データ管理における原因療法をはじめたい

こんにちは。Recept 大島です。
proovyというデータ管理ミドルウェアを開発しています。

当社は「インターネット50年の当たり前を変える」ことを掲げており、それを実現するプロダクトがproovyです。
「インターネット50年の当たり前」とはなにか、そしてそこにどのような問題があり、私たちはproovyでどのように解決しようとしているのか。

そのあたりを書いていきたいと思います。

インターネット50年の当たり前

私たちの言う当たり前とは「個人情報が事業者によって管理コントロールされる」ことです。

皆さんが使っているサービスでは、会員登録時に入力した情報は事業者が管理するリソースに記録されます。
その内容を変更したい場合にはユーザーが事業者に対して変更処理をリクエストする必要がありますし、事業者が登録データを消してしまうとサービスにログインできなくなります。

データの直接的な管理は事業者が行っており、ユーザーはあくまで操作を指図する立場でした。

どこに問題があるのか

こういった議論において、よく「事業者が個人情報を不適切に取り扱って流出する危険性があるんだ」といった問題提起がなされます。

それも一つ問題としてあるとは思いますが、正直ピンと来ない人、そこに不安を感じてサービス利用をやめるほどではないという人が多いと思います。

個人情報管理をめぐる法律や認証規格の整備が進んでおり、事業者はコストをかけて安全に個人情報を管理しているケースがほとんどです。
そして私たちが解決したいと考えているのはここなのです。

個人情報管理コストの問題

個人情報を厳重に管理することを求める社会的要請が高まり、事業者は多くのコストやリスクを払っています。

コストの例（当社資料より）

この流れの中で個人情報を外部と共有するハードルもどんどんと高まっています。
cookieやトラッキング情報など、デジタル上での行動履歴の追跡・共有に関しても昨今は規制される状況。

自社で抱えるユーザーデータが膨大で、それを分析してマーケティングや商品開発に活かせるような企業は「個人情報管理にかかるコスト＜そこから生み出せる価値」が成り立つかもしれません。
しかし、そういった動きが小さい企業や小規模な事業者にとって、個人情報を保有していることが単なるコストになってしまう世界（「個人情報管理にかかるコスト＞そこから生み出せる価値」）になってきているのです。

ユーザー側の課題

ユーザーとしてもあちこちに分断されて自身の情報が記録されているのは不便なシーンがあります。

例えば色んなサービスに同じ情報を提出したり、サービスごとにログインを求められたり。

さらに昨今はフィッシング詐欺も増えており、入力した個人情報が悪意ある第三者に渡ってしまうリスクもあります。
一度デジタル上に流れたデータは半永久的に記録され流通するため、いつどこでその情報を元に悪意あるアプローチが迫るか分からない世界です。

私たちの発想

これらの課題は放置されてきたわけではありません。

例えば事業者がユーザーの情報を不適切に管理するリスクを下げるためにPマークやISMSといった認証規格の取得が求められるようになり、個人情報保護法なども頻繁に改正されています。

ログイン情報をサービスごとに管理するユーザー負担を下げるために、ソーシャルログインのように共通IDを各サービスで使える基盤も普及してきました。

しかし、これらは個別の課題に対する対症療法であり、個人情報をめぐる様々な課題の一部を解決することしかできません。

また副作用として、例えば認証規格であれば取得運営コストが中小の事業者等にとって負担となったり、ソーシャルログインであればセキュリティや責任分界点の観点から導入できないサービス（金融サービスを始めとする本人制が求められるアプリ）が出たりという新たな課題も生じています。

出てきた課題に対して個別に解決策を考えるのではなく、もっと根本的な解決を図る原因療法が必要ではないか。
そう考える私たちが考えた仕組み、それが「個人情報の置き場所をユーザー側に変えてしまう」という方式です。

ユーザーによるデータ管理

「個人情報の置き場所をユーザー側に変えてしまう」ことで、事業者やユーザーが抱える課題を根本から取り払えると考えています。

事業者目線では、リスクヘッジとして半強制的に課されてきたコストを払わなくてよくなる可能性があり、仮に不正アクセスがあってもユーザーデータに関する漏洩は起きなくなります。
（データ漏洩した場合、その情報の機微度合いによって損害賠償時の金額も大きく変わってきます）

事業者やサービスをまたいだデータ共有も今よりスムーズに行えます。
例えばマッチングアプリを利用するとして、5個のサービスを使えば5回免許証の写真を送るなどして成人済みであることを証明する必要がありました。

これは異なる事業者間でのデータ共有が、
・データを共有することで事業者が得るメリットの小ささ
・事業者間でユーザーデータを共有する規制面での障壁
などの理由で行われていないからです。

当然ユーザーとしては面倒な手続きを何度もふむコストが生じ、免許証の写真というセキュアな情報が各社に記録されるリスクもあります。

もしユーザーが自身の年齢情報を証明するデータをスマートフォンに保有してサービス側にそれを受付ける口があれば、ユーザーはその情報を提示するだけでマッチングアプリを利用できるようになります。
（さらに自分が成人していることを免許証の写真など送らずともその事実だけ示せればもっといいですよね。この考え方をゼロ知識証明と呼び、当社の基盤では実現可能です。）

このように、データの置き場所を変えればユーザー/事業者共にこれまでのペインから解放される。私たちはそう考えています。

私たちが存在する意味

「個人情報の置き場所をユーザー側に変えてしまう」について、概念としては単純なのですが簡単に実現できるかというとそうではありません。

例えばシステム設計において、

• ユーザー情報をどのように取りに行くのか

• デバイス内にデータをどのように格納するのか

• バックアップの方式はどうするか

• インフラとしてどのようなリソースをどう組み合わせて使うか（AWSかブロックチェーンか）

• 既存システムからどのように移行するのか

などの事項を考える必要があります。
私たちはDID/VCをコア技術として採用しており、そこに関しては一定のナレッジがネットに転がっていますがそのまま使えるわけでは当然なく、そもそもDID/VC技術自体も黎明期の技術で文献や事例が少ないのが現状です。

この辺は中瀬が日々頭を悩ませながら思考錯誤しています。
noteにも実装に関する気づきや学びを記しているようです。

Recept_中瀬将健｜note

ビジネス観点でも考えることは多いです。

個人情報の所有に伴い発生しているコストは、事業者として削減余地があるコストだと認識されていないことが多いです。
突き詰めて考えていくと様々なところでコストが発生しているのですが、セキュリティ対策費や資格取得コスト、人的オペレーションによるカバーなど当たり前のように計上・対応されているという感触。

まずはそこの課題感を刺激できるかが営業や提案の際の最初の難関となってきます。
業界によって個人情報の管理に関する法律や方式、利用シーンも異なるので、先方の業界に関してもある程度研究しておく必要があります。

また出所となる予算、導入されるタイミングもまちまちです。
担当者と話をする中で、それが先方のどの予算から出てくるのか推測することは大事だと思っています。

何故なら、

• そもそもこの担当者の先（上長）にこの案件の決裁権限者がいるのか

• 新規案件予算であればproovyの導入がどのような革新性ある施策に繋がるのか提示する必要がある、セキュリティ予算であればリスク低減効果について蓋然性を示す必要がある、システム系予算であれば既存手段と比較した際のコストメリットを示し経済合理性を説明できる必要があるetc…

• タイミングとして導入され得るのか（もしシステム更改のタイミングとかでの導入しか見込めなければ短期スパンでの導入を目指してアタックし続けても嫌がられるだけ）

など色々変わってくるからです。
この辺はビジネス側での実務経験がある私の役回りだと考えています。

このように、私たちの考えをユートピアで終わらせずに実現する技術的な実装が必要で、それを他事業者に導入してもらうための戦略や提案も必要です。
当社がこれらをビジネスとして実現した先に、インターネット50年の歴史に新たな方式が導入されるのです。

データ管理における原因療法

タイトルに「原因療法」と書いたのですが、当社の取り組みはこれまでの課題を根本から取り払うポテンシャルを秘めています。

デジタルサービスを利用するたびに個人情報が世界中に記録され、そのデータを狙う悪いヒトを遮断するいたちごっこが永遠に続く。
これまでの仕組みは持続可能なものではないと思います。

またユーザーは往々にして「利便性＞安全性」なものです。
ガチガチにセキュリティを固めたとしても、それが収益面に寄与せず、もしUXが落ちたと感じられれば悪影響までも生まれ得る。
社会を豊かにする使い道ではないコストが増えている*とも言えます。（セキュリティサービスや各取り組みを否定的に捉えているわけではありません、念の為）

(*)デジタル庁の試算では、データ管理にともない発生する業務のうち年間100億時間はデジタル基盤の整備により削減可能だとされています。
時間当たりの雇用コストを仮に2,500円とすると25兆円の経済効果のポテンシャルが秘められています。

個人情報管理の安全性を高める一番の方法がユーザーに管理を移管してしまうということなのであれば、これは大きなパラドックスではないかと思います。

私はこういったパラドックス的なソリューションやストーリーが好きなので、自分の事業が大きなパラドックスに挑戦していることも気に入っています笑

私が銀行時代に担当していたWeb3も、こういったダイナミックに世の中の仕組みを変えてしまう発想や技術がありました。（DID/VCもWeb3の親戚のようなものですが）

私たちの提唱する概念とソリューションがデジタル世界における巨大な課題の原因療法となることを目指し、proovyの普及に取り組んでいきます。

Proovy|信用できないことで発生するコストを取り払う

おまけ～SSIについて～

私たちがproovyで目指す世界と近しい概念として「SSI」というものがあります。

SSIはSelf-Sovereign Identityの略で、日本語に訳すと自己主権型アイデンティティとなります。
「自らに関する情報を各個人がコントロールできる世界であるべき」というムーブメントで、メガIT企業によるデータ寡占状態へのアンチテーゼやプライバシー意識の高まりが活動の中心にあります。

欧州を始めとする海外でSSIの実現に向けた取り組みが進む一方で、日本は相対的に人々の意識や国家としての取り組みが遅れている現状があります。
ただマクロ的な観点で見ると、諸外国で規制整備や技術改革がさらに進めば日本にもその流れはくると考えています。（2030年頃から本格的に日本にも流れが来ると予想）

私たちは「情報管理にかかるコストを下げたい」というミッションを掲げておりSSIの本流の思想とは少し異なっていますが、結果として個人を中心とした情報管理を実現するという点ではSSIと共通のものがあります。
インターネットにおけるデータ管理のスタンダードが変わろうとしている中で当社の取り組みはその流れと整合性が取れたものであり、ここも一つ当社が自信を持って本プロダクトを推進している根拠となっています。