検索
特集

「データ連携」が新たな価値を生むために必要な「アイデンティティ」の課題Japan Identity & Cloud Summit 2013レポート(2/2 ページ)

3月4日、5日の2日間、東京・一ツ橋の学術総合センターにおいて、産官学のそれぞれの立場におけるキーマンが「ID」を巡る幅広いテーマについて議論を行うイベント「Japan Identity & Cloud Summit 2013」が開催された。

Share
Tweet
LINE
Hatena
前のページへ |       

データ連携の「同意してください」を考える

 ユーザーの個人的な情報を預けているサービスを含んだデータ連携においては、連携するサービス同士の「信頼性」、いわゆる「Trust」をどのように担保すべきかが問題となる。行政や医療といった分野のサービスが連携を指向することで、この問題は、今後ますます重要になってくると考えられる。

 Japan Identity & Cloud Summitでは、この「Trust」とは何か、それはどのようなフレームワークで担保すべきかについて考え、議論するためのトラックも設けられた。

OpenID Foundation理事長、野村総合研究所上席研究員 崎村夏彦氏
OpenID Foundation理事長、野村総合研究所上席研究員 崎村夏彦氏

 この中で、OpenID Foundation理事長を務める、野村総合研究所上席研究員の崎村夏彦氏は「安心してパーソナルデータの連携ができるようになるために〜『有効な同意』についての論点〜」と題したプレゼンテーションを行った。

 崎村氏はまず、ネットサービスでパーソナルデータのID連携を行う際の「同意」について、聴衆に熟考するよう促した。

 近年、例えばFacebookやTwitter、Googleといったサービスが持つデータと連携して、自社のサービスやアプリケーションを提供する事業者が増えている。具体的には、新たに連携させたいサービスから、元となるサービスのIDとパスワードを使った認証を求められ、簡単なデータの連携範囲を示した上で「同意してアプリを認証してください」といった表示が出ることが多い。

 崎村氏は、この「同意してください」という表示に、違和感を感じているという。

 「そもそも、同意の向きが逆なのではないだろうか。本質は、個人が企業に対して『パーソナルデータをライセンス』するのだから、本来であれば個人のデータライセンス条項に対して、企業が『同意』すべき場面のはず」(崎村氏)。

 崎村氏は、「あるべき同意の流れ」として1つのモデルを示した。個人がデータ提供のライセンスをいくつかの選択肢の中から選んでIDプロバイダに登録しておき、連携サービスを提供する企業は、IDプロバイダに対して「データリクエスト」を出す。IDプロバイダは、その内容が正当で、ユーザーが設定したライセンス条項に同意しているかを確認し、データを返すというものだ。

崎村氏が示した「あるべき同意の流れ」のモデル
崎村氏が示した「あるべき同意の流れ」のモデル

 ライセンス条項の例としては、「データの提供量(必要最低限か、パーソナライゼーションが可能なものかなど)」「データ共有の有無(無し、限定、拡大可能など)」「利用回数(今回のみから無限回まで)」といった表現形態が考えられるだろうと崎村氏は説明した。

 IDプロバイダはそれを順守し、もし企業が、ユーザーが設定したライセンスの範囲よりも広い情報を求めてきた場合は「同意を出さない」という運用を行う。これによって、新たな連携サービスを使うたびにユーザーが「同意してください」に答える手間は省けるというわけだ。

ユーザーが設定する「パーソナルデータ提供ライセンス」の案
ユーザーが設定する「パーソナルデータ提供ライセンス」の案

 崎村氏は、法律上の「形式的な同意があるからといって有効な契約になるとは限らない」といった事例から、現行の多くのネットサービスで使われているパーソナルデータ連携のやり方には問題があることを指摘。同時に、「プライバシーリスク」への対応の観点からも、データの「安全レベル」に加え、ユーザーが自分のパーソナルデータについて、どの程度を外に出すかを決められる「自己制御レベル」をコントロールできるようにしておく必要があることにも触れた。

 こうした仕組みをシステムとして実現するにあたり、OpenID Foundationでは、技術レベルでのプロトタイプを「OpenID Connect」ベースで実現する取り組みを、既に経済産業省の援助の下で作成したという。

 このプロトタイプによって、一連の仕組みが技術的に実現可能なことは実証済みだ。だが残された課題として「ユーザーにとって分かりやすい形でポリシーを示すためにはどうすればいいか」「第三者機関も含む形で、その認証の信頼性をいかに担保し、継続して運用していくか」といった点があり、現在はその検討を行っているという。

企業によるパーソナルデータのリクエストが正当なものかについては第三者による審査の仕組みが必要になるだろうとする
企業によるパーソナルデータのリクエストが正当なものかについては第三者による審査の仕組みが必要になるだろうとする

 崎村氏は「こうした点がクリアになることによって、インターネットユーザーにとってより安心なパーソナルデータの連携が可能になるのではないか」と述べている。

Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  7. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  8. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る