分散型ID（DID）とは？Web3で注目の個人情報管理

近年、デジタルIDの未来、次世代インターネットに必須な技術として分散型ID（DID）が国内外問わず注目を集めています。

なぜ分散型ID（DID）は世間では注目されているのか、この記事ではユーザー情報をユーザー自身の手に取り戻すことができるといわれる分散型ID（DID）について、これまでの事例も簡単に交えて、デジタルIDの未来に重要な技術である分散型ID（DID）を紹介します。

分散型ID（DID）とは？

分散型アイデンティティ（Decentralized Identity、DID）について知るには、まず、その対極にある最も一般的なアイデンティティ（Identity、ID）である中央集権型ID（Centralized Identity）について理解する必要があります。

インターネット上におけるこれまでのサービスは、個々のサービスがそれぞれIDを発行し、その管理権限はユーザーではなく発行主であるサービス側にありました。こうしたIDを、一般的に「中央集権型ID」と呼んでいます。

インターネット上の多くのサービスでは、ユーザーがサービスを初めて利用する際にメールアドレスやアカウント名、パスワードを登録し、サービス側にIDを発行してもらいます。また、金融サービスなど本人確認（KYC）が必要なサービスでは、運転免許証やマイナンバーカード（個人番号カード）など、本人確認書類の提出が必要になります。こうしたユーザー情報は、IDの発行者によって中央集権的に管理されています。

私たちは長い間、中央集権型IDやそれを使ったサービスに慣れ親しみ、便利に利用してきました。しかし、それによって、いわゆるGAFAに代表されるような巨大IT企業に情報が集中し、ユーザー情報はもとより購入履歴や行動履歴など必要以上の情報が収集され、ユーザーの意図しない形で利用されるなど、多くの問題が生じるようになりました。また、中央集権型IDは、運営の不備や悪意あるハッキング等により大規模な情報漏洩事件が繰り返されています。

さらには、サービスごとに発行されるIDの多さから、ユーザーはすでにIDやパスワードを管理する限界を超えるなど、セキュリティ面における脆弱性も抱えています。こうした問題は誰が悪いというよりも、私たちが日常的に利用するサービスが世界的な規模に急成長し、また、ユーザーの利用頻度がはるかに想像を超えたものになったことによる弊害といえるかもしれません。

こうした状況の中でブロックチェーン技術が誕生し、世の中に非中央集権的な考え方が広まるにつれ、ブロックチェーン技術は暗号資産（仮想通貨）のみならず、ユーザー情報をユーザー自身の手に取り戻すことができる「自己主権型ID（Self-Sovereign Identity、SSI）」を実現することができる技術として利用できるのではないかという議論が高まりました。

そうした議論の中で提案されたのが、「分散型ID（DID）」という考え方です。分散型IDは、世界各国で頻発する情報漏洩事件や巨大IT企業によるユーザー情報の一極集中化の問題を解決することができる技術であり、自己主権型IDを実現させる技術の一つです。

自分自身でコントロールできるID

分散型IDは中央集権的なID発行者に依存することなく、人、組織、物が相互に、透明性とセキュリティを維持しながらネットワーク上のやり取りをすることができるデジタルIDです。分散型IDは、私たちが自分であることを証明するほか、資格や経歴など自分に関するあらゆるユーザー情報の中から、どのような情報を相手（サービス）に提供・公開するかを自分自身でコントロールすることができるIDの仕組みです。

一方で分散型IDは、実はまだ開発途上の技術です。完成形の分散型IDはなく、分散型IDを実現させるための基礎技術や関連技術が各方面で開発され始めた初期段階の技術です。今も理想的な分散型IDについては議論が続いており、様々な団体、IT企業、ブロックチェーン企業等がこぞって開発をしている分野です。

では、なぜ分散型IDは開発途上の技術であるのにも関わらず注目されているのでしょうか？

その理由の一つは、EUが2016年4月に制定し2018年5月25日に施行した「GDPR（General Data Protection Regulation：一般データ保護規則）」にあります。GDPRは、EUが定めている個人情報保護に関するルールです。GDPRはたとえ日本企業であっても、EU企業と取引する場合には、GDPRのルールの適用を受けることがあります。違反した場合は、EUから高額の制裁金を科される恐れがあります。

こうしたGDPRの施行に続き、米国の「カリフォルニア州消費者プライバシー法（CCPA）」の施行など世界的に個人情報保護の機運は高まり、ビジネスがよりグローバルに発展していく中で中央集権型IDによる大規模な情報漏洩は企業の存続すら危うくするものであると考えられるようになりました。そうして欧米を中心に新たな個人情報運用の仕組みの必然性が高まり、ユーザーが自ら提供する個人情報をコントロールすることができる自己主権型IDや分散型IDという考え方が注目されるようになったのです。

分散型ID（DID）の仕組みと技術

自己主権型IDは、管理主体が介在することなく、個人が自分自身のIDをコントロールできるようにすることを目指す考え方です。管理者を介さずに自分自身で個人情報を管理できることが大きな特徴です。

自己主権型IDの一つである分散型IDは、ユーザーが自分の属性情報に関する管理権限を自ら確保した上で、保有する情報（データ）の中から必要な情報だけを、ユーザーの許可した範囲で提供し、サービス側と連携し合う考え方です。

自己主権型IDは、基本的には分散型IDを発行します。ユーザーはそのIDに対して、個人に発行された信頼できる第三者機関からの証明書を付与していくことで、信用を担保していきます。

ここでいう証明書とは何かというと、例えば自身の出身校の卒業証書であったり、何らかの資格や免許であったり、信頼できる第三者機関が個人に対して発行した証明書を指します。こうした証明書への署名を第三者機関との連携よって分散台帳（ブロックチェーン）に記録することにより、特定の中央管理者に依存せずとも証明書の内容を証明できるのが分散型IDという仕組みです。

分散型IDでは、こうした信用を必要に応じて、個人の意思によって相手に公開することが可能になります。サービス側は、必要に応じて個人情報にアクセスし、個人が許可した情報のみ参照することが可能になります。それと同時に、その情報が本物であることを取引相手に保証することができるようになるというわけです。

分散型識別子

分散型IDを実現させるための技術の一つに分散型識別子（Decentralized Identifier）があります。分散型IDと分散型識別子はどちらもDIDと略されることがあり、よく混同されることがありますが、DIDと表記されている場合、どちらのことを示しているのかの注意が必要です。昨今は間違いのないように分散型識別子をDecentralized Identifiersとし、DIDsと表記することが多くなってきています。

DIDsに関して、Web技術の標準化団体であるWorld Wide Web Consortium（W3C）が現在、標準化を進め、2022年7月19日に分散型IDの規格「Decentralized Identifiers（DIDs） v1.0」を標準規格として勧告しました。

W3Cによる定義では、分散型識別子（DIDs）は、検証可能な分散型IDを可能にする新しいタイプの識別子です。DIDsは、DIDsの管理者によって決定された任意の対象（人、組織、モノ、データモデル、抽象的な実体など）を指すものです。

分散型ID（DID）のユースケース

今日のデジタル社会において私たちは、SNSへのログインから、パスポートの申請や本人確認（KYC）等まで様々なシーンにおいて、必要な情報や書類を用いた認証を行っていますが、分散型IDの活用によって、これら一連の手続きがよりセキュアかつより複雑な処理ができるようになると考えられています。分散型ID一つですべてにアクセスすることができ、また一括で個人情報の変更・更新等が可能になります。

また、これまでは状況によって給与証明書、 源泉徴収票、課税証明書など様々な確認資料の提出が求められてきました。こうした書類の提出は不必要な個人情報まで提供してしまうという過剰な情報提供を巻き起こしていました。情報の取捨選択が可能な分散型IDでは、こうした過剰な情報提供の解決も期待されています。

分散型ID（DID）とマイナンバーカード

日本政府は2021年9月1日、デジタル社会形成基本法施行により、同時に施行されるデジタル庁設置法に基づき新たにデジタル庁を発足しました。

デジタル社会の形成に向けた施策の一つとして、デジタル庁はマイナンバーの利用促進を検討しています。デジタル庁では、2021年10月21日よりデジタル社会の形成に向けて、マイナンバー制度及び国と地方のデジタル基盤の抜本的な改善を図るため、マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループを定期的に開催しています。

ワーキンググループでは、国・地方・民間を通じた真のデジタル化に向けて目指すべき姿として、公共サービスメッシュ（※）等の検討を進めています。

※自治体基幹業務システムと連携し、個人がサービス利用の意思表示をすることで行政ネットワーク内にある当人の情報にアクセスできるサービスの繋がりを指す

公共サービスメッシュは2025年を当面の主な実装ターゲットとし、ワーキンググループは国・自治体・民間の情報連携に関する仕組みの将来像を検討していきます。この中で、マイナンバーおよびマイナンバーカードの利活用を一層深化させ、公共サービスメッシュの実現性を高めていく案として議論されています。

現時点においてマイナンバーおよびマイナンバーカードはむしろ中央集権型IDであり、今後も中央集権的な管理のまま、ID自身は分散型ID、自己主権型IDにはならないかもしれません。しかし、公共サービスメッシュの目指す方向性は、その限りではありません。

デジタル庁や同ワーキンググループが目指すデジタル社会の実現に向けた重点計画の考え方として、デジタル社会に必要な共通機能の整備・普及には、行政機関間における情報照会および情報提供について、中間サーバ等を介在させず API連携等を手段として、効率化とリアルタイム化を追求していくことも求められるとしています。また、国として共通的な基盤・機能を提供するインフラとして、ガバメントクラウドやガバメントネットワークを構築し、情報連携を密にするための環境整備も同時に必要となることも挙げています。

さらに公共サービスメッシュ等の実現すべき品質として、スマホ60秒で完結すること、スピードとして7日間でサービスが立ち上げられること、個人情報保護（分散管理・セキュリティ）、民間並みコスト、災害等に対する強靱性なども掲げています。

こうしたトータルデザインの中でのデータ活用の仕方として、本人が求めれば手続に必要な全ての自己情報（国・自治体・民間含む）にアクセスできる、自らの情報の管理ということにも言及しています。

ワーキンググループにおいては、ブロックチェーンやSSI、DID等の言葉は使っていませんが、こうした考え方は、明らかに分散型の思考ともいえるのではないでしょうか。このようなマイナンバーを活用した公共サービスメッシュ等の実現を目指すにあたっても、分散型IDの考え方は親和性があり、有用です。

分散型ID（DID）の将来性は？ 今後と課題

世界経済フォーラム（WEF）では、2018年に発足した将来的な旅行客の増加に伴う空港、航空会社の旅客者対応の負担軽減を目指した「Known Traveller Digital Identity Specifications Guidance（KTDI）」プロジェクトが、毎年ダボス会議等にて自己主権型IDに関して官民のステークホルダーを集めて議論を行っています。

KTDIのコンセプトは、公共部門と民間部門のパートナーが共同で設計したイニシアチブで、ブロックチェーン、バイオメトリクス、モバイルデバイス、暗号化などのテクノロジーによって実現される、信頼性が高く、分散型で相互運用可能なIDプラットフォームによる旅行者向けのソリューションプロジェクトです。

この構想は、旅行者の行動と期待の変化、世界的な旅行者の増加、リスクに応じたセキュリティの重視を予測し、よりシームレスで安全な旅行を促進するものです。実際にオランダとカナダの国境を越えた現実の場で試験的に導入し、国境を越えた人の移動において、新たなテクノロジーがもたらす課題を予測し、旅行者の行動と期待の変化に対応することを目的としています。

KTDIのソリューションは、分散型IDモデルをベースに構築されており、W3Cの分散化識別子（DIDs）および検証可能な資格情報（VC）を活用しています。モデルでは、旅行者がデジタルIDの属性を自己管理することが可能で、海外旅行や出張時に必要な「ビザ申請」「予約」「セキュリティスクリーニング」「出国審査」「到着・入国審査」など旅行者・審査側の双方の負担が増加している問題に関して、分散型IDを活用することでこれらの負担軽減を目指します。

さらには、カナダとオランダ間では、出入国にパスポートではなく、分散型IDによる携帯電話（スマートフォン）を使った認証のみで入国することを可能にする実証実験が行われています。こうした検証がうまくいけば、将来的には他の政府、航空会社、空港、ホテル、レンタカー会社、その他の旅行・観光業界関係者など、さらに多くのステークホルダーを巻き込み、利用可能範囲を拡大して展開していく可能性もあるといいます。

このように分散型IDを活用することで、セキュリティを維持しつつ旅行者のシームレスな移動が実現できるため、増加する海外旅行者とそれに伴うセキュリティ対策のコストを削減できるソリューションになると考えられています。

また、一部のクレジットカード会社や金融サービスを提供する企業の中には、自己主権型IDソリューションを持つ企業と提携し、分散型IDの実現に向けた実証実験を進める企業やプロジェクトも登場しています。金融サービスに関しては、分散型IDを活用し新規の口座開設やローンまたは決済サービスロ座を開設するための申請者の識別プロセスの改善と迅速化を目指し、本人確認等のプロセスの効率化をはかる実験を開始しています。

さらには、「分散型インターネット」とも称される注目のWeb3.0の世界は、まさにユーザーが自分自身のデータ・個人情報を主権的にコントロールすることができる次世代のインターネットとして話題ですが、そのベースになる技術が分散型IDといわれています。Web3.0の実現には、分散型IDは欠かすことができない技術の一つです。

まとめ

すでに多くの企業や組織が自己主権型IDの開発や導入について検討を進めていることを解説してきましたが、実際にはまだまだ実証実験段階のものが多く、その技術や考え方についてもまだ開発途上の技術であり、確固たる完成形の技術やサービスが存在するわけではありません。

またこれから登場するであろう、まだ見ぬアイデアやサービスも見据えた上で、開発を進める必要があるため、Web3.0と同様、分散型IDは、まだまだ多くのことを議論する必要が残されています。いうなれば、ようやく未来が見えてきたばかりで、開発においては初期段階の技術です。ようやく中央集権型IDに慣れてきたばかりの世間にとっても、分散型IDという概念は、利用するにあたっては暗号資産（仮想通貨）におけるウォレットのような概念と知識が必要になるなど、利用者側においても、新たな知見や経験が必要であることは否めません。誰もが利用することができる技術に昇華するには、今後、より使いやすい仕組みや画期的なアプリの登場が必須ではないでしょうか。また既存のサービスやビジネスモデルを踏まえたうえで、分散型IDに関する議論がいっそう活発になることに期待したいところです。