分散型IDプラットフォーム「UNiD（ユニッド）」のリリース以降 、顧客体験のデジタル化に取り組むお客様から、多くのお問い合わせをいただいております。パートナー企業の抱える課題に対して、分散型アーキテクチャーを設計し、プロダクト開発に取り組む日々は学びが多くとても刺激的です。

活動を進めていくなか、「分散型IDのコンセプトや技術面について、おすすめの書籍やその他リソースはありますか？」と聞かれることが増えてきました。各種スペックシートやソースコードに触れて学ぶことが一番の近道ですが、その導入となるようなコンテンツはとても少ないのが現状です。

本マガジンでは、現在のWEBが構造的に抱えている課題と未来のウェブのあり方、プライバシーの意識の変化と高まり、分散型IDのコンセプトや技術説明や導入事例などなどの幅広いトピックをゆるやかに発信しながら、みなさまとデジタル社会の未来について考えていきたいと思います。ご関心のある方は、マガジン登録よろしくお願いします。

分散型IDとは？

分散型IDは、個人（または法人や機器）が主体となり管理する新しいタイプの識別子の技術仕様です。この分散型IDとデジタル署名技術や分散ストレージを組み合わせることで、個人がパーソナル・データのアクセスをコントロールしながら、デジタル世界のさまざまな人やサービスや機器と安全にコミュニケーションすることができます。すでにワクチン証明書やパスポートの電子化に向けてパイロットプロジェクトが進んでおり、分散型IDの議論がますます活発になっています。

今回の記事では、いま私たちが利用しているデジタルIDが抱えてる問題は？これまでのデジタルIDと何が違うの？なぜ注目されているの？というポイントについて説明します。

これまでのデジタルID

Siloed Model
これまで、私たちはサービスごとにデジタルIDをつくり、ユーザー登録を行うことで、そのサービスのリソースにアクセスしてきました。このモデルはシンプルで構築しやすいものですが、サービスごとに毎回個人情報を入力し、登録を完了させるプロセスはとても手間がかかります。実際に、ユーザー登録などのフォーム入力段階では、40~50%のユーザーが離脱すると言われています。また、セキュリティの観点からも、パスワードの管理は大きな問題を抱えており、少なくても65%の人が、複数のサービスでパスワードを再利用しており、データ漏洩の主な原因であることがわかっています。

Federated Model
そこで、信頼できる3rd Party（IdP: Identity Provider）が認証・認可を仲介するフェデレーションモデルというものが生まれました。

このモデルは、一度認証を通れば、その認証情報を使って、許可されているすべてのサービスを使えるようにする仕組みになります。ソーシャルログインやシングルサインオンなどの形で広く利用されています。シームレスな認証・認可を可能にし、サービスごとの識別子とパスワード管理から解放することで、ユーザーの利便性を改善しています。しかし、このフェデレーションモデルは以下のような構造的問題を抱えています。

1. IdPの信頼問題
連携するサービスは全ての認証において、IdPを信頼する必要があります。金融・医療・社会インフラなどの高い信頼性を必要とするサービスではこの信頼性と責任分界点などの観点から、フェデレーション・モデルを採用することが難しくなります。実際に世界各国で政府によるフェデレーションモデルへの継続的な取り組みが行われていますが、例えば銀行で取得した証明情報を複数の銀行に仲介して利用する仕組みなどにはあまり採用されていません。

2. 単一障害点
IdPは、ユーザーの認証情報が集まる個人情報の宝庫になります。また認証情報に利用するデータ構造やスキーマを決定し、すべてのネットワーク参加者との接続を維持し続ける必要があり、柔軟性や拡張性を担保することが難しくなります。ゆえに、IdPの構築・メンテナンスコストは非常に高く、連携するサービスはIdPのポリシーや運用体制に常に影響を受けることになります。

3. 検閲性
IdPはユーザーがいつどのサービスにアクセスしたかという情報を把握することができてしまいます。現在、プライバシー意識とプライバシー保護規制の変化のなかで、世界的にも重要な議論になっています。

事業者中心のデジタルID管理の仕組み

さて、この二つのモデルに共通するのは、事業者が中心となりデジタルIDを管理している点です。ここでは「事業者中心の仕組み」と呼びたいと思います。この「事業者中心の仕組み」では解決できない構造的な課題と事業者が取り組むべきポイントについて整理します。

1. 「事業者中心の仕組み」では、本来パーソナルデータの所有者である私たちが、いつどのような情報を収集され、どのように利用されているかを知ることができません。プライバシーへの配慮が信頼構築の必須条件となる時代に、事業者は、運営体制と社内ルールに加え、それをサポートするシステム・デジタルID基盤など全体を俯瞰しデザインし直す必要があります。

2. 「事業者中心の仕組み」では、私が私であること、学歴・ワクチン接種証明といった証明情報を、3rd Partyの信頼に頼ることなく証明することができません。私たちの日常生活では、いまだに対面や人手によるデータ検証を必要としています。取引ごとに発生するデータ検証には多大なコストがかかり、またDXのボトルネックになっている事例がよく見受けられます。

3. 「データを持つこと」の採算が合わなくなりつつあります。データを持ち管理するコストが右肩上がりで増え続けるなか、「データを持つこと」の競争優位性は失われており、また個人情報を収益化することも困難な時代です。ほとんどの事業者やサービスにとって、個人情報は最適なサービスを提供するために活用されており、一箇所に集めて管理する必要性がありません。

4. 複数の顧客接点とサービスを持つ事業者にとって、サービスごとにデジタルIDがばらばらである問題は優先度の高い経営イシューです。この問題に対して自社IdPを構築するアプローチが時代に逆行していることはこれまで説明してきた通りです。

新型コロナウイルスの感染拡大の影響により、社会インフラのデジタル化が進展していくなか、こうした従来のモデルでは解決できない問題が世界中のあらゆる組織やサービスで発生しています。

分散型IDとこれまでのデジタルIDとの違いとは？

分散型IDがこれまでのデジタルIDと異なる点は、「個人中心の仕組み」であることです。

「個人中心の仕組み」は、個人がアイデンティティをコントロールできることができます。これだけでも革新的ですが、さらに、あるピア（個人、組織、マシン）は別のピアと直接、暗号化された接続を確立することができます。この接続は、セッションベースではなく、持続的に維持することができます。この接続を利用して、デジタル署名された認証情報や証明情報を交換し、分散台帳を使用して受信したデータを自動検証することができます。

例えば、病院から発行された証明情報を個人が持ち運び、保険サービスや空港の入出国審査ゲートで自動検証することができます。同様に、一度発行された本人確認結果をさまざまなサービスで再活用することができます。誰もが検証可能な証明情報を持ち運ぶことで、個人情報を知っているだけでは、その人になりすますことが難しくなります。

これまでサービスごとにばらばらであったデジタルIDが、個人が管理する分散型IDと繋がることで、個人主導のデータ循環を実現することができます。連携するサービスは個人許諾に基づいて、検証可能なデータにアクセスすることができます。このような「個人中心の仕組み」を支えるプロトコル・技術仕様の標準化が、2017年頃から始まり、2021年3月18日に W3CからCandidate Recommendation が勧告されました。これは分散型IDの技術設計が完了し、社会実装ステージに移行したことを意味しています。

私たちは、分散型IDの導入を容易にするフルスタックなプラットフォームの開発に焦点を当てていますが、この「個人中心の仕組み」を実現するには、技術だけではなく、ポリシーやガバナンス設計にも目を向ける必要があります。引き続き、世界中のエンジニア、ポリシーメイカー、標準化を推進するコミュニティと共に活動しながら、各業界でデジタル化に取り組む皆様と、デジタル社会を前進させる取り組みを進めていきたいと思います。

こちらのページから「DEMO REQUEST」を受け付けております。顧客体験のデジタル化に取り組む事業者さまからのリクエストをお待ちしております。