自己主権型アイデンティティガイド｜オントロジー（Ontology）寄稿

自己主権型アイデンティティとは？なぜ必要なのか？

インターネットが大衆に普及して以降、ネット上でのアイデンティティについて様々な疑問が飛び交っています。ソーシャルメディア・プラットフォームからオンライン銀行に至るまで、私たちは皆、様々なオンラインサービスにログインする際に、非常に多くのオンライン人格を使い分けています。ウェブ上でいくつのアカウントを作成したのか、少し考えてみましょう。作成されたアカウントは断片的で認識不可能ではあるものの、まるでデジタル版のパンくずで痕跡を残すかのように、私たちのデジタルアイデンティティを示しています。

新しいサービスにログインするプロセスはいつも同じです。個人情報の一部を提出すると、サービスプロバイダーからデジタルアイデンティティを付与され、彼らのプラットフォームを利用できるようになります。しかし、このやりとりでの順序を考えてみると、少し違和感が感じられ、何年もの間、物事の順序が真逆になっていたことが明確になってきます。

まず初めに、私たちは既にアイデンティティを保持しているため、企業からアイデンティティを受け取る必要はありません。私たちにはアイデンティティがあるという事実を、確認するだけでいいはずです。そして次に、私たちはソーシャルネットワーク、およびサービスプロバイダーに、最も貴重な資産、つまり個人情報を提供しています。サービス利用以外に特に大きなリターンを得ることもなく、無料で情報を渡しています。もちろん彼らは喜んでサービスを提供してくれますが、それ以外は何も提供されません。

データの価値

データの真の価値に関して、表面的にしか理解していなかったということに私たちが気づいたのは、つい最近のことです。データにどれだけの価値があるか知っていますか？誰があなたのデータにアクセスできて、そのデータがどのように使われているか知っていますか？ほとんどの人は、これらの質問に対する正しい答えを持っていません。

ここ数年で、データプライバシーに関する話題は大きな関心を集めています。過去12ヶ月の間に、現在もなお継続中のCovid-19のパンデミックにより、データプライバシーに関する課題が倍増しました。最も価値のある資産として、データが原油などの地位を脅かしているのを、私たちは目撃しています。そのため、個人情報の扱い方、および個人情報の売買方法について、さらなる教育を施す必要性が高まってきました。

毎日世界中で、オンラインショッピングにて数百万のデジタル取引が実行され、モバイルアプリを介してコミュニケーションが図られ、広く情報が共有されています。しかし、私たちの情報に何が起きるのか、何が犠牲にされるのかは、誰が決定するのでしょうか？

組織が情報を集めている理由が、より良くカスタマイズされた顧客体験を提供するためであることは周知の事実でしょう。その規模に関わらず組織は、顧客がウェブサイトを訪れた回数であろうと、よく購入しているアイテムの種類であろうと、単にメールのリンクをクリックするかどうかであろうと、顧客の様々なアクティビティを追跡しています。このような情報により組織は、顧客のニーズを把握できるため、しばしば互恵的だと考えられます。組織は次に、収集されたデータを活用し、顧客独自のフィードバックに基づいて組織が自身のプロダクトおよびサービスを改善していきます。

しかしデータ収集および共有という概念は、どのような情報が第三者と共有、または第三者へ売却されているかに個人が気づいていない場合、より邪悪な状況に転じてしまう可能性があります。一般的な認識とは対照に、データは非常に有益で企業の成功の鍵となっているため、多国籍企業では、顧客から収集したデータを共有しないことが多いです。

例えばPayPalでは、透明性向上を目的として、PayPalがこれまでに顧客情報を共有した第三者を網羅したリストを発表しました。このリストには、企業名、情報共有の理由、および正確にはどのような情報が共有されたかなどが含まれています。

しかし、このような網羅リスト公開に関して、PayPalの対応は例外的であることに注意しなければなりません。大抵このような詳細は、ウェブサイトを訪れる際の冗長な利用規約の中で、または「クッキー（Cookie）」承認により、隠されてしまいます。ウェブサイトのトラフィックを追跡するクッキーを利用することにより企業は、ウェブサイト訪問者を鮮明に描写することができます。またデータプライバシーへの関心が高まっているため、クッキーの監視が強化されていますが、多くのユーザーはその影響を知らずに、ウェブサイトのクッキー使用を闇雲に許可しています。しかし個人情報共有の際に、責任を負う義務があるのは顧客なのでしょうか？

このような責任を負うには、顧客は適切な情報およびツールを身に付ける必要があります。ブロックチェーンのような新興技術が、これにおいて重要な役割を果たすでしょう。

パブリックまたはプライベートネットワーク上で情報を保存できるというブロックチェーンの性質により、当事者は重要情報にアクセスできます。その際には、個人が許可した重要情報にしかアクセスできません。このような方法では、個人が誰にどの程度までデータを共有するかを選択できるため、データ権限が個人の元へと戻ってきます。

それでは現状の問題が分かったかと思いますが、解決策はどこに存在しているのでしょうか？これらに対する代替手段は、自己主権型アイデンティティ（SSI; Self-Sovereign Identity）と呼ばれる概念です。SSIにより、個人情報の管理権をユーザーに委ね、一つのIDだけで全てのオンラインサービスにログインできるようになります。パスワードを忘れることも、全ての個人情報を渡す必要もありません。SSIとは、インターネット使用方法を劇的に変容させるかもしれない概念です。

自己主権型アイデンティティの仕組みとは？

SSIの仕組みを理解し、その特徴的な利点を理解するために、具体例としてオントロジーの分散型アイデンティティ・フレームワーク「ONT ID」を見てみましょう。

ワールド・ワイド・ウェブ・コンソーシアム（W3C; World Wide Web Consortium）が策定した非中央集権型識別子（DID）仕様に基づいたONT IDでは、自己主権型のデータ認可および所有権確認システムが提供され、これにより特定の資産を保有する各ユーザーへ、真の管理権が付与されます。ONT IDを使用することにより、暗号学を基盤にしたデジタル・アイデンティティを、個人、機関、対象およびコンテンツなどの様々な実体に割り当てながら発行できます。また、分散型かつ多様な所有権確認サービス、識別サービス、および前述の実体認証サービスなどを連携させることも可能です。

SSIを活用したシステムでは、全てのユーザーに独自の識別子が付与され、ユーザーはその識別子を用いて自身のアイデンティティを管理し、オンラインサービスにアクセスできます。例えば、オントロジーのエコシステムにおけるこのソリューションは、ONT IDと呼ばれるモバイル用デジタルIDアプリケーション兼分散型フレームワークです。

オントロジーは、ONT IDおよびVerifiable Claim（一種の情報検証方法）を使用したメカニズムを組み合わせることにより、分散型信用モデルおよび分散型信用伝達システムを確立しました。このシステムでは、各サービスがアイデンティティ認証に必要な特定のデータにしかアクセスできないようにするために、ゼロ知識証明を活用しています。これにより、Verifiable Claimのプライバシーが保護されています。ONT IDのようなソリューションを介することにより、複数の認証サービス機関を組み込み、多数の情報源からの認証を円滑化し、各実体のアイデンティティをより完璧に把握できるようになります。

特定の中央機関に依存した信用基盤のネットワーク構築だけでなく、異なる組織間で強力な信頼関係を築くことも可能です。このような信用基盤のネットワークは、組織同士の相互認証により生まれます。認証された回数が多ければ多いほど、その組織の信頼度も高くなります。信頼評価が高いということは、その組織を信用できるということです。信用のある組織からの認証を受けた組織の信頼度は、認証を与えた組織の信頼度と同等になります。

アイデンティティ・ソリューションの次なる展開

SSIソリューションと同様に、ONT IDユーザーは、携帯などのローカルデバイスに、または認証を受けたユーザのみにアクセス権を付与している秘密鍵を使用した、信頼できるクラウドストレージに、自身のデータを保存することにより、自身のデジタル・アイデンティティを安全に管理できます。ユーザーは一度ONT IDを設定するだけで、このオンラインで利用可能な単一アイデンティティを使用し、デジタル資産管理、仮想通貨を使用したコンサートチケットの購入、さらには保険の支払いなど、多数の便利なプロダクトおよびサービスへアクセス可能です。SSIはネット上でだけでなく、やがては実世界でも有益になるとも考えられています。

インターネットが進化し、銀行や医療などの不可欠なサービスがオンラインへ着実に移行していくにつれ、我々のオンライン・アイデンティティは誰が真に保有しているのかという、古くからの疑問が再燃してきました。SSIにより、データが顧客の手元に返却され、顧客が思うようにデータを利用できるようになれば、この議論に終止符が打たれるでしょう。

分散型でブロックチェーンを基盤にした自己主権型アイデンティティ・ソリューションにより、認証、セキュリティおよびデータ管理に焦点が置かれるようになっています。これは、ユーザーが自身のデータを管理し、データはユーザーに属したまま円滑にユーザーと企業が連携できるような、新たなシステム実現への重要な一歩となるでしょう。