2020.12.23技術ブログ

従来のID形式から変わる個人情報の新しい管理方法とは

現在、多くのWebサービスでは氏名や住所といった個人情報の登録が必要となり、その情報はサービス提供者に管理が委ねられている。そのため、サイバー攻撃などにより登録していた個人情報が流出する可能性がある。
本記事では、これに変わる新たな個人情報管理の方法を紹介する。

1.はじめに

先日、私が会員登録していたWebサービスより「不正アクセスにより情報が流出したのでパスワードを強制リセットした」というメールを受信しました。幸い氏名は登録していなかったため、流出した情報は軽微でした。しかし会員によっては実名が流出し、その情報から他のサービスの会員設定を見直すなどの対策も必要になったと考えられます。

インターネットを通じたサービスが当たり前になった現在、それらのサービスを利用するためには会員登録が必要になります。氏名や住所、生年月日などの個人情報を登録していることも多いでしょう。利用するサービスが増えるたびにIDやパスワードも増えます。しかし、全てのIDやパスワードを覚えておくことは困難であるため、Webブラウザの保存機能を使って管理、場合によっては紙に記録している人も居るかもしれません。そして、利用するサービスが増えるごとに情報が流出する可能性が高くなるといえます。IDやパスワードだけでなく、氏名などの個人情報も流出するかもしれません。
サービスによっては、ソーシャルログインと呼ばれる他のWebサービスの情報を利用する方法も広がっています。これによりIDやパスワード管理の手間を削減できます。ただし、この方法でも他のWebサービスから情報が流出する可能性はゼロではありません。

ここでは、従来のIDやパスワードでの情報管理を変える可能性があり、今後デジタルサービスで利用される自己主権型アイデンティティ(Self-Sovereign Identity:SSI)について紹介します。

2.自己主権型アイデンティティとは

前節で説明した通り、従来のIDやパスワードを管理する仕組みでは、サービス提供者側に情報の管理をゆだねています。IDやパスワードはもちろん、サービスの内容によっては氏名や住所、生年月日などもサービス提供者側が管理しています。一方、自己主権型アイデンティティは、個人が情報を管理し、サービス提供者側に対して必要な情報のみを提供します。管理する情報には氏名等の情報だけでなく卒業証明や就業証明、資格証明といった情報も扱います。それぞれの証明書発行元から発行された情報を個人が所有し、サービス利用時に認証情報を連携します。サービス提供者は認証情報をもとに個人にサービスを提供します。

この認証情報を流通させる仕組みとしてブロックチェーンを利用します。証明書発行元は認証した情報をブロックチェーンに記録します。ブロックチェーンの特徴である耐改ざん性によって、認証情報が誰かに改ざんされることを防ぎます。また、ブロックチェーンネットワークが多くの利用者によって構成されていることで、サービスごとにネットワークを組む必要もなく、様々なサービスに容易に組み込めることになります。(図)

図:自己主権型アイデンティティ

図:自己主権型アイデンティティ

3.現在の取り組み

それでは、ここまで説明した自己主権型アイデンティティが一般的になったかというと、まだ試行錯誤しながら国際的な規格が整備されつつある段階です。いくつかの国際団体で、標準化に向けた検討が進められています。W3C(World Wide Web Consortium)では、DIDs(Decentralized Identifies)と呼ばれる分散型IDで利用できる分散型識別子を中心とした標準化を進めています。DIF(Decentralized Identity Foundation)では、DIDの活用に向けたエコシステムに関して議論を進めています。

これらの団体で検討している情報をもとに試行的な取り組みも開始されています。NTTデータの南米のグループ会社では、中南米でのブロックチェーンコンソーシアム内においてCOVID-19の状況下で健康情報などを流通させるプロジェクトを立ち上げました。流通させる情報はアプリケーションが自動的に流通させるわけではなく、個人がコントロールします。このプロジェクトは個人間での情報流通から始まり、将来的には中南米地域でのパブリックな個人情報流通プラットフォームを目指しています。

他にもW3Cなどで検討された仕組みをもとに試行サービスが始まっていますが、実用に向けては課題が山積みです。個人情報を管理するアプリケーション、認証情報を流通させるためのブロックチェーンネットワーク、サービス提供者側への影響など、これからも試行錯誤が続きます。また、個人の体験にどう組み込むかも重要です。これまでのID・パスワードの形式に慣れてしまっているが故、新しい仕組みに慣れるまでに時間を要することでしょう。中南米での取り組みをはじめ、世界中での実証実験を経て、私たちはその体験を獲得していくことになるでしょう。

4.まとめ

本記事では、個人情報を自らがコントロールするための取り組みである自己主権型アイデンティティについて紹介しました。今後も多くのデジタルサービスが登場するなかで、個人情報の扱いはより注目されていきます。今はルール作りの段階ですが、近い将来ルールが実装されたソフトウェアを通じて、個人情報を自らが制御する体験を得ることになるでしょう。
- NTTデータは、「これから」を描き、その実現に向け進み続けます -
お問い合わせ