「データ連携」が新たな価値を生むために必要な「アイデンティティ」の課題Japan Identity & Cloud Summit 2013レポート(2/2 ページ)

» 2013年04月05日 18時00分 公開
[柴田克己@IT]
前のページへ 1|2       

データ連携の「同意してください」を考える

 ユーザーの個人的な情報を預けているサービスを含んだデータ連携においては、連携するサービス同士の「信頼性」、いわゆる「Trust」をどのように担保すべきかが問題となる。行政や医療といった分野のサービスが連携を指向することで、この問題は、今後ますます重要になってくると考えられる。

 Japan Identity & Cloud Summitでは、この「Trust」とは何か、それはどのようなフレームワークで担保すべきかについて考え、議論するためのトラックも設けられた。

OpenID Foundation理事長、野村総合研究所上席研究員 崎村夏彦氏 OpenID Foundation理事長、野村総合研究所上席研究員 崎村夏彦氏

 この中で、OpenID Foundation理事長を務める、野村総合研究所上席研究員の崎村夏彦氏は「安心してパーソナルデータの連携ができるようになるために〜『有効な同意』についての論点〜」と題したプレゼンテーションを行った。

 崎村氏はまず、ネットサービスでパーソナルデータのID連携を行う際の「同意」について、聴衆に熟考するよう促した。

 近年、例えばFacebookやTwitter、Googleといったサービスが持つデータと連携して、自社のサービスやアプリケーションを提供する事業者が増えている。具体的には、新たに連携させたいサービスから、元となるサービスのIDとパスワードを使った認証を求められ、簡単なデータの連携範囲を示した上で「同意してアプリを認証してください」といった表示が出ることが多い。

 崎村氏は、この「同意してください」という表示に、違和感を感じているという。

 「そもそも、同意の向きが逆なのではないだろうか。本質は、個人が企業に対して『パーソナルデータをライセンス』するのだから、本来であれば個人のデータライセンス条項に対して、企業が『同意』すべき場面のはず」(崎村氏)。

 崎村氏は、「あるべき同意の流れ」として1つのモデルを示した。個人がデータ提供のライセンスをいくつかの選択肢の中から選んでIDプロバイダに登録しておき、連携サービスを提供する企業は、IDプロバイダに対して「データリクエスト」を出す。IDプロバイダは、その内容が正当で、ユーザーが設定したライセンス条項に同意しているかを確認し、データを返すというものだ。

崎村氏が示した「あるべき同意の流れ」のモデル 崎村氏が示した「あるべき同意の流れ」のモデル

 ライセンス条項の例としては、「データの提供量(必要最低限か、パーソナライゼーションが可能なものかなど)」「データ共有の有無(無し、限定、拡大可能など)」「利用回数(今回のみから無限回まで)」といった表現形態が考えられるだろうと崎村氏は説明した。

 IDプロバイダはそれを順守し、もし企業が、ユーザーが設定したライセンスの範囲よりも広い情報を求めてきた場合は「同意を出さない」という運用を行う。これによって、新たな連携サービスを使うたびにユーザーが「同意してください」に答える手間は省けるというわけだ。

ユーザーが設定する「パーソナルデータ提供ライセンス」の案 ユーザーが設定する「パーソナルデータ提供ライセンス」の案

 崎村氏は、法律上の「形式的な同意があるからといって有効な契約になるとは限らない」といった事例から、現行の多くのネットサービスで使われているパーソナルデータ連携のやり方には問題があることを指摘。同時に、「プライバシーリスク」への対応の観点からも、データの「安全レベル」に加え、ユーザーが自分のパーソナルデータについて、どの程度を外に出すかを決められる「自己制御レベル」をコントロールできるようにしておく必要があることにも触れた。

 こうした仕組みをシステムとして実現するにあたり、OpenID Foundationでは、技術レベルでのプロトタイプを「OpenID Connect」ベースで実現する取り組みを、既に経済産業省の援助の下で作成したという。

 このプロトタイプによって、一連の仕組みが技術的に実現可能なことは実証済みだ。だが残された課題として「ユーザーにとって分かりやすい形でポリシーを示すためにはどうすればいいか」「第三者機関も含む形で、その認証の信頼性をいかに担保し、継続して運用していくか」といった点があり、現在はその検討を行っているという。

企業によるパーソナルデータのリクエストが正当なものかについては第三者による審査の仕組みが必要になるだろうとする 企業によるパーソナルデータのリクエストが正当なものかについては第三者による審査の仕組みが必要になるだろうとする

 崎村氏は「こうした点がクリアになることによって、インターネットユーザーにとってより安心なパーソナルデータの連携が可能になるのではないか」と述べている。

前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。