Web3時代の身分証明の在り方 DID/SSI/VCの概要

くりぷとくりぷと

1,はじめに


Web3のアイデンティティ領域は今後成長が見込まれる分野として期待されています。基本的には自身の個人情報を第三者に渡さずに自分自身で管理していこうというビジョンがあり、様々なところで議論が進められています。それを実現するために重要な下記の3つの概念について解説します。

・DID(Decentralized Indentity:分散型ID)
・SSI(Self sovereign identity:自己主権型ID)
・VC(Verifiable Credential:検証可能な個人情報)

これらはなかなか全体像が掴みにくく、あまり理解が進んでいない分野だと思いますが、実現すれば非常に便利かつ安全になることは間違いありません。こういったWeb3的な身分証明の方法が検討される背景には、Web2.0企業による膨大な顧客データの取得やプラットフォームの囲い込み戦略が進んでいることが挙げられます。これまでは個人情報は企業が保有し、企業はそのデータを利用して広告を最適化してきました。ユーザーはその利便性の代償として、アイデンティティ管理を他人に委ねてきました。その結果、個人情報がハッキングして盗まれたりといった被害も発生しています。例えば、過去にFacebookで5億件以上の個人情報が盗まれた事もあります。このように特定の企業や組織を信用しないとサービスが利用できないことがWeb2.0の課題となっていました。

このデータの保有を利用者の手に戻しつつ、改ざん不可能な形で分散的に管理をしようという流れが来ています。
ブロックチェーンを使うことで、ユーザーは自分が必要な時に必要なデータだけを相手に提出する事ができるとされています。また、企業側は、データ管理を手放すことで管理コストや情報流出リスクを減らす事ができます。このようにWeb3のアイデンティティソリューションは、ユーザーと企業の双方にメリットがあります。

2,DID/SSI/VCを理解する

2-1.DID(分散型アイデンティティ)とは


DID(Decentralized Identity:分散型アイデンティティ)は、個人、組織などのデジタルアイデンティティを分散型ネットワーク上で安全かつプライバシーに配慮した形で管理するアプローチです。具体的な方法としては、個々のユーザーに割り当てられる分散型識別子(DIDs)を、個人情報=VC(検証可能なクレデンシャル)と紐付けることで本人であることの証明を行います。DIDを使うことで、中央集権的な認証機関や企業に依存することなく、オンラインでのアイデンティティの証明が可能になります。

2-2.SSI(自己主権型ID)とは


SSI(Self-Sovereign Identity:自己主権型ID)は、DIDのベースとなる考え方で、「個々のユーザーが自分の個人情報を自分でコントロールできるようにしよう」という考え方です。中央集権型の企業や行政が持つ権限と責任をユーザー自身に移管することで、個人情報流出リスクを抑えることと、企業の顧客情報管理コストを削減できる等のメリットがあります。

2-3.VC(検証可能なクレデンシャル)とは


VC(Verifiable Credentials:検証可能なクレデンシャル)は、個人のデジタル情報をまとめた入れ物(コンテナ)のようなものです。発行された名前や生年月日などの一般的な個人情報の他、証明書、資格、権限などをクレデンシャルと言います。これらは改ざんされない状態で保管され、ユーザーの必要な情報だけを第三者に提出できるように設計されます。このVCを第三者に提供し、それが正しいことを証明する際にDIDが使われます。

3,データを伝達する一連の流れ


登場人物
・発行者(Issuer): クレデンシャル(ユーザー情報)を発行し提供する機関や組織。
・所有者(Holder): クレデンシャルを所有し、必要に応じてそれを第三者に共有する個人や組織
・検証者(Verifier): 所有者から提供されたクレデンシャルを確認するサービス提供者

DID/SSIを使ったアイデンティティ検証プロセス
1. 所有者(Holder) はSSI対応ウォレットを用意する
2. 発行者(Issuer)との接続を許可する
3. 発行者(Issuer) からVCを受け取る
4. 検証者(Verifier)にこのVCのデータの全て、または一部を共有する
5. 検証者(Verifier)は共有された情報が「誰(または何)によって発行されたのか」「誰に対して発行したのか」「改ざんの有無」「発行者による取り消しの有無」の4点をわずか数秒で検証する

4,日本国内におけるDIDの議論とその課題


現在、日本でも政府機関や民間企業などでDIDの実用化検討のための議論は活発に行われています。例として、デジタル庁が主導する「Web3.0研究会」ではその議論の中身が公開されており、それによると「情報の集権化を避けつつ官民に散らばるサービスを結び付け、公的機関では実現が難しい高度なオンリー・ワンサービスが実現できる」と、その実用化への期待がされています。

一方で、導入のための難易度の高さやプライバシー保護の観点で課題があり、個人的に実現のハードルはかなり高いと感じます。具体的には、Web3に慣れていない一般の人でもスマートフォン上で安全に鍵を管理できるかどうかということや、本人確認を行なったウォレットの取得を簡単に行えるようにすることなどの課題が指摘されています。また、またDIDの実用化は、現在の官民の集権的な管理から、その管理権限を個人に移すことを意味します。つまり、不正対策をはじめとした事業者による個人の保護が後退し、法執行が難しくなる可能性も指摘されています。プライバシー保護の点では、署名をすると、当該証明書のシリアル番号は署名された文書にも含まれてしまうことや、そもそも識別子や公開鍵そのものが法的に個人情報に該当する可能性が高く、それをパブリックチェーンに載せて公開することを国として許容しにくいという懸念があります。

このように、国内では実用化に向けた課題はあるものの、デジタル庁がDIDとマイナンバーの連携を検討しており、課題解決が進めば割と早い段階で国主導で普及が進む可能性もあります。


参考
『Web3.0 研究会報告書 ~Web3.0 の健全な発展に向けて~』
『ブロックチェーン技術等を用いたデジタルアイデンティティ の活用に関する研究』
『日本におけるデジタル資産・分散台帳技術の 活用、事業環境整備に係る調査研究』
『デジタル社会の共通機能: アイデンティティに関する デジタル庁の取り組み』

5,ゼロ知識証明の活用


前項でDID導入における課題の一つに、プライバシーの問題を挙げさせていただきました。それを解決する方法として期待されているのが「ゼロ知識証明」の活用です。ゼロ知識証明は、暗号理論における一手法で、当事者が他の当事者に対して、何らかの情報(例えば、個人情報)を明かすことなく、その情報を知っているという事実だけを証明することができます。

例えば、ゼロ知識証明を活用することで、サービス提供事業者(検証者)は顧客(所有者)の具体的な個人情報を教えてもらうことなく、その顧客が「対象年齢以上か」「対象居住地か」「特定の資産を保有しているか」という適格性を得ます。ゼロ知識証明を活用した本人確認では個人情報ではなく、しきい値を共有するので必要最低限のプライバシーは守られます。又、不正対策やその監視にも対応できるため、DIDのプライバシー問題を解決する有効な手段となりそうです。

6,まとめ


以上、Web3の新しい身分証明の在り方として、DID、SSI、VCの概要と国内の動向を解説してみました。

先日、日本の民間企業がマイナンバーカードを本人認証で使うマイナウォレットを開発するとのニュースが話題になりました。現時点ではマイナウォレットでは企業や公共サービスの本人確認のために使えるものではないらしいので、今回のDIDやSSIといった概念とは異なるユースケースが想定されてるのかもしれませんが、法整備が進むと共に、そのような使い方も検討が進められるかもしれません。

この記事が気に入ったらサポートをしてみませんか?