政府のCIO(最高情報責任者)は、市民にとって安全かつ便利なデジタルIDを作る方法を見いだす必要がある。そのためには、ガバナンス、ID設計、技術の3つの側面で、バランスの取れた判断をする必要がある。
ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。
ノエマイ(仮名)はフランスに住んでいる。所得税申告書の提出義務を果たし、医療保険の給付状況をチェックし(事務手続きを既に済ませているので)、地方選挙人名簿にも登録しようとしている。「FranceConnect」のおかげで、ノエマイは1回のログオンで、これらの作業を完了するのに必要な公共サービスにアクセスできる。
この例は、デジタルアイデンティティー(ID)によって、市民の生活や政府機関とのやりとりがいかに容易になるかを明確に示している。
「各国政府は長年、市民が簡単、安全、合法的に公共サービスにアクセスできるようにするため、デジタルIDと認証方法に投資してきた」と、Gartnerのシニアプリンシパルアナリスト、Arthur Mickoleit氏は語る。
「だが、これまでのところ、こうした投資の成否は国によって非常にまちまちだ」と、Mickoleit氏は指摘する。
「ノルウェーやスウェーデンのような一部の北欧諸国では、ほぼ全ての市民がデジタル市民IDを使っている。これに対し、オーストラリア、ドイツ、米国のような国は、以前からシステムを確立しようとしているが成功していない。その中核的な理由は多くの場合、過度に官僚的な文化だ。この文化は、水準以下の顧客体験につながってしまう」(Mickoleit氏)
効果的に機能するデジタル市民IDを構築し、普及させるため、政府のCIO(最高情報責任者)はガバナンス、技術、ユーザーエクスペリエンスの3つに重点を置く必要がある。
デジタルサービスを提供する政府機関のCIOは、以下の2つのいずれかのモデルを選択する必要がある。
大抵の場合、認証を内部で管理するのではなく、1つまたは複数のサードパーティーIDSPを利用する方がより良い選択肢であることが明らかになっている。そうすることで、政府機関は限られたキャパシティーを中核業務である市民サービスの提供に集中的に活用できる。また、市民がさまざまな機関を利用するために複数のログインをしなければならないときの混乱を軽減できる。
「2023年には、認証を要求する政府サービスの少なくとも80%が、市民からのアクセスを仲介するデジタルIDプロバイダーを複数サポートするようになるだろう」と、Mickoleit氏はみる。
「そうなれば、市民は政府機関ごとに専用のIDを管理するのではなく、自分の選んだデジタルIDを使って、政府機関とやりとりできる」(Mickoleit氏)
だが、政府機関は、デジタルIDプロビジョニングのアウトソーシングには、さまざまな選択肢があることに留意しなければならない。つまり、政府がデジタルIDを発行する方式や企業が発行する方式、この両方を組み合わせたFranceConnectのような方式などだ。これらの選択肢には、いずれも一長一短がある。
例えば、商用IDSPが市民IDをより管理するようになり、市民IDの使い方を把握できる可能性が高くなると、プライバシーに関する懸念が生じる。政府のCIOは、民間セクターとパートナーシップを組む場合には、デジタルIDの普及のスピードアップというメリットと、さまざまなステークホルダー間で利害が衝突する可能性のバランスを見いだす必要がある。
政府と市民それぞれのデジタルIDに関する期待は、バランスを取るのが難しい。政府のCIOは高度なセキュリティにより、市民がサービスにアクセスする際の本人性の確保を優先する。これに対し、市民は主に、簡単で便利なアクセスを求める。
これまで多くの政府は、利便性よりもリスク排除を重視してきた。そのために、非常に安全だが使いにくいシステムが作られることが多かった。技術に精通した市民だけが利用に“挑戦”し、他の市民は従来のアナログアクセスポイントを使い続けた。
セキュリティと利便性のバランスを取るには、政府のCIOはもっと柔軟なアプローチを取り、提供するサービスに応じたセキュリティレベルを確保しなければならない。例えば、相談予約サービスのセキュリティ対策は、国政選挙のオンライン投票(エストニアで行われているような)はもとより、納税申告サービスのセキュリティ対策と比べても、厳しさを緩和する必要がある。
政府は、安全なID設計は技術だけの問題ではないことを理解する必要がある。エストニアで最近発生したデジタルIDの悪用問題は、主にフィッシングとソーシャルエンジニアリングの組み合わせによるものだった。こうした手口を予想することも必要になる。政府機関は、デジタルIDはアナログIDと同様の価値と重要性を持つようになっており、守る必要があることを啓発するキャンペーンを実施すべきだ。
デジタルID技術は、急速なペースで進化している。これは、政府のCIOが技術の選択において、「変更を考慮に入れなければならない上、ユーザーに一定の連続性を感じさせる必要もある」ということを意味する。
「認証の3つの標準要素である知識、トークン、生体的特徴は、ID管理と認証のプロセスの一部であり続けるだろう。これらは基盤がしっかりしており、安全であり、現在の生体センサーに見られるように、利用形態が常に進化している」(Mickoleit氏)
いずれにしても、「セキュリティとユーザーの利便性の在り方が、時間とともにどのように進化するか」について、政府のCIOが明確な見通しを持つことが重要だ。例えば、2要素認証において、一般的なSMSベースのトランザクションコードを使う方法は、より安全で便利なアクセスを可能にする専用のコード生成アプリに取って代わりつつある。
将来的にはブロックチェーンのアプローチが、IDベースのさらに優れたプライバシーおよびユーザー管理を実現するかもしれない。ID技術がより広く普及し、より手ごろなコストになれば、世界で10億人と推計される、正式なID管理手段を現在持っていない人々の社会的包摂が促進されるだろう。
出典:What Government CIOs Should Know About Digital IDs(Smarter with Gartner)
PR Manager Germany & Scandinavia at Gartner
Copyright © ITmedia, Inc. All Rights Reserved.