沿ったアクセス管理を行わずに、グローバルでの競争に勝ち残ることは不可能です。ですから、実施するか否かと問われれば、「実施する」しかありません。また、どのような実施方法がよいかと問われれば、「標準に準拠する」しかありません。いつ始めるのかと問われれば、「今始める」です。それしか選択肢はありません。
満塩:
まずはグローバルの動きとベストプラクティスを参考にしつつ、デジタルIDをどのように活用するかを検討し、戦略を立案する必要があります。政府としては個人情報の扱いなど、デジタルIDの基盤整備を進めていくことが重要だと思います。
藤吉:
なるほど。決して日本が遅れているというわけではなく、現在は先行事例を吸収してビジネスチャンスを作り出していくという、非常に面白い局面を迎えているのですね。本日は貴重なお話をありがとうございました。
柴田 健久
ディレクター, PwCコンサルティング合同会社