利用者自らが個人情報を管理する時代の到来｜デジタル時代の新たなアイデンティティー管理の在り方

　個人データ保護の機運が高まるなか、日本では認定制度が始まり、情報銀行が本格的に始動した。その一方で、欧米を中心に新たな個人情報活用の仕組みが注目を集めている。利用者が自ら提供する情報をコントロールできる「自己主権型アイデンティティー」だ。その可能性と課題を検証する。

　金融や医療、教育、行政サービスなど様々な分野でデジタル化が加速している。その中で重要視されつつあるのが「デジタルアイデンティティー」だ。

　利用者が金融サービスなどの恩恵を受けるためには多くの場合、自分（利用者）が「確かに自分である」と証明する必要がある。この「自分である」と証明する属性情報の集合をアイデンティティーと呼ぶ。デジタルアイデンティティーは、デジタルの世界でサービスを受ける際に必要な本人確認（KYC:Know Your Customer）の仕組みと捉えられる。

　金融分野ではこれまで、窓口での申請や本人が署名・押印した紙媒体の提出といった手段でKYCを実行していた。デジタル時代になり、オンラインで電子的にKYCを完結できる「eKYC」の取り組みが活発になりつつある。行政の分野でも2019年5月に「デジタル手続法（デジタルファースト法）」が成立し、オンラインで本人確認が可能になった。

　このようにデジタルアイデンティティーの普及に向けた整備が進む一方で、個人データの漏洩事件が世界各国で後を絶たず、個人データを扱う企業や組織への不信感が強まっている。デジタル化が加速すると、こうした問題がさらに広がる可能性が高い。

　本稿では国内外におけるデジタルアイデンティティーの動向を整理した上で、今後の見通しについて解説する。特に欧米の金融業を中心に注目を集めている「自己主権型アイデンティティー（Self-Sovereign Identity）」と呼ぶ考え方に焦点を当てて説明したい。

現状は「外部に預ける」が主流

　金融は、デジタルアイデンティティーに関する検討を積極的に進めている業界である。主要なきっかけの一つが、スイスの非営利財団である世界経済フオーラム（WEF:World Economic Forum）における取り組みだ。

　WEFは各国の主要な金融機関を中核メンバーとして、デジタルアイデンテイテイーに関する検討グループを設置。2016年8月に、リポート「デジタルアイデンティティーのブループリント:デジタルアイデンティティー構築における金融機関の役割」を公表した。旧来のアイデンティティーシステムはFinTechによるイノベーションを制限するだけでなく、消費者に対する安全な金融サービスを提供できていない一一こうした問題意識のもと、同リポートは「デジタルアイデンティティーは既存の（紙や対面などによる）アイデンティティーシステムよりも（セキュリテイーやプライバシー、ユーザー体験など）大きな便益を生み出す」と主張している。

　デジタルアイデンティティーをどのように実現すればよいのか。現状では「サイロ型アイデンティティー」か「フェデレーション型アイデンティティー」のいずれかの形を取る場合が多い。

　サイロ型アイデンティティーは、サービス提供企業がユーザーの個人情報を管理する「中央集権型」を表す。フェデレーション型アイデンティティーは、プラットフォーマーなどが個人情報を集中管理し、その個人情報をサービス提供企業のIDと連携させる「サードパーティー管理型」を指す。

　サイロ型とフェデレーション型はアイデンティティーの実現方法は異なるものの、ユーザーが個人情報を「丸ごと外部に預ける」点では同じだ。このため、前述したような個人情報の漏洩やプライバシー侵害といったリスクが生じうる。

　個人情報を丸ごと外部に預けなくて済む形で、デジタルアイデンティティーを実現できないものか。こうしたニーズから生まれたのが、自己主権型アイデンティテイーである。

図1：デジタルアイデンティティーの3モデル

利用者自ら情報をコントロール

　自己主権型アイデンティティーはサービス提供企業やプラットフォーマーといった管理主体が介在せず、利用者である個人が自身のアイデンティティーをコントロールできる仕組みを指す。個人情報はそれぞれの個人自らが管理するのが前提となる。その上で、サービス提供会社に対して「20歳以上」「A企業の社員である」といった必要な属性情報だけを個人が選んで提示できる形を目指す。

　私たちは「年齢確認のために何か証明できるものを見せてほしい」と言われると通常、免許証や保険証などを提示する。だが免許証や保険証には生年月日のほか、氏名や住所などが記載されている。求められているのは年齢だけなのに、それ以外の必要のない個人情報まで見せているわけだ。

　自己主権型アイデンティティーはこうした問題を解決する手段とみなせる。上記の例で言えば、年齢確認の際に免許証そのものを見せる代わりに、生年月日の部分だけを示して他の情報は提示しないようユーザーが選択できる。

　自己主権型アイデンティティーの代表的な論者である、セキュリテイー専門家のクリストファー・アレン氏は「自己主権型アイデンティティーヘの道」と題したブログで、「個人のプライバシーを保持しつつ、デジタルアイデンティティーの信頼（トラスト）を促進するためのビジョン」が自己主権型アイデンティティーであるとし、ユーザーコントロールが保証されることの重要さを強調した。アレン氏は自己主権型アイデンティティーを、世界各国で頻発するデータ漏洩事件や、プラットフォーマーによるデータの一極集中といった問題に対する解決策と捉えている。

　自己主権型アイデンティティーはあくまで思想または概念である。アレン氏がビジョンとしたのはこのためだ。この考え方を実現するテクノロジーとしては例えば、Web技術の標準化団体であるW3C（World Wide Web Consortium）が検討している「分散型識別子（DIDs:Decentralized identifiers）」が挙げられる。

　DIDsはブロックチェーンを活用し、IDを非中央集権的に管理するための技術であり、自己主権型アイデンティティーを実現するための代表的な技術として注目を集めている。例えばマイクロソフトはこれらの技術を用いた「分散型アイデンティティー（Decentralized Identity）」と呼ぶコンセプトを打ち出したホワイトペーパーを公表している。

　DIDsを利用した自己主権型/分散型アイデンティティーの処理の流れは以下のようになる。利用者は自分の識別子（DIDs）を作成。そのDIDsや公開鍵の情報をブロックチェーン上に公開しておく。サービス提供会社（ベリファイアー）から情報利用の依頼を受けると、利用者は情報管理元（イシュアー）に対してクレームの発行を依頼する。クレームは利用者自身が管理する個人情報に当たる。

　イシュアーは利用者にクレームを発行し、自身の公開鍵を登録。利用者は発行されたクレームから必要なものを選んで、ベリファイアーに提示する。ベリファイアーはクレームの真正性を検証した上で利用する。

図2：自己主権型アイデンティティーの実装モデル

欧州の金融機関が相次ぎ参入

　自己主権型/分散型アイデンティティーは、本人確認が必須となる金融分野で特に注目を集めている。

　例えばマスターカードはマイクロソフトと連名で2018年12月に、自己主権型アイデンティティーの実現に向けたプロジェクトを進めると発表した。プレスリリースでは、金融サービスに関して「新規の銀行口座、ローンまたは支払いサービスロ座を開設するための申請者の識別プロセスの改善と迅速化」を目指すとしている。両社は自己主権型/分散型アイデンティティーを、デジタルアイデンティティーにおけるイノベーションを生み出す有力な手段と捉えているようだ。

　同じく2018年12月には、英国に拠点を置く国際金融グループであるバークレイズのカード会社、バークレイカードがアイデンティティー関連スタートアップの米エバーニム（Evernym）と提携。自己主権型アイデンティティーに基づくデジタルアイデンティティーの仕組みを構築すると発表した。バークレイカードはリリースの中で「2022年までに、企業と顧客のやり取りの40％は自己主権型アイデンテイテイーに基づくデジタルアイデンティテイーになる」と予想。複数のIDやパスワードを使いまわしている現状の改善を目指している。

　オランダに拠点を置くラボバンクも2016年から、ブロックチェーンを用いた自己主権型アイデンティティーの研究を進めている。KYCや貸し担保などの顧客サービスや、採用などの人材管理分野における活用を検討している。

個人データ保護規制が契機に

　現状では、主に欧米企業が自己主権型/分散型アイデンティティーに関する検討を進めている。理由の一つとして、EU（欧州連合）の一般データ保護規則（GDPR）をはじめとする各国の個人データ保護規制に対応するための有効なソリューションとみなされている点が挙げられる。

　EUでは、欧州委員会が2018年2月に「EUBOF（European Union Blockchain Observatory and Foruｍ）と呼ぶ機関を設置した。EU内におけるブロックチェーンの発展状況を観測し、関連した政策や方針を提供していくことを目的としており、EU内のブロックチェーン活用事例（ユースケース）の共有や発展に向けた検討を進めている。

　EUBOFはブロックチェーンに関連する様々な調査リポートを公表している。2019年5月に公表した「ブロックチェーンとデジタルアイデンティティー」では、EUにおける自己主権型アイデンティティーの位置づけやユースケース、GDPRとの関係などについて分析している。自己主権型/分散型アイデンティティーによるGDPR対応については、EUBOFは2018年10月にリポート「ブロックチェーンとGDPR」を公表。分散型アイデンティティーを実現する有力な技術であるブロックチェーンで、どのようにGDPRに対応できるのかを検言寸している。

　欧州議会も2019年7月に「ブロックチェーンとGDPR」という報告書を公表している。GDPRの条文ごとにブロックチェーン技術をどう位置づけるのかを検討しており、関心の高さがうかがえる。各リポートは例えば、自己主権型/分散型アイデンティティーはデータ主体にコントロール権を持たせられるという点で、GDPRが求める「アクセス権」（第15条）や「データポータビリテイー」（第20条）に対応しやすいとしている。一方でブロックチェーンは登録された情報を改変・削除できないとい）性質を持つため、GDPRが求める「訂正の権利」（第16条）や「消去の権利（忘れられる権利）」（第17条）にどう対応すればいいかなどを課題として指摘している。

　これらの課題については、現在もEU政府や関連企業を中心に検討を進めているところであり、今後の議論の行方を注視する必要がある。

「第三者預託型」との併存は可能

　ここまで見てきたように、既に多くの企業や組織が自己主権型アイデンティティーに関する検討を進めている。ただし、現時点では実証段階のものが多く、企業が提示しているビジネスユースケースも限られている。

　大きな課題となっているのは、利用者の利便性をどう確保するかだ。自己主権型アイデンティティーは個人が自らアイデンティティーをコントロールする仕組みを採る。これによって第三者による個人データ漏洩などは回避できるものの、サービス提供会社に提供する属性情報を自ら個別に判断していく必要がある。サービス提供会社などが信頼できるかどうかも利用者の責任で確認しなければならない。

　自己主権型アイデンティティーに基づくサービスモデルは、個人データ保護の観点では有効な仕組みになりうる。だが利用者に利便性やメリットをもたらす仕組みを構築・提供できるかどうかは、課題として残っている。

　日本はどうか。自己主権型アイデンティティーに関する一部調査研究や実証研究は実施されている。例えば経済産業省は「学位・履歴証明」や「研究データの信頼性の確保」の2テーマについて、ブロックチェーン技術の適用に関する調査検討やハッカソンを実施しており、この中で自己主権型/分散型アイデンティティーの考え方を取り上げている。

　この成果は2019年3月に、調査報告書「平成30年度産業技術調査事業（国内外の人材流動化促進や研究成果の信頼性確保等に向けた大学・研究機関へのブロックチェーン技術の適用及びその標準獲得に関する調査）」として公表している。このように実証実験レベルの取り組みは増えているものの、実際のサービス提供まで見据えた事例はほとんどないと思われる。

　その背景として、日本では個人がアイデンティーをコントロールする形ではなく、「情報銀行」など第三者預託型のデータ連携モデルを主に検討してきた経緯がある。第三者預託型は利用者が情報銀行に自らの個人情報などを預託し、情報銀行が責任を持ってデータ連携を担うモデルであり、自己主権型アイデンティティーとは異なる。

　とはいえ、自己主権型/分散型アイデンティティーか第三者預託型か、という二者択一が求められているわけではなく、両者は共存可能である点を強調しておきたい。この点について、多数の顧客IDを保有する金融機関や交通事業者、通信事業者などの「IDプロバイダー」の視点から考えてみる。

図3：自己主権型／分散型アイデンティティーの位置づけ

　現在、多くのIDプロバイダーは保有する顧客IDを活用したサービス拡大に向けて経営施策を検討している。自社内の複数サービス、あるいはグループ会社や提携会社のサービスを連携させる際は、自社IDでサービスを利用できるようにする仕組みをまず考えるだろう。既に会社あるいはグループ間で信頼関係が醸成されており、企業間で密な連携が可能なために実現できるわけだ。

　情報銀行などの第三者預託型により、IDプロバイダーはこれまで直接連携できなかった他の事業者と連携できるようになる可能性が出てくる。情報銀行とは密に連携しつつ、新たな事業可能性が生まれることになる。

　これらのモデルはIDプロバイダーにとって、密結合な事業者連携モデルと言える。データ連携を実現するに当たり、企業間の信頼が確保されていることが前提となる。信頼性を担保するためにシステム構築などのコストも必要になるので、連携できる企業数は限られる。

　自己主権型/分散型アイデンティティーはIDプロバイダーに対して、もう一つの選択肢を提示できると考えられる。自己主権型/分散型アイデンティティーに基づくモデルを併用すれば、ユーザーが選んだ他社経済圏の企業とも連携できるようになり、自社IDの経済圏ではリーチできなかった新たな連携の枠組みを構築できる可能性が生まれる。

　どのような連携モデルが適切かは、各IDプロバイダーのビジネスモデルに依存する。分散型アイデンティティーの考え方を用いれば、ID連携型と第三者預託型を分散型アイデンティティーの枠組みの中に位置づけることも可能になる。これにより、ID連携型や第三者預託型が抱えるプライバシーリスク軽減につなげられる可能性もある。

　自己主権型/分散型アイデンティティーは、データ活用のさらなる推進が求められる日本企業において有効なソリューションになりうると考えられる。日本国内においても既存の制度やビジネスモデルを踏まえた上で、自己主権型/分散型アイデンティティーに関する議論がいっそう活性化することを期待したい。