{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
急速に高まるデジタルアイデンティティの重要性
社会のデジタル化が急速に進む昨今、人々がデジタル上で過ごす時間が急増するのに伴って、デジタル上で自身を証明するデジタルアイデンティティの重要性が高まっています。
フィジカル世界のアイデンティティの代表例としては、国籍が挙げられます。日本国籍を持つ人は、国内では国籍について特段意識することなく生活できますが、ある日突然自分の国籍情報が抹消されると、途端に生きていくことすら困難な状況に陥ってしまうことは想像に容易いのではないでしょうか。
これは、私たちが生活をする上で欠かせない、移動、身分証明、医療、教育、財産的権利へのアクセス等の自由が国籍というアイデンティティに下支えされてはじめて成り立っているからであり、人生の中で長い時間をかけて取得してきた(あるいは本来持っていた)さまざまな権利やアイデンティティの多くが国籍というものに紐づけられているからに他なりません。
デジタル上で過ごす時間が増え、仕事を含む生活に占める割合が増せば、それだけデジタル空間で自身の存在や資格の証明を担うデジタルアイデンティティの重要性も増し、いずれはほとんど国籍や戸籍等と同等のプライオリティを持つようになることが予測されます。
しかし、その重要なデジタルアイデンティティが本人とは別の巨大な権力によってコントロール可能であるならば、それは安全な状況とは言えません。
こういった背景から現在、第三者の介在なくデジタル上で自身を証明可能なデジタルアイデンティティ管理方法である「分散型識別子(Decentralized Identifier:DID)」が世界的に注目を集めています。
デジタルアイデンティティ管理モデルの変遷
従来デジタル上で個人情報を管理するモデルは、サイロ型・フェデレーション型が用途によって使い分けられてきました(図表1)。
サイロ型ではサービス提供企業がIDの発行、管理を行います。セキュリティ強度は比較的高いのですが、ユーザーはサービスごとにIDとパスワードを覚えなければなりません。
一方フェデレーション型はアイデンティティプロバイダー(IdP)が、個人情報を一括して管理し、複数のサービスと連携します。SNS等のIDを使って他のサービスにもログインするのがこのパターンです。
フェデレーションモデルは非常に便利であるため現在主流の管理方法となっていますが、IdPが中央集権的に大量の個人情報を管理するモデルでもあるため、事業者・利用者双方の観点から図表2に示すような課題が指摘され始めています。
こういった諸問題に対して国家としては、欧州経済領域(EUを含む31カ国)の一般データ保護規則(General Data Protection Regulation:GDPR)や、米国カリフォルニア州プライバシー権法(CPRA)、日本国内においても改正個人情報保護法の適用開始等、各国が中央集権型で第三者にデジタルアイデンティティの管理を委託するモデルに対して規制する方向に向かっていますが、同時にこれとは異なる形で民間を含めた世界的なムーブメントが起こっています。
それが、自己主権型アイデンティティ管理(Self Sovereign Identity:SSI)です(図表3)。
自分に関する全ての個人情報を中央集権的な第三者に委託せず、自分自身でコントロールすることが望ましいとする思想で、情報を個人に集約し、自身の判断において提供先や提供する情報を選択する管理方法を目指すものです。
SSIの定義はいくつかあるものの、ここでは生みの親の一人と言われるChristopher Allen氏の定める10原則を取り上げます。
実存:ユーザーは独立した存在である。決してデジタルだけでは存在しえない
コントロール:ユーザーは、自分のアイデンティティの匿名性あるいは顕名性を望みに応じてコントロールできなければならない
アクセス:ユーザーは自身のデータへのアクセスができなければならない。門番は存在せず、隠されるものが一切ない
透明性:システムとアルゴリズムはオープンかつ透明性が確保されなければならない
永続性:アイデンティティはユーザーの望みに応じ長期にわたり用いることができなければならない
可搬性:アイデンティティに関する情報とサービスはユーザーによって移動可能でなればならない
相互接続性:アイデンティティは、越境を許す等、可能な限り広く利用できるようにすべきである
同意の自由:ユーザーは、自分の個人情報がどのように使用されるかの同意について自由であるべきである
最小化:アイデンティティについての主張の開示は最小にとどめるべきである
保護:個々のユーザーの権利は、強権を持つ者から保護されなければならない
これらはデジタル上でユーザー主権においてアイデンティティを安全にコントロールし、これを永続的なものとなるよう整理された項目ですが、全てデジタル上で満すことは技術的ハードルが高く、例えば、情報銀行の厳格な認定基準においても満たすことを表明しているのは⒈実存、⒐最小化、⒑保護の3点のみとなっています。
SSIが目指す世界観
具体的には、SSIの実現によってどのような世界が期待できるのでしょうか。
短期的には、図表4のように、デジタル世界において個人情報を自らコントロールし、匿名・仮名・実名を使い分けて「誰か」ではなく「どういう人か」を証明することで、デジタル世界で信頼を得て活動可能な世界が訪れると考えられています。
この世界観の実現手段として注目を集めているのがDIDと検証可能資格情報(Verifiable Credentials:VCs)という技術の組み合わせです(図表5)。
また、これらの技術の組み合わせによってどのようにSSIを実現するのかを抽象化したのが図表6です。ユーザーであるHolderは自身のデジタルウォレットにVCsを自ら保存して持ち運び、第三者に管理を委託しません。重要なのは必要最低限の情報のみを、自ら選択して送信することができ、受け取った者がその情報を信頼することができるという点です。
この信頼はブロックチェーンに基づいており、証明書を発行するIssuerが倒産等してもブロックチェーン上に残るため永続性もあります。
SSIに向けた世界の動向
SSIに向けては図表7のように各国で検討や準備が進められています。
例えば日本ではSSIの思想が反映されたアイデンティティのあり方が、首相官邸のデジタル市場競争会議で進められている次世代のインターネットインフラ構想「Trusted Web」の中核となり得るとしてさまざまな実証実験が行われており、EUではSSIの思想を反映した欧州デジタルIDウォレットの全市民への提供義務化を進めています。
また、韓国ではDID/VCsに基づいたモバイル運転免許証の開発が進んでおり、カナダのブリティッシュコロンビア州でもブロックチェーンを活用したDIDとVCsの開発キットの提供を行っています。
このように各国が具体的な準備を進めていることからも、SSIに対する社会的要請がかなり大きいことがうかがえます。
このような潮流の中でSSIに対する企業の向き合い方としては、例えばDIDのインフラ自体を担うことも考えられますが、まずはSSIが普及した際のエコシステムを予測し、自社への影響範囲を整理した上で、どのようなビジネスに着手するべきなのかを慎重に検討することが求められます。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
