毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年12月3日 
  • タイトル: 分散型アイデンティティとは
  • 発表者:MyData Global理事 安田クリスチーナ氏

ソーシャルログインのプライバシーは大丈夫?

分散型アイデンティティ(DID:Decentralized Identity、以下、分散型ID)は、グローバル識別子の仕様です。ブロックチェーンの分散台帳技術を利用することで第三者による消去や改竄を防止します。分散型IDは後述する自己主権型アイデンティティの実装を支える技術として、W3Cにより標準化が進められています。

今回ゲストにお招きした安田クリスチーナ氏は、アーキテクトとして分散型IDの標準化活動にコミットしてきました。また安田氏は、MyDataの活動をはじめ、厚生労働省がリリースした新型コロナウイルス感染症拡大防止のための接触確認アプリ「COCOA」にも関わるほか、Forbesが発表した「30 UNDER 30 JAPAN 2019」ポリティクス部門の1人に選ばれています。安田氏に分散型IDの概要や特長を聞きました。

私たちがECサイトやマーケットプレイスで商品を購入する場合、注文、支払い(決済)、配送依頼などの手続きが必要になります。その際、自分の氏名や住所、メールアドレスなどの連絡先、パスワードなどの自身の属性情報をサービス提供側に伝えなければなりません。とはいえ、複数のサービスごとにアカウントを作成し、属性情報を登録することは面倒です。

そこで、既存SNSなどのサービス利用時に作成したアカウントで一度ログインすれば、連携する複数のサービスをシングルサインオンで利用できるソーシャルログインが普及しています。これは「ID連携モデル」(※)と呼ばれ、仲介サービスを提供するSNS事業者などはIdP(Identity Provider)という位置づけです。

「ID連携モデルでは、ユーザーが何らかのサービスを利用するたびにIdPが介在します。そのため、『ユーザーがどのサービスを利用したか』というプライバシーに関わる行動や情報をIdPが把握することが技術的に可能です。これに対するアプローチとして期待されるのが、自己主権型アイデンティティ(SSI:Self-Sovereign Identity)です。それを実現するための技術の1つに分散型IDがあります」(安田氏)

分散型IDを活用してSSIを実現するには

分散型IDを用いたSSIの実装例では、(1)デジタルIDの保有者である個人(Holder/Prover)、(2)個人の属性情報の真正性を裏付けるID発行源(Issuer)、(3)IDの提示先およびサービスの提供者(Verifier)の3者をトライアングル型に接続します。デジタルIDの真正性を証明するIssuerには、国に限らず、国際機関やNGOなどさまざまな主体がなることができます。

安田氏は、米国のNGOであるInternetBar.orgの理事として、バングラディシュを拠点として国を追われた難民にデジタルIDを発行する事業を進めてきました。

SSI の提唱するデジタルIDのイメージは、現実世界における運転免許証や卒業証明書にしばしば例えられます。ドライバー自身が自身の運転免許資格を第三者(警察官など)に示すには、都道府県公安委員会から発行された運転免許証を提示します。

就業など何らかの契約の前提条件として必要とされる卒業証明書や、(医師免許などの)資格の証明証や免状についても、教育機関などの発行元作成の書類によって証明することが可能です。

「分散型IDはこのような世界観をオンライン上に実現することを目指しています。学校などの証明書発行元は、デジタルIDの提示先(Verifier)の要請に応じて真正性を裏付ける立場です。ただし、デジタルID保有者がどのようなサービスを利用しているかの行動把握はできません」(安田氏)

アイデンティティを自分でコントロールする

SSIにおいて、デジタルID保有者本人が、資格などの証明書を偽造して嘘をついたり、提示先を騙したりすることはないのでしょうか?

「それらを防ぐために、分散台帳技術や公開鍵暗号などブロックチェーンの技術を組み合わせます。デジタルIDにおける各種証明書はヴェリファイド・クレデンシャル(VC:Verifiable Credential)と呼ばれます」(安田氏)

VCには発行元の電子署名がなされた分散型IDが含まれています。電子署名に用いられた秘密鍵とペアになる公開鍵は分散台帳に公開されています。サービスを提供する提示先(Verifier)はこの公開鍵を取得して、発行元に問い合わせることなくVCの真正性を検証することが可能です。発行元の秘密鍵がデジタルID保有者に知られたり解読されたりしない限り、自分で偽りの情報をでっち上げることはできません。

「このVCには、対面などによる身元確認(Identity Proofing)の結果を含めることもできます。現在、多様なデジタルIDの提示先が確認結果の検証を可能にするためのデータフォーマットの標準化などを進めています」と安田氏は、SSI参加者間における相互運用性の向上に触れました。

「誤解して欲しくないのですが、SSIは無政府な社会を志向しているわけではありません。日本の場合は、金融機関をはじめ、個人番号制度(マイナンバー)で裏付けられる身元確認結果を利用することは有効でしょう。国による関与の有無にかかわらず、自分が提示したい属性情報の集合、すなわち自己像(アイデンティ)と他者から見える自己像を合致させることがプライバシーの観点からも重要です」と安田氏。自分のアイデンティティを自分でコントロールする社会の実現に向けた取り組みを紹介しました。

※ 認証連携モデルや、サードパーティ型のデジタルIDモデルとも称されます。