検索
特集

「データ連携」が新たな価値を生むために必要な「アイデンティティ」の課題Japan Identity & Cloud Summit 2013レポート(2/2 ページ)

3月4日、5日の2日間、東京・一ツ橋の学術総合センターにおいて、産官学のそれぞれの立場におけるキーマンが「ID」を巡る幅広いテーマについて議論を行うイベント「Japan Identity & Cloud Summit 2013」が開催された。

Share
Tweet
LINE
Hatena
前のページへ |       

データ連携の「同意してください」を考える

 ユーザーの個人的な情報を預けているサービスを含んだデータ連携においては、連携するサービス同士の「信頼性」、いわゆる「Trust」をどのように担保すべきかが問題となる。行政や医療といった分野のサービスが連携を指向することで、この問題は、今後ますます重要になってくると考えられる。

 Japan Identity & Cloud Summitでは、この「Trust」とは何か、それはどのようなフレームワークで担保すべきかについて考え、議論するためのトラックも設けられた。

OpenID Foundation理事長、野村総合研究所上席研究員 崎村夏彦氏
OpenID Foundation理事長、野村総合研究所上席研究員 崎村夏彦氏

 この中で、OpenID Foundation理事長を務める、野村総合研究所上席研究員の崎村夏彦氏は「安心してパーソナルデータの連携ができるようになるために〜『有効な同意』についての論点〜」と題したプレゼンテーションを行った。

 崎村氏はまず、ネットサービスでパーソナルデータのID連携を行う際の「同意」について、聴衆に熟考するよう促した。

 近年、例えばFacebookやTwitter、Googleといったサービスが持つデータと連携して、自社のサービスやアプリケーションを提供する事業者が増えている。具体的には、新たに連携させたいサービスから、元となるサービスのIDとパスワードを使った認証を求められ、簡単なデータの連携範囲を示した上で「同意してアプリを認証してください」といった表示が出ることが多い。

 崎村氏は、この「同意してください」という表示に、違和感を感じているという。

 「そもそも、同意の向きが逆なのではないだろうか。本質は、個人が企業に対して『パーソナルデータをライセンス』するのだから、本来であれば個人のデータライセンス条項に対して、企業が『同意』すべき場面のはず」(崎村氏)。

 崎村氏は、「あるべき同意の流れ」として1つのモデルを示した。個人がデータ提供のライセンスをいくつかの選択肢の中から選んでIDプロバイダに登録しておき、連携サービスを提供する企業は、IDプロバイダに対して「データリクエスト」を出す。IDプロバイダは、その内容が正当で、ユーザーが設定したライセンス条項に同意しているかを確認し、データを返すというものだ。

崎村氏が示した「あるべき同意の流れ」のモデル
崎村氏が示した「あるべき同意の流れ」のモデル

 ライセンス条項の例としては、「データの提供量(必要最低限か、パーソナライゼーションが可能なものかなど)」「データ共有の有無(無し、限定、拡大可能など)」「利用回数(今回のみから無限回まで)」といった表現形態が考えられるだろうと崎村氏は説明した。

 IDプロバイダはそれを順守し、もし企業が、ユーザーが設定したライセンスの範囲よりも広い情報を求めてきた場合は「同意を出さない」という運用を行う。これによって、新たな連携サービスを使うたびにユーザーが「同意してください」に答える手間は省けるというわけだ。

ユーザーが設定する「パーソナルデータ提供ライセンス」の案
ユーザーが設定する「パーソナルデータ提供ライセンス」の案

 崎村氏は、法律上の「形式的な同意があるからといって有効な契約になるとは限らない」といった事例から、現行の多くのネットサービスで使われているパーソナルデータ連携のやり方には問題があることを指摘。同時に、「プライバシーリスク」への対応の観点からも、データの「安全レベル」に加え、ユーザーが自分のパーソナルデータについて、どの程度を外に出すかを決められる「自己制御レベル」をコントロールできるようにしておく必要があることにも触れた。

 こうした仕組みをシステムとして実現するにあたり、OpenID Foundationでは、技術レベルでのプロトタイプを「OpenID Connect」ベースで実現する取り組みを、既に経済産業省の援助の下で作成したという。

 このプロトタイプによって、一連の仕組みが技術的に実現可能なことは実証済みだ。だが残された課題として「ユーザーにとって分かりやすい形でポリシーを示すためにはどうすればいいか」「第三者機関も含む形で、その認証の信頼性をいかに担保し、継続して運用していくか」といった点があり、現在はその検討を行っているという。

企業によるパーソナルデータのリクエストが正当なものかについては第三者による審査の仕組みが必要になるだろうとする
企業によるパーソナルデータのリクエストが正当なものかについては第三者による審査の仕組みが必要になるだろうとする

 崎村氏は「こうした点がクリアになることによって、インターネットユーザーにとってより安心なパーソナルデータの連携が可能になるのではないか」と述べている。

前のページへ |       

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. OpenAIの生成AIを悪用していた脅威アクターとは? OpenAIが脅威レポートの最新版を公開
  2. 約9割の経営層が「ランサムウェアは危ない」と認識、だが約4割は「問題解決は自分の役割ではない」と考えている Vade調査
  3. インサイダーが原因の情報漏えいを経験した国内企業が約3割の今、対策における「責任の所在」の誤解とは
  4. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  5. 英国政府機関が取締役にサイバーリスクを「明確に伝える」ヒントを紹介
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  8. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  9. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
  10. 「PC操作が不能になる手口」が増加中 IPAが推奨される対処法を紹介
ページトップに戻る