IDは第四次産業革命を推進するキャピタルであるーー崎村夏彦×クロサカタツヤ デジタルアイデンティティー対談(2)
前回は、JR東日本の監視カメラ問題から、失敗を総括できない日本社会の問題点やインフラ視点を欠いた日本社会のあり方について論じてもらった。後半は、否応なくサイバー社会に移行していくなかで、GAFAMに依存しない信頼性のあるデータ流通インフラの重要性や、キャピタル(資本)としてのデジタルアイデンティティーの重要性、ことに産業への影響力について語り合ってもらった。
2021年9月21日 オンラインにて
崎村 夏彦/Natsuhiko Sakimura
NATコンサルティング代表、東京デジタルアイディアーズ主席研究員。米国OpenID Foundation理事長を2011年より、MyData Japan理事長を2019年より務める。Digital Identityおよびプライバシー関連技術の国際標準化を専門としており、現在世界で30億人以上に使われている、JWT, JWS, OAuth PKCE, OpenID Connect, FAPI, ISO/IEC 29100 Amd.1, ISO/IEC 29184など国際規格の著者・編者。ISO/IEC JTC 1/SC 27/WG 5 アイデンティティ管理とプライバシー技術国内小委員会主査。ISO/PC317 消費者保護:消費者向け製品におけるプライバシー・バイ・デザイン国内委員会委員長。OECDインターネット技術諮問委員会委員。総務省「プラットフォームに関する研究会」をはじめとして、多数の政府関連検討会にも参画。
2021年7月に『デジタルアイデンティティー 経営者が知らないサイバービジネスの核心』(日経BP)を上梓。
クロサカ タツヤ/Tatsuya Kurosaka
株式会社 企(くわだて)代表取締役。慶應義塾大学大学院政策・メディア研究科特任准教授。1975年生まれ。慶應義塾大学・大学院(政策・メディア研究科)修士課程修了。三菱総合研究所を経て、2008年に株式会社 企(くわだて)を設立。通信・放送セクターの経営戦略や事業開発などのコンサルティングを行うほか、総務省、経済産業省、OECD(経済協力開発機構)などの政府委員を務め、政策立案を支援。2021年7月に総務省・経済産業省が策定した「DX時代における企業のプライバシーガバナンスガイドブック」の検討に委員として関わる。2016年からは慶應義塾大学大学院特任准教授を兼務。著書に『5Gでビジネスはどう変わるのか』(日経BP刊)、『AIがつなげる社会』(弘文堂、共著)等がある。
目次
アイデンティティー・マネジメントをGAFAMに依存することのリスク
アイデンティティーは第四次産業革命を推進するキャピタルである
なぜいまだにマイナンバーへの銀行口座登録が実現しないのか
崎村 これはクロサカさんが詳しいのでお聞きしようと思うのですが、10万円問題があって、なぜ未だにマイナンバーに銀行口座を登録しようという話になっていないんですか。
クロサカ なっていないどころか、立ち消えになりました。休眠口座問題も含めて、口座情報とマイナンバーをリンクさせようという話はあったし、税と社会保障の一体改革が元々の課題なんだから、口座を押さえるということが目的のど真ん中だということは、誰でもわかることなんです。にもかかわらず、マイナンバーに銀行口座を登録する話はなぜか浮かんでは消える状態です。
崎村 全口座にマイナンバーを付番するというと、所得を捕捉されたくない人たちが反対するというのはわかるのですが、そうではなくて、給付のみの口座を一つだけ登録してくださいというのは、誰も反対しないと思うのですが。
クロサカ お勤めの人が会社に銀行口座を教えてここに振り込んでくださいというのと同じことですからね。
崎村 もし全員の口座情報が集まらないのであれば、たとえばゆうちょ銀行で未登録の人の仮口座(別段預金口座)をつくっておいて、あとで申請したときにくっつければいいんです。
クロサカ 原理主義的に、国が持つべき情報はミニマイズするべきであるということを主張する人はいますよね。政府はとにかく無力で小さくあるべきであるという人たちです。
崎村 でも、政府が小さくあるべきであれば、行政をデジタル化することでものすごく効率化されて小さくなります。
クロサカ たしかに矛盾しています。政府の機能を制限しすぎると効率は下がる、効率の悪い政府は手続きが増える、手続きが増えると予算と人員が必要になる、気がつけば政府は大きくなって力も強くなる(またはとんでもなくボロな政府になって無政府状態に近づく)、ということが理解されないですね。
崎村 こんな自明であることすら進まないということに徒労感しか抱けないですね。
信頼性あるデータ流通の場を提供する「GAIN」という試み
クロサカ 崎村さんは最近新しい取り組みを始められましたよね。そのお話を伺ってもよろしいですか。
崎村 ゲイン(GAIN, グローバル・アッシュアード・アイデンティティー・ネットワーク)ですね。インターネットは、元々は実名の世界でした。研究機関か軍に所属している人が使っていたので、ちょっと変なことをすると自分の大学の情報システム管理者から研究室に電話がかかってくる世界でした。それが1991年に商業化されて匿名の世界になりました。以前はある種の組織的境界、物理的境界によってトラストが確保されていたのが、境界がなくなることで責任を問われないんじゃないかという人たちが出てきて、犯罪が跋扈することになって、ネットはワイルドワイルドウエストの世界になってしまいました。信頼性のあるデータの流通を確保しようと考えると、安全な世界をもう一回つくって、そのなかで経済を回すようにしたら、そのなかで効率化できるのではないかという話があって、身元確認がちゃんとされている人や法人しかいない場所を現状のインターネット上にオーバーレイネットワークとしてつくろうという発想です。もちろんそのなかにも悪い人は入ってくるんでしょうけれども、デフォルトが身元確認済みのなかに身元不明者が紛れ込んでくるのでずっと取締りは簡単なはずなんです。そのときに何を根拠にするのかというと、規制によって身元確認やKYCしなければならない組織はいっぱいあります。金融機関が代表例ですが、程度の差こそあれ他にもいっぱいあります。そうしたすでに済んでいる身元確認に依拠して安全地帯を手っ取り早くつくってしまいましょうというのがGAINです。
国によってはしっかりした身元確認でやりとりしているところもあります。ノルウェーやスエーデンはBANK IDで国民の99%がそれを日常的に使っています。ただ彼ら同士の間では相互乗り入れできていません。これを相互乗り入れできるようにして一つの大きなブロックをつくりましょうというのがGAINのアイデアです。企業として銀行口座を持っているということは必ず反社チェックは通っているはずなので、そういうところであるということが保証されていれば、消費者としても安心してそこのサイトを使うことができます。本人確認されているからと言って、消費者が常に顕名で活動しないといけないわけではなくて、別に匿名・仮名で活動してもいいのです。その人が、事故を起こしたり悪いことをしたりしたときに、ある一定の手続きを経た後にその人の実体に迫ることができることが確保されていれば十分なのです。それがゲイン (GAIN)です。ことによって国が運営しているシステムがGAINに接続するということもあるでしょう。ただし、国家間だけのアレンジメントだと乗れない国も出てくるのでそこは緩く設定しています。
クロサカ 乱暴なまとめ方をすると、トランザクション、とりわけフリークエンシーがあるようなトランザクションはそれ自体がトラストを構成しうるのだから、それを活用しようという考え方でいいんですか。
崎村 今までアイデンティティープロバイダーが、アイデンティティーを保証しろという話になっていて、じゃあそれが間違っていた場合には賠償するのかという話になるわけです。でもアイデンティティーが正しいかどうかを保証するのは非常に難しいので、そこで話が止まってしまいます。しかし、デュープロセスとして確認したかどうかは責任を持てるじゃないですか。話のレベルを、アイデンティティーが信頼できるかどうかではなくて、どういうデュープロセスをしたのかを表明するところに落ち着かせたらどうだろうということです。
クロサカ ベリフィケーション(検証)のプロセスそのものに着目して、それが確かなものであるかということをお互いに確認し合いましょうということですね。
崎村 確認のプロセスは保証します、その結果が正しいかどうかは保証しませんという仕組みです。銀行がアイデンティティー・インフォメーション・プロバイダーになっているとしたら、銀行は身元確認の記録をとっているはずですから、本当に確認したのかと問われれば証拠を出せますし、その結果が間違っていても免責されるという理屈です。
アイデンティティー・マネジメントをGAFAMに依存することのリスク
桐原 日本人は、個人情報の話になった途端に法律を厳しくしろ、情報を出すな、閉じておけば安心という方向に流れがちですが、お話を聞いていると、プロセスやトレーサビリティを共有することで、オープンな世界でも信頼性や安全性を担保することが可能であるということですね。
崎村 むしろ法律でいくら厳しくしても、ちゃんとトレースができなかったら何の意味もないです。
クロサカ そうですね。法律を厳しくすることの弊害は、そこで求めている要件を達成できる人が減っていくことです。それがプラットフォーム事業者たちの寡占状態を事実上、正当化してしまっています。社会はどんどん複雑になり、あちこちで分散的にテクノロジーが入っていく現状に対して、プラットフォーム事業者の寡占を許すと、彼らの意思決定でいろんなことが進んだり進まなかったりということが起きてしまうのが競争政策的な課題として挙げられるでしょう。また、前回、崎村さんがセルフソブリン・アイデンティティーのところで国を本当に信じていいのかと問題提起されましたが、同じようにわれわれはGAFAMを信じて依拠してしまっていいのかということです。彼らは確かにしっかりやっていますが、彼ら以外のオルタナティブの可能性を常に持っていないと、GAFAMが突然ぶっ壊れたときにどうするのという問題があります。
崎村 彼らに生殺与奪の権を握られたくはないですよ。
クロサカ そう、彼らが死んじゃうとわれわれも一緒に死にかねない。だから法律をガチガチにすればいいという話だけではないんです。ただ闇雲に法律をガチガチにする状態が、われわれが求めている最適な状態に近づくための最適な手段かというと、違うと言わざるを得ません。
崎村 私の問題意識としては、みんなが守れないような法律をつくってしまうというのは、人間の自由に対する脅威だと思うのです。いつでもそれでしょっぴける状態をつくるということですから。それを恣意的に運用すればいくらでも言論封殺ができてしまいます。
クロサカ その非合理性はもっと広く議論されるべきだと思っています。
崎村 そもそも個人情報を守るというのは、別に秘密にするという意味ではありません。
クロサカ 金庫の中に入れておく話ではないんです。
崎村 場合によっては情報の表出を保証することが重要であることもあるのです。変な情報が流されてしまって、その人が社会的に困った状態に置かれたときに、本当は違うんだということを証明できるようにしてあげることも非常に重要です。個人情報の保護といった場合に、秘密主義とは違うんだということを理解したほうがいい。
クロサカ われわれは個人情報やプライバシーの問題について、丁寧に考える必要があります。言葉の一つひとつに、それがどういう状態のことを言っているのかという疑問を、当然のこととして理解していると思っている言葉に対しても投げかけるということです。それを面倒くさいと言われるかもしれませんが、少なくとも日本社会に暮らす人はそのレッスンの最中なんじゃないかという気がします。もちろんサイバースペースを前にしたときには、世界中の人たちが悩んでいると思うので、みんなレッスンの途中だと考えればいいんです。
崎村 まあ、言葉の使い方が雑になるのは日本に限った話ではないです。言葉の特性によって国ごとに雑になりかたは違いますが。たとえば日本語だと、「本人確認」という言葉が雑に扱われがちですね。そもそも本人ってなんだろうって思いませんか。私はうまく答えられないです。
個人情報・データプライバシーは構造ではなく状態
桐原 GAFAMがやっているアイデンティティー・マネジメントを日本の企業がやれないというのは、どういう理由からですか。仕組みが複雑だからということでしょうか。
崎村 30億人を相手にしろと言ったら、それはできないでしょうが、もっと小さな規模でなら難しくないと思います。現に、さっき言ったノルウェーやスエーデンではできているわけですから。GoogleよりもBANK IDでログインするほうが一般的になっていて、Google依存ではない状態があるのです。日本ではデジタルアイデンティティーに関する事柄を、何でもかんでもマクロに語りすぎるんですよ。マイナンバーで言えば、いろんなことを混ぜて話しますが、給付なら給付にフォーカスすれば自ずと解は見えるしそんなに難しくないですよ。よく使うたとえ話で、いきなりジャンプして3階に上がれる人はいません。誰でも階段を使えば3階まで行けます。でも階段を上るのをたいがいの人は嫌がるのですね。デカルトの方法序説じゃないですが、分割して一個一個確実に攻めていくのが大切です。その過程では失敗もするから、失敗をきちんと総括して、乗り越えていく。そういうスタンスというか態度 が求められています。
クロサカ 割とシンプルで科学的な営みだという気がするんですが。これだけ社会は科学そのものに依存しているのに、科学的思考を軽視するというのはなぜだろうと思います。
崎村 アイデンティティー・マネジメント周辺は、やることさえやったら全然違うと思うんですけどね。難しい話はしていないはずなんです。新発見も必要ないし技術もあるし、やればいいだけです。
クロサカ 崎村さんの最大のフラストレーションはそこですね。
崎村 私は「みんな大好き認証問題」って呼んでいますが、認証ってみんな簡単だと思っていますよね。わかりやすいし手触り感があるから。そっちにばかり話が行きやすい。識別子もそうです。
クロサカ そういう外形的というかタンジブル(実体的)なことではないんです。そこが理解できない。個人情報とかデータプライバシーは「構造ではなく状態の話なんですよ」と言った瞬間にみんな大混乱を起こすんですよ。
崎村 『デジタルアイデンティティー』では、アイデンティティーレジスターが重要で、そこに何を入れるかもすごい重要だと書いていますが、そこに話が行かないんですよね。マイナンバーは何桁にするかとか、カードの材質はどういうものにするかとかどうでもいいところばかりに注目してしまう。自分が直感的に理解できる気がするものが好きなんですね。そこに拘泥してしまう。本質ではなくて語りやすいことを語って時間が費やされてしまうということが往々にしてあります。民間企業がアイデンティティー・マネジメントをやるのであれば、ちゃんと専門家を雇うという姿勢も大事だと思います。知識と経験に敬意を払ってお金を出してほしいなと。素人主義が跋扈していて、チョロチョロっとネットで調べてわかった気になって取り組むからろくなことにならない。JR東日本の問題だって、然るべき人に意見を聞いていたら絶対にNGですよね。自己判断でいろいろやって炎上するのは、怪しげな民間療法で手遅れになる例に似ていますし、おかしな「専門家」に聞いて炎上するのは、医者を選ぶも寿命のうち、だなと(笑)
監視カメラを設置することの合理性について比較衡量すべき
桐原 JR東日本の件は、教訓として生かされるんでしょうかね?
崎村 自分の失敗ももちろんですが、他人の失敗にも学んで積み重ねていくというのが本来の西欧文明的な進化の姿ですが、それを日本はやらないですよね。誰かが悪かったことにしてしまうんです。でも固有の誰とかではなくて、全部変数に置き換えて考えなくちゃいけない。
クロサカ 戦犯を指弾して、そこで話が終わっちゃうんです。ジャーナリズムだってそうじゃないですか。犯罪者の名前をどうやって晒すかということを血眼になっています。
桐原 抽象化するという作業が苦手ですよね。抽象化してはじめて自分のこととして置き換えて考えられる。
クロサカ そう考えると、改めてJR東日本の担当者に、あなたは何がしたかったのかと聞いてみたいですね。犯罪被害を減らすのが目的であるならば、一番合理的な手段を選ぶべきで、それが監視カメラであったのかは甚だ疑問です。他にやることはあるでしょうと思います。カメラさえ付ければ犯罪が防げると思っているというのは、もはやおまじないですよね。
崎村 プロの犯罪者は経済合理性を追い求めるので、カメラのあるところでは危ない橋は渡らないというのはそうかもしれません。また、プラシーボ効果もあるので、犯罪抑制につながっていないとは言い切れませんが、それでも監視カメラ設置と犯罪発生率について検証してみないとわかりませんね。
クロサカ きわめて限定的な状態で監視カメラを置くことによる統計的有意が示されたとしても、だから監視カメラをどこへでも導入していいという結論にはなりません。そこに住む住民がいったいどういう状態を望んでいるのか問わないといけない。そこで採用している犯罪防止の方法が、他の価値を毀損していないかも考えなくてはなりません。われわれはどういう自由を犠牲にして治安を手に入れているのか、それにはどんな利益があるのか、といったことについて、比較衡量すべきだと考えます。極端なことを言えば、隣人とのトラブルを絶対に回避しようと思ったら隣人を殺してしまうのが一番手っ取り早いわけで、目的のためには手段を選ばないということになる。治安を最優先したがために、住みにくい世の中ができてしまう可能性も考えなくてはなりません。
アイデンティティーは第四次産業革命を推進するキャピタルである
桐原 崎村先生は『デジタルアイデンティティー』のなかで、第一次産業革命が信用創造によって後押しされたと書かれていますが、第四次産業革命でデジタルアイデンティティー、これも一つの信用なわけですが、その果たす役割を教えてください。
崎村 収穫逓増のためのキャピタル(資本)投資としてどういうものがあるのか、ということを考えます。フローではなくストックとして効いてくる、他の生産物に対するインプットになるものですね。インフラって典型的なキャピタルですよね。けっしてお金だけではない。交通網もキャピタルですし、上下水道もキャピタルですし、このアイデンティティーもキャピタルだと考えています。
クロサカ アイデンティティーがキャピタルだというのは、本当におっしゃる通りだと思います。われわれがアイデンティティー・マネジメントを考えるときに、「アイデンティティー」という言葉を用いているのは言い得て妙な言い方だと思います。アイデンティティーデータは自分の何らかの断片の投影なんですよ。われわれは、データであったりトランザクションであったり、何らかの形で自分を表現しているわけです。その際に、その振る舞いをしているのはクロサカであると固有名詞で特定する必要はないのですが、「私」であるとは適正に識別してほしいんです。アイデンティティー・マネジメントはそういうことを実現してくれる手段であって、これがないとわれわれはサイバースペース上で、「私は私です」と言えなくなってしまう。私が私であることを言えないシステムは、使い物にならないですよね。だから、アイデンティティーはキャピタルであり、よりバイタルなものであると言ってもいいかもしれません。それを考えるとアイデンティティーという言葉はすごくしっくりくると思います。まだサイバースペース上の自我にはそれに代わる新しい名前が与えられていない状態なんだと思います。(了)