政府が取り組む次世代Web技術「Trusted Web」


日経XTECH令和2年10月23日付記事です。政府が内閣官房デジタル市場競争本部に「Trusted Web推進協議会」を新設し、自由なデータ流通を目指すWebアーキテクチャ「Trusted Web」の検討を始めたとのことです。来年4月に日本で開催予定の世界経済フォーラム「テクノロジー・ガバナンス・サミット」で各国政府や企業に提案する為にホワイトペーパーを作成します。その中核となる技術として分散型IDを位置付け、そのアーキテクチャやシステム要件などをまとめる方針だそうです。

Webアーキテクチャを今更検討するのかと思ったら、座長の村井慶応大教授は、「デジタル社会の基盤となるアーキテクチャを聖域なく議論する。」と記者団に語ったそうです。ますます、何をするのか、何故、IT企業を所管する経産省ではなく、通信産業所管の総務省でもなく、科学技術所管の文科省でもないのか?と訳のわからない話です。内閣官房の所管とするのは、国家戦略の一環であり、多省庁にまたがる案件だからなのでしょう。Webアーキテクチャを全面的に考え直すというよりは、現在のIDに関する課題を解決する為に分散型IDによるTrustedWeb化を図ろうとする考えのようです。

筆者は昔、トラストという言葉が好きでした。しかし、ある総理大臣が米国大統領に向かってTrust meと言いながら、全くその通りに動かないことがありました。以来、トラストという言葉を信じてはいけないと思っています。(信託銀行業界には失礼な話ですが。)最近では、ゼロトラスト・ネットワークなる言葉が流行らされています。弊社はゼロトラスト化しているので、セキュリティは安全ですなどと言う企業があります。当社を信用しない方が良いですよと言っているかに思えます。念の為にゼロトラスト・ネットワークを調べてみると、特段新しい考え方でもなく、ただ、性悪説に基づいて、あらゆるリスクポイントに対して厳格なチェックと監視強化、初動態勢の整備を行なうことでした。何も新しい内容ではありません。何かインシデントが起きれば、リスクポントを見逃したとか、ベンダー技術者の閾値設定ミスだのとお馴染みの言い訳をするのでしょう。ITベンダーにとってのコアコンピテンシーはジャーゴン創りです。

話を分散型IDに戻します。現在のパスワード併用式IDの課題が叫ばれて久しく、生体認証やOTPなどによる多重認証の必要性が言われますが、なかなか普及しません。利便性や利用者の受容性に問題があるからです。そこで、現在のWebサイト主宰者が発行管理する中央集権型IDではなく、個々人が自分のID(アイデンティティ)を所有、管理する分散型ID=DID Decentralized Identityが望ましいと考えられるようになりました。そのDIDに紐付けられる属性情報も自分自身で管理する必要があります。自分が許可した相手でないとその情報を使うことができないという安心が得られます。いかにもプライバシー重視の欧州発生の考え方です。ですから、自己主権型ID(SSI=Self-Soverign Identity)とも呼ばれます。

我々、個人が数多くのIDとPWを管理する方法は限られます。どこかにメモ書きしておくか、クラウドのID管理サービスを使うか、一つか二つを使い回しするかです。多くの場合、Webサイト主宰者のID/PW発行ルールが異なるので、その都度、ID/PWの設定となり、それを個人で管理するのは物理的に無理です。そこで出てくるのが、ID/PW管理のクラウドサービスです。セキュリティは徹底的に対策を施し、万一、漏えいやなりすましが発生した場合の救済、緊急対応策なども整備されるでしょう。IDをばらばらに付番する意味が薄らいで、マイナンバーを使ってしまおうとなるかも知れません。ただ、相変わらず政府に個人情報を閲覧されるのを嫌う人がいますので、マイナンバーをIDとするか否かは個々人の判断となるでしょう。マイナンバー制度の変更を避ける為にマイナンバーそのものは使わずに、個人ID用にマイナンバーから派生させた番号を使っても良いでしょう。

このDID管理には、ブロックチェーンを使うというのが一般的な見方です。システム構築、保守が簡便化でき、セキュリティや障害対策に優れるとされています。米国などでは、既に多くの企業が、ブロックチェーンを使ったSSI/DIDのプロトタイプ実権を開始しています。マイクロソフト、アマゾン、グーグルなどです。このIDシステムと本人認証のeKYCをどう組み合せるか?我が日本や米国などでは、IDを経済合理性や利用者利便で考える傾向が強いですが、西欧ではアイデンティティ=プライバシーとして個人の基本的権利として考えます。中国のような国では、国民の全ての活動を把握できる識別子としての意味が強い。これを万国共通の制度化する必要があるのかとも思いますが、わが国としても、予断をもたずに、聖域なしの議論をすることは良いことでしょう。ただし、日本政府にはITの実装力は期待できません。彼等は笛を吹くだけです。このあたりが欧米政府とは致命的に異なります。

その議論は議論として、金融界としては、何年も、または、いつ実現するか判らない制度を待っていると、ここでも手遅れになってしまいます。様々なサービスはオーバーレイとして個別企業が考えて提供するとして、共通レイヤーについては、業界標準を作り、できるものは共同化してDIDサービスやeKYCサービス、更にはそれと密連動する情報銀行サービスなどに発展させるシナリオを作ったら良いと思います。メガバンクなどで、そうした計画が発表されたのが2、3年前でした。その後、何の進捗発表もありません。止めたなら止めたと発表して欲しいものです。メディアも発表記事だけは大きく報道して、世の中が変わるように書きますが、その後の経過フォローはしません。発表記事を覚えている方が悪いのでしょうか?

 

                    (令和2年10月30日 島田 直貴)