私の情報だから私が管理する~デジタルアイデンティティウォレットについて~(後編)
この記事は「私の情報だから私が管理する~デジタルアイデンティティウォレットについて~(前編)」の続きになります。前編をまだ読んでいない方は、前編を先にご覧いただけると「DIW」の理解がより深まると思います。
“ウォレット”の種類とDIWとの比較
”ウォレット”と名称がつくアプリケーションは既に多数展開されています。本稿のテーマである「DIW」を含む3つのウォレットについて以下の表のように整理します。
● DIW
DIWは氏名、年齢、所属している組織など、個人の”個人識別情報”や”属性情報”をデジタルアイデンティティとして管理することが可能です。さらに、これらの情報はユーザーが提示先を自由に選択できるため、現実世界での対面時やオンライン、メタバース内でも安心して信頼性の高い身元確認を実現できます。
● Token Wallet
Token WalletはNFT(Non-Fungible Token)とSBT(Soulbound Toke)というブロックチェーン技術を用いて発行される唯一性をもったデジタル資産を保有することが可能です。SBTは他者へ譲渡不可能な機能をもっているため、証明書として活用することができます。ブロックチェーン技術を利用しているため、第三者によって改ざんされるリスクは非常に低いです。
ブロックチェーンは一般的に記録された情報には誰でもアクセスできるため、改ざんがあればすぐに発見されます。このような公開性が記録されている情報の信頼性を確保します。しかし、その公開性ゆえに個人を特定できる情報を記載するのには適しておらず、”権限”や”資格情報”など、公開を前提とした情報のみを記載した暗号資産が証明書として活用されます。
プライベートチェーンなど情報の公開範囲を制限できる方法はありますが、その場合、権限や資格の効力も限定的になってしまいます。
● Apple Wallet / Google ウォレット
Apple WalletとGoogle ウォレットは、クレジットカードやチケットの情報を格納することができます。さらに今後は、「マイナンバーカード」の機能を格納[1]できるようになり、国家資格もマイナポータルからオンライン申請をすることでデジタル化することが可能になります。[2](2024年9月時)
確定申告や医療手続きなどの行政機関が関与する手続きがスマートフォン上で行うことができます。
”ウォレット”が複数種類あるなら「DIW以外でも身元証明は十分に可能なのでは?」と感じるかもしれません。しかし、管理できる情報や公開範囲の柔軟性があるからこそ、DIWだからSSIに準じた身元確認を実現することができます。
正確に自身を証明し、任意の相手にのみにその情報を提示できるのは、上記のウォレットの中ではDIWだけです。Token Walletは情報の公開性の観点から、個人識別情報を含むデジタルアイデンティティの取り扱いには適していません。Apple WalletやGoogle ウォレットで管理できる情報もマイナンバーや国家資格に限られるため、検定や私立学校の学位証明など、民間が発行する個人識別情報を含む証明書をデジタルアイデンティティとして管理する際にはDIWが適していると考えられます。
また、日本ではデジタル化した国家資格を認証するデジタル認証アプリ[3]やmdoc認証システムが検討されていますが[4]、第三者を介さずに自身のデジタルアイデンティティを提示・検証できるDIWだけです。
EUで定められたDIWは、政府・民間で発行されるデジタルアイデンティティを一元的に集約できる仕様となっています。日本や、EU以外の諸外国においても官民で発行されるデジタルアイデンティティが1つのDIWに集約できる未来があるかもしれません。
[1] 参考:デジタル庁.”スマホ用電子証明書搭載サービス”.スマホ用電子証明書搭載サービス.(参照2024-09-17)
[2] 参考:デジタル庁.”国家資格等のオンライン・デジタル化”.国家資格等のオンライン・デジタル化.2024-08-19.(参照2024-09-17)
[3] 参考:デジタル庁.”マイナンバーカードで本人の確認を簡単に”.デジタル認証アプリ.2024-09-13.(参照2024-09-17)
[4] 参考:デジタル庁.”マイナンバーカード機能等のスマートフォンへの搭載に係る実証事業(技術検証・要件検討)”.マイナンバーカード機能等のスマートフォンへの搭載に係る実証事業(技術検証・要件検討).(参照2024-09-17)
DIWの期待と課題
期待される効果
1. プライバシーの保護とセキュリティの向上:
DIWを活用することで、ユーザーは自身のデジタルアイデンティティを自身で管理し提示する内容や提示する範囲をコントロールすることができます。既存のデータ管理モデルと違い、第三者を通さずに直接相手に提示するため情報漏洩のリスクが小さくなります。
2. 信頼性の向上:
DIWを用いた情報のやり取りでは、デジタルアイデンティティが改ざんのないこと、情報の保持者本人が提示していることを検証することができます。
情報自体に信頼を置くことができるため、参加者全員が顔を合わせなくても、安心した取引を実現することが可能になります。
3. 複数の証明書を提示する際の利便性の向上
例えばレンタカーを借りる場合、ユーザーは「会員証」と「運転免許証」の2枚を店員に提示する必要があります。しかし、DIWを使用すると、これらの証明書を1つのデジタルアイデンティティとしてまとめて提示することが可能になります。
必要な証明書を簡単に選んで素早く提示できるため、手続きがより効率的になり、利便性が大幅に向上します。
課題
1. 技術的課題:
DIWの要素技術の規格は未だ標準化されておらず、ルール整備も不十分な状態です。現在、複数種類の規格がありますが、互換性はありません。
W3C[5]やIETF[6]など様々な標準化団体によってVCの技術仕様が公表されています。しかし、それぞれのデータ形式は異なっており、検証も異なった検証方式で行われます。
また、同じ技術仕様のVC発行基盤を採用しても、項目名などのルールが定まっていないため、同じ社員証VCでも項目名が違うために有効な証明書として検証側に認識されない可能性があります。(以下に例を示します。)
● 発行基盤A
○ CredentialType:CredentialEmployee
● 発行基盤B
○ CredentialType:EmployeeID
実用化に向けて技術仕様の互換性やルール整備が求められます。
2. 法的および規制の整備:
ユーザーのプライバシーの権利や、認証におけるセキュリティ基準の確立は主要な課題とされています。DIWは国際的な使用方法も検討されており、法規制の構築には各国間での整合性や柔軟性が求められています。また、取引に利用されるデータの所有権やアクセスの透明化の確保、倫理デザインの考慮など、国境を越えたデータ移転に伴う課題には、多様な利害関係者の協力と継続的な評価・改善が必要です。
3. 本人確認の確保:
現在のDIWは「本人が使用している」ことが前提となってる部分があります。もちろんDIW内に「本人確認性」を保証する仕様はありますが、”第三者がDIWを使用できるデバイスを操作できる状態”になってしまうと、だれも止めることが出来なくなります。リアルタイムな生体認証など、本人しか操作できない状態を整備することが求められます。
[5] 参考:World Wide Web Consortium.”Verifiable Credentials Data Model v1.1”.Verifiable Credentials Data Model v1.1.2022-03-03.(参照2024-09-17)
[6] 参考:The Internet Engineering Task Force.”draft-ietf-oauth-selective-disclosure-jwt-12”.Selective Disclosure for JWTs (SD-JWT).2024-09-03.
(参照2024-09-17)
未来像
DIWは情報の信頼性とセキュリティの向上を私たちにもたらしてくれます。SSIが注目される中、今後、デジタル上での本人認証の機会が増えることが予想されます。こうした状況において、DIWは現在の日常生活の一部となったSNSのように、生活に欠かせないソフトウェアになる可能性が考えられます。
● 教育の領域:学位証明書VCを使用して自分の成績を偽りなく提示する。
生徒のテストや部活動の成績がVCとして、DIWに保管されるケースが考えられます。生徒は学生生活のデジタルアイデンティティとして保管し、進学・就活の場面で生徒から面接官へ学生時代に力をいれたことの実績として提出します。面接官は学生の学校生活をより正確に把握することが可能になります。
● 働き方:実績VCを使用して自分の業務実績を証明する。
個人の業務実績や組織内の身分をVCとして、DIWに保管するケースが考えられます。転職やフリーランスで過去の実績を提出する際に、業務実績をデジタルアイデンティティとして共有することで、自身の働き方や経歴を正確に伝えることが可能になります。
これからの共創コミュニティではDIWを活用することで、個人情報を一切明かさず、実績のみで信頼関係を構築することができるようになるかもしれません。
● 国際連携:企業間の契約書VCをDIWで一元管理する。
複数の国で活動する企業が、各取引先と結んだ契約書をVCとして、DIWに保管するケースが考えられます。企業はDIWを活用することで契約書の共有範囲を適切に把握することができ、紛失や改ざんされることの心配が不要になります。
決裁者の承認をデジタル署名で検証できるようにし、取引をより効率的に出来るようになるかもしれません。
活用事例
国内活用事例:新型コロナワクチンの接種記録証明をVCとして発行・管理
デジタル庁が発表した「新型コロナワクチン接種証明書アプリ」では、ワクチンの接種証明書をVCとして発行し、アプリ内に保管することができます。VCには「接種を受けた個人の情報」,「接種情報」,「接種したワクチンの種類」が記載されており、QRコードとして提示・検証することが可能です。
これにより、紙の証明書では常に公開されてしまう住所などの個人識別情報を、必要最低限の相手にのみに提示し、ワクチン接種の事実を証明できます。
国内外で使用可能で、別途本人確認が必要になります。国内での使用の場合はマイナンバーカード、海外の使用ではパスポートが必要になります。
(2024年3月31日をもってサービスは終了しました。)
海外活用事例:ナショナルアイデンティティや会員証の証明
「Lissi」はヨーロッパ全域でデジタルアイデンティティ管理を支援するために設計されたDIWで実装されたユースケースです。LissiはEUが定めたeIDAS 2.0規格に準拠しており、官民双方で発行されたデジタルアイデンティティの保存・検証が可能です。
ナショナルアイデンティティは戸籍を管理する自治体から、会員証はメンバーシップを運営するお店からデジタルアイデンティティとして発行され、ユーザーはこれらを1つのDIWに集約することができます。
eIDAS 2.0規格に基づく標準化された形式のデジタルアイデンティティであるため、さまざまなレベルの身元確認がEU全域で可能になります。
TOPPANデジタルの取り組み
TOPPANデジタルは、DIW を活用し、個人情報の管理とプライバシー保護を強化したデジタルインフラ基盤を構築し、安全で信頼性の高いデジタル社会を実現することを目指しております。
独自に開発したVC発行・検証基盤を活用し、W3CやIETFの技術仕様に準拠したデジタルアイデンティティの運用環境を整備しています。この基盤を使用し、複数の企業と連携しながら、DIWの実用性や有効性を実際の運用環境で検証を行っております。
また、「DID/VC共創コンソーシアム」での活動を通じ、具体的なユースケースの検討を進めると共に、DIWやその周辺技術のルール整備に務めております。
さらに、アバターの真正性を検証出来る自社システム「AVATECT®」とDIWを連携し、アバターにデジタルアイデンティティを結び付けるなど、デジタルアイデンティティのこれからの活用法を検討しています。
アバターにユーザーの保持する権限を付与することで、デジタルツイン上でも高い信頼性をもった身元確認を行えるようにするなど、リアルとバーチャルの両方でデジタルアイデンティティがより活用される方法の実現を目指しております。
これらの取り組みにより、TOPPANデジタルはリアルとバーチャルの両方で個人が安心して他者とコミュニケーションをとれる体験を提供いたします。
TOPPANデジタル有識者コメント
生活者個人の身分証明書や、または自身の属性情報を記した各種証明書を格納・管理し、さらに自身の意思で必要な情報のみを他者に提供する手段の一つとしてデジタルIDウォレットが注目されております。
現在はユースケース開発段階であり、2026年頃から普及が始まることが予想されておりますが、未だ様々な課題があります。政府系IDと個人が発行する分散IDの違いや国際間で異なる規制や技術仕様、データ連携先とデジタルIDウォレットの接続コスト等、例を挙げるときりがありません。さらにはITリテラシーの異なる「toC向け」のプロダクトとなりますのでUXもとても大切になってきます。今後さらに多くの課題が出てくることが予想される中、当社は官民様々なステークホルダーと一緒にこれらの課題を解決しながらデジタルIDウォレットに関する研究開発を続け、生活者・事業者双方にとってより良い未来へ向かうよう貢献してまいります。
■編集者