アイデンティティ管理に、ブロックチェーンを使うべきか否か〜BG2C FIN/SUM BB Report 3

2020.09.02

イベントレポート

　金融庁と日本経済新聞社が共催する、ブロックチェーン（分散型台帳）技術に関する国際会議「BG2C FIN/SUM BB」。

　「ブロックチェーンの健全な発展と新しいビジネス創造のために」をメインテーマに掲げ、8月24日〜25日の2日間で、東京・日本橋およびオンラインのハイブリッド型で開催された、大規模国際ビジネス＆テクノロジーカンファレンスである。

　レポート第3弾となる本記事では、「ブロックチェーンとアイデンティティ」というテーマで設置されたセッションの様子をお伝えする。ウィズコロナ時代において注目度が高まるアイデンティティについて、ブロックチェーンを使ったアイデンティティマネジメントをテーマに、各登壇者の活動紹介およびパネルディスカッションが展開された。

アイリーン・ヘルナンデス
GATACA 創業者兼 CEO

マリア・ヴァッチーノ
Easy Dynamics Corp. ディレクター

キム・キャメロン
Convergence Tech チーフアイデンティティオフィサー

崎村夏彦　※モデレーター
OpenID Foundation 理事長

大事なことは、異なるアイデンティティをコンテクストに応じて分離すること
市民の識別子は、公開のブロックチェーンに置かれるべきではない
ブロックチェーン導入への「意思決定ツリー」
ブロックチェーンは何にでも使えるものではない
様々な選択肢の一つとしてのブロックチェーン
本セッションの動画
編集後記
BG2C FIN/SUM 2019 レポートシリーズ by LoveTech Media

大事なことは、異なるアイデンティティをコンテクストに応じて分離すること

　まず最初は、カナダのトロントでOIDC SIOPやDIDs、検証可能なクレデンシャル情報（※）の統合研究を進めるキム・キャメロン氏。別な側面では「Active Directoryの父」とも呼ばれる人物だ。

※OIDC SIOP：OpenID Connect における Self-issued OpenID Providerの略。OpenID Connectとは、2014年2月に標準化されたID連携技術。「Facebookでログインする」などがイメージしやすい実装例

※DIDs：Decentralized Identityの略。分散型アイデンティティ。

※クレデンシャル情報：IDやパスワードなど、ユーザー等の認証に用いられる情報の総称

　1999年から2019年まで、Microsoftのアイデンティティ領域におけるチーフアーキテクトを務めた同氏が、2004年に執筆した文書が「アイデンティティの法則（The Laws of Identity）」。これは、いわゆるSelf-Sovereign Identity（自己主権型アイデンティティ、以下：SSI）に関する初期の調査書であるが、そこに書かれている “7つの原則” は、今日に至るまで多くの研究者等により広く引用され続けている。

キャメロン氏：「7つあるテーマの中でも、今日はDirected Identity、つまりは「方向付けられたアイデンティティ」についてお伝えします。」

A universal identity system must support both “omni-directional” identifiers for use by public entities and “uni-directional” identifiers for use by private entities, thus facilitating discovery while preventing unnecessary release of correlation handles.

「アイデンティティ・システムは、公に使用する「全方位的」な識別子とプライベートで使用する「特定の方向性」を持った識別子の両方をサポートしなければならない。このことにより公共性を維持しながら不必要に関連付けの公開を防止できる」

－富士榮尚寛氏の訳文を引用

キャメロン氏：「全ての公の組織や機関は、ブロックチェーンを使う可能性を持っていると言えます。例えば石油の埋蔵に関するデータベースなど、ブロックチェーンを使うメリットがあるのであれば、ぜひ使うべきだと思います。

一方でプライベートの場合は、もっと複雑な要素があります。何故ならば、人々は極めて多面的であり、異なる文脈に応じてアイデンティティを使い分けているからです。仕事上のアイデンティティと家族内でのアイデンティティや、我々が行う様々な活動におけるアイデンティティです。

大事なことは、異なるアイデンティティをコンテクストに応じて分離していくということでしょう。」

市民の識別子は、公開のブロックチェーンに置かれるべきではない

　公開識別子を考えてみると、例えば電話番号やE-mail、米国のソーシャルセキュリティナンバー（SSN）、そしてDIDsなど、多くの人が使う可能性がある。

　キャメロン氏によると、これはいわゆる「スーパークッキー」だという。例えば電話番号で様々なWebサイトおよびアプリにログインする場合、私たちはインターネット横断的な様々な活動を、電話番号一つで繋ぐということになる。電話番号に限らず、E-mailやSNSログインもそうだろう。これら識別子はPII（Personally Identifiable Information）、つまり個人を特定できる情報であるので、慎重な保護や取り扱いが必要となるわけだ。

キャメロン氏：「こういったものを繋いで文脈の分離ができなくなってしまうと、個人のプライバシーを侵害することになってしまいます。一つのIDが別のアイデンティティに繋がってしまうのです。」

　このことを前提に、同氏はアイデンティティ管理におけるブロックチェーン活用に向けて、以下5つの内容を訴える。

氏名や電話番号、生誕情報、DIDsといった、人々に関連付けられた公開識別子は、本人の管理下でクレデンシャル情報として伝えられるべき。そして、認証や認可に使うべきではない。受け手もPIIとして尊重するべきものである。
そういう意味でも、市民の識別子は、公開のブロックチェーンに置かれるべきではない。
政府と企業は、市民の認証と承認に、特定の方向性を持った「プライベート識別子」を使用する必要がある。
政府と企業は、アクセスコントロールがあって一般の人がアクセスできないパーミッション型ブロックチェーン（permissioned blockchain）を使用して、クレデンシャル情報として発行されるPIIおよびその他の情報を保存する分には良いだろう。
クレデンシャル情報は、市民のウォレットに保管されるべきだ。この際に、パーミッション型ブロックチェーンの有用な使い方としては、ウォレットのDIDsに使用するべきだろう。それにより、完全なユーザー制御の下で、バックアップや同期できるようになる。

ブロックチェーン導入への「意思決定ツリー」

　次に紹介されたのは、米ITサービスプロバイダー・Easy Dynamicsのマリア・ヴァッチーノ氏。ITの近代化や、ID/アクセス管理、サイバーセキュリティ等に注力している人物だ。

　ヴァッチーノ氏がブロックチェーンを調べ始めたのが2015年。ブロックチェーンについての調査・研究を重ねる中で、多くの企業が「どの状況下でブロックチェーンを使うべきか」に悩んでいたことから、ブロックチェーンを使うべきか否かを判断できる「意思決定ツリー」を作成している。全部がグリーンのYesの線だと、ブロックチェーンの活用が適切だと言えるかもしれない、というわけだ。

　以下が、フローチャートの流れと、ヴァッチーノ氏による補足内容である。

Q1. 分散化した履歴データストア（historical data store）が必要ですか？

—–

Q2. 複数の組織がデータを提供しますか？

→Noならば、ブロックチェーンの導入は“やりすぎ”になってしまいます。一般的なデータベースの導入を検討しましょう。

—–

Q3. 入力を変更または削除できないことは許容されますか？

→極めて重要な問いかけです。ブロックチェーンの場合、レコードが追加されてしまったら、簡単に変えられません。忘れられる権利についても然りです。事後的にセンシティブになってしまうこともあり、エラーのエビデンスも残ってしまうので、削除や変更の余地が必要ないか、十分に検討する必要があります。

—–

Q4. すべてのデータを、すべてのユーザー間でいつでも共有できても良いですか？

→個人的に、最も大事な問いかけです。
一般的に、アイデンティティのデータは短期的にはセンシティブだけど、常にセンシティブな訳ではありません。一方で、中長期的にセンシティブであり続ける情報がある場合は、ブロックチェーン上に載せるべきではないでしょう。その場合、暗号化データベースを使うのもありかもしれません。

—–

Q5. データストアの制御に競合はありますか？

→制御がないということは、中央集権的なデータベースで済むということになります。

—–

Q6. データストアへのすべての書き込みに対する「改ざん防止ログ」が必要ですか？

→何がいつ起きたかという監査証跡が不要の場合は、一般的なデータベースで良いのかもしれません。

ブロックチェーンは何にでも使えるものではない

　アイリーン・ヘルナンデス氏は、分散型デジタルIDテクノロジーを提供するサイバーセキュリティ企業・GATACA（ガタカ）の創設者兼CEO。2016年、まだMITの研究員だった頃からブロックチェーンに携わってきたという。同氏からは、欧州のデジタルアイデンティティ事情の説明がなされた。

ヘルナンデス氏：「まず申し上げたいのが、非中央集権型デジタルアイデンティティは、広がるか否かのフェーズではなく、確実に広がってきているということです。市場としては、2023年には20億ドル、2026年には90億ドルと試算するアナリストもいます。様々な企業によるエコシステムが広がっており、特に欧州委員会はDIDsに非常に注力しています。

ただし社会実装を進める上では、インターオペラビリティやビジネスモデル、競争モデル、政府の役割等、将来的にはまだまだ様々な課題に対応する必要があります。これが現状です。」

　欧州のDIDs関連の動きとしては、2018年にEU加盟国27カ国とノルウェー・リヒテンシュタインが欧州ブロックチェーン・パートナーシップ（The European Blockchain Partnership＝EBP）の創設宣言に署名。ブロックチェーンを公共領域のインフラ技術として活用し、より効率的に市民サービスを提供することを目的に宣言されたものだ。

　その後2019年には、具体的な技術プラットフォームとして「欧州ブロックチェーン・サービス基盤」（The European Blockchain Services Infrastructure＝EBSI）を立ち上げ、現在すでに、欧州の様々な公共サービスに適用されているという。

　そして2020年。今度はEUおよびEBPの共同イニシアチブとして、EBSIの一部となる「欧州セルフソブリンIDフレームワーク」（European Self Sovereign identity framework＝ESSIF）が発足された。これはブロックチェーンを使用し、国境を超える形でEU全体の公共サービスをより効率的にすることを目指した取り組みだ。ヘルナンデス氏が率いるGATACAも、この委員会にアドバイザーとして関わっており、ユースケースの適用等を担っているという。

ヘルナンデス氏：「DIDsの捉え方については議論が分かれるところですが、私たちは、ブロックチェーンは何にでも使えるものではないと考えています。また、ブロックチェーンはデジタルアイデンティティ領域でも重要な役割を果たしていますが、これについても、何でもブロックチェーンに載せればいいというものでもないでしょう。

例えばトークンエコノミーを考えてみても、ICOによる混乱発生にも鑑みて、トークンを使ってアイデンティティを署名するというのは、あまり良くないです。」

様々な選択肢の一つとしてのブロックチェーン

　各登壇者の活動紹介後は、短いながらもパネルディスカッションが展開され、デジタルアイデンティティ領域における各者の意見が交わされた。以下、各者意見の要旨のみを記載する。

キャメロン氏(Convergence Tech)：私は、クレデンシャル情報に関しては、公のアイデンティファイにブロックチェーンを使うのは極めて合理的だと思います。一方で、冒頭の説明でも申し上げた通り、個人のアイデンティファイに使うのは極めて懐疑的です。

あと、私はマルチデバイスの信奉者なので、ウォレットをマルチデバイス間で同期させて、個人が所有するウォレットで信頼性を担保し続ける仕組みを作る必要性が、今後ますます求められると考えています。個人があくまでコントロールを効かせられる状態でなければいけない。だから、分散型のムーブメントが重要になってくるわけです。

ヘルナンデス氏(GATACA)：私たちは、国際協調を通じてのスタンダイゼーションはもちろん、テックプロバイダー間の協調も必要だし、ポリシーメイカー間の協調も必要です。ユーザー中心でプライバシーを保護するような仕組みを、国際的に作らなくてはなりません。

ヴァッチーノ氏(Easy Dynamics)：要するにブロックチェーンは、様々なテクニカルツールの一つとして追加されたということです。何か課題が出てきた時に、まずは全てのツールを検討する必要があります。それぞれ客観的に判断し、ベストソリューションかを考える必要がある。ブロックチェーンである場合もあるし、そうでない場合もあります。あと限界を知っておく必要もあるでしょう。