社会・産業のデジタル変革

2.ブロックチェーンによる自己主権型アイデンティティの実現 萌芽事例から見る自己主権型アイデンティティの価値

執筆:安田 央奈 2021年3月31日

デジタルビジネスを推進する上で、データ分析を活用した業務改善や新しいサービスの実現が必要不可欠となっている。こうした中、顧客行動へのより深い洞察を実現するために、企業間でデータを流通させる仕組みの重要性が高まっている。一方、各国は情報漏洩などの問題に対し規制を強めており従来型の中央集権的な個人情報管理に代わる新たな仕組みへの模索がされている。
本レポートでは、中央集権型の個人情報管理の課題を解決する手法として、ブロックチェーンを活用した自己主権型アイデンティティに注目し、萌芽的事例などを通じて、個人起点の新しい個人情報管理の仕組みがデータ流通促進などに寄与することを示す。

2. 萌芽事例から見る自己主権型アイデンティティの価値

自己主権型アイデンティティを身分証明に導入している組織が価値としているものとして二点挙げられる。一点目は身分証明システムの管理者側のコスト削減と効率化。二点目は他国のデータ寡占に対する自国データと市場の保護である。

個人の名前や職業等の属性情報や、その属性情報が組み合わさって成立するアイデンティティ情報の所有・管理の権限は、本来はデータ主体である個人が持つべきものだが、現状の主なシステムでは企業や公的機関がデータを集中的に管理しており、システムの維持やデータに更新があった場合の管理コストも管理者側に集中している。自己主権型アイデンティティは個人により直接的にデータに関与できる権限を持たせ、それによって事業者側の対応のコストを軽減する。極端な例では中央集権的管理者が消滅してしまっても身分証明として機能し続けるように想定した設計になっている。
国連などの国際組織が協力しているID2020(脚注4)は、全世界に11億人以上いると推測される身分証明手段を持たない人々へIDを付与するためのプロジェクトであり、ブロックチェーンプラットフォーム上での自己主権型アイデンティティシステムの開発が進められている。戦争や災害が生じると身分証明書を紛失したり、再発行しようにも行政自体が機能しなかったりで八方塞がりとなる。このような事態に対し、身分証明書を紙ではなく電子で発行し、行政から個人へ発行されたとの履歴を分散型台帳に記録するとともに、本人の指紋等生体情報と紐づけることで、本人の身一つでも分散型台帳上のデータを検証することで身分証明が可能となる。
例えばパスポートの場合。国籍というアイデンティティ情報を自己主張しただけでは出入国の審査をパスできないが、行政機関によって保証され、パスポートという検証できるクレデンシャル(証明書、信任状等の意)として発行されると効力を発揮できるようになる。パスポートに何らかの問題があって身分証明書としての有効性が疑わしい場合には、検証者は発行者に問い合わせて発行者側の台帳記録への照会を依頼することになる。パスポートというクレデンシャルの信頼の拠り所が発行者自身のみだと、発行者は発行後も信頼性維持のためにコストをかけていかなくてはならない。
一方で、自己主権型アイデンティティをブロックチェーンで構築する場合には、検証の際に発行者以外にも分散型台帳を信頼の拠り所とすることができる。一度分散型台帳にクレデンシャルの発行が記録された後であれば、万が一、発行者が機能しなくとも、検証者側は主体が提示するクレデンシャルと照会先となる分散型台帳で検証が可能となるため、クレデンシャルの有効性は維持できる。
公的身分証以外では自己主権型アイデンティティは学歴証明にも活用されており、マサチューセッツ工科大学は2017年からブロックチェーンプラットフォームを使用し、開始から2年で2,000件以上の証明書を発行したと報じている。

図1:クレデンシャル検証における信頼の拠り所(パスポートの例)

  • 発行者を信頼の拠り所とするクレデンシャル検証
  • 分散型台帳を信頼の拠り所とするクレデンシャル検証

他国のデータ寡占に対する自国データと市場の保護に自己主権型アイデンティティを活用しようとしているのがEUの事例である。EUは2015年の調査で域内のデジタル市場の54%が米国のオンラインサービスで占められていると明らかになり(脚注5)、GDPRを筆頭として域外へのデータ流出対策へ先進的に取り組んでいる。EUが推進する「デジタル単一市場」戦略は加盟国間でアイデンティティとデータの流通に注力しており、加盟国が発行するIDの規格を統一するeIDAS規制を自己主権型アイデンティティに対応させるべく、アップデートすべき規制項目を検証している(脚注6)。「SSI eIDAS Bridge(脚注7)」という自己主権型アイデンティティのコンポーネントも開発しており、これを使って学位証明の発行や所有、提示ができるようになり、加盟国内での国境を越えての円滑な就労を支援するとされる。
EUは自己主権型アイデンティティを加盟国間での公的な身分証明から計画し始めているが、これがオンラインサービスにも適用されていくようになると、加盟国間での個人を起点としたデータ流通にも繋がっていき、大きな価値を生むと予想される。
現在のオンラインサービスにおいて主流となっている集中型と3rdパーティー型のアイデンティティシステムでは、企業側が顧客の登録データや行動履歴のデータを集中的に管理してデータを囲い込んでいる。集中型はインターネット上のサービスが普及し始めた頃からのアイデンティティシステムで、利用するオンラインサービスが増えるごとに管理しなくてはならないIDとパスワードも増えてしまう。この対応として、IDを統合し、尚且つ自身に関する情報を預けるに足るサービスを選べるようにするという趣旨のもとIDプロバイダが登場し次第に3rdパーティー型が普及していった。だが、どちらも個人をデータ管理者として信頼するシステムにはなっておらず、サービスプロバイダやIDプロバイダ側の囲い込みからデータを開放するには至っていない。
オンラインサービスにおいても自己主権型でデータ管理ができると、データ主体が自身に関するデータを所有してプライバシーを守れるだけでなく、あるサービスで生成されたデータを別のサービスへ移転させるというデータ流通を実現していくことが可能となっていくだろう。システム的に可能となるだけでなく、個人が公開しても良いと考えるデータだけを、公開しても良いと考えるサービス先だけに公開できるというのは、「この一点が気になるので何もかも公開しない」という消極的な開示拒否を避けて、「開示してもいい情報のみ開示する」という、個人に納得感を持たせながらデータ流通への参加を促すことに繋がっていくと考えられる。

図2:各種アイデンティティ管理におけるデータ主体の実質的権限

  • 集中型
  • サードパーティー型
  • 分散型 / 自己主権型
  1. (脚注4)
  2. (脚注5)
  3. (脚注6)
  4. (脚注7)

お問い合わせ先

社会基盤センター イノベーション推進部 先端リサーチグループ

  • E-mail

    ikc-ar-infoアットマークipa.go.jp

  • TEL

    03-5978-7522