毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2020年6月18日 
  • タイトル: 情報銀行認定基準は「自己主権型アイデンティティ」の10原則に適合しているか?
  • 発表者:慶應義塾大学 経済学部 嶋田幹大氏

自己主権型アイデンティティ(SSI)とは?

Self-Sovereign Identity(SSI)すなわち自己主権型アイデンティティとは、提唱者であるクリストファー・アレン氏によると、管理主体が介在することなく、個人が自分自身のアイデンティティをコントロールできることを目指す考え方です。このSSIが満たすべき10個の原則が、日本における情報銀行の認定基準に、どのくらい明示的に記載されているのでしょうか。慶應義塾大学経済学部で、ブロックチェーンを用いた分散型アイデンティティの研究を進める学部生の嶋田幹大氏が、調査研究の成果を発表しました。

国際標準規格ISO/IEC24760では、アイデンティティを実体(entity)に関する属性情報の集合として定義しています

「実体というのは、私たち一人ひとりを指します。誕生日や性別、身長などは、実体の属性情報です。私たちは、社会の中でさまざまな関係性に応じて自己像を作り上げます。複数のアイデンティティを使い分け、相手に提供する属性を判断・選択しながら生きています」(嶋田氏)

インターネット上におけるアイデンティティ(以下、デジタルID)においては、メールアドレスや、個人を識別できるIPアドレス、Cookieなどが属性情報です。

「仮に、私がある相手に誕生日と性別、身長に関するデータだけを提供していたはずなのに、呼び名やメールアドレスまで流出していた、という場合、他観する自己像と自観する自己像の間にズレが生じます。これがプライバシーの侵害と呼ばれます」(嶋田氏)

デジタルIDにおけるプライバシーの侵害を防ぐにはどうすればよいでしょう。そこにSSIが注目される理由があります。

「SSIの10原則」のうち情報銀行の認定指針に明記されていたのは3つ

デジタルIDのモデルには、SSIだけでなく、集中型やサードパーティ管理型などがあります。

集中型というのは、(ドメインネームを管理するICANNのように)自分のデジタルIDを自分ではなく、特定のサーバーが集中管理するモデルです。サードパーティ型というのは、例えばWebサイトにシングルサインオンでログインする際にGoogleのような自分のデジタルIDを管理するIdP(Identity Provider)を介在させることでサービスを享受するモデルです。

ただ、いずれも自分のデジタルIDを自分で管理していません。例えば、パスポートは国が発行・管理する集中型アイデンティティの例ですが、国家が消滅したり、難民のように国を追われたりすれば、アイデンティティそのものがなくなってしまいます。

それに対してSSIにおける実装例では、分散型アイデンティティと呼ばれる(1)デジタルIDの保有者である個人(Holder/Prover)、(2)個人にデジタルID(Verifiable Credential)を発行するID発行源(Issuer)、(3)IDの提示先(Verifier)の3者をトライアングル型に接続します。デジタルIDの真正性を証明するIssuerには、国に限らず、国際機関やNGOなどさまざまな主体がなることができます。また、実装における技術レイヤーにブロックチェーン(分散台帳技術)など信頼性を高めるテクノロジーが用いられます。

さて、提唱者のクリストファー氏は、SSIには次の10原則があるとしています。

  1. Existence(存在)
  2. Control(コントロール)
  3. Access(アクセス)
  4. Transparency(透明性)
  5. Persistence(永続性)
  6. Portability(ポータビリティ)
  7. Interoperability(インターオペラビリティ、相互運用性)
  8. Consent(同意)
  9. Minimization(最小化)
  10. Protection(保護)

嶋田氏がリサーチクエスチョンで取り上げたのは、日本の情報銀行の認定制度は、SSIの10原則を満たしているのかという問いでした。

情報銀行は、一般社団法人 日本IT連盟の認定制度すなわち「情報信託機能の認定に係る指針 ver2.0」に基づいて認定されます。

SSIの10原則がこの指針にどのように反映されているのか嶋田氏が調べたところ、明確に指針に記載されていたのは、10原則のうち、Existence(存在)、Minimization(最小化)、Protection(保護)」の3つのみで、残り7つは、部分的に記載がある、または記載なし、でした。

将来的なポータリビリティの義務化とインターオペラビリティの確保

情報銀行の認定制度に記載がなかった原則は、ポータビリティと相互運用性の2つでした。

「個人が情報銀行に対して、保有個人データの開示請求に応じる義務は明記されています。しかし、データポータビリティに対する言及はありません。これでは情報銀行が倒産した際、預けたデータを取り戻せても、他の情報銀行に移転する確約がありません。将来的には完全なデータポータビリティを義務化するべきではないでしょうか。

今後、情報銀行におけるデータポータビリティやインターオペラビリティが確保されるならば、『データを持っている』ことに対する競争優位性はなくなると同時に、データをサービスに落とし込むアルゴリズムが競争領域になるでしょう。多種多様なサービスを提供する情報銀行が市場に参入してくるのではないかと考えます」(嶋田氏)

SSIの10原則が情報銀行の認定指針を評価する上で有効な基準となることを指摘した嶋田氏。情報銀行の認定を受けたサービスを提供するデータサインでも、よりよいデジタルIDの実現に向けて取り組んでいきます。

毎週配信|視聴登録はこちら