インターネットが地球規模で普及し、PCやスマートフォン、また多くのモノが相互に接続され、毎日のように世界中で膨大な量のデータが生成されるようになった。データはそれを必要とする人に取得され、適正に活用されることで、経済活動はもちろん、私たちの身体や社会を支えている。
一方でデータ駆動型社会の到来は、プライバシーや知的財産に関する懸念を顕在化させた。さらに今日では、フェイクニュースや虚偽の制御データなどデータに対する懸念、プライバシーと公益のバランス、プラットフォーム事業者の寡占と勝者総取りに基づくサービスの持続可能性への疑義など、新たな課題も指摘されている。
こうした課題が悩ましいのは、立場によって見解が異なることである。ある人にとっては必要だが別の人にとっては不要、またある状況においては便益だが状況が変われば損害になり得る、ということがしばしばある。人間社会はもとより高度に複雑であり、その中で我々は必要に応じて解釈や判断をその都度行ってきた。
一方、人間の持つこうした柔軟性に対して、従来の情報システムはその能力の限界ゆえに硬直的な実装が多く、効率性の美名の下でシステムに人間が合わせることを強要するような場面も散見された。私たちの様々な経済活動、社会活動がデジタル化していく一方で、現在のデジタル空間は、そうした様々な活動を行うだけの安心の基盤が整っていない状況だと言える。
その解決に向けて日本が打ち出した新たなコンセプトが「信頼性のある自由なデータ流通(Data Free Flow with Trust、DFFT)」だが、DFFTが特徴的なのは、DFF(データの自由な流通)だけでなく、with T(信頼性のある)が示されていることである。「データの自由な流通」と「データの信頼性確保」は一見すると矛盾する概念だが、この両立を目指さなければ、人間のためのシステムを高度化することは今後不可能となるだろう。
こうした問題意識は、筆者が参加する、政府の内閣官房デジタル市場競争本部の有識者会議「Trusted Web推進協議会」が構想を進める「Trusted Web」と共通である。Trusted Webはインターネットを使ってやり取りする際、データ、トランザクション、エンティティーのそれぞれの信頼性に関する情報をあらかじめ埋め込むことを基本とする、次世代のインターネット・インフラ構想である。そのため、すでに一部ではTrusted WebがDFFTの実装系だと考える向きもあり、実際に日本が議長国として取り組む2023年の主要7カ国(G7)デジタル相会合でも討議される見込みである。では改めてTrusted Webとは何か、本稿ではその内容と現時点の成果、そして今後の見通しについて概説する。
インターネットは「信じられる」のか
インターネットは「本当に信じられる」のだろうか。あまりにも抽象的でプリミティブな問いのようだが、実は難しい問題である。
インターネットを「OSI参照モデル」で表現すると、図のように第1層から第7層に区分され、それぞれ実装されている。物理層(第1層)は、光ファイバーや電波などの物理的なメディアを使って情報を物理的に伝送する役割を担う。ネットワーク層(第3層)にはインターネット・プロトコル(IP)が存在し、そのプロトコルが定める端末を識別するための方法に基づいてIPアドレスが設定されている。またトランスポート層(第4層)ではTCP(Transmission Control Protocol)やUDP(User Datagram Protocol)、最近では米Googleが提案したQUIC(クイック)が動いている。このようにプロトコルとアーキテクチャーの組み合わせでインターネットが表現されるが、では第1層から第7層のどこでTrustを担保しているのか。
いわゆる「トラストサービス」と言えば、電子署名やタイムスタンプなどが想起されるだろう。それらは主にアプリケーション層(第7層)で表現されている。インターネットのインフラの中の機能として標準化されたものではなく、特定のアプリケーションを用いて最終端末同士、つまりエンド-エンドの通信の秘匿性を高めてTrustを担保するという考え方である。
アプリケーションは、プロトコルさえ順守すれば、自由に開発できる。一方、その自由さ故、アプリケーション同士の接続に関する手順をそろえることは難しく、相互運用性の確保は容易ではない。例えば電子署名を手段として用いる電子契約というアプリケーションは、米DocuSign(ドキュサイン)と米Adobe(アドビ)の間では現時点で相互乗り入れができない。すなわち、ドキュサインが電子契約サービスにおいて提供するTrustは、アドビのみのユーザーには提供されない。
トラストサービスが一元化され、社会制度の裏付けが保証されれば、アプリケーション層でも社会を支えるTrustを担保できるという考え方もある。例えば、マイナンバーシステムはこうした考え方に基づき、X.509と呼ばれるITU-Tの公開鍵基盤(PKI)規格およびマイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)による裏付けをもって実装されている。マイナンバー法で規定されている通り、マイナンバーは税と社会保障の管理を目的とした番号システムとしては唯一無二の存在であり、その目的においては利便性が高い。
一方で、その目的を達成するためにシステムが最適化されており、またインシデントを抑制する狙いもあって、税と社会保障以外の目的でのマイナンバーの利用は制限されている。また、そうした制約がないとしても、マイナンバーシステムは特定目的に特化されすぎており、契約に基づく民間同士のやりとりに直ちに適用するのは筋違いでもある。
アプリケーション層だけで開発したソリューションは、相互運用性と性能要件の観点で、Trustのある状態を実現するためのアプローチとしては課題がある。しかしTrustのある状態は、個人・法人を問わずほとんどのユーザー、つまり「みんなが求めるもの」でもある。だとしたら、インフラ部分での実装を含めたインターネット全体の改善を目指したほうが、結果として合理的ではないか。そしてそれをインターネットで提供されるサービスにおけるユーザーインターフェース(UI)およびユーザー体験(UX)の中核であるWWWを対象に実現できないか……。これがTrusted Webの根源的な発想である。
