Web3.0時代の個人情報管理の新常識！「SSI」「DID」を知っていますか？

こんにちは、コンサルタントの福田です。

僕は仕事柄、企業の方とやりとりすることが多いのですが、to Cビジネスをやっている企業からよく耳にするのが「個人情報の管理」に関する悩みです。

マーケティングのうえで個人情報は大事ですが、それは情報漏えいのリスクと背中合わせ。しかもサードパーティーCookie利用への批判などから世界的に個人情報管理に対する規制が強まっています。ヨーロッパではGDPR（一般データ保護規制）が導入され、日本でも個人情報保護法が改正されました。

ユーザーにとっても個人情報の管理は適切にしてほしいし、そもそもできれば情報は渡したくないでしょう。

そこで今、注目されているのが「SSI」と「DID」です。次世代のインターネットといわれる「Web3.0（Web3）」のキーワードである「分散型管理」をベースとした新しい情報管理の方法で、今後の普及に大きな期待が集まっています。

一体どのような仕組みなのか。一緒に確認していきましょう。

SSI、DIDとは

SSI（Self-sovereign Identity）とは「自己主権型アイデンティティ」のことで、個人に関する情報の扱いを企業に委ねるのではなく、自ら主導権を持ちコントロールできるようにしようというムーブメントのことです。

国際的な非営利組織Sovrin Foundationの定義によると、SSIのポイントは以下の3つです。

• 管理主体の介入がない
• 個人が自分の属性情報（アイデンティティ）を保有・コントロールできる
• デジタルの世界で、現実世界と同じレベルのことができる

参照：What is self-sovereign Identity?

DID（Decentralized Identifier）とは「分散型識別子」を意味します。SSIは「自分の情報は自分でコントロールする」という概念。DIDはブロックチェーンや分散型台帳を使ってそれを実現するための一つの技術と考えてください。

なお似たような用語でDID（Decentralized Identity）もありますが、こちらは「分散型アイデンティティ」を意味します。紛らわしいのですが、この記事ではDIDはDecentralized Identifier（分散型識別子）をさすこととします。

SSIの仕組み

ではSSIの仕組みについて、具体例で考えてみましょう！

SSIでは、個人が自己に関する情報について公的機関などからDIDを使って証明を受け、サービス提供者に提示、証明を行います。

たとえば住民票の提出が必要な場合、次のような流れで証明します。

1. 個人が役所に申請。役所は発行証明をDIDで作成し、ブロックチェーンに記録。デジタル住民票を発行
2. 個人は自らの署名をDIDで作成し、ブロックチェーンに記録。デジタル住民票を企業に提出
3. 企業はブロックチェーンにアクセスし、情報が正確であることを検証

SSIでは公開する情報の範囲を自ら決めることができます。そのため住民票を提出する際、詳細な住所などは明かさず、その都道府県に住んでいる事実のみを証明することができます。なおブロックチェーン上には証明書の発行や署名の記録のみが残り、個人情報は個人の管理下に置かれます。

これにより個人が企業に個人情報を渡さずに、必要な情報のみを証明することができます。まさに自分で情報をコントロールできていますよね。

ちなみにSSIは場所にとらわれないため、パスポートなどを持たない難民の身分証明などにも活用できると期待されています。

SSI、DIDが必要とされる背景

SSI、DIDが注目を集めていることには、現在の情報収集・管理体制を変えていきたいというユーザー側、企業側それぞれの事情があります。

ユーザー側の事情

• 個人情報漏えいの心配
• プラットフォーマー側の不具合への対応
• 中央集権型体制への不満

コンピューターウイルスや人為的なミスにより、企業が管理する個人情報の漏えい事案が相次いでいます。ユーザーにとっては漏えいと、漏えいした情報が悪用される心配は尽きません。

またGoogleやAppleなどに登録した一つのID・パスワードを使い、複数のサービスにログインできるようにする「シングルサインオン」を利用している場合、システム障害などでプラットフォーマー側がダウンした場合、シングルサインオン使うあらゆるサービスが利用できなくなります。

大手プラットフォーマーが個人情報を収集し、Webサイトの閲覧履歴などをもとに個人に広告をカスタマイズして表示することなどには、違和感を覚える方も多いと思います。

企業側の事情

• 情報漏えいのリスク
• 管理コストの増大

企業にとってデータはサービス開発やマーケティングにおいて重要である一方で、情報漏えいのリスクが伴います。一度漏えいすれば、企業の社会的信用は失墜。株価に影響するほか、ユーザーから損害賠償を求められる可能性もあります。

情報漏えいを防ぐためには強固なセキュリティを持つシステムの構築、社員教育などが必要ですが、対策にはコストがかかります。

このようにユーザー側、企業側がそれぞれ個人情報の扱いについて悩みを抱えていました。そのような状況下でブロックチェーン技術が進化。情報を分散管理することで、企業が個人情報を保管せずにすむ未来が見えてきたのです。SSIは、まさにWeb3時代の仕組みなのです。

SSIへの対応は必須

SSI、DIDはユーザーのみならず、企業にとってもメリットが大きく、個人情報保護のトレンドが強まっていることも踏まえると、今後対応が必要になってくるでしょう。

DIDに関して国際的な基準づくりに向けて議論が進められており、すでに一部でDIDを提供する企業がでてきてはいるものの、普及にはまだ少し時間がかかりそうです。そこで今のうちに、今後の実装を想定して高いレベルでのセキュリティ体制を構築しておくことが大事です。

LIGではDIDの標準化団体であるDIFに参加する企業の支援も行っていて、SSI、DDIに関する知識も豊富に有しており。現在の情報管理体制に不安をお持ちの企業、DID導入を視野に入れたシステムを構築したい企業は、ぜひご相談ください。

LIGにSSI、DIDについて相談する