この記事の内容
自己主権型/分散型アイデンティティのユースケースについて紹介していきます。
目次
- はじめに
- Verifiable Credentialsのユースケース
- Education(教育)
- Retail(小売・EC)
- Finance(金融)
- HealthCare(医療・ヘルスケア)
- Professional Credentials(資格)
- Legal Identity(公的証明)
- Devices(IoTデバイス)
- まとめ
- 終わりに
はじめに
これまでの記事では自己主権型/分散型アイデンティティ(長いので以降「分散型ID」に統一)の基本的なコンセプトやフレームワーク、プロダクトなどの紹介をしてきましたが、今回は具体的なユースケースについて触れていきたいと思います。
分散型IDのユースケースを学ぶには、テック関連のニュースメディアで事例記事を探したり、スタートアップ企業などが発信するブログやニュースレターを購読するのが1つの方法です。私はこうした方法でコツコツと情報収集をしていますが、海外の情報ソースを中心に継続的なリサーチが必要になり、結構な手間と時間もかかります。このようにタイムリーな情報を追っていくのもよいのですが、そもそもDIDやVerifiable Credentialsのスタンダートを規定しているW3Cが、技術仕様だけでなくユースケースについても検討し公開しています。この情報についてはなぜかあまり紹介されていないようですので、今回はW3Cが公開しているユースケースを、意訳しつつポイントを絞り紹介していきたいと思います。
W3Cでは以下の2つに分けてユースケースを検討しています。
・Verifiable Credentialsに関するユースケース
・DIDに関するユースケース
どちらも分散型IDに関するユースケースには違いないのですが、コンポーネント別の視点で分けて検討されています。
今回は、Verifiable Credentialsに関するユースケースについてご紹介します。
※少し長めの記事になりますので、興味のある部分だけかいつまんで見て頂ければと思います。
Verifiable Credentialsのユースケース
出所:Verifiable Credentials Use Cases
Verifiable Credentialsに対するユーザーニーズとして、W3Cのウェブサイトでは以下の7つのドメイン別にケースが紹介されています。一般的に今後のデジタルアイデンティティ活用が期待される分野として教育・ヘルスケア・金融・行政がよく言われますが、W3Cが挙げているこのケースはそれらの分野とも合致しています。前提として、これらはあくまでも一例として挙げられているのであり、Verifiable Credentialsは他にも様々なニーズに対応する可能性を持った技術である点に注意が必要です。
・Education(教育)
・Retail(小売・EC)
・Finance(金融)
・HealthCare(医療・ヘルスケア)
・Professional Credentials(資格)
・Legal Identity(公的証明)
・Devices(IoTデバイス)
ここから先はそれぞれのドメインの詳細ケースについて触れていきます。
Education(教育)
・成績証明
大学の担当者が、学生の成績やコンピテンシー、学業以外のスキルなどを含めた成績表を作成し、学生からの要望に応じてデジタルクレデンシャルとして発行する。
・受験資格の証明
ACT(アメリカの大学で行う入学希望者向けの学力テスト)受験会場にて政府発行のデジタルクレデンシャルを用いて受験資格を証明する。
・編入手続き
ある大学に所属する学生が別の大学に編入する際、編入前の大学で所有していたクレデンシャルを移行したいが編入先の大学ではデジタルクレデンシャルのサービスを提供していない為、自分の利用している銀行が提供するサービスに移行し、再発行の必要が無いようにする。
・オンライン授業
オンライン学習システムにおいて、テスト受験時に自分の身分を証明する為にクレデンシャルを提供し、受験後はテスト結果を証明する為のクレデンシャルを発行する。
教育のケースでは成績証明のユースケースがよく言われますが、これは就職活動や進学などのシーンで利用される事が予想されます。他にも受験などの際の本人証明、試験結果の証明などがあるほか、Verifiable Credentialsのポータビリティ特性を活かして転校など組織を跨いだ証明情報の移転が可能になります。
Retail(小売・EC)
・商品配送先確認
ECサイトで購入した商品を配送する際、事業者は住所不備などによる誤配送で発生するコスト増を避けたい。デジタルクレデンシャルで住所を提供した顧客に対して割引サービスを提供する。
・アルコール購入
店頭でアルコールを購入する際、生年月日や住所、公的ナンバーなどを知らせなくても自分が20歳以上であり法的に問題ないことを証明するクレデンシャルを販売店に提示する。
・販売事業者の証明
ECサイトで商品を購入する際、悪意のある販売事業者による詐欺等の被害を避けるために、商工会議所が発行する事業者の身分や合法性を証明するクレデンシャルの提供を依頼する。消費者はそのクレデンシャルを検証し問題がなければ商品を購入する。
誤配送の問題は住所の伝え間違いだけが原因ではなく、業者側の出荷工程におけるミスなどもあるとは思いますが、一定の効果はありそうな気がします。アルコール購入のケースはいわゆるゼロ知識証明や属性情報の部分的な公開が出来るという、Verifiable Credentialsの特性を活かしたものです。最後の販売事業者の証明に関しては、フィッシング詐欺などの防止に効果がありそうです。対象は事業者だけではなく、今後マーケットプレイスやシェアリングエコノミーのようなCtoCビジネスがもっと普及した際、顔の見えない取引相手を信用するための重要な手段になるのではないかと思います。
Finance(金融)
・KYC済み情報の再利用
ある銀行で公的な身分証等でKYCを実施し口座を開設すると共に、その口座の所有者でありアクセス出来る事を証明するデジタルクレデンシャルを発行する。この本人確認済クレデンシャルを用いて、他の金融機関でのKYCプロセスを省略する事が出来る。
・国際送金
送金元である自分、送金先の相手の身分を証明するクレデンシャル情報を送金サービスと共有する事で、送金元・送金先の確認が簡単になるほか、マネーロンダリング防止に関する規制を満たし安全な取引を行う事が出来る。
・口座のクロージング
銀行口座をクローズする際、その銀行から発行され利用していた口座に関するデジタルクレデンシャルの無効化処理を行う。
・サービス試用時の一時利用
証券会社Aで口座を持ちその口座に関するデジタルクレデンシャルを利用しているユーザーが、別の証券会社Bのサービスをトライアル利用する為に証券会社Aの口座の債権情報を一時的に証券会社Bにコピーする。
・非対面での口座開設
政府発行のデジタルクレデンシャルを用いて、自宅からオンラインで口座開設手続きを行う。
銀行、証券、保険などの金融サービスでは本人情報の正確な確認が求められるケースが多い為、Verifiable Credentialsの利用価値は高そうです。特にKYCについては、大きなコストがかかり金融業界の課題となっている問題です。KYC済みの情報を複数の金融機関で共通利用する事が出来るようになれば、金融機関にとっても消費者にとっても大きなメリットとなりますし、非対面でのサービスオンボーディングも促進されます。
HealthCare(医療・ヘルスケア)
・医師資格の証明
医師会など医療業界の団体が、医師に対して医師資格を証明するクレデンシャルを発行する。医師はそのクレデンシャルを処方箋や紹介状を作成する際に利用し、情報の信頼性やアカウンタビリティを向上させることが出来る。
・オンライン薬局
オンライン薬局にて患者の処方箋をデジタルクレデンシャルとして受け取り、薬局は処方箋を記載した医師の資格や患者の保険加入状況を知る事が出来る。さらには患者が薬を受け取りに来た際、患者の身分を証明するクレデンシャルと処方箋のクレデンシャルを関連付ける事で、確実に患者本人に必要な薬を渡すことが出来る。
・保険請求
患者が新患として初めて病院で診療を受ける際、患者は身元を証明するクレデンシャルと保険加入を証明するクレデンシャルを病院に共有する。病院がこの情報を保険会社に共有し検証されると、医師は支払いの為の請求書を保険会社へ提出可能になる。
・旅行中の病院利用
旅行中に体調を崩し海外の知らない病院を利用する際に身分証明の提示を求められたが、名前や住所など必要な項目のみをデジタルクレデンシャルとして共有し、その他のプライバシーに関する情報は共有しない。さらに長期的に情報を共有したままの状態にしておきたくない為、一定期間後に失効させ検証できない状態にするようマークする。
・障がい認定の証明
障がい者が乗り物など障がい者向けの公共サービスを利用する際、政府発行の障がい者手帳のクレデンシャルをサービス事業者に共有するが、何らかの個人的不利益を被るリスクは避けたい為、具体的に何の障がいなのかを示すような情報は共有せず、障がい者として認定されている事実だけを共有する。
医療・ヘルスケアの領域では機微な情報を扱う為、プライバシーが重要視されます。そのためプライバシー性の高いVerifiable Credentialsとは相性の良い分野であると言えます。患者だけではなく医療に関わる医師や薬剤師、保険会社などでもVerifiable Credentialsを利用し連携する事で、患者のヘルスケアに関するライフサイクル全体をカバーした利便性の高いシステムを確立していくことが出来るのではないでしょうか。
今回のユースケースには電子カルテをVerifiable Credentialsとして扱うケースは含まれていません。電子カルテの患者への公開、いわゆるEMR/PHRの構想を政府が打ち出していますが、患者に知らせたくない情報(告知していない病状など)が含まれていたり、情報漏洩への懸念から医師側の反対意見も多いようです。また病歴や遺伝的な情報から保険加入が難しい人物を特定できれば、それによって利益を得る組織によりデータの悪用がされるということも考えられます。Verifiable Credentialsは技術的にセキュリティの高さとプライバシー保護の特性を持っていますので、充分な制度設計と併せて活用することでこれらの課題解決に寄与できる可能性があるのではないかと思います。
Professional Credentials(資格)
・医師の資格情報
医療機関のWebサイトにて、在籍する医師の専門や教育の履歴、学会認定などの資格情報をクレデンシャルとして公開し、患者が自分の要求に合った資格を持つ医師を探すことが出来る。
・医師資格の失効
医師が専門研修の継続を怠り学会の認定が失効した事に伴い、学会は医師の認定クレデンシャルを失効させる。クレデンシャルの検証者は、処方箋の発行や医療行為を行う為の資格をその医師が持っていない事を識別する事が出来る。
・組織の資格失効
スキルトレーニングを行う組織の業務内容に不正があり、政府によりその組織の認定が取り消される。その組織が提供するサービスでトレーニング修了資格を得ていたユーザーの所有クレデンシャルも無効となり、ユーザーが今後採用活動でそのクレデンシャルを提示しても、採用先企業はそれが無効であることを識別できる。
・転職/勤務先変更
医師が自分の所有する資格や学校教育、学会認定など様々なクレデンシャルを所有しており、勤務先と紐づけて管理している。他の医療機関ネットワークで勤務する事になった為、所有するクレデンシャルを全て新しい勤務先に自動的に移行する。
・SNS等でのプロフィール証明
ビジネス向けSNSで、プロフィールに学歴や職歴、所有資格、デジタルバッジなどを記載し、それらをSNS上で証明するためにSNS事業者にクレデンシャルを共有する。匿名で利用できるようなサービスの場合は、本人を特定するClaimは共有せず、公開したい資格やデジタルバッジを所有している事だけを共有する。
・企業採用
求人応募の際に、応募書類と共に学歴を証明するクレデンシャルを募集企業に共有し、募集企業側でそのクレデンシャルを検証する。
資格証明は転職時における経歴詐称の懸念を払拭したり、勤務先変更時の手続きをスムーズにしたりする事に活用する事が出来ます。特定の企業に対してだけではなく、SNSなどのWebサイトで自分のプロフィールを広く証明し公開する際にも有効です。例えば求人マッチングサイトで求職者の職歴・学歴・資格などの情報を匿名で企業側に公開し、その情報の信憑性をVerifiable Credentialsを利用してマッチングサービス事業者が保証しているとなれば、経歴詐称に関する不安を抱えている採用側企業にとってはそのようなサービスを提供する事業者を優先的に選ぶのではないでしょうか。
Legal Identity(公的証明)
・デジタル運転免許証
公安委員会が運転免許証のクレデンシャルを発行し、所有者は運転免許資格の証明や様々な用途でそれを利用する事ができる。
・デジタルパスポート
政府がパスポートのクレデンシャルを発行し、所有者は入国審査の際に審査官にその情報を共有する。クレデンシャルには過去に訪れた全ての場所の履歴が記録されており、入国審査官はそれらの情報を所有者の本人情報と併せて確認し、入国を許可した後は新たにその履歴が追加される。
・空港保安検査
空港のセキュリティチェックポイントにおいて必要なクレデンシャルを共有することで、確認に要する待ち時間を減らし行列に並ばずスムーズに手続きを終える事が出来る。
・難民の身元確認
人災や自然災害によって難民となった人が赤十字など人道支援団体の支援を受ける際、自国の出生証明のクレデンシャルを共有する事ですぐに身元を証明する事ができ、安全な地域への再定住など必要な支援を迅速に受ける事が出来る。
公的な証明情報のVerifiable Credentials化は民間主導で出来るものではなく、行政の対応を待つ必要があります。また国によっては分散型IDに舵を切らず国民IDシステム(日本だとマイナンバー)で運用していくケースも多いのかもしれません。韓国はデジタルアイデンティティ先進国と言われていますが、デジタル運転免許証が実際に運用されています。これはブロックチェーンベースのデジタルウォレットですが、Verifiable Credentialsが利用されているかどうかは把握出来ていません。免許証以外にも、住民登録や健康保険証など、今後様々な行政証明が利用可能になるそうです。同様にカナダのOntario州でも行政サービスのデジタル化の一環でデジタルウォレット整備の取り組みが進んでおり、今年中にローンチされると言われています。日本では運転免許証や健康保険証がマイナンバーカードに統合される見通しですが、パスポートのような国を跨いで標準化すべきような証明書は将来分散型IDで実装されるかもしれません。
Devices(IoTデバイス)
・デバイス製造時
IoTデバイス製造の過程において、識別情報や検査結果をクレデンシャルとしてデバイスに埋め込み、IoTネットワークへのオンボーディング時の識別や品質保証を容易にする。
・デバイス納入時
出荷されたHWデバイスを受け取ったリセラー業者が、デバイスに埋め込まれている識別情報などのクレデンシャルを確認し、さらにソフトウェアをインストールしてリセラーが所有していることを証明するクレデンシャルを追加する。最後に商品がエンドユーザーの手に渡った際は、エンドユーザーはHW業者、リセラー業者の情報の確認や品質に関する情報をクレデンシャルを通して確認する事が出来る。
・デバイスセットアップ時
デバイス所有者は、IoTネットワーク上でデバイスを動作させるためのクレデンシャルを発行し、相互作用を許可する別デバイスの識別や制御システムからのアクセスの認可、デバイスのリセラーからのアップデート供給の許可などに利用する。
Verifiable Credentialsの適用対象は「ヒト」だけではなく、デバイスのような「モノ」にも利用する事が出来ます。特にIoTデバイスは今後IoT社会になりデバイスがネットワーク上に大量に接続されるようになったとき、デバイス同士の識別や相互での制御を適切に管理する事が必要になり、特に人の命に関わるような医療系のウェアラブルデバイスなどではその重要性が増すのではないでしょうか。ネットワーク上のでの大量のデバイス管理は従来のPKIによる証明書ベースの管理運用では限界があり、Verifiable Credentialsによる管理が適していると言われています。Sovrin Foundationがそのあたりに言及した分散型IDのIoT活用に関するWhite Paperをリリースしており、内容について一通りリサーチしてあるのですが、そのうちご紹介したいと思います。
まとめ
Education(教育)、Retail(小売・EC)、Finance(金融)、HealthCare(医療・ヘルスケア)、Professional Credentials(資格)、Legal Identity(公的証明)、Devices(IoTデバイス)の7つの分野についてW3Cが公開しているVerifiable Credentialsのユースケースを整理し、簡単な所感と考察を交える形で紹介しました。表にまとめます。
| カテゴリ | ユースケース |
|---|---|
| Education(教育) | 成績証明 |
| 受験資格の証明 | |
| 編入手続き | |
| オンライン授業 | |
| Retail(小売・EC) | 商品配送先確認 |
| アルコール購入 | |
| 販売事業者の証明 | |
| Finance(金融) | KYC済み情報の再利用 |
| 国際送金 | |
| 口座のクロージング | |
| サービス試用時の一時利用 | |
| 非対面での口座開設 | |
| HealthCare(医療・ヘルスケア) | 医師資格の証明 |
| オンライン薬局 | |
| 保険請求 | |
| 旅行中の病院利用 | |
| 障がい認定の証明 | |
| Professional Credentials(資格) | 医師の資格情報 |
| 医師資格の失効 | |
| 組織の資格失効 | |
| 転職/勤務先変更 | |
| SNS等でのプロフィール証明 | |
| 企業採用 | |
| Legal Identity(公的証明) | デジタル運転免許証 |
| デジタルパスポート | |
| 空港保安検査 | |
| 難民の身元確認 | |
| Devices(IoTデバイス) | デバイス製造時 |
| デバイス納入時 | |
| デバイスセットアップ時 |
終わりに
今回参考にした情報
Verifiable Credentials Use Cases - W3C Working Group Note 24 September 2019
W3Cのウェブサイトでは、今回紹介したユースケース例の他に、Issuer/Holder(Subject)/Verifierの各ロール別にVerifiable Credentials交換に関する必要なタスクを抽象化して定義し、それらがそれぞれどのユースケースで必要になるのかを整理しています。また、Focal Use Caseとしてより具体的で複数のタスクが必要になるシナリオをいくつか挙げて、どのようなクレデンシャルが必要になり何を証明するのか、想定される脅威とVerifiable Credentialsによる対処方法などを分析しています。
これらにも目を通すと、さらに理解が深まると思います。