日本のITサービスがグローバル化できない本当の理由
――「アイデンティティー・マネジメント」入門(1)
GAFAに代表されるインターネット企業が隆盛を迎えた2010年代、次のビジネスの資源として注目を浴びたのはビッグデータであった。膨大なアカウント数とそれにともなう巨大なデータによってITサービスの利便性が向上し、市場支配の原動力になると目されたからだ。当然、日本のITサービスもこぞってビッグデータ獲得に躍起になった。ところが、GAFAとの差は広がるばかり。その決定的な違いはなにか?
ヒントとなるのが「アイデンティティー・マネジメント」だ。彼我の差は、アイデンティティー・マネジメントに対する思想的ともいえる認識の違いにある。
今後、IT批評でもこの問題について深めていくことになるだろう。
今回は入門編としてクロサカ タツヤ氏にアイデンティティー・マネジメントをめぐる世界の状況と日本の課題について解説してもらった。
目次
IDの重要度に関して理解が進んでいない日本の社会
デジタルサービスが普及する時代において、IDの取り扱いこそがサービスの礎となる
アイデンティティー・マネジメントがGoogle依存になっている
GAFAが持っている最大の資産がIDである
IDを獲得して管理しつづけるということがGAFAの競争力の源泉
アイデンティティー・マネジメントの未熟さが露呈したドコモ口座事件
IDの重要度に関して理解が進んでいない日本の社会
IDという言葉を聞いたことがない方はいないでしょう。パスワードとセットでID/PWみたいなかたちで自分がWEBサービスを使うときに入力しています。およそWEBサービスやデジタルサービスを使う人であれば、何らか日常のなかで接点があるものと言えます。
私はインターネット嫌い、パソコン嫌いだからまったく使いませんよという人でも、例えば銀行のATMでお金を引き出す際には暗証番号を求められますし、運転免許証を更新する際にもパスワードの設定が求められています。このように何らかのかたちでIDとパスワードは日常生活を送るうえで欠かせないものになっています。
日常に定着するあまり、ある意味、空気のようなものとなっています。そのせいか、このIDにどんな価値や意味があるのかについて見過ごしてしまいがちかもしれません。IDやパスワードについて深く考えている日本人はあまり見かけません。IDやパスワード、あるいはそれら自体というよりも、それらが担っている機能や役割が、デジタルテクノロジーが普及していく時代に極めて重要なのですが、当然ながら多くの人は気づいていません。
生活の安全もそうですし、ビジネスを構築したり、国の産業を盛り上げていったりという観点からでも、重要さに関する理解が日本社会では全然進んでいないというのが現実です。
IDへの本質的な理解が進んでいないからこそ、日本は“デジタル敗戦”をしてしまったと私は考えています。マイナンバーカードが10万円給付の際に使い物にならなかったことや日本からGAFAのような企業が生まれないことの原因のひとつが、IDへの理解不足と言っても過言ではありません。
デジタルサービスが普及する時代において、IDの取り扱いこそがサービスの礎となる
そもそもIDとは何でしょうか?
IDとは、元々はアイデンティティー・ドキュメント(Identity Document)の略です。その人がその人自身であること、つまり本人確認のために必要な文書のことを指します。銀行に預けているお金を引き出すときに、その人が確かに預金者で口座名義人であることを確認する術がなければ、不正な出金が絶えないでしょう。車を運転する時も、本当にその人が免許証を持っている人間かどうか、運転をするのに適正な技術を有しているかどうかを証明するのもアイデンティティー・ドキュメントの役割です。つまり、社会的な営為には、なんであれIDはつきまといます。銀行口座や車の運転の例にかぎらず、自分が社会的な活動を行う際に、第三者に対し自分を特定させ、便益を享受する本人が自らの権利や資格を証明するための文書がアイデンティティー・ドキュメントです。
ペーパーレス化が進む現在では、ドキュメントは省かれIDはアイデンティティーそのものを指すことが多くなっています。この場合、アイデンティティーは「Id」と表記されることが多いようですが、ここでは通称として以下「ID」とまとめます。
IDは、デジタルテクノロジー・サービスの使用時にはとりわけ重要になります。デジタルテクノロジーを使ったサービスはすべて、個人が厳格に切り分けられて定義されて個人の振る舞いを一人ひとりにきちんと紐づけていくことがサービスの基礎になっているからです。つまり、同じ人間がずっと使いつづけることによって利用履歴がサービスのなかで溜まっていき、それがその人にとって最適なサービスにカスタマイズしていく礎になっているわけです。
たとえば、クロサカとAさんのIDが混濁し、サービス側から見てこの二人が区別できなくなってしまうと、Aさんが本来好きだったはずの70年代のジャズではなく、クロサカが好きそうな2000年代のヒップホップが、Aさんにお勧めされてきたりします。これくらいなら不思議に思うだけかもしれませんが(もちろん、自分が生理的に嫌いなものをリコメンドされてしまうのは深刻な話です)、これがどんどん進んでいくと、自分のプライバシーが侵害されていると疑うようになります。つまり、サイバースペースにおけるデータプライバシーというのは、単に情報の塊が守られるというだけではなくて、この情報が正しく私の情報であると明確に定義され管理された状態で、はじめてプライバシーが守られているのです。
データプライバシーはサービス提供者側にとってだけでなく、ユーザーの安全や利便性のためにデータを適切に管理し質を高めていくという意味で次の点がきわめて重要です。
それは、サービス事業者に大量に入ってくるデータがIDによってユニークに一人ひとりに明確に切り分けられて紐づけられることです。どのデータが誰のいつのものであるかが明晰だということです。
今日では、顔認証に代表される生体認証情報がアイデンティティーを管理する情報(「識別子」と言います)となっています。そこで間違いが起きれば大変なことになるのは想像に難くありません。“なりすまし”で他人が自分の銀行口座を触るといった経済的な被害は当初から想定され、対策が講じられてきました。人格権が認められ、それに基づき具体的に権利と利益が定められていきますが、ここに対して重大な侵害が起きてしまうと、サイバースペースにおいて当事者の人格が認められなくなりかねないわけです。
デジタルサービスが普及する時代において、ID(アイデンティティー)をどのように取り扱っていくのかというのは、そもそものサービスの礎であり、ここが疎かであれば何もできないと言えます。ID(アイデンティティー)に本格的に取り組まなければ未来はないというぐらい重要な話なのです。
アイデンティティー・マネジメントがGoogle依存になっている
アイデンティティー・マネジメントは、今日において、もはや私たちの社会基盤であり、生命を委ねるものです。しかしその重要性に、日本のビジネスパーソンのほとんどが気付いていません。政策に携わる人たちも、一部の人に留まっていたのが、やっと最近、広く重要性を理解しはじめたものの、まだまだ十分とは言えません。
当然、一般のユーザーはアイデンティティー・マネジメントが自分たちの生活安全にいかに関わっているのかに関心がありません。銀行口座から何者かに勝手にお金を引き落とされてしまったとか、クレジットカードを勝手に使われてしまったというような被害に遭わない限り、ほとんどの人は「まあ大丈夫ではないか」とタカを括っています。自分が使用している各種サービスのIDやパスワードの管理についても、その重大さをユーザーはわかりません。重大さに気付いたとしても、あまりにも大量のID/PW認証の仕組みに囲まれすぎていて、もはや自分では物理的に管理できない状態にいるのです。たとえば何かのきっかけでID/PWが流出してすべての改変を迫られると、手の施しようのなさに愕然とするだけです。
実際、スマホを持っている人は、平均して120個ほどのアプリをダウンロードして使っていると見られています。そう言われると驚くかもしれませんが、4スクロール分くらいと考えれば、休眠中のアプリを含めると、多い数字ではないことに気づきます。そのなかでID/PW が必要なものが甘めに見積もって半分ぐらいとして、一人あたり60〜70個のIDを管理していることになります。実際には毎回、IDやパスワードは入力しませんので、アプリ自体やWebブラウザが代理して管理しています。PCでChromeを使うと、ChromeがパスワードマネージャーになっていてID/PW を保存してくれています。実はこれ自体、アイデンティティー・マネジメントに関して多層化が進んで、もはや多くの人が自分の手に負えなくなっていて、結果として“Google依存”になっている証左であると言っても過言ではありません。
GAFAが持っている最大の資産がIDである
なぜ日本からGAFAのようなサービスが生まれないのかと、ここ何年も問われています。その一つの答えが、アイデンティティー・マネジメントの重要性を理解できず、ぞんざいに扱ってきたからだと私は思っています。
ご存知のとおりGoogleもAmazonも、グローバルユニークなIDを全世界のすべての人に提供しています。グローバルユニークとはどういうことかというと、どんな国や地域に住んでいようと、GoogleやAmazonのサービスを使いたいと思えば、世界中でその人だけのたった一つのIDを割り当てられて、その人とGoogleなりAmazonが1対1で紐づけられている状態が、何十億人分もあるということです。
GAFAが持っている最大の資産が、こうしたIDなのです。決してビッグデータのみが資産なのではありません。
一人ひとりの人間を明確に識別しユニークに定義し、仕事や趣味、嗜好、バイオに関するまでさまざまな情報が混濁することなく20億人分ぜんぶ切り分けられて管理されている状態を彼らはつくりあげたのです。そうでなければ一人ひとりにユニークなサービスを提供することはできません。お金の出し入れや管理も不可能です。やっていることは至極、当たり前のことですが、これを10億人分、20億人分きちんと管理しつづけていることを考えると、その壮大さが理解できるでしょう。
そこにたどり着くにはお金もかかりますし、技術力も必要になってきます。技術力とは、本当にこの人はクロサカなのかをどうやって確認するのかということです。これはデジタルサービス系の企業にとどまらず、個人と1対1で向き合わなければならない企業にとって、非常に難しい問題なのです。たとえば、銀行は利用者が本当にクロサカなのかについて常に確認しなければなりません。これを金融業界ではKYC(Know Your Customer)と言います。このKYCを銀行業界の基準に基づいて明確に行い、口座を開くときには公的証明書のようなものを要求したり、あるいは同じ銀行では一つしか口座が開けなかったりというルールをつくっています。
そういうことを何十億人クラスで実現していることがGAFAの凄いところです。銀行であれば国内の銀行法に基づいてKYCをすればいいのですが、Googleがサービスを提供しているのは世界中ですから、いろんな国を跨いでGoogleが明確にしている基準に基づいて本人確認をしながらサービスを提供するということを積み重ねてきました。
IDを獲得して管理しつづけるということがGAFAの競争力の源泉
2000年前後にGoogleの検索サービスが登場したときにはIDは不要でした。Gmailが登場して、それをIDとして使うようになりました。そしてGmailアドレスは、Googleのサービスを使用する際のIDになります。最近は電話番号を紐づけるなど要求が上がってきていますが、Gmailアドレス自体は非常に簡易につくることができるため、個人で複数のアドレスを持つこともできます。とすると、複数のGmailアドレスが、全部クロサカという個人に紐づいているということがGoogleのシステム上で明確にされていなければなりません。そうではないと、クロサカをユニークに識別したことにはなりません。
これを技術的に実現した後に、スマホなどのスマートデバイスが出てきました。スマートデバイスを使っているときにも、これを使用しているのは本当にクロサカであるということが識別できなければ、成人でなければ使えないアプリを子供が使ってしまうとか、決済などの問題が出てきてしまいます。Googleがサービスを始めて20年以上が経ちますが、年を追うごとにデジタルテクノロジーが高度化していって、それと同時にKYCに関しても国レベルでも産業レベルでも要求水準が上がってきています。GAFAはアイデンティティー・マネジメントの重要度を理解していたからこそ注力しキャッチアップしています。
日本のIT企業がプラットフォームになりたい、Googleのようになりたいという気持ちはよくわかりますが、国によって産業によってまちまちなKYCのルールが求める要求水準をクリアしつつ、一方でユーザーが使いやすいようなシステムに仕上げていくという複雑で難しいことを成し遂げていくのは並大抵のことではありません。それができている日本企業は今のところゼロと言ってもいいでしょう。
世界各国のありとあらゆるルールに従って、本人を確認し、その証明をする。サービス側としてルール違反だけでなくユーザーに不利益を与えるような損害が発生しないようにする。障害が発生したときにはきちんと対処できる。
あまり表にはでてこないことですが、こうした想像するだけで非常に煩雑で困難な業務を長年にわたって積み重ねてきた結果として、彼らはグローバルカンパニーとして存在しています。
だからこそ、アイデンティティー・マネジメントが彼らの競争力の源泉であることは間違いありません。
アイデンティティー・マネジメントの未熟さが露呈したドコモ口座事件
ちなみに、KYCが産業によって違うということを述べましたが、最もわかりやすい例として、ドコモ口座事件があります。
NTTドコモの通信分野におけるアプリで使っているKYCのルールと、銀行が使っているKYCのルールが違っていたことがそもそもの原因です。要件も違えば、本人確認するための手段も違っていたわけです。この違うものを無理やり、整合性をとらずに組み合わせてしまったので、軋みが起きてインシデントが発生しました。これが背景です。
そんなことは、事前にわからなかったのかと言われるかもしれません。しかし、実はやってみないとわからなかったというのが、日本企業のこの領域における現実なのだと思います。
ドコモ口座事件という通称になってしまったので、問題は一方的にドコモが悪いように思われますが、そうではありません。もちろん、最も悪いのは犯罪者ですが、一方で金融機関側もドコモ口座を受け入れたわけですから、自分たちがどんなKYCが求められていたのか、ドコモがそれを満たしていたのかチェックしなければいけないはずだったのです。とりわけ本来は伝統的にKYCに厳しいはずの日本の金融機関の人たちも、デジタルアイデンティティーについてキャッチアップできていないという実態を表してしまいました。
日本中でDX推進と言っている状況にありながら、このままアイデンティティー・マネジメントについて理解がないまま突き進んで大丈夫なのかというのが、いま突きつけられている重要なアジェンダなのだと考えています。
1回目了
 |
クロサカ タツヤ 株式会社 企(くわだて)代表取締役 |
