情報銀行認定基準は「自己主権型アイデンティティ」の10原則に適合しているか？

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

• 配信日：2020年6月18日 
• タイトル： 情報銀行認定基準は「自己主権型アイデンティティ」の10原則に適合しているか？
• 発表者：慶應義塾大学 経済学部 嶋田幹大氏

自己主権型アイデンティティ（SSI）とは？

Self-Sovereign Identity（SSI）すなわち自己主権型アイデンティティとは、提唱者であるクリストファー・アレン氏によると、管理主体が介在することなく、個人が自分自身のアイデンティティをコントロールできることを目指す考え方です。このSSIが満たすべき10個の原則が、日本における情報銀行の認定基準に、どのくらい明示的に記載されているのでしょうか。慶應義塾大学経済学部で、ブロックチェーンを用いた分散型アイデンティティの研究を進める学部生の嶋田幹大氏が、調査研究の成果を発表しました。

国際標準規格ISO/IEC24760では、アイデンティティを実体（entity）に関する属性情報の集合として定義しています

「実体というのは、私たち一人ひとりを指します。誕生日や性別、身長などは、実体の属性情報です。私たちは、社会の中でさまざまな関係性に応じて自己像を作り上げます。複数のアイデンティティを使い分け、相手に提供する属性を判断・選択しながら生きています」（嶋田氏）

インターネット上におけるアイデンティティ（以下、デジタルID）においては、メールアドレスや、個人を識別できるIPアドレス、Cookieなどが属性情報です。

「仮に、私がある相手に誕生日と性別、身長に関するデータだけを提供していたはずなのに、呼び名やメールアドレスまで流出していた、という場合、他観する自己像と自観する自己像の間にズレが生じます。これがプライバシーの侵害と呼ばれます」（嶋田氏）

デジタルIDにおけるプライバシーの侵害を防ぐにはどうすればよいでしょう。そこにSSIが注目される理由があります。

「SSIの10原則」のうち情報銀行の認定指針に明記されていたのは3つ

デジタルIDのモデルには、SSIだけでなく、集中型やサードパーティ管理型などがあります。

集中型というのは、（ドメインネームを管理するICANNのように）自分のデジタルIDを自分ではなく、特定のサーバーが集中管理するモデルです。サードパーティ型というのは、例えばWebサイトにシングルサインオンでログインする際にGoogleのような自分のデジタルIDを管理するIdP（Identity Provider）を介在させることでサービスを享受するモデルです。

ただ、いずれも自分のデジタルIDを自分で管理していません。例えば、パスポートは国が発行・管理する集中型アイデンティティの例ですが、国家が消滅したり、難民のように国を追われたりすれば、アイデンティティそのものがなくなってしまいます…

続きは、DataSignブログで