某所より問い合わせを受けて回答したので、共有しておきます。
お題は、「Id連携がなぜプライバシー向上に役立つか」です。
「Id連携」は、英語では「Identity Federation」を指し、「複数のサービスの間で、主にある主体を識別するために、当該主体に関する(認証結果を含む)属性の集合(identity) を交換・管理する取り決め」のことを指します。一度の認証で複数のウェブサイトにログインできるシングルサインオン(SSO)などが代表的な活用例です。
この技術はプライバシー保護に大きく寄与します。私達のような、ずっとId連携に関わってきている人間は当然のことと思っていますが、一般的にはそうではないとおもわれますので、ここにこうして書いておくことも一定の意義があるかと思います。
プライバシー原則
プライバシーの保護とは、原則的には、それぞれの人が個人として尊重され、個人の領域に属するものに関しては、個人が自由にする権利が保証されている状態を保つことを言います。日本の法令だと、憲法13条がドンピシャですね。ただこれだけだとあまりにも抽象的すぎて、実施するには距離があります。そこで、多くの場合「プライバシー原則」というようなものを作って、それを守ることによってプライバシーを守るという形を取ることが多いです。
こうしたプライバシー原則にはいろいろなものがあります。古くはOECD8原則(1980)[←これは現在改訂中です]や欧州評議会条約第108号「個人データの自動処理に係る個人の保護に関する条約」[←これも現在改訂中。ちなみに欧州評議会と言いますが、日本もオブザーバ参加しています]がありますし、最近では「忘れられる権利」が注目されたEU Regulation 案や、米国の「消費者プライバシー権利章典」も有名です。最近のものであればどれをとってもほぼ同じ結果になるですが、ここでは、国にとらわれない中立的なものとして、ISO/IEC 29100 プライバシー・フレームワークより11の原則をとってきて、それらにId連携がどのように寄与するかを解説します。
1. 同意と選択
2. 目的の正当性と規定
3. 収集の制限
4. データ最小化
5. 利用、保持、開示の制限
6. 正確性と品質
7. オープンさ、透明性、通知
8. 個人の参加とアクセス
9. 責任ある状態の確保
10. 情報セキュリティ
11. プライバシー法令遵守
1. 同意と選択
これは、基本的には意味ある同意を得なさいということです。
(明示的な同意とは限りません。)
当然、同意した場合、同意しなかった場合に「どのようなことが起きるか」を伝えることが重要になります。それに基いて、明示的にせよ暗黙的にせよ、はたまた社会的合意によるもの(=法律)であれ、何らかの同意を得ることになります。その際に、選択肢があることが重要なのは言うまでもありません。
Id連携にはいろいろな流儀がありますが、ユーザセントリックと呼ばれるものは、ユーザにこれを保証することを求めています。特に、OpenIDは、仕様内での要求事項としてでこれを求めています。
2. 目的の正当性と規定
これは、利用目的が正当でなければならない、また、詳しく規定されなければならないということです。また、新たな用途を追加するときには、都度、同意を得ることを求めています。これは純粋に技術的な課題ではありません。したがって、Id連携技術単体が解決するものではありません。トラスト・フレームワークの規定によって、各情報要求主体がこの条件を満たしているかを監査、認定し、Id連携技術では、通信先がその認定を受けているかどうかを確認するという形で寄与します。
3. 収集の制限
これは、必要最低限のデータしか求めてはならないという条件です。
Id連携技術の種類にもよりますが、たとえば OpenIDでは、動的にどの属性を取得するかを決めることができます。これはまさに、この「収集の制限」要件を満たすためのものです。
4. データ最小化
これは、収集したデータを、必要最低限の処理しかせず、必要最低限の人しか触らないようにするというものです。
処理の部分の多くに関しては、基本的にId連携した後の話しなのでId連携技術は関知しませんが、不当な名寄せを防ぐという意味では、Pairwise Pseudonymous Identifier (相手先別の識別子)利用によって、ある程度抑止することが可能です。
また、必要最低限の人という点では、認証技術の面から貢献しえます。
5. 利用、保持、開示の制限
これは、主に保持に関する要求です。必要最低限の期間しか保持してはならない、利用目的が達せられた後、法的要件などで保持する必要が有る場合には、そのデータをロックしてアクセスできないようにすること、データの開示は利用目的を達するのに必要最低限のものにしなければならない、ということを要求しています。
Id連携技術は、必要なときにいつでも情報連携できるので、受け取り側でのデータ保持要求が下がるという特徴を持っています。したがってこの要件にも寄与します。
6. 正確性と品質
データが正確でないと、その人にとって不利なイメージが形成されてしまう恐れがあります。データの正確性を維持するための最良の方策は、オーソリティーティブなデータソースからリアルタイムで取得することです。また、必要に応じて、そのデータにデータソースが署名することによって、改ざんを検知できるようにするなども重要になります。
Id連携技術はまさにそのための技術といっても過言ではありません。
7. オープンさ、透明性、通知
これは、パーソナルデータを処理する主体のポリシー、処理したということ、ポリシーの変更、処理をやめさせる方法などを個人に対してきちんと伝えるということです。
実装マターになりますが、多くのIdPは、どこにデータ提供を行ったかの一覧をと提供解除の手段を提供しています。また、ポリシー変更があった時の通知もIdPを通じて行うことができるように徐々になってゆくと思われます。
この点でも、何のコントロールもなく、単に情報を提供するのに比べて、遥かに個人にコントロール手段が与えられていると言えましょう。
8. 個人の参加とアクセス
これは、Id連携後に、個人がRPに行ってどのようなデータを保持しているかなどを見て、必要に応じて修正を行うことができることを求めています。
Id連携では、原則、データの保持期間はごく短期であり、常に最新のデータを取得することを求めます。したがって、上記 7 と相まって、個人はIdP側ですでにある程度のコントーロールを持っていると言えます。
RP側が不当に保持していないかどうかは、トラスト・フレームワークの監査によるものとなります。
9. 責任ある状態の確保
これは、プライバシーにかかわるマネジメント・システムをまわしなさいということです1
したがって、Id連携技術自体の話ではありません。
トラスト・フレームワークの話です。
前述のように、Id連携技術は、トラスト・フレームワークの認定を受けている先にしかデータを提供しないという形で貢献します。
10. 情報セキュリティ
これもId連携技術だけの問題ではありませんが、国際標準化されたId連携技術では、多くのセキュリティ専門家の目を通して安全が確保されています。独自テクノロジーに比べると、遥かに安全であることが期待されます。
全体として考えると、これはマネジメントシステムを回しなさいという要求です。トラスト・フレームワークはマネジメントシステムに対して、更に一定の水準を求めます。Id連携技術は、トラスト・フレームワークの認定を受けている先にしかデータを提供しないという形で貢献します。
11. プライバシー法令遵守
これもトラスト・フレームワークが解決すべき問題です。
Id連携技術は、トラスト・フレームワークの認定を受けている先にしかデータ提供しないという形で貢献します。
以上、「Id連携がどのようにプライバシーの向上に寄与するか」でした。