個人情報の管理を企業から個人に戻す、Microsoftの分散型IDへの取り組み：個人情報の管理は企業にとってもマイナス

Microsoftは、企業が個人情報を収集して管理する現状を変え、個人が自分で管理できる「分散型ID」の導入に取り組んでいるという。Microsoftが目指すアイデンティティー管理の形とは？

[Warwick Ashford，Computer Weekly]

　「多くの人は個人情報が収集されることに心地悪さを感じるようになっている。私たちは転換期を迎えている」と話すのは、Microsoftでアイデンティティー部門のコーポレートバイスプレジデントを務めるジョイ・チック氏だ。

　ドイツのミュンヘンで開催された「European Identity & Cloud Conference 2019」（2019年5月）でチック氏は次のように述べている。「どんな関係にも言えることだが、権利が尊重されなければその関係は解消するだろう。事実、ここ1年間で成人ユーザーの54％がFacebookでプライバシー設定を変更したという調査結果もある」

　欧州連合（EU）のGDPR（一般データ保護規則）適用に備えたことは、Microsoftにとって有意義な経験だったとチック氏は次のように話した。「この取り組みから、当社が収集したデータの量と収集したデータを扱うためにすべきことが把握できた。私個人にとっても、IDがプライバシーの要になることを再認識する機会になった」

　個人の視点で見ると、企業が個人情報を過度にコントロールしているのが実情だ。個人のプライバシーはソフトウェアと使用許諾契約書の管理下にあるためだ。だが企業の視点で見ると状況は異なる。企業には過剰な義務が課されており、顧客から収集した情報を管理するツールとプロセスの導入に四苦八苦している。

　「誰も幸せではないのが現状だ。だがIT業界には、この現状を変える方法が幾つかある。個人情報を各自がもっとコントロールできるようにして、企業に課される義務を低減することだ。誰もが現状を改善する方法を模索しているため、そのような機会は十分ある」（チック氏）

　Microsoftはバランスを取る上で重要なステップが3つあると考えている。

• 使用するIDを個人が選べるようになること
• 中立的な機関が検証した情報を受け入れること
• 個人をデータの管理者として認めること

だ。

　「企業はユーザーに新しいIDを発行するのではなく、ユーザーに属していて、強力で、どの企業にも属さないIDをユーザーが持ち込むことを許可できる」（チック氏）

　このアプローチは「IDウォレット」を所持するようなものだとチック氏は話す。「個人は企業にウォレットを丸ごと渡すのではなく、取引に必要な情報のみを提示する。それ以外の情報は開示しない。Microsoftは、分散型台帳技術を利用するデジタルIDがその立役者になると考えている。この意見には多くの賛同が得られるだろう」（訳注）

訳注：ティム・バーナーズ＝リー氏も同様の発想で活動している。Computer Weekly日本語版　12月5日号（）参照。

　「企業が所有してコントロールするユーザーIDから、個人が所有してコントロールする分散型IDへの移行は、企業と個人の両方にメリットをもたらすだろう」

　2つ目のステップは、ユーザーが提示し、各種機関が検証した情報を受け入れることだとチック氏は言う。「このような情報を受け入れると、企業は自社の義務を限定すると同時に、ビジネスに必要な情報に引き続きアクセスできる」

関連記事

• バーナーズ＝リー氏が目指す「自分のデータを自分で管理できるWeb」
• プライバシーかセキュリティか？　通信の暗号化がセキュリティ対策を阻害
• 他国も無関係ではいられない、Apple対オーストラリア政府の行方
• 2FAバイパスツールがもたらした二要素認証安全神話の終焉
• パスワードのない世界の条件は「FIDO＋アルファ」

　ウォレットの例に戻るが、検証済みの資格情報を使えば個人は任意の企業と双方向の信頼関係を築くことができる。その際、企業が情報のコピーを作成したり、関係ない他の個人情報にアクセスしたりすることはできない。

　「情報は個人に帰属する。検証済みの情報があれば企業は個人情報を収集、格納、保護する必要から解放される。だが必要な情報には引き続きアクセスできる」（チック氏）

　Microsoftはデジタルの世界において、個人が制約を設定して各自の個人情報をコントロールできるようになるべきだと考えているとチック氏は言う。

　「企業は取引に必要な情報のみを取得すべきだ。情報が個人に帰属する分散型IDを使えば、個人は企業にアクセスを許可する範囲を拡大／縮小するタイミングを決めることができる」とチック氏は補足する。

　このシナリオでは、個人に情報をコントロールする権限がある。これにより、消費者と消費者の情報を使う企業の関係性は変化するとチック氏は語る。「個人は事実上データの管理者になり、情報に対してより多くのコントロール権限を持つ。個人は引き続き企業と協力することもできる。これまでと異なるのは、個人の企業に対する信頼感が高まり、企業の義務が減り、コンプライアンスを向上させられる点だ」

　技術業界は、個人情報について企業と個人が適切なバランスを取るための変化をサポートしているとチック氏は言う。

　「Decentralized Identity Foundation（DIF）は、この実現に取り組んでいる。Microsoftは積極的にオープンソースコードをDIFに提供している。その目的は、開発者の力を借りてこの技術が分散型IDをサポートするようにすることだ」

　チック氏によると、MicrosoftはIDコミュニティーと連携して分散型IDをMicrosoftのプラットフォームに組み込もうとしているという。そうすることで、企業と個人は分散型IDがもたらす双方向の信頼関係からメリットを得ることができる。

　「この取り組みの目的はプライバシーの強化にある。イノベーションを実現するために、Microsoftはプラットフォームをオープンにしている。より強力なセキュリティとプライバシーを同時に実現することで、企業と個人を団結させることができる」（チック氏）

　最後に、プライバシーは当然の権利だとチック氏は言う。「この権利を保護するために、個人がデジタルIDを所有してコントロールできるようにしなければならない。Microsoftは、この状況を実現するため尽力しており、他社の賛同を期待している」