個人情報の管理を企業から個人に戻す、Microsoftの分散型IDへの取り組み個人情報の管理は企業にとってもマイナス

Microsoftは、企業が個人情報を収集して管理する現状を変え、個人が自分で管理できる「分散型ID」の導入に取り組んでいるという。Microsoftが目指すアイデンティティー管理の形とは?

2019年07月04日 08時00分 公開
[Warwick AshfordComputer Weekly]

 「多くの人は個人情報が収集されることに心地悪さを感じるようになっている。私たちは転換期を迎えている」と話すのは、Microsoftでアイデンティティー部門のコーポレートバイスプレジデントを務めるジョイ・チック氏だ。

 ドイツのミュンヘンで開催された「European Identity & Cloud Conference 2019」(2019年5月)でチック氏は次のように述べている。「どんな関係にも言えることだが、権利が尊重されなければその関係は解消するだろう。事実、ここ1年間で成人ユーザーの54%がFacebookでプライバシー設定を変更したという調査結果もある」

 欧州連合(EU)のGDPR(一般データ保護規則)適用に備えたことは、Microsoftにとって有意義な経験だったとチック氏は次のように話した。「この取り組みから、当社が収集したデータの量と収集したデータを扱うためにすべきことが把握できた。私個人にとっても、IDがプライバシーの要になることを再認識する機会になった」

 個人の視点で見ると、企業が個人情報を過度にコントロールしているのが実情だ。個人のプライバシーはソフトウェアと使用許諾契約書の管理下にあるためだ。だが企業の視点で見ると状況は異なる。企業には過剰な義務が課されており、顧客から収集した情報を管理するツールとプロセスの導入に四苦八苦している。

 「誰も幸せではないのが現状だ。だがIT業界には、この現状を変える方法が幾つかある。個人情報を各自がもっとコントロールできるようにして、企業に課される義務を低減することだ。誰もが現状を改善する方法を模索しているため、そのような機会は十分ある」(チック氏)

 Microsoftはバランスを取る上で重要なステップが3つあると考えている。

  • 使用するIDを個人が選べるようになること
  • 中立的な機関が検証した情報を受け入れること
  • 個人をデータの管理者として認めること

だ。

 「企業はユーザーに新しいIDを発行するのではなく、ユーザーに属していて、強力で、どの企業にも属さないIDをユーザーが持ち込むことを許可できる」(チック氏)

 このアプローチは「IDウォレット」を所持するようなものだとチック氏は話す。「個人は企業にウォレットを丸ごと渡すのではなく、取引に必要な情報のみを提示する。それ以外の情報は開示しない。Microsoftは、分散型台帳技術を利用するデジタルIDがその立役者になると考えている。この意見には多くの賛同が得られるだろう」(訳注)

訳注:ティム・バーナーズ=リー氏も同様の発想で活動している。Computer Weekly日本語版 12月5日号()参照。

 「企業が所有してコントロールするユーザーIDから、個人が所有してコントロールする分散型IDへの移行は、企業と個人の両方にメリットをもたらすだろう」

 2つ目のステップは、ユーザーが提示し、各種機関が検証した情報を受け入れることだとチック氏は言う。「このような情報を受け入れると、企業は自社の義務を限定すると同時に、ビジネスに必要な情報に引き続きアクセスできる」

 ウォレットの例に戻るが、検証済みの資格情報を使えば個人は任意の企業と双方向の信頼関係を築くことができる。その際、企業が情報のコピーを作成したり、関係ない他の個人情報にアクセスしたりすることはできない。

 「情報は個人に帰属する。検証済みの情報があれば企業は個人情報を収集、格納、保護する必要から解放される。だが必要な情報には引き続きアクセスできる」(チック氏)

 Microsoftはデジタルの世界において、個人が制約を設定して各自の個人情報をコントロールできるようになるべきだと考えているとチック氏は言う。

 「企業は取引に必要な情報のみを取得すべきだ。情報が個人に帰属する分散型IDを使えば、個人は企業にアクセスを許可する範囲を拡大/縮小するタイミングを決めることができる」とチック氏は補足する。

 このシナリオでは、個人に情報をコントロールする権限がある。これにより、消費者と消費者の情報を使う企業の関係性は変化するとチック氏は語る。「個人は事実上データの管理者になり、情報に対してより多くのコントロール権限を持つ。個人は引き続き企業と協力することもできる。これまでと異なるのは、個人の企業に対する信頼感が高まり、企業の義務が減り、コンプライアンスを向上させられる点だ」

 技術業界は、個人情報について企業と個人が適切なバランスを取るための変化をサポートしているとチック氏は言う。

 「Decentralized Identity Foundation(DIF)は、この実現に取り組んでいる。Microsoftは積極的にオープンソースコードをDIFに提供している。その目的は、開発者の力を借りてこの技術が分散型IDをサポートするようにすることだ」

 チック氏によると、MicrosoftはIDコミュニティーと連携して分散型IDをMicrosoftのプラットフォームに組み込もうとしているという。そうすることで、企業と個人は分散型IDがもたらす双方向の信頼関係からメリットを得ることができる。

 「この取り組みの目的はプライバシーの強化にある。イノベーションを実現するために、Microsoftはプラットフォームをオープンにしている。より強力なセキュリティとプライバシーを同時に実現することで、企業と個人を団結させることができる」(チック氏)

 最後に、プライバシーは当然の権利だとチック氏は言う。「この権利を保護するために、個人がデジタルIDを所有してコントロールできるようにしなければならない。Microsoftは、この状況を実現するため尽力しており、他社の賛同を期待している」

Copyright © ITmedia, Inc. All Rights Reserved.

譁ー逹€繝帙Ρ繧、繝医�繝シ繝代�

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を変革、人手に頼ったSOCモデルから脱却する方法とは?

従来のSOCは、AIや機械学習を用いた高度な攻撃に対処できなくなりつつあり、可視性とコンテキストの欠如や検証の複雑化など、さまざまな課題が山積している。この状況を改善するには、人手に頼ったSOCモデルから脱却する必要がある。

技術文書・技術解説 株式会社インターネットイニシアティブ

“次世代SD-WAN”とは何なのか? 「SASE」との関係は

比較的新しい製品分野である「SD-WAN」にも、早くも変化が起こり始めている。SD-WANは今後、どう進化するのか。「SASE」といった関連技術との関係性を踏まえながら、“次世代SD-WAN”の方向性を探る。

製品資料 ServiceNow Japan合同会社

脅威はランサムウェアだけではない、重大なセキュリティインシデントをどう防ぐ

ランサムウェア以外にもさまざまなサイバー攻撃が企業を襲い続けているが、重大なセキュリティインシデントへの対策を適切に行えている企業は今も少ない。その理由や、状況を改善するための4つのステップを詳しく解説する。

製品資料 株式会社AGEST

経営上のリスクに備える、脆弱性診断の目的や実践方法

サイバー攻撃による被害は、金銭的な損失だけでなく、信用の失墜や業務継続への支障といった経営上のリスクに直結する。このようなリスクへの備えとして有効なのが、「脆弱性診断」だ。脆弱性診断の目的や実践方法について解説する。

製品資料 東京エレクトロン デバイス株式会社

高度なエンドポイントセキュリティを実現、EDRの課題を解消するアプローチとは

昨今、組織のネットワーク外に分散したエンドポイントが、攻撃者にとって格好の標的になっている。このような中でエンドポイント保護の新たな形として期待を寄せられているのがEDRだ。しかし、運用が難しいなどの課題も多い。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...