デジタル時代の個人データ管理を考える

　NRIセキュアテクノロジーズの藤井秀之氏は「アイデンティティのあり方がデジタル化で変化している」と、ホワイトペーパーを作成した目的を説明する。国内外のプラットフォーマーらが消費者1人ひとりのデータをオンライン上で管理、活用する一方で、データの漏えい事件や不適切な利用が顕在化してきたこともある。

　「誰が自分のデータをどう活用しているか」と、不満にもなるだろう。そこに、デジタル化の基盤といえるアイデンティティの管理を広く議論するべき理由がある。藤井氏らはそう考えている。

　実は、国連が2015年に採択した持続可能な開発目標SDGsの中に、「2030年までに、すべての人々に出生登録を含む法的な身分証明を提供する」という目標が盛り込まれている。人道的な支援もある身分証明の実現にデジタルアイデンティティの活用が有望視されている。

　たとえば、各国が発行するIDを所持していない人が難民になったら、自分自身を証明することができなくなる。発行元が消滅したり、発行元がアイデンティティを否認したり、改ざんしたりするかもしれない。身近な例がある。卒業した大学がなくなったら、誰が卒業を証明してくれるのだろうか。

　アイデンティティとは、ある個体に関する属性情報の集合のこと（図1）。簡単に言えば、性別や年齢、名前などだ。医療や購買、乗車などの利用履歴、他者との関係性、評判も入る。こうした情報は、自分が何者かを証明し、公共機関や金融機関、プラットフォーマーなどへアクセスを可能にする。

　アイデンティティに紐付くサービスも増えて、日々の生活における利便性が増すとともに、サービス提供者に経済的な価値や利益をもたらしている（図2）。デジタルアイデンティティは人だけではなく、食品のトレーサビリティなどにも使える。

自分でデータ管理する自己主権型へ

　個人データの管理に関して、課題も表面化している。1つは、デジタル化が第三者による個人データの取得、活用、管理を容易にしたことだ。GAFAなどのプラットフォーマーが発行するIDを使って、個人が複数のサイトにログインし、サービスを利用するフェデレーション型は、利便性が高まるものの、彼らに情報のコントロールを委ねることになる。彼らを信頼できるのかだ。

　アカウントが盗まれることもある。しかも、個人データが提供した1つの企業に閉じず、個人の同意なしに広まっていく可能性がある。プラットフォーマーの先のサービス提供者を信頼できるか分かるはずもないだろう。しかも、データ管理が複雑化し、管理がずさんになり、データ漏えいやハッキングされる懸念もある。

　そうしたことが、各国で個人データの管理をめぐる議論を活発化させている。議論の1つが、自分のデータは自らコントロールする自己主権型アイデンティティ（SSI）/分散型アイデンティティ（DID）だ（図3）。

　利用者がAサービスを利用する場合、Bサービスを利用する場合、自らがそれぞれに必要な情報を提供するもので、英国クレジットカード会社のバークレイカードは「2022年までには企業と顧客のやり取りの40％は、SSIによるデジタルIDでやり取りされる」と予測しているという。


　SSI/DIDの標準化に向けた取り組みも始まっている。2017年には分散型IDのデータ連携に関する各種仕様の検討を行う「分散型IDファウンデーション」が設立された。ここにはIBMやマイクロソフト、アクセンチュアなども参加する。Web技術の標準化を推進するWorld Wide Web Consortium（W3C）などでも、SSI/DIDの実装に向けた検討が進められている。

【次ページ】「個人データ管理」、日本の状況は？