新春特別企画

2021年のプライバシー標準

この記事を読むのに必要な時間:およそ 4 分

分散アイデンティティ(DID)と検証可能クレデンシャル(VC)

新型コロナウイルス関連でもう一つ出てきた動きに「新型コロナウイルス免疫パスポート」があります。これは支持者が多い一方で,以下のような危険性も指摘されています。

  1. 紙の免疫パスポートは偽造が容易。スマートフォンを使ったもののほうがその点では安全だがプライバシーを侵すリスクがかなり高い上,コロナ禍が収束してもこれらのアプリが役目を終えるという保証は何もない。
    1. 中国:一部の地域では人々が公共の場所に入るのをスマートフォンに表示されるQRコードで管理しているが,これは個人の新型コロナウイルス関連情報だけでなく,居場所,旅行歴,接触した相手,他のさまざまな健康情報(体温から最近風邪をひいたかどうかまで)といった個人情報まで伝えてしまう※4⁠。
    2. 台湾:警察に直接つながる警報システム付きスマートフォンアプリを使って管理している。
  2. 社会的弱者がさらに厳しく監視されるようになる
    1. マイノリティなどをより強く監視するための手段の口実として使われる可能性がある。実際中国ではアフリカ国籍の居住者全員に検査を強要してラベリングを行ったため非難を受けている。アメリカでもソーシャル・ディスタンスを守らなかったとして逮捕された人々の大部分がアフリカ系であったなどの疑わしい例が出ており,これらが新型コロナウイルスパスポートアプリと連携して管理されることには危惧が表明されている。
    2. そもそも,このようなアプリにお世話にならないといけないエッセンシャルワーカーがユーザになり,テレワークだけで収入が保証されている人はぬくぬく安泰でこのアプリの厄介にならない,という状況があるため,二重の意味で格差の要因になる。
※4
Natalie Kofler & Françoise Baylis『免疫パスポートを導入すべきでない10の理由』Nature ダイジェスト Vol. 17 No. 72020年12月26日に閲覧確認

したがって,新型コロナウイルス免疫パスポートのようなものをもしも導入するのであれば,政府等の行動に対する非常に強い透明性の要件と,個人の情報の伝達に対する個人による強いコントロール要件が課されます。

こうした点で注目されているのが分散識別子(DID)と検証可能クレデンシャル(VC)です。これは内閣官房長官を本部長とする「デジタル市場競争本部」の下に組織されている「Trusted Web推進協議会」⁠筆者も構成員です)でも話題に挙がっているもので,引き渡す情報量を最小化してかつ「同意」ベースで渡すことができるとされる技術です。多くのものはブロックチェーンを使います。また,最終的なインターフェースとするプロトコルとしては,既存との接続を重視してOpenID Connectを利用するとう流派もあり,DIDを専門に取り扱う標準化団体であるDIFは,OpenID Foundationと共同してDID-SIOPと呼ばれる仕様の策定に取り組んでいます。透明性の確保にもこうした技術が寄与するようになっていくと良いと思っています。

もっとも筆者には,DID/VCが上述の問題の有効な解決策になる方向はまだ見えていません。多くの人は「同意による最小化されたデータの提供」だから良いと考えるようなのですが,わたしは説得されていません。わたしには,こうした場合に言われる「同意」の多くが有効な同意には思えず,単にボタンを押させているだけにしか見えないからです。同意が有効であるための条件とは,超えるためのハードルが大変高いものです。個人情報の提供がサービス提供の条件になっているようなものや,同意をしないこと自体が本人に被害を及ぼすようなものは,GDPRやISO/IEC 29184的には同意とは認められません。したがって,新型コロナウイルス免疫パスポートの提示を求めたりすることの根拠に同意を使うのは大変筋が悪いのです。一方で,⁠公益のため」というと,先程挙げた社会的差別の点に戻ってきてしまいます。そういう点では,これもまた上述したように,そのデータの取扱が倫理的に許されるフェアなものであるのかどうかを透明性高く監視する仕組みやルール・運用の整備が先行すべきものと考えています。

Identity Assurance for OpenID Connect

DID/VCに類似の技術として国際標準規格の開発が進んでいるものに,Identity Assurance for OpenID Connectという技術があります。これは,International Institute of FinanceとOpenID Foundationで共同で実施されている「Open Digital Trust Initiative」の1ワーキング・グループでもあるOpenID Foundation eKYC&Identity Assurance WGで開発されている技術です。端的に言うと,自然人および法人の情報の信頼性を表すために,データ自体のみならず,そのデータが「誰が」⁠どのように」⁠どの法律のもとに」⁠何の基準に従って」検証されたかなどの付随的情報(メタデータ)も同時に引き渡すための規格です。プライバシーの観点でいうならば,自分が何者であるかということを,信頼性高く表現することを可能にするための枠組みといえます。

既にドイツでは多くの金融機関を含む1,000社以上に使われており,eIDAS下の適格証明書の発行やリモート適格署名の実施のために使われています。こうした実運用の実績は非常に重要です。特にプライバシーには大変厳しいドイツでの事例ですから,日本で類似のことをしようと思うときにも参照すべきものであると考えています。

著者プロフィール

崎村夏彦(さきむらなつひこ)

米国 OpenID Foundation 理事長。MyData Japan 理事長。
個人の手に個人の情報をコントロールする力を戻す,Power to the Peopleを実現するために,デジタル・アイデンティティに取り組んでいる。

URL:https://www.sakimura.org/