脱GAFAを志向する「自己主権型アイデンティティー」
――「アイデンティティー・マネジメント」入門(2)

REPORTおすすめ
テキスト クロサカ タツヤ
企代表取締役・慶應義塾大学大学院特任准教授

目次

本当は脆弱な日本のアイデンティティー・ドキュメント

日本社会はアイデンティティー証明に関する歴史が浅い

ID管理における脱GAFAが次のデジタルテクノロジーのパラダイム

日本でも始まった新しいアイデンティティー・マネジメントの議論

本人確認を制度化することの難しさ

日本でアイデンティティー・マネジメントを担っていく主体とは

サービス開発とアイデンティティー・マネジメントを紐づけて考える

 

 

 

 

本当は脆弱な日本のアイデンティティー・ドキュメント

 

アイデンティティー・マネジメントに明るいセキュリティの専門家の間では割と知られているのですが、日本のアイデンティティー・ドキュメントは、運転免許証も含めて実在しない人間でもつくることが可能であると言われています。

役所の人は私のことをクロサカであるとは知りようがないので、私がクロサカであることを何によって証明するかというと、運転免許証のようなフォトID(写真付きID)を持参して証明します。運転免許証はどこが発行しているのかというと警察(都道府県の公安委員会)です。では警察は何によって私がクロサカであることを証明しているのかというと、他の行政の書類だったり健康保険証だったりします。

ある証明書を得るには他の証明書が必要であるという証明書のチェーン、いわば物理的なIDのチェーン・オブ・トラストによって成り立っているのです。これを悪用して、いくつかの書類をうまく組み合わせることによって、実在しない人間の証明書をつくることも不可能ではないのです。

日本社会は信用を重んじる社会であると言われてきました。しかし、信用を重んじている割に、その信用の確からしさについての確認を疎かにしている面が多々あります。あなたは本当にクロサカなのか、どういった認証のための情報(「クレデンシャル」と言います)を有する人なのか、確証を得ないまま通例、前例に従って認めているところがあります。これは経歴詐称が起こりやすい社会ということでもあります。デジタルではそれが許されないために、日本の社会の信用に対する不確かさが徐々に浮き彫りにされてきているのだと思います。

 

日本社会はアイデンティティー証明に関する歴史が浅い

 

日本社会が個人の信用証明に対して曖昧なのは、村落共同体的な精神を引きずっているからだという意見もあります。メンバーが何代も一定である共同体の構成員として認知されることによって(あれは誰々の息子で、その父親は誰それの息子であるというような)成り立っている信用なので、大陸型で多様な人が往来する社会における身分証明とは自ずと成り立ちが違います。

とりわけヨーロッパは、キリスト教が認証の基点となるトラストアンカーの役割を担ってきました。名前がそもそもホーリーネームというかたちで洗礼時に生成される社会的構造があります。逆に異教徒はそのトラストの枠組みに入れず不遇を強いられるという、いわば差別の歴史も存在するわけです。

日本は社会共通のトラストアンカーにあたる存在を近代以降でしか持ち得なかった。それ以前には個人に1体1で対応する識別子、つまり名前さえも持っていませんでした。あったとしても多くは曖昧なものでしかなかった。日本社会はアイデンティティー証明に関する歴史が浅いというのが事実でしょう。

デジタルテクノロジーはそうした文化的なギャップを待ってくれません。ヨーロッパの人間であれば段差程度にしかみえない違いも、私たちには高い壁となっているということです。しかし、私たちはこの壁をよじ登って乗り越えなければなりません。この壁がこの数年間、日本でDXが進まないで苦しんでいる一因でもあるからです。この壁を乗り越えた先にしかデジタルテクノロジーの恩恵がないということは覚悟しなければなりません。

日本人の信用観がヨーロッパのそれとかけ離れているのは、責任に対する態度も大きくかけ離れていることと無縁でありません。私たちの責任に対する考え方はコロナ禍で明らかになったと指摘しておきます。「アカウンタビリティ」のことを説明責任と日本では訳していますが、この訳には、説明を果たせば責任も果たせるんだという大きなミスリードがあります。責任を果たす第一歩が説明をすることであって、説明すればすべてOKではないのです。「まず説明せよ、話はそれからだ」ということなのです。

コロナ禍に関しては、嘘をついてワクチン接種したフリであるとか治ったフリをして感染を広げてしまうと、対策の意味がなくなってしまいます。これこそデジタルテクノロジーでしっかりアイデンティティー・マネジメントをしていかないといけないテーマだと思います。

 

 

ID管理における脱GAFAが次のデジタルテクノロジーのパラダイム

 

アイデンティティー・マネジメントについてキャッチアップしなければならない課題が存在していると同時に、すでに新しいパラダイムに関する検討が始まっているということについても説明しておきたいと思います。

各国の競争政策を担っている人たちは、GoogleやAmazonがユニークIDを大量に獲得し管理していることが、市場における寡占の背景にあるのではないかということに気づいています。

グローバルIT企業がアイデンティティー・マネジメントを十全に提供してくれることは素晴らしいことなのですが、その結果、私たちユーザーはID/PWを手放せなくなりロックインされてしまっているのではないかということが問題として指摘されています。

GoogleやAmazonの成長性ついては評価すべきことかもしれません。しかし、寡占状態が強くなっていて競争が起きなくなっているのだとすると、そこには手を入れざるを得ないだろうというのが世界中の競争当局(日本では公正取引委員会)のようなところで検討が始まっている話です。テクノロジーの進化を考えれば、実効力のあるさまざまな施策が考えられるところです。

いま進められている主な議論を以下に挙げてみましょう。

GoogleやAmazonのアイデンティティー・マネジメントに依存することなくサービスプロバイダーみずからID/PW を発行し管理するということができるようにすべき。

サービスプロバイダーみずから発行したID/PW が相互接続できるようにすべき。

認証技術として実現が困難な部分はGoogleやAmazonに提供させ、ID/PW の管理については個別の事業会社が持つなど取り扱いを柔軟にすべき。

いわゆる「セルフソブリン・アイデンティティー(Self-Sovereign Identity自己主権型ID)」が論点となっています。

なかでも注目されている技術が、「ディーセントラライズ・アイデンティフィアーズ(Decentralized Identifiers分権型アイデンティティー)」や、「ベリファイアブル・クレデンシャル(Verifiable Credential)」です。

まずディーセントラライズ・アイデンティフィアーズとは、文字通り中央集権での一括発行、管理ではないID/PWを指します。次に、ベリファイアブル・クレデンシャルとは、相手がそのIDにどんな証明書を持っているのかを確認するための仕組みやデータのことです。

ディーセントラライズ・アイデンティフィアーズとベリファイアブル・クレデンシャルを組み合わせることで、現在の企業依存の個人情報管理から個人が主権的に自分の個人情報を開示することが可能になります。それぞれに分散して発行、管理するID/PWを特定企業に依存せずに束ねて利用できるようになることが重要な点です。

より柔軟なID/PW の取扱いは、システムアーキテクチャーやサービスの実装においてどれくらい可能なのかという論点で、世界中のさまざまな研究者や開発者、あるいはGAFAに対抗するマイクロソフトなどの大手ベンダーで検討が進んでいます。

まだまだ標準化が十分ではなかったりして、検討の途上ではあるのですが、このセルフソブリン・アイデンティティーが次のデジタルテクノロジーのパラダイムになるのではないかということは、関係者の間ではコンセンサスになりつつあります。技術だけの話ではないため、社会制度の面も含めて検討されなければならないものですが、デジタルテクノロジーやDXを進めるうえでの核心になると目されています。

 

 

日本でも始まった新しいアイデンティティー・マネジメントの議論

 

ヨーロッパでは「デジタルIDウオレット」が提起されています。ユーザーが自分自身でID/PWを財布のように管理できるようにしようというコンセプトで、GAFAがそれに準じないのであれば圧力をかけようとしています。

日本ではTrusted Web推進協議会が2020年の秋に立ち上がり、そこでセルフソブリン・アイデンティティーや、新しいアイデンティティー・マネジメントの枠組みを技術と社会制度の両方で考えていこうとしています。政府がアイデンティティー・マネジメントの根っこの部分であるトラストアンカーの役割を一部担えるのかという話も含めて議論されています。私もそのメンバー及び技術的な枠組みを検討するタスクフォースの座長として参加しています。

たとえば、マイナンバーは税と社会保障のために政府が提供するサービスで、そのために管理体系をつくっており明確にトラストアンカーの役割を果たすわけです。しかしマイナンバーをおいそれと他の目的に使うわけにはいかない。だとすると、新しいトラストの在り方と実装が必要ですし、それがマイナンバーシステムとも矛盾せず共存しうるものでなければいけない。そうしたビジョンを確立した上で、技術開発であるとか制度設計の基礎であるとかの検討を始めているところです。今この領域が国際的な動きとして盛り上がってきていることは確かです。

この人が本当にこのサービスを受けるべき適正な人であるのかという、サイバーとフィジカルの界面を制御する話でもあるので、きわめて重要です。暗号化も含めて技術的にも難しい話が多いのも事実です。しかし、ここは歯を食いしばってキャッチアップしていかないと、この先、日本はデジタルテクノロジーを使いこなせない、DXが進まない社会になってしまいます。ここを頑張らないと何が起こるかというと、来年も再来年もコロナ禍が続いているときに、ワクチンの予約も10万円の給付も相変わらず紙の書類でしかやり取りができないままになります。

 

 

本人確認を制度化することの難しさ

 

アイデンティティー・マネジメントこそが、これからの時代に必須な基盤(インフラ)になるのは間違いありません。

自己主権型のセルフソブリン・アイデンティティーの仕組みを構築できないと、GoogleやAmazonにID管理を委ねるしかなくなってしまいます。それは主権を失ってしまうこととほぼ同意なので、日本としてもチャレンジしていかなければならない課題です。

ただ、これは哲学的には深淵な問題も含んでいます。何をもってこの人はクロサカなのかについて最終確認できるのかということは、実はよくわからないからです。先にチェーン・オブ・トラストについて述べましたが、チェーンの根本を認証するのも難しければ、その根本にすべての責任を帰すことも難しく、むしろチェーン全体によってトラストが構成されている場合もある。こうした複雑な問題が、現実には横たわっています。

これは日本に限った話ではなく、世界的にも論じられていて、行き着くところは認識論の話になってしまいます。本人確認を制度化するというのは社会思想としても非常に難解な問題なのです。法的に考えても、そのような状態で責任を問えるのか、責任を問うための検証をどうするのか、そしてそれはどのような技術によって裏付けられるのか、また社会はその技術をどのように信用するのか……最近、トラストという言葉が流行になっていますが、トラストの作り方をどういうふうに考えるのかが非常に大きなテーマになっているのは間違いありません。ブロックチェーン技術の(表面的な金儲けではない)より深遠な領域に携わる人たちも、真剣に悩んで取り組んでいる分野です。

検証は英語ではベリフィケーション(Verification)ですが、最もラディカルな人たちは、「Don’t trust, Verify.(信じるな、常に検証せよ)」と言います。そこまで言ってしまうと、世の中のさまざまな合理的な仕組みが不成立になってしまうので「Trust, but Verify.(信じよ、ただし検証せよ)」という態度が現実的ではないかと言われています。この検証も含んだ認証について、Googleのみに任せるのはなくて、多様な人たちが分散的にやったほうが安全なのではないか、むしろそのほうがトラストは高まるのではないかと議論されているのは先に見た通りです。

では、どうやってトラストの状態を、あるいはベリフィケーションできる状態を、現実的かつリーズナブルに高めていくのか。これがチャレンジです。悩みは世界中一緒ですから、この分野でまだまだ日本でもやれることはあると思います。

機械学習のトレンドの一つとして、個別最適化のためのテクノロジー、識別のためのテクノロジーがあります。識別能力が上がれば上がるほど、ユニークな識別ができればできるほど、根源的な「あなたは誰」という問題が浮かび上がってくるというパラドキシカルな状況が発生してきます。

正直、誰もこの問題については解き切っていませんし、特定の企業や個人が解決できる問題ではないような気もします。テクノロジーが次に向かい合うべき社会的合意が求められる問題なのだと思います。社会のルールとして、この問題をどうするのかについて、解は一つではなくてもいいとはいえ、合意がなければ混乱を起こす可能性があります。

 

 

日本でアイデンティティー・マネジメントを担っていく主体とは

 

では、日本においてアイデンティティー・マネジメントを担っていく主体はどこのセクターになるでしょうか。

一昔前であれば、ドコモやauやソフトバンクといった通信キャリアが中心になっていくと言えたかもしれません。しかし最近は彼らだけは足りないと考えています。というのも、スマホに紐づくサービスであれば決済も含めて通信キャリアがかなりのことが可能ですが、スマホはあくまでサービスの入り口であり、その奥で行われているトランザクションが大事なサービスも多くあります。通信キャリアはフロントのところしかできず、その奥で行われるところに関しては、サービス事業体が個別にKYCやアイデンティティー・マネジメントをしていく必要があるのです。

一方で政府はマイナンバー制度などではサービスの主体として彼ら自身がアイデンティティー・マネジメントをやっていくと同時に、民間のサービス事業者にお墨付きをつける役割を担わなければなりません。

つまるところ、アイデンティティー・マネジメントはどこかのセクターがオンリーワンでやるのではなく、各セクターが協力し合いながらマネジメントの仕組みを構築していくのが望ましいはずです。ユーザーに対するアイデンティティー・マネジメントに関する啓蒙活動も必要になってくるでしょう。「そんなものは面倒だ、どこか強力なセクションで一元化してやってほしい」と思うのであれば、その人が住むにふさわしい場所は中国のほかありません。まさに中国は権力の頂点である中国共産党があり、共産党は憲法をも上回ります。国民はその下でアイデンティティーを一元的に管理されていて、それは一見して合理的ではありますが、自由がない世界です。

面倒くさくて複雑で事故を許容しながらでも、それが私たちの欲している自由であり民主主義であると考えれば、やはり多様な人たちが多様な立場で、最低限のルールや技術的な基準を守りながらKYCやアイデンティティー・マネジメントをやっていくことが求められているのだと思います。

それに、セキュリティの観点でも、中国のモデルはおすすめできません。中国社会にとって中国共産党はいわば「単一障害点(single point of failure)」であって、仮に共産党が壊れた際、中国社会を覆う混乱や機能不全を想像してみれば、できれば採用したくないトラストのモデルであることは明らかです。

 

 

サービス開発とアイデンティティー・マネジメントを紐づけて考える

 

デジタルサービスに関わる各プレーヤーが、アイデンティティー・マネジメントに積極的に関われるのかというと、現実的には悩ましい問題もあります。GAFAはそこにインセンティブを感じて莫大な投資をして、寡占状態をつくりだして利益を得ています。とはいえ、日本のサービス事業者がそこまでのインセンティブを感じているかはわかりません。

アイデンティティー・マネジメントはそれ自体がお金を生みだすわけではありません。アイデンティティー・マネジメントがなされた後に提供されるサービスによって利益が得られる構造になっています。AmazonやGoogleもアイデンティティー・マネジメントに大量に投資をしたのは、それ自体でマネタイズしたかったわけではなくて、関所をつくった後の世界でサービスを精力的に提供し利益を上げるという目論見があったからです。

電子署名と電子契約書になぞらえて説明しましょう。電子署名というのはアイデンティティー・マネジメントの一つですが、これだけのために手数料を払うという人はいません。電子署名によって電子契約が可能になることによって、紙で取り交わされていた契約書にかかるコストや煩雑さ、不確かさに比べればはるかに利便性を認められるために、電子契約にかかるコストの一部として電子署名の手数料を支払うわけです。

サービス開発とアイデンティティー・マネジメントが紐づいて密結合状態にないと現実問題として取り組むのは難しいでしょう。サービスプロバイダーがKYCについて責任を持ち、その結果としてサービスの幅が広がっていくことを志向するというのが原則論になると思います。

(了)

(1)を読む

クロサカ タツヤ

株式会社 企(くわだて)代表取締役
慶應義塾大学大学院政策・メディア研究科特任准教授
1975年生まれ。慶應義塾大学・大学院(政策・メディア研究科)修士課程修了。三菱総合研究所を経て、2008年に株式会社 企 (くわだて)を設立。通信・放送セクターの経営戦略や事業開発などのコンサルティングを行うほか、総務省、経済産業省、OECD(経済協力開発機構)などの政府委員を務め、政策立案を支援。2016年からは慶應義塾大学大学院特任准教授を兼務。近著『5Gでビジネスはどう変わるのか』(日経BP刊)。その他連載・講演等多数。