Self-Sovereign Identity × Information Bank

Self-Sovereign Identityの10原則と情報銀行の関連について解説しています。

先日、DataSignが毎週木曜日に配信している「ランチタイムトーク」に出演し、Self-Sovereign Identityと情報銀行の関連についてお話ししました。この記事ではトーク内で収まらなかった内容を含めて、今回リサーチした内容を紹介します。

記事の概要

1. アイデンティティとは何か？
2. Self-Sovereign Identityの定義と10原則
3. Self-Sovereign Identityと情報銀行の関連
4. 情報銀行の認定指針に対する提言

アイデンティティとは何か？

Self-Sovereign Identityを考える前に、前提となる “Identity” の定義を整理しておきたいと思います。以下では、OpenID Foundation理事長の崎村さん（@_Nat Zone）がブログの中で示された定義を参照しています。

我々のアイデンティティは、主に4つの概念によって構成されていると考えることができます。

・実体（entity）

・自己像（identity）

・関係性（relationship）

・属性情報

Source: https://www.sakimura.org/2011/06/1124/ (edited)

実体とは我々自身のことです。実体は、「自分のことをこう思って欲しい」あるいは「こう観られたい」という自観に基づく自己像を持っています。そして我々は、相手と築いている様々な関係性に応じて、相手に示す属性情報を取捨選択することで、多様な自己像を使い分けています。

国際規格であるISO/IEC 24760では、このように定義されています。

アイデンティティ = 実体に関する属性情報の集合

この属性情報というのは、氏名や生年月日・住所などのいわゆる個人情報から、マイナンバーや社員番号など個人識別番号、ユーザーのアカウント情報などを含む「デジタル・アイデンティティ」にまで及びます。これから紹介するSelf-Sovereign Identityでは、主にデジタル・アイデンティティにフォーカスしていきます。

Self-Sovereign Identity

Self-Sovereign Identityとは、SSLやTLSなどのインターネットにおけるセキュリティ領域の専門家であるChristopher Allen 氏が提唱した概念で、以下のように定義されています。

“ 管理主体が介在することなく、個人が自分自身のアイデンティティをコントロールできるようにすることを目指す考え方 ”

近年、GDPR（一般データ保護規則）の成立などに伴ってデータプライバシーがより一層注目されていますが、これまでのデジタル・アイデンティティ管理は、Self-Sovering Identityの観点とは異なる中央集権的なものでした。

Source: https://www.nri.com/-/media/Corporate/jp/Files/PDF/service/ips/technology_1.pdf

集中型のID

初期のインターネットにおけるアイデンティティ管理は、かなり集中的なものでした。SSLやTLSなどのプロトコルによって保護された、クライアントのアイデンティティがそのままサーバーで管理されるシステムです。

3rdパーティー管理のID

集中型のアイデンティティ管理にIDP（アイデンティティプロバイダー）を介したのが、3rdパーティー管理のアイデンティティです。SAMLやOAuth、OpenID Connectなどによってユーザー認証が可能になります。

例えば、新たなサービスを利用するときに「Googleアカウントでログインする」という表示をよく見かけます。これは、Googleがアイデンティティプロバイダーとなっている3rdパーティー管理のIDの例です。

自己主権型のID

上記のような従来のアイデンティティが抱えている「自らの ID 管理権限の喪失」という問題を解決する、というのがSelf-Sovereign Identity発想の起源となっています。

また、Self-Sovereign Identityの考え方は、SDGs16.9の「2030 年までにすべ ての人に出生証明を含む法的なアイデンティティを提供する」という目標にも寄与すると考えられています。そして、これを可能にする技術としてブロックチェーンが挙げられます。

具体的な取り組みを別の記事で紹介しているので、ぜひご覧ください。

Refugee × Blockchain

Self-Sovereign Identityの10原則

Self-Sovereign Identityを提唱したChristopher Allen 氏は、この概念の更なる拡大のために10の原則を定めています。原文はこちらです。

Existence (存在)

ユーザーは、（デジタル世界の仮想的な存在ではなく、）独立した存在（としての自分）を持っていなければならない。Self-Sovereign Idenityは、シンプルに、すでに存在している「私」のいくつかの限定された側面をパブリックにアクセス可能にするものである。

Control (コントロール)

ユーザーは自らが希望する場合、アイデンティティをコントロールできるべきだ。ユーザーは、Self-Sovreign Identityをいつでも参照でき、更新でき、秘匿することさえもできる。

Access (アクセス)

ユーザーは自らのデータへのアクセス権を持っていなければならない。アクセスするというのは、自身のアイデンティティに紐づくあらゆる証明書を修正できるというわけでは必ずしもなく、修正が起きた際にそれを検知できるという意味だ。

Transparency (透明性)

システムとアルゴリズムは透明性が高くなければならない。アイデンティティのネットワークを管理するシステムは、どのように機能するのか、どのように管理され更新されるのかについて、オープンでなければならない。アルゴリズムは、無料で、オープンソースで、よく知られており、あらゆるアーキテクチャから出来る限り独立したものであるべきだ。

Persistence (永続性)

アイデンティティは長期的に利用できなければならない。できるならば、アイデンティティは永遠に持続するものであるべきである。あるいは、最低限ユーザーが望むだけの期間は持続するものであるべきだ。

Portability (ポータビリティ)

アイデンティティに関する情報とサービスはポータブル（持ち運び）可能でなければならない。アイデンティティは、単一の第三者企業に保持されてはならない。

Interoperability (相互運用性)

アイデンティティはできるだけ幅広く利用できるべきだ。アイデンティティは、もし特定分野だけでしか機能しないのであれば、その価値は低くなってしまう。

Consent (同意)

ユーザーは自らのアイデンティティが利用される際には同意していなければならない。

Minimization (最小化)

証明書の開示は最小化されていなければならない。データを開示する際には、開示内容は、その目下のタスクを達成するのに必要最低限のデータだけを含むべきだ。この原則は、選択的開示（selective disclosure）、範囲証明（range proof）、その他のゼロ知識技術によって実現される。

Protection (保護)

ユーザーの権利は保護されていなければならない。

リサーチクエスチョン

さて、ここまでアイデンティティの概念、Self-Sovereign Identityの定義と10原則について触れてきましたが、ここからリサーチ内容に入ります。

ここで改めて、今回のリサーチクエスチョンを明確にしておきます。

“ Self-Sovereignの10原則は、情報銀行の認定制度に反映されているか？ “

情報銀行とは？

Self-Sovereign Identityと情報銀行の関連について説明するに当たって、まずは情報銀行とは何かを確認します。

情報銀行の定義は以下の通りです。

実効的な本人関与（コントローラビリティ）を高めて、パーソナルデータの流通・活用を促進するという目的の下、本人が同意した一定の範囲において、本人が、信頼できる主体に個人情報の第三者提供を委任するというもの。

Source: https://www.kantei.go.jp/jp/singi/it2/senmon_bunka/data_ryutsuseibi/dai2/siryou1.pdf

つまり、情報銀行のサービスを一言で言うと「個人に関するどのようなデータを、どの事業者に提供するかの判断」ということになります。これにより、プライバシーを担保した上で、事業者は個人に対してよりパーソナライズされたサービスを提供することができます。

活用方法の例としては、個人の趣味・嗜好にあわせた様々な情報や生活習慣病の疾病管理、災害時の個人の状況に応じた避難ルートの提案などが挙げられます。

日本で情報銀行が生まれる前にも、ヨーロッパではPDS（パーソナルデータストア）というサービスがありました。しかし、PDSの目的はデータの一次利用に限られており、データを提供するかどうかの判断は個人に委ねられていたため、情報リテラシーの低い消費者に行き届かず十分に流行しなかったという背景があります。

そこで、そのような判断を「信頼できる主体」に委託して、より消費者-friendlyな形で日本版に改良したのが情報銀行になります。

Self-Sovereign Identityとの関連

さて、上記のような情報銀行のサービスがどのようにSelf-Sovereign Identityにかかわってくるのでしょうか？

先ほど、Self-Sovereign Idenity以前のアイデンティティ管理方法として、3rdパーティー管理のアイデンティティがありましたが、その図と情報銀行の簡易的な構図を比べたのがこちらです。

Source: https://www.nri.com/-/media/Corporate/jp/Files/PDF/service/ips/technology_1.pdf (edited)

クライアントとサーバーの間をアイデンティティプロバイダーが仲介するように、情報銀行が個人と事業者の間で個人データの管理をしていることがわかります。そのため、アイデンティティ管理におけるSelf-Sovereign Identityの考え方が、情報銀行の個人データ管理にも置き換えられるのではないかと考えました。

情報銀行の認定制度

今回は、Self-Sovereign Identityと情報銀行の関連を探るため、情報銀行の認定制度に焦点を当てたいと思います。

情報銀行の認定は一般社団法人 日本IT連盟 情報銀行推進委員会が行っており、現在は「情報信託機能の認定に係る指針 ver2.0」（以下、認定指針）に基づいて審査が行われています。

ここで留意しておきたいのは、認定は任意のものであり、認定を受けることが事業を行うために必須ではない。つまりこの認定制度に法的拘束力はなく、認定を受けなくても情報銀行に当たるサービス自体は行うことができます。

認定指針は大きく以下の4点を規定しています。

・事業者の適格性
・情報セキュリティ・プライバシー
・ガバナンス体制
・事業内容

SSIの10原則と認定指針の対応

“ Self-Sovereignの10原則は、情報銀行の認定制度に反映されているか？ “

を評価するため、Self-Sovereign Identityの10原則の各項目と認定指針の対応を以下に示しました。（この分類方法と基準は、筆者が個人的に判断したものになります。）

ここからは、認定指針の中で各項目がどのように記載されているのか、詳細に解説していきたいと思います。

明確な記載あり

以下の項目は、認定指針の中に明確な記載がありました。

Existence (存在)

・「個人情報保護法を含む必要となる法令を遵守していること」（事業者の適格性_② p.7）
・「この法律において「個人情報」とは、生存する個人に関する情報である」（個人情報保護法第2条第1項）

Minimization (最小化)

・「国際標準・国内規格の考え方も参考に、情報セキュリティ及びプライバシー保護対策を徹底すること（例：ISO/IEC29100プライバシーフレームワーク）」（情報セキュリティ・プライバシー_基本原則）
・「対象となる事業で扱う情報が他事業と明確に区分され管理されていること」（情報セキュリティ_⑦ p.9）

Protection (保護)

・個人情報保護法
・JISQ15001個人情報保護マネジメントシステム
・ISO/IEC29100（JIS X 9250）プライバシーフレームワーク
・プライバシーマーク又はISMS認証の取得
（プライバシー保護対策_p.11）

部分的に記載あり

以下の項目は、認定指針に部分的な記載はありましたが、考慮が不十分であると考えられます。現状の記載内容と、それに対応する懸念点・提言をまとめました。

Control (コントロール)

【記載内容】
・「個人が自らの情報の提供に関する同意の撤回（オプトアウト）を求めた場合は、対応すること」（事業内容_③ p.13）
・「提供先・利用目的・データ範囲について、個人が選択できる選択肢を用意すること」（事業内容_⑤-1 p.15）

【懸念点】
同意の撤回に関するコントローラビリティは確保されているものの、提供データに関する選択肢の設定は競争領域となっており、どの情報銀行を利用するかという消費者の選択に委ねられている。このような状況下では、大企業による恣意的な選択肢の設定が許容され、リテラシーの低い消費者のプライバシーが保たれない恐れがある。提供データに関する選択肢の設定基準を設けるべきではないか。

Access/Transparency (アクセス・透明性)

【記載内容】
・「提供の日時、提供されたデータ項目、提供先での利用状況など、履歴の詳細を提供する場合は、その旨を明示すること」（事業内容_⑤-2 p.15）

【懸念点】
・詳細な提供データ履歴の提供が任意であるため、透明性が欠如している。これを義務とするべきではないか。

Portability (ポータビリティ)

【記載内容】
・「保有個人データの開示の請求（個人情報保護法第28条に基づく請求）を可能とする仕組みを提供すること」
・「その他、他の情報銀行や事業者にデータを移転する機能の有無を明示すること」（事業内容_⑤-4 p.15）

【懸念点】
・ここで言うポータビリティは「もし情報銀行が倒産した時に預けていたデータも一緒に消失すること」を防ぐ役割をもつと考えることができる。しかし、現在の日本においてデータポータビリティの定義は曖昧であるため、公正取引委員会などとともに広範囲での調整が必要である。
・開示請求に応じる義務は明記されているため、情報銀行に預けていたデータを個人の元に取り戻すことはできるものの、そのデータを他の情報銀行に移転することはできない。将来的には完全なデータポータビリティを義務化するべきではないか。

Consent (同意)

【記載内容】
・「認定の対象は、①事業者が個人情報の第三者提供を本人が同意した一定の範囲において本人の指示等に基づき本人に代わり第三者提供の妥当性を判断するサービスと、②本人が個別に第三者提供の可否を判断するサービスのうち、情報銀行が比較的大きな役割を果たすものとする」（個人情報の提供に関する同意の方法 p.4）

Source: https://www.meti.go.jp/press/2019/10/20191008003/20191008003-3.pdf

【懸念点】
・対象とするサービスの同意の方法は包括同意となっており、同意しないとサービスが受けられないという状況も認められてしまう。これを避けるため、包括同意のサービスを提供する場合は、同時に選択できる個別同意のサービスと一緒に提供するべきである。
・GDPR第7条の概念に則り、データ主体による同意は自由に与えられたもの (freely given) でなければならない。

記載なし

以下の項目は、認定指針に記載がなかったため、今後各項目をどのように盛り込んでいくべきかをまとめました。

Persistence (永続性)

Self-Sovereign Identityの10原則では、「アイデンティティは長期的に利用できなければならない」とされていますが、現在「アイデンティティは、その存在期間を選択できるものであるべきだ」という新たな意見も出てきています。

このような議論を鑑みて、今回のリサーチでは敢えてPersistence (永続性)についての言及は避けようと思います。

Interoperability (相互運用性)

情報銀行におけるInteroperability (相互運用性)は Portability (ポータビリティ) とリンクしており、情報銀行間でのデータのやりとりが可能になることを意味しています。

現在は情報銀行の母数が少ないため、まだInteroperability (相互運用性)は確保されていませんが、情報銀行間でのデータのやりとりが可能になれば、「データを持っている」ということに対する競争優位性はなくなるのではないでしょうか。

その代わり、得られたデータをどのようにサービスに落とし込むかという「アルゴリズム」が競争領域になると思います。つまり、大企業がデータの量に物を言わせて消費者を獲得するような市場ではなく、多種多様な情報銀行が生まれる理想的な市場になっていくということです。

まとめ

今回の記事では、Self-Sovereign Identityと情報銀行の関連について紹介しました。自己主権型のアイデンティティ管理を提唱するSelf-Sovereign Identityの10原則は、情報銀行の認定制度を評価する上で有効だと思います。また、現行の情報銀行の認定指針では、これらの原則に基づき、以下の点において更なる改正が求められるのではないでしょうか。

・Control (コントロール)
・Access (アクセス)
・Transparency (透明性)
・Portability (ポータビリティ)
・Consent (同意)
・Interoperability (相互運用性)

今後、情報銀行などのサービスが拡大しパーソナルデータ の利活用が進んでいく中で、Self-Sovereign Identityの概念はプライバシーの観点から重要な基準になってくると思います。