原口5原則とOpenID

「番号に関する原口5原則」というものが発表されている。

原則1 国民の権利を守るためのであること

社会保障給付や所々の行政サービスの提供を適切に受ける国民の権利を守るための番号であり、重複なく、もれなく、正確かつ安全に付番を行う

原則2 自らの情報を不正に利用・ストックされず、確認・修正が可能な、自己情報をコントロール出来る仕組みであること

自らの情報が不正に利用・ストックされることなく、また自らの情報にアクセスし、内容の確認・修正ができる(自己情報コントロール権)

原則3 利用される範囲が明確な番号で、プライバシー保護が徹底された仕組みであること

自らの情報についてどのような行政機関がどのような目的で利用するのか明確な制度とするとともに、最新の暗号化技術により情報漏えい防止に万全を期し、分野をまたがる情報の名寄せを防ぐ。

原則4 費用が最小で、確実かつ効率的な仕組みであること

既存インフラを有効活用し効率的な仕組みを構築する。また、クラウドコンピューティングの手法により、各分野内でのシステムの共同利用を積極的に進める。

原則5 国と地方が協力しながら進めること

より良い行政サービスを提供できるよう、国と地方が協力しながら電子政府を推進する。

それぞれについて、少しずつコメントしてゆこう。

原則1 国民の権利を守るためのであること

原口大臣がいう、国民を管理するためのIDではなく、国民のためのIDというのがこれの本質だろう。そういう意味では、これの説明として書かれていることは、この原則1の一部分についてしか言及していないと思われる。

さて、その「一部分」だが、「重複なく、漏れなく」というのは案外難しい。

まずもって、人の生き死に情報がどれだけ正確に把握されているかという問題がある。

次に、これが正確だったとしても、こんどはそれを本人に結びつけるのが難しい。

日本には「身元確認基準」というべきものが無い。

よく、免許証で身元確認をするというが、その身元確認をしている人は、免許証が本物である事を確認する方法を知っているだろうか?発行者に対して真正性の確認をしているだろうか?していない。していないから、偽造免許証を作って、住基カードを不正取得するなどということが起きる。

このあたりに関しては、ニュージーランドの事例が興味深い。

ニュージーランドでは、年金詐欺事件(何人もの他人になりすまして、年金を受け取っていた)が発覚し、身元確認がいい加減だったことを認識し、身元確認基準を整備した。その結果、身元詐称が一気に表面化した。日本でも、真面目にやるとかなりの詐称があるのではないかと思われる。

したがって、この原則を実現するためには、身元確認基準を整備することも同時にやらなければならないということになる。

原則2 自らの情報を不正に利用・ストックされず、確認・修正が可能な、自己情報をコントロール出来る仕組みであること

いわゆる自己情報コントロール権のはなしであるが、これを実現するためには、どこに、どのような条件で自己情報を提供したかが管理されていなければならない。そして、相手が約束したことの証跡を残さなければならない。

OpenID CX (draft) は、まさにこのために考案されたプロトコルだ。

そもそも OpenID は、OpenID プロバイダー(OP)に自己情報を格納し、それをサイト(RP)に提供してゆくというフレームワークだ。OPに格納した自己情報は当然自分で編集できる。

RPに情報を引渡した際の条件などの記録は、その拡張仕様である CX が受け持つ。

CXでは、情報を入手したい機関が、入手したい項目、利用目的などを明示した上で、その利用申請に対して電子署名を行う。ユーザーはその条件を見て、同意すれば、カウンターサインをして返す。以後、この双方署名済みの「契約書」ベースで自己情報のやりとりが行われることになる。ユーザー側の認証サーバーにはこの契約書が残っているので、どこにどのような条件で提供したかは一目瞭然である。また、契約書の中には、相手に渡した情報の更新、削除などのインターフェースが通常書かれ、それによって情報を変更してゆくことができるように成っている。

さらに、相手が「そんな条件は結んでいない」と言い出したら、この「契約書」を裁判所に持ち込めば、有力な証拠となるであろう。

CXは、自己情報コントロール権を実現するための有力な手段なのである。

原則3 利用される範囲が明確な番号で、プライバシー保護が徹底された仕組みであること

利用される範囲と目的は、常に明確に述べられるべきで、これは CX の「契約書」の中に記載されることとなる。また、データが転送されるときには、契約書に記載してある、データ引渡し先の公開鍵によって暗号化して送るので、他の機関が読み取ることはできない。

名寄せを防ぐということに関しては、2つの対策を行っている。

一つ目は、分野ないしはサービスごとに異なる「番号」を降り出す仕組みである。OpenIDをには、Directed Identity という概念がある。OP Identifier とも言われるが、先方にログインするときには、自分が使っている認証サーバーのアドレスしか指定しないのだ。(つまり、自分の「番号」は、相手サイトには伝えない。)そして、OPでログインして、認証した結果「確認書」をRPに戻す際に、そのRPないしは分野だけに降り出された「番号」を返すのだ。これによって名寄せは不可能になる。

また、電子署名を使うと、証明書情報から名寄せが可能になってしまうという問題に関しては、OPがユーザーになりかわって代理署名することによって、CXでは解決している。

原則4 費用が最小で、確実かつ効率的な仕組みであること

オバマ政権になって、米国政府はこれまでの認証政策を180度転換させた。

それまでは「政府が国民にID(番号+認証+属性etc.)を提供」するモデルを模索していたが、その失敗を認め、「国民が使っているIDを政府も使う」モデルに大転換したのだ。その結果、この3月から Google などの ID を政府のサイトにログインするのに使うことができるようになった。

もちろん、何のIDでもつかえるというわけではない。一定の認定基準に合致したIDを受け入れている。この認定を行っているのは、私も設立に関わった Open Identity Exchange (OIX) などの民間非営利団体だ。政府のCIOカウンシルのサブコミッティであるICAMが決めた基準に合致する認定フレームワークをOIXが考案し、それをICAMが認定し、OIXがそのフレームワークに則って認定検査人を認定、その認定検査人が、OPを検査、検査結果をOIXに提出する。その結果によってOIXが、当該IDプロバイダー(OP)を認定するという形だ。

日本でも同じような形が可能だろう。で、キャリアなどが提供する OpenID 等のIDを利用してゆく。

こうやって、民間の力、民間にすでにあるものを使ってこそ、費用が最小で、確実かつ効率的な仕組みが可能だ。

政府が提供するのは、各種APIの提供に限るべきだ。サービスを組み合わせてユーザーに使い易く作るのは、民間の方がずっとうまい。もちは餅屋だ。政府がやるべきなのは、民間がサービスを作るのに必要なデータ形式を標準化し、それをAPIを通じて提供することだ。

まちがっても、巨大な中央集権システムを作ろうとしてはいけない。そんなものは、新手の公共事業に過ぎない。

こうしたAPIサービスにはいろいろなものがあるが、そのうちの一つとして特筆したいものに、「身元確認API」がある。これは、民間のIDプロバイダーが、身元確認に利用できる、第三者による「レジストリ」として機能する。同様のものは、デンマークやニュージーランドでも提供されている。これは民間で提供するのがかなり困難なものなので、ぜひとも提供していただきたいと思う。住基ネットをうまく使う形になるのかなと思っている。

原則5 国と地方が協力しながら進めること

これは言わずもがなだ。だが、一つ注意したいことがある。

国でポータルを作ろうとかいう考えは捨てることだ。

よくデンマークが市民ポータルの成功例として日本では取り上げられるが、デンマーク国内では「大失敗」のレッテルを貼られている。同国の政府関係者が私に語ってくれた言葉はいみじくもこのことをよく表している。

「ポータルは駅だ。立派な建物を立てると目立つし、政治家は自分の実績として選挙民に報告できるから喜ぶ。だが、本当に重要なのはレールであり、列車であり、それを運行する人々だ。デンマークは残念ながら駅だけを建ててしまった。」

日本はその過ちを繰り返さないようにしたい。

大切なのは、プロトコルとAPI(レール)を整備し、データフォーマット(列車)を整備し、それをしっかり運用する人的体制を敷くことだ。


2010-03-10 11:30 追記

原則+ 本人確認情報提供履歴(アクセスログ)公開の原則

Twitter上でしまだのぶたか様から情報アクセスの可視化、アクセスログ公開の重要性の指摘を頂きました。実際そのとおりだと思います。

このやりとりをご覧になってか、原口大臣が、追加原則を足されました。これが、「本人確認情報提供履歴(アクセスログ)公開の原則」です。

本人確認に限らず、「いつ・どこで・だれが・何のために」個人情報にアクセスした記録は残されるべきだと思います。さらに、それを個人がばらばらなシステムに行って参照するのは非現実的なので、ユーザーが指定した場所にActivityStreams として送られるべきであると考えます。twitter のタイムラインみたいにですね。観測できないものはコントロールできません。ぜひ、そうなって欲しいと思います。

「原口5原則とOpenID」への1件の返信

コメントを残す

メールアドレスが公開されることはありません。

*

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください