COVID-19のパンデミックの中、就業体系をテレワークに切り替える企業が増えたり、さまざまな用事をオンラインで済ませようとする企業や消費者のオンラインサービス利用が急激に高まっています。また、COVID-19の感染が確認された人の遠隔検査の需要が高まっています。オンラインでの個人認証を提供する幾つかのスタートアップも、この数週間で需要が増大しているといいます。そのひとつに、遠隔検査時に患者の本人確認があり遠隔診療の需要と並行して伸びています。
個人の機密情報の保存、転送、そして認証に対して、より安全な方法が必要であることは疑う余地はなく、ブロックチェーンベースの個人認証を利用する事で改善できます。
暗号学の役割
ブロックチェーンベースのIDシステムでは機密情報を直接または明示的に共有する必要はありません。デジタルデータを、ハッシュ関数、デジタル署名、そしてゼロ知識証明などの、暗号技術を使い共有、認証が可能です。
ハッシュアルゴリズムを通じて、あらゆるドキュメントを、文字と数字による長い文字列であるハッシュに変換することができます。このハッシュは、それを生み出すために使われた全ての情報を表し、デジタルフィンガープリントとして機能します。それに加えて、政府機関や他の信用されている組織は、ドキュメントに公的な有効性を与える、デジタル署名を提供することができます。
こういった技術以外にも、ゼロ知識証明を使うことで、資格やIDに関する情報を公開することなく、共有や認証に使うことができます。つまり、たとえデータが暗号化されていたとしても、その真正性を検証することができます。たとえば、ゼロ知識証明を使い自分の実際の生年月日を提示する事なく、運転やアルコールの購入が可能な年齢に達していることを証明することができます。
二つのメリット
暗号学とブロックチェーンをデジタルIDに実装することによって、最低でも2つの大きなメリットがあると考えられています。
1つ目は、ユーザーは自分の個人情報がいつ、どのように使われているかに関して、より大きな裁量を持つことができるようになります。これは、機密データを中央集権型のデータベースに保存することによる危険を大幅に減少させます。また、ブロックチェーンネットワークは暗号システムの仕様を通じて、より高いレベルでのプライバシーを提供することができます。前述のゼロ知識証明などを使うことによって、ユーザーは個人情報を共有することなく、自分の保有する資格などの有効性を証明することができます。
2つ目は、ブロックチェーンベースのデジタルIDシステムは既存のものよりも信頼できるという事実です。それ以外に、ブロックチェーンシステムは、個人が情報を改ざんすることを困難にし、あらゆる種類のデータを詐欺から効果的に保護することができます。
課題と限界
ブロックチェーンの多くのユースケースと同様に、デジタルIDシステムにブロックチェーンテクノロジーを使用するにはいくつかの課題が伴います。現在の最大の課題は、合成ID詐欺などの悪意のある攻撃です。
合成IDには、異なる個人からの有効な情報を組み合わせて、まったく新しいIDを作成することです。合成IDを作るためのそれぞれの情報は正確なので、詐欺に引っかかって、偽IDを正しいものと認識してしまうシステムもあるかもしれません。こういった種類の攻撃はクレジットカード詐欺を行う犯罪者がよく使っています。
ただし、デジタル署名を使用することで問題を軽減でき、偽造された組み合わせドキュメントはブロックチェーンに記録されません。例えば、政府機関は、各ドキュメントに個別のデジタル署名を提供できますが、同じ個人が登録したすべてのドキュメントに共通のデジタル署名を提供することも可能です。
世界での事例
Civic(個人認証、年齢確認ができる自販機を開発)
アメリカでIDの発行を受ける際には複数の書類を準備した上で政府の機関に出向き、IDを受領するまで数十日待たされます。また、IDの有効期限が切れる度に更新手続きのために同様の作業を繰り返さなければなりません。面倒で非効率な現実を解決するためにCivicが目指しているのは、高いセキュリティと低コストでID認証を実現できるエコシステムの構築です。
Civicは運転免許証を利用したID認証システムを提供しており、自動販売機にCivic Payを対応させることで年齢確認を効率化することができます。まずはビールなどから導入する予定ですが、将来的にはタバコや医薬品、大麻などにも対応する予定です。 Civicは2019年4月23日には12社の自動販売機製造会社とパートナーシップの締結を発表しました。
https://www.forbes.com/sites/tobyshapshak/2018/05/15/now-you-can-buy-beer-from-an-age-verifying-blockchain-vending-machine/#5ea98fcc1269
ソラミツ(インドネシア大手銀行へブロックチェーン本人認証を導入)
現在、銀行・証券会社・保険会社・クレジットカード会社・仮想通貨交換所などへ口座開設や申し込みを行う場合は、それぞれの機関毎に本人確認が必要となっています。
ソラミツが開発した本人認証プラットフォーム(Hyperledger Iroha)では、最初の1回のみ通常の本人確認手続きを実行し本人確認済みであることを証明する検証用トークンをブロックチェーンに登録します。個人情報は暗号化し本人のスマートホンなどに保存され、以降の金融機関などへの口座開設や申し込み時に、自らの意思に基づいて提供され、企業は検証用トークンと比較する事で改竄されていない事が簡単に確認できます。利用者の利便性が大幅に向上し企業側が個別に本人確認を実施する作業が不要になり、社会全体のコストが大幅に削減されると考えられます。
https://prtimes.jp/main/html/rd/p/000000016.000019078.html
SecureKey(IBMブロックチェーンを使用して身分証明システムを構築)
2017年、カナダのスタートアップのSecureKey社は、ブロックチェーンベースのデジタルIDシステムをIBMと共同でリリースしました。
ブロックチェーン技術をID認証や銀行口座、運転免許証に導入することで、ユーザーは携帯やWindows端末を利用して、迅速かつ効率的に、自分が認めた機関(政府、銀行、電気通信企業など)のみに識別情報を共有することができるようになります。
例えば新しい口座を作りたいと思った時に 、今まで面倒だったプロセスをブロックチェーンの導入でセキュリティを確保しつつ、自分の支払い状況や収入などを即座に共有できことが可能となります。
https://www.coindesk.com/securekey-taps-ibm-blockchain-for-digital-identity-system-launch
CULedger(米信用組合と連携、ブロックチェーン技術を用いた個人認証を開発)
2019年12月、信用組合サービス組織(CUSO)のCULedgerは米国の3信用組合と連携して、個人認証プラットフォームの導入に向けた試験に成功しました。2020年2月、CULedgerは、MemberPass(旧称MyCUID)と呼ばれるブロックチェーンIDプラットフォームを商業的に立ち上げることを発表しました。
CULedgerは、金融協同組合に検証可能な交換の信頼できるP2Pサービスネットワークを提供することを目的としています。信用組合は、会員にサービスを提供するために存在する非営利組織です。銀行と同様に、信用組合は預金を受け入れ、融資を行い、その他の幅広い金融サービスを提供しています。
システム内のメンバーのサイバーセキュリティを改善し、信用組合の詐欺リスクを軽減し、運用コストを削減するために、MemberPassは分散型元帳テクノロジーの実装を通じて信用組合間の取引を認証するように設計されています。
https://www.fintechfutures.com/2019/12/culedger-completes-blockchain-identity-pilot-with-three-us-credit-unions/
チャイナ・モバイル(宅配業界と宿泊業界に個人認証サービスを提供)
2018年9月、Huobi Chinaとチャイナ・モバイルを連携して、「聯核雲Identity Card Verification Platform」をリリースしました。これは、宅配業界と宿泊業界にユーザーID認証サービスを提供します。
宅配業界では、実名制ではないため、麻薬、可燃物、爆発物が宅配便に含まれることが多く、差出人を見つけるのは困難です。聯核雲プラットフォームにより、NFCを備えた読み取りデバイスが必要なだけで、インターネットと繋がり、低コストで効果的な個人認証を行うことができます。
また、安全を確保するため、政府はホテルが宿泊客の身分証明書を確認し、個人情報を正確に登録する必要があることを規定しています。同プラットフォームが提供するソリューションに基づいて、ホテルの部屋がIDカード検証機能付きのスマートドアロックを使用すれば、フロントでの登録なしでオンライン予約やチェックインが可能です。また、指紋や顔認識技術と組み合わせて、個人認証もでき、「ルームカードの代わりにIDカード」が実現できます。
https://saas.ecloud.10086.cn/Store/TSDetail/1242
まとめ
欠点と限界はありますが、ブロックチェーンテクノロジーにはデジタルデータの検証、保管、共有の方法を変える大きな可能性があります。今後数年間はデジタルIDの管理と証明にフォーカスをしたサービスが次々に誕生するでしょう。
引用と参考: