※本記事は、HashHub Researchのレポートを抜粋した内容となっています。記事の最後にHashHub主催のSSIに関するセミナーのアーカイブ動画が無料でダウンロードできるので、合わせてご視聴ください。
SSIの基本解説
自己主権型アイデンティティ(Self-Sovereign Identity:SSI)とは、管理主体を介さずに、個人が自分自身のデジタルアイデンティティを管理できるようにする事を目指す考え方です。従来の集中型ID、サードパーティによるフェデレーテッド型IDが抱える「個人のID権限の喪失」「サイロ化」という問題をブレイクスルーすることにその発想の起源があります。
SSIは謂わば概念であり、その具体例がDID(分散型識別子)、そしてその流れの中にブロックチェーンベースの仕組みがあります。
SSIに期待される役割
SSIとは詰まるところ組織主導のデータ管理からユーザー主導のデータ管理への移行を目的としたムーブメントです。
【ユーザー側の期待】
ユーザーの立場からみた利点は、具体的にはユーザーに紐づく個人情報をユーザーが制御できること、また互換性のある複数のサービスに単一のIDでアクセス可能になること。つまり、安全性とシームレスさという点での利便性向上が主に期待されています。
【サービス提供者側の期待】
一方でこれまで管理主体であった組織側の利点は各国が推し進める個人情報保護規則強化対策、セキュリティコスト対策の一案として期待されています。ハッカー攻撃の成功報酬は対象となるデータベースに保存されたIDの数に比例して指数関数的に増加し、より魅力的な攻撃対象となります。セキュリティコストは個人情報保護規則を強化による罰則リスクとのバランスでもありますから、このジレンマを解消する一案として期待されている一面もあります。
ただし個人情報を持たないこと、サービス間のスイッチングコストが低減することは従来のIDビジネスモデルの根底を揺るがすものでもあるため、リスクとリターンのバランス、特に組織側はリターンの再設計が必要になるであろうことは課題(ビジネスチャンスとも言い換えられます)かと思います。
SSIを構成する主な3要素
- 安全な接続(Secure connections)
- デジタルデータ透かし(digital data watermarking)
- 信頼できるストレージ(Trusted, tamper-proof public key directory)
1.安全な接続
トラストレスにと形容する必要がありますが、DID(分散型識別子)間の通信を接続ブローカーの仲介なしにセキュアに行えるようにする仕組み(DIDCommと呼ばれる)です。「二者間で一意のプライベートで安全な接続を確立するための標準オープンプロトコル」と言い換えられますが、DIDそのものは誰もが自由に作れますので必ずしも信用を提供するものではないことにご注意ください。
2.デジタルデータ透かし
運転免許証や会員証などの各種デジタル資格情報を発行、保持、検証するための標準的でオープンなプロトコルを指します。一般的にVC(Verifiable Credential)が該当します。
大雑把に表現するとVCとは個人または組織が所有するデータのセットを含むデジタル証明書です。第三者機関による検証可能性、プライバシー保護、データポータビリティの観点から着目されています。
3.信頼できるストレージ
クレデンシャル発行者の公開検証鍵を保存する場所のことを指し、これにより、VC標準規格に準拠したあらゆるデータのソース、完全性、妥当性を検証するために誰もがいつでも公開鍵を探し出して取得することができるようになります。ブロックチェーンはこの一案です。
つまり、相性の良い技術の一つではありますが、DIDは必ずしもブロックチェーンベースというわけではありません。
SSIの主要ユースケースの紹介
SSIはヒト、モノ、カネ、データを識別し、それらの真正性を特定の組織ではなくトラストレスな仕組みによって検証可能にするということを特徴とします。
従来のIDレイヤーは中央集権的に各組織サイロでIDを管理することを基本としていましたから、ベンダーロックインされてしまうこと、相互運用性に難があり、各ユーザーがサービスごとにIDとパスワードを管理しなければならないといったUXの弊害がありましたが、SSIはこの点を緩和させるものとしても期待されています。ただし、デファクトスタンダードが成立する、または規格間の相互運用性が実現すればという条件付きにはなります。
パブリックブロックチェーン上で展開されてきたGlobal Monetary Network(オープンファイナンス)の文脈では主に匿名/仮名アドレスへの信用スコア付与によるDAOやdAppでのUX向上が期待されています。コンソーシアムチェーンを中心に展開された主なユースケース【教育】【金融】【ヘルスケア】を事例として挙げたいと思います。
【教育×SSI】
教育の現場でのSSIのユースケースとしてVCで表現されたデジタル学生証が挙げられます。主な利点としては以下の6項目があると考えられます。
1. アイデンティティとアクセス
単一ベンダーに依存していないということが、良い方向で機能した場合に期待できることですが、SSIベースの学生証を用いてアクセスできる施設やシステムが潜在的には多様化する可能性があります。
2.実績、スキル、能力の管理
卒業証書や学位、修了証、保有スキルなど個人に付随するあらゆる能力をSSIウォレットで一元管理するということが考えられますが、例えば転校時の単位移行作業などに伴う検証作業から手作業の手間を排除することで簡素化し、よりスムーズに行えるといった利点が得られることが考えられます。
3.教育の新たなデジタル体験
教育のデジタル体験に新たな価値を付与する可能性もあると考えられます。2.で転校の際に単位の移行が容易になるということを述べましたが、この点は他大学で取得した単位を個人に紐づけることが容易になるということと同義です。
すでに他大学間でのコンソーシアム形成といったことは行われていますが、その際にかかる手続きを簡略化することで、異なる大学間での単位取得が行いやすくなる可能性があります。もちろん、その他民間教育機関等との連携も考えられるでしょう。
4.教育機関を越えた活用
SSIに準拠したシステムであればパスワードレスで個人を認証し、そのシステムにオンボーディングできます。その結果、教育機関を越えた施設利用や学割などのサービスを容易に適用できる場面が物理的な場面(学生証を提示するだけでよかった)だけでなく、Web上(従来は証明手続きが面倒)でも容易にできるようになると期待されます。
5.学校と生徒間のP2Pコミュニケーション
SSIベースの学生証とは、学校と生徒間のコミュニケーションをP2Pでプライベートに暗号化された方法で実現するものです。メッセージベースや音声ベースのコミュニケーションに限らず、ファイル交換をこの安全でプライベートな環境で行うことができる点に特徴があります。
また、この通信チャンネルは、接続を許可した場合にのみ可能であるため、スパムやフィッシングの疑いがある場合は接続を拒否できることも重要な要素でしょう。
6.詐欺とフィッシングの防止
SSIベースの学生証は、政府機関や奨学金プログラムなど外部組織に対して学生自身が申請することができるものです。この学生証には社会保障番号やパスワードといった外部システムのセキュリティ技術に依存せずに暗号化された方法で個人を証明できるものなので、外部システムのパスワード盗難などで被害にあうリスクを軽減するものとしても有用であると考えられます。
【金融×SSI】
金融×SSIの主なユースケースとしては以下の3つに該当するケースが多いです。
1.安全性向上と顧客体験向上の両立
金融アカウントはその乗っ取りや悪用を防ぐためにより安全なシステムであることが求められます。そのため、通常は安全性が高いほどに、顧客が身元を証明するための作業量が増加するという傾向にあり、安全性と顧客体験がトレードオフの関係を示しています。
一言でいえば金融セクターでのオンボーディング時の課題であり、オンボーディング時の摩擦を解消するためにSSIを活用することで、顧客のオンボーディングにかかる作業および時間コスト削減を、安全性を損わずに実現することが期待されています。
2.コールセンターを攻撃対象とした「アカウント乗っ取り」、金融機関なりすましによる「貸します詐欺」の防止
金融サービスにおけるアカウント乗っ取りや金融機関なりすましは、リモート環境での通信相手が誰であるかを確認する手段がないことに起因しています。このようなアカウントの脆弱性に起因する詐欺への対策としてDIDの双方向性のある暗号化通信機能を活用しようという試みがあります。
3.規制コンプライアンスの強化
高い規制コストと煩雑な手続き、コンプライアンス違反に対する罰則への対応策としてSSIが期待されています。例えばGDPRではデータの収集量を減らすことを求められ、一方でKYC/AMLなどでは逆に情報収集量を増やすことを求められます。
つまり収集しなければならないデータとそうではないデータが存在しており、現在のように関係のないデータも含めて過剰に収集するのではなく、取引を実行するために必要な最小限のデータのみを収集できることが望ましいと言えます。
このような煩雑な手続きと余計な費用が発生してしまう理由は、個人や企業のアイデンティティを証明する標準的なプロトコルはこれまでに存在していなかったからであり、この意味においてSSIは「誰と、どのような理由で情報を共有しているのかということを確認することができる」という優れたモデルを提供すると言えます。
【ヘルスケア×SSI】
患者の医療データのクラウド管理というテーマでは関連する各機関の垣根を越えて活用できるようにすることでサプライチェーンマネジメント機能の向上、医療保険での応用、医療研究への応用、遠隔治療の促進などが期待されています。この点を解消するだけであれば関連組織が同一ネットワークにアクセスできるようになれば良いわけですから、敢えて敢えてブロックチェーンやSSIを導入する必要はないとも言えますが、その上で敢えてブロックチェーン、SSIを導入して期待することは「患者のプライバシーとセキュリティを守りながら」、患者のデジタルデータを如何に有効に活用し社会に還元するかという問いに答えられる可能性があるためです。
主に以下5つの分野での導入研究が進められています。
- データの管理と保護
- デジタル・アイデンティティ
- ソーシャル・データ・ガバナンス
- ヘルスケアと患者データ
- 社会保険
具体的なユースケースとしてはHIS(Healthcare Information System)への導入やSSIとIoTの連携、つまり患者に紐づくデジタルデバイスをもとにした遠隔治療、その他新型コロナウイルス感染拡大に伴い着目された健康データのVC化と各施設での受け入れ等、応用範囲は多義に渡ります。
よりSSIの事例を知りたい方へ
累計90社以上とのWeb3に関するお取り組み実績があるHashHubにて、Web3事業を検討中の企業様に向けてSSI / DIDの概要とユースケースを解説しているウェビナーのアーカイブ動画が無料でダウンロード可能となっております。自社のNFT事業検討の材料していただけますと幸いです。
▼アーカイブ動画のダウンロードはこちら
https://share.hsforms.com/1XE7-cTXwT2C1Bw-5A2oAmQbxral