私の情報だから私が管理する~デジタルアイデンティティウォレットについて~(前編)
デジタルアイデンティティウォレットとは
デジタルアイデンティティウォレット(以下 DIW と呼称)とは、個人の「デジタルアイデンティティ」を安全に管理・提示することができるソフトウェアです。
DIWは、政府などの認証機関が発行した個人の身分証明書や資格証明書をデジタル証明書として格納することができ、ユーザーはデジタル証明書を選択し、任意の相手へ提示することができます。
デジタル証明書で証明できる内容には、デジタルIDとデジタルアイデンティティというユーザー本人の身分や資格などを示す内容が含まれます。デジタルIDは一般的に個人の身元を確認するための電子的な識別子であり、主に政府や認証機関が発行する単一の識別情報(例: マイナンバー、パスポート番号など)を指します。一方、デジタルアイデンティティは、デジタルIDに加え、さらに広範な情報を含む概念であり、デジタル上で個人の存在を認識させるものです。
DIWは、官民問わずさまざまなサービスで高い信頼性を持つ身元確認をオンライン・オフラインで可能にし、身元確認に使用されたデジタル証明書がどの範囲で提示されたかをユーザーが適切に把握できるようにします。これにより、現代の情報社会で問題である「自分の知らない場所で個人情報が共有されるかもしれない」という不安を払拭し、安心してデジタルアイデンティティを活用できる将来が実現できると期待されています。
「アイデンティティ」とは”氏名” , ”職業” , ”趣味思考”などの個人がもつ属性の情報から構成されるものです。アイデンティティを通じて周囲は個人を識別します。
アイデンティティを電子化し、デジタル上でも個人を識別できるようにするものが「デジタルアイデンティティ」です。
DIWが生まれた背景
これまでのデータ管理モデル
通信技術の進化に伴い、インターネットを介した情報のやり取りはより頻繁になりました。社会のあらゆるものがデジタル化され、ユーザーは自身のアイデンティティの情報を企業に提供することで、よりパーソナライズされた内容を享受できるサービスが一般化しました。購入履歴から商品をおすすめしてくれるサービスなどが例として挙げられます。
しかし、このような個人のアイデンティティの情報が企業に数多く集約されている状況について「データセキュリティ」と「プライバシー保護」が重要な課題として世界中で注目されています。企業にユーザーの情報が一元管理される場合、悪意を持った人からハッキングの標的になりやすくなる「データセキュリティ」に関する問題があります。また、企業間の情報連携によりユーザーが把握できない範囲にアイデンティティ情報が拡散されることから「プライバシー保護」を適切に実現する必要性が求められています。
現在主流の中央集権型のデータ管理モデルには、データが単一の管理者に集中する「集中管理モデル」と、1つのIDプロバイダーから発行されたアカウントを使用して複数のサービスにログインし、異なるサービス間でユーザーの情報が同期・管理される「フェデレーションモデル」があります。いずれも、顧客に合わせたサービスを提供できるデータ管理モデルであり、国内外の企業で、顧客向けサービスのデータの管理方法として広く採用されています。
しかしながら、個人情報保護委員会が公表している「令和5年度個人情報保護委員会年次報告」によると、企業から流出した本人と識別できる情報の件数は12,120件、マイナンバーの漏えい件数は41件と報告されています。[1]
[1]参考:個人情報保護委員会."令和5年度個人情報保護委員会年次報告”.年次報告・上半期報告.(参照2024-09-17)
SSI(Self-Sovereign Identity)とは
先ほどの課題を解決するべく、自己主権型アイデンティティ(Self-Sovereign Identity:以下SSIと呼称)[2]という考え方が注目されるようになりました。
SSIとは情報を管理する第三者に依存せず、個人が自身のアイデンティティをコントロールできるようにすることを目指す考え方です。今まで企業に集約されていた自身のアイデンティティのコントロール権がユーザー本人にあることが重要とされ、ユーザー本位で情報を活用できる情報管理基盤を構築する上で利用されています。
DIWはSSIの下、安全にユーザーのデジタルアイデンティティを格納し、任意の相手に必要な情報のみを提供できるように設計されており、今までの巨大IDプロバイダーへの過度な依存を軽減し、ユーザー自身が適切な範囲でデジタルアイデンティティを活用することが出来る媒介として期待されています。
[2] 参考:株式会社 日本総合研究所 先端技術ラボ."自己主権型アイデンティティの動向と考察~企業のデジタルアイデンティティ戦略へ向け~”.先端技術リサーチ.2024-04-26.(参照2024-9-17)
DIWの普及にむけた各国(各団体)の動向
現在、様々な国際標準化団体によってDIWとDIWの要素技術の規格整理が進んでおり、それに伴い、世界各国でDIWを普及させるための取り組みが行われています。
World Wide Web Consortium(W3C)では、Decentralized Identifiers(DID:詳細は後述)やVerifiable Credentials(VC:詳細は後述)の技術仕様の整理が行われており、デジタル署名によってユーザーから提示された情報が改ざんされていないことを検証できる規格が策定されました。
The Internet Engineering Task Force(IETF)では、SD-JWT(Selective Disclosure JSON Web Token)というユーザーが提示する情報を必要最低限にできるように、選択的開示を可能にする技術仕様が策定されました。
ヨーロッパでは特にDIWに対する関心が高まっており、EU(欧州連合)によってヨーロッパ全域で共通のDIWを導入するためのルールを定め、加盟国間での相互運用性、データセキュリティ、プライバシー保護を強化し、共通のデジタルIDの普及を実現することを目指しています。[3]
日本ではデジタル庁が行った「新型コロナワクチン接種証明書アプリ」[4]がDIWの例としてあげられます。ワクチン接種に関する情報をデジタル証明書として管理・提示することができます。また、今後のさらなる活用に向け日本政府が主導するTrusted Web推進協議会[5]にて、SSIの概念を取り入れて検証できる情報の幅を拡張した「Trusted Web」の推進とともに、デジタルアイデンティティの標準化に向けた研究が進められています。
[3] 参考:濱口 総志."eIDAS2.0とEUDIW 第7回 トラストを確保したDX推進サブワーキンググループ”.eIDAS2.0とEUDIW.2022-03-22.
(参照2024-09-17)
[4] 参考:デジタル庁."新型コロナワクチン接種証明書アプリ”.新型コロナワクチン接種証明書アプリ.2024-02-20.(参照2024-09-17)
[5] 参考:首相官邸."Trusted Web推進協議会”.Trusted Web推進協議会|デジタル市場競争本部.2024-06-28.(参照2024-09-17)
要素技術
DIWを実現するにあたり、以下の要素が重要になります。
● 識別性 :各DIWを一意に識別するための要素
● 非改ざん性:ユーザーが管理する情報が改ざんされていないことを保証する要素
● 本人確認性:デジタルアイデンティティの管理者が本人と確認できる要素
上記の要素を実現する技術としてDID(Decentralized Identifier)、VC(Verifiable Credentials)、公開鍵暗号方式、鍵管理という技術があります。
● 分散型識別子(DID:Decentralized Identifier)
DIDは、主に分散型ネットワーク上で生成される識別子でDIWの「識別性」を実現するために使用されます。
● 検証可能な証明書(VC:Verifiable Credentials)
VCは、信頼できる発行機関(政府機関や企業など)から発行されるデジタル上の証明書です。この証明書にはユーザーの資格情報や属性情報が記載されます。
発行機関のデジタル署名が付与されており、提示時には保持者のデジタル署名が付与されます。これらの署名によって証明書の内容が改ざんされていないことが保証されます。
● 公開鍵暗号方式
情報の暗号化と復号化のために公開鍵と秘密鍵のペアを使用する暗号技術です。公開鍵は自由に配布でき、秘密鍵はユーザーのみが利用できるよう安全に管理されます。秘密鍵はデジタル署名の作成時に利用され、これによってDIWの「本人確認性」が確保されます。
また、この技術を応用した「ゼロ知識証明」[6]という技術があり、ゼロ知識証明を活用したDIWでは、情報の詳細を開示せずに相手にその情報の真実性を証明することが可能になります。DIWの情報の選択性と安全性をより高めます。
[6] 参考:TOPPANデジタル株式会社 東貴範."企業や個人の秘密を守るゼロ知識証明”.TOPPAN Digital|DX note.2024-04-02.(参照2024-09-17)
● 鍵管理
上記の公開鍵暗号方式で作成された秘密鍵を安全に管理するための技術です。
鍵管理技術によって本人以外に鍵を使用されることを防ぐことでDIWの「本人確認性」がより強固になります。鍵管理には鍵の生成、交換、保存、使用、廃棄、取り替えが含まれます。
ここまでデジタルアイデンティティウォレット(DIW)の概要やその背景、現在の主流なデータ管理モデルについてご説明しました。
後編では、具体的なユースケースや、日本国内外での取り組みを詳しく紹介します。
また、技術的な課題や、プライバシー保護の観点からの新たなアプローチについても触れ、将来の展望を考察していきます。さらに、TOPPANデジタルの取り組みを通じて、どのようにDIWが日常生活に浸透していくのかを探っていきますので、どうぞご期待ください。
後編は、10月15日公開予定です。
■編集者