「データ連携」が新たな価値を生むために必要な「アイデンティティ」の課題:Japan Identity & Cloud Summit 2013レポート(2/2 ページ)
3月4日、5日の2日間、東京・一ツ橋の学術総合センターにおいて、産官学のそれぞれの立場におけるキーマンが「ID」を巡る幅広いテーマについて議論を行うイベント「Japan Identity & Cloud Summit 2013」が開催された。
データ連携の「同意してください」を考える
ユーザーの個人的な情報を預けているサービスを含んだデータ連携においては、連携するサービス同士の「信頼性」、いわゆる「Trust」をどのように担保すべきかが問題となる。行政や医療といった分野のサービスが連携を指向することで、この問題は、今後ますます重要になってくると考えられる。
Japan Identity & Cloud Summitでは、この「Trust」とは何か、それはどのようなフレームワークで担保すべきかについて考え、議論するためのトラックも設けられた。
この中で、OpenID Foundation理事長を務める、野村総合研究所上席研究員の崎村夏彦氏は「安心してパーソナルデータの連携ができるようになるために〜『有効な同意』についての論点〜」と題したプレゼンテーションを行った。
崎村氏はまず、ネットサービスでパーソナルデータのID連携を行う際の「同意」について、聴衆に熟考するよう促した。
近年、例えばFacebookやTwitter、Googleといったサービスが持つデータと連携して、自社のサービスやアプリケーションを提供する事業者が増えている。具体的には、新たに連携させたいサービスから、元となるサービスのIDとパスワードを使った認証を求められ、簡単なデータの連携範囲を示した上で「同意してアプリを認証してください」といった表示が出ることが多い。
崎村氏は、この「同意してください」という表示に、違和感を感じているという。
「そもそも、同意の向きが逆なのではないだろうか。本質は、個人が企業に対して『パーソナルデータをライセンス』するのだから、本来であれば個人のデータライセンス条項に対して、企業が『同意』すべき場面のはず」(崎村氏)。
崎村氏は、「あるべき同意の流れ」として1つのモデルを示した。個人がデータ提供のライセンスをいくつかの選択肢の中から選んでIDプロバイダに登録しておき、連携サービスを提供する企業は、IDプロバイダに対して「データリクエスト」を出す。IDプロバイダは、その内容が正当で、ユーザーが設定したライセンス条項に同意しているかを確認し、データを返すというものだ。
ライセンス条項の例としては、「データの提供量(必要最低限か、パーソナライゼーションが可能なものかなど)」「データ共有の有無(無し、限定、拡大可能など)」「利用回数(今回のみから無限回まで)」といった表現形態が考えられるだろうと崎村氏は説明した。
IDプロバイダはそれを順守し、もし企業が、ユーザーが設定したライセンスの範囲よりも広い情報を求めてきた場合は「同意を出さない」という運用を行う。これによって、新たな連携サービスを使うたびにユーザーが「同意してください」に答える手間は省けるというわけだ。
崎村氏は、法律上の「形式的な同意があるからといって有効な契約になるとは限らない」といった事例から、現行の多くのネットサービスで使われているパーソナルデータ連携のやり方には問題があることを指摘。同時に、「プライバシーリスク」への対応の観点からも、データの「安全レベル」に加え、ユーザーが自分のパーソナルデータについて、どの程度を外に出すかを決められる「自己制御レベル」をコントロールできるようにしておく必要があることにも触れた。
こうした仕組みをシステムとして実現するにあたり、OpenID Foundationでは、技術レベルでのプロトタイプを「OpenID Connect」ベースで実現する取り組みを、既に経済産業省の援助の下で作成したという。
このプロトタイプによって、一連の仕組みが技術的に実現可能なことは実証済みだ。だが残された課題として「ユーザーにとって分かりやすい形でポリシーを示すためにはどうすればいいか」「第三者機関も含む形で、その認証の信頼性をいかに担保し、継続して運用していくか」といった点があり、現在はその検討を行っているという。
崎村氏は「こうした点がクリアになることによって、インターネットユーザーにとってより安心なパーソナルデータの連携が可能になるのではないか」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- アイデンティティ愛好家の集いで交わされたPKIを巡る熱い議論
2月1日、第15回「Identity Conference(Idcon)」が開催された。東京・六本木に用意された広い会場は、金曜日の夜にもかかわらず「アイデンティティ愛好家」で埋め尽くされる盛況となった。 - 「OpenID Connect」を理解する
いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 - RFCとなった「OAuth 2.0」――その要点は?
- 「OAuth」の基本動作を知る