デジタル化された個人のアイデンティティ情報（名前や住所など自身に関する様々な属性の集合情報）は、「デジタルアイデンティティ」と呼ばれ、その情報に基づいてサービス提供者が利用者一人ひとりを識別することで、利用者の属性に応じた最適なサービスを提供することが可能になっています。野村総合研究所（NRI）は、NRIセキュアテクノロジーズ（NRIセキュア）、ジェーシービー（JCB）とともに、デジタルアイデンティティの最新動向レポート『デジタルアイデンティティ　～自己主権型／分散型アイデンティティ～』を2019年11月に共同発行しました。デジタルアイデンティティの現状と最新事例、今後、日本はどのように活用に向けた議論を進めるべきかなどを、本分野の専門家である崎村夏彦、藤井秀之に聞きました。

共通鍵からSelf-Sovereign Identityに至るID管理の歴史

ID（アイデンティティ）管理と聞くと、生活の隅々にまでコンピューターが普及した近年の話のように思われがちですが、有名な物語『アリババと四十人の盗賊』を思い出してください。この物語の中で、盗賊たちは洞窟に隠した財宝にアクセスするために「ひらけごま」という呪文を唱えていますが、これはまさにID管理で取り扱う認証鍵に他なりません。この認証鍵は「弱い（短い）長期共有鍵」であったため他者（アリババ）に漏えいし、ID管理は破綻してしまい、盗賊はお宝をすべて取られた上に全滅してします。しかし、我々は盗賊たちを笑えません。日本では、いまだに「共有パスワード」という「弱い長期共有鍵」を管理者権限に対して与えているケースがあります。そういった企業は、この文学から教訓を得られると思います。

コンピューター上で管理されるIDは1961年、マサチューセッツ工科大学（MIT）の互換タイムシェアリングシステム（CTSS）の開発にともなうパスワードの使用から始まりました。これは、本人以外の管理主体が集中的に管理する「集中型アイデンティティ管理」と言われました。
その後、ID管理をユーザー中心に行う動きが出てきます。これはUser-centric Identityと言われ、TwitterやFacebookにどのような情報を登録するかなど、ある程度ユーザーがアカウントを管理するものです。しかし、それでも管理者側の都合でアカウント削除・凍結といった事態も起こります。
国がアカウント凍結をすることもあります。例えばミャンマーのロヒンギャ、難民といった人たちが、国籍というアカウントをはく奪される事態も起きています。政府が国民にIDを発行しない、あるいははく奪した場合、その人たちが難民になった場合は、自身がどこのだれかを証明する術を失ってしまいます。このため、国連では、2030年までにすべての人に法的身分証明を与えるといった目標（SDG）を設定し、この問題解決にむけ取り組んでいます。これによって、自国内で虐げられ、基本的人権も保障されなかった人々に、国際社会が支援の手を差し伸べることが可能になります。

こうした中、GAFAのようなプラットフォーマーや国家が抹消権限をもったIDにはリスクがあるので、ユーザーが自分で作ったIDを使用し、ユーザー自らがデータコントロールすることを目指す「自己主権型（self-Sovereign）／分散型（Decentralized）アイデンティティ」という考え方が新たに登場しました。
そして、自己主権型／分散型アイデンティティ管理の標準化に向けた取り組みも活発化しています。2017年5月には、分散型ID連携に関する各種仕様の検討を行うための団体として、分散型IDファウンデーション（DIF）が設立されています。ここには、米国企業を中心に現在70社以上がメンバーとして参画し、分散型IDの標準化に向けた検討が進めています。その他にも、Web技術の標準化を行うWorld Wide Web Consortium（W3C）をはじめ、さまざまな団体で自己主権型／分散型アイデンティティの実装に向けた検討が進められています。

デジタルアイデンティティをめぐるカナダやEUの先駆的取り組み

自己主権型／分散型アイデンティティに関する取組みとして、カナダでは、デジタルアイデンティティと認証フレームワークの開発に取り組んでいる公共組織と民間企業からなる非営利団体DIACC（Digital ID & Authentication Council of Canada）が、銀行の身元確認済み情報を、ブロックチェーンを介して連携する実証実験を実施しています。

また、世界経済フォーラム（WEF）では、将来的な旅行客の増加にともなう空港、航空会社の旅客者対応の負担軽減を目指した「ノウン・トラベラー・デジタル・アイデンティティ（Known Traveler Digital Identity）」プロジェクトを2018年に立ち上げ、カナダ・オランダ間で実証実験を行っています。これは、デジタルアイデンティティを活用することで、海外旅行や出張時の際に必要となるビザ申請やセキュリティ検査、出入国審査での旅行者・審査側双方の負担軽減を目指すものです。
その他にも、個人データ管理に関する厳しい規制を設けているEUにおいても、自己主権型／分散型アイデンティティが注目されています。例えば、欧州委員会は、EU加盟国とノルウェー、リヒテンシュタインと共同でEuropean Blockchain Partnership（EBP）を2018年4月に設立し、この中でブロックチェーンを用いたEU横断の公共サービスの構築に向けたEuropean Blockchain Services Infrastructure（EBSI）を設置しています。そして、EBSIは2019年の4つの主要な取組みユースケースの一つとして、「自己主権型アイデンティティ」を指定し、ヨーロッパ型の自己主権型アイデンティティの確立に向けた検討を進めています。

スーパーシティや情報銀行などの取り組みとも共存可能

一方、日本では内閣府を中心に検討が進められている「スーパーシティ」構想の下で、スーパーシティを支えるあらゆるサービス間を連携し、そのアーキテクチャを「都市OS」化し、他都市での再利用や連携を目指す動きがあります。
都市データや都市OSは限られた者に独占されることなく、情報セキュリティや個人情報の適切な扱いを前提とした上で、地域住民や新規ビジネスに広く活用するべき、との考えのもと、グローバル展開する動きも進めています。
また、日本では、個人がアイデンティティをコントロールする仕組みとして、第三者預託型の「情報銀行」に関する取り組みも推進されています。これは、実効的な本人関与、コントローラビリティを高めて、パーソナルデータの流通・活用を促進する目的のもとに、本人が同意した一定範囲において、本人が、信頼できる主体に個人情報の第三者提供を委任するというものです。
自己主権型／分散型アイデンティティの考え方は、日本におけるスーパーシティや情報銀行等の取り組みとも共存可能であり、企業にとっても自社や連携先企業が保有する顧客層とは異なる顧客ターゲットにアプローチできる可能性があり、新たな経済圏拡大のための選択肢の一つとなり得ます。
自己主権型／分散型アイデンティティに関する議論は海外と比較するとまだ日本は遅れている状況ですが、スーパーシティや情報銀行等の取り組みとともに、議論が加速することを期待します。