全3380文字
PR

 みなさんがインターネット上のサービス、例えばAppleやGoogleなどのサービスを使うとき、「あなた本人が使っている」ことをサービス提供側は認識している。それを可能にするのが「アイデンティティー管理」(デジタルで扱うので「デジタルアイデンティティー管理」と呼ぶ)である。その第一人者は実は日本人で、OpenID Foundationという米国を本拠地にする国際標準化団体の理事長を務める崎村夏彦氏だ。同氏が著した『デジタルアイデンティティー 経営者が知らないサイバービジネスの核心』(2021年7月発行)は、DX経営者が自分の言葉で語らねばならないことをまとめているという。(聞き手=日経BP 技術メディアユニット クロスメディア編集)

崎村さんは何をしている人なのか、一言で説明するとどうなりますか?

 「アイデンティティーのプロトコルを作成する人」です。AppleやGoogleなどが提供するサービスを使うとき、いちいちパスワードを入力しなくても、サービス提供側は「あなたが使っている」と認識して、あなたのためのサービスを提供しています。それを可能にするプロトコル、いわば設計図をつくっています。

崎村夏彦氏
崎村夏彦氏
NATコンサルティング代表、東京デジタルアイディアーズ主席研究員。米国OpenID Foundation理事長を2011年より、MyData Japan理事長を2019年より務める。Digital Identityおよびプライバシー関連技術の国際標準化を専門としており、現在世界で30億人以上に使われている、JWT、JWS、OAuth PKCE、OpenID Connect、FAPI、ISO/IEC 29100 Amd.1、ISO/IEC 29184など国際規格の著者・編者。ISO/IEC JTC 1/SC 27/WG 5 アイデンティティー管理とプライバシー技術国内小委員会主査。ISO/PC317 消費者保護:消費者向け製品におけるプライバシー・バイ・デザイン国内委員会委員長。OECDインターネット技術諮問委員会委員。総務省「プラットフォームサービスに関する研究会」をはじめとして、多数の政府関連検討会にも参画。(写真:本人提供)

「あなたが使っていることを認識する」ということは、アイデンティティーとはIDパスワードの「ID」のことですか?

 「ID」とは「Identity Document(アイデンティティードキュメント)」の略なので、「アイデンティティー」はIDと言っても間違いではありませんが、正しく言えば「対象(ヒト・モノ・カネ)に関する属性の集合」で、その集合でもって「本人である」など、「それ自身であること」を判断(=「本人確認」)するのに使います。IDは本来そうしたアイデンティティー情報を記録した文書(Document)のことです。

 一般の利用者はあまり意識しないかもしれませんが、アイデンティティー管理をいいかげんに行っていると、あなたではない人にあなた向けのサービスを提供することになります。その結果、あなたがためていたお金を他の人に渡すかもしれないし、あなたの写真が別の人からアクセス可能になって、あなたの恥ずかしい写真が公開されるかもしれません。「あなたがあなたである」と認識するのはサービスの基本、ネットビジネスの基本で、とても大事です。

アイデンティティーが大事なことは分かりました。お金を取られたくないですし、恥ずかしい写真も勘弁してほしいです。

 そうですよね。とても重要なアイデンティティー管理について、もっと注目してもらいたいです。今、本人確認がどのように行われているかといえば、日本で多いのは、公的機関が発行した身分証明書のコピーを送付したり、撮影した画像を送ったりする方法です。そうした情報とIDパスワードや生体認証などを組み合わせて本人確認します。実はこれ、世界のスタンダードと呼べるものがありません。それぞれの国の法律とも関わるので、各国独自のやり方が行われています。