2024年9月9日月曜日

SIDI Hub - ケープタウンレポートを読む(6)

こんにちは、富士榮です。

明日からSIDI HubワシントンD.C.会合だというのにケープタウンのレポートまでしか紹介できませんでした。ベルリン会合のレポートも順次読んでいこうと思いますが、今回でケープタウンのレポートも終わりですので、まずはここまで。


同じタイミングでAlan Turing Instituteがケープタウンで開催した「International Conference on Trustworthy Digital Infrastructure 2024」とのジョイントセッションがSIDI Hubケープタウン会合の最後のプログラムです。

International Conference on Trustworthy Digital Infrastructure 2024

https://www.turing.ac.uk/events/international-conference-trustworthy-digital-infrastructure-2024

Alan Turingといえばエニグマ暗号の解読に成功したイギリスの数学者ですね。第二次世界大戦中にドイツのUボートの暗号通信の解読を行うことで連合国が枢軸国に対する勝利を収めるのを早めた、と言われている人です。いわゆるチューリングマシンとかチューリングテストの人ですね。

Alan Turing Instituteのイベントでは、以下のようなトピックが取り上げられたようです。
  • より安全なデジタル公共インフラ
  • デジタルウォレット-EUの制度と比較、子供の登録
  • ケニアにおけるヌビア人の権利
  • ドイツ開発庁:アフリカにおけるハイテク技術のためのデジタルインフラアーキテクチャーの再考
  • デジタルIDのDNA:フレームワークを超えて
  • 中国の医療システムにおける信頼の役割
  • デジタル基盤IDのためのLLM
  • 分散型エコシステムのためのトラスト実装モデル
  • 労働者のデジタルインフラLLM
  • 英国AI安全研究所はLLMの信頼スコアカードを作成
  • 出所を決定するデジタルID標準の役割に関する議論

SIDI HubはAlan Turing Instituteとの協業関係を築くための方法について議論・検討が行われたとのことです。このようにアカデミアとのつながりを築くのはとても大切なことですね。
他にもSIDI Hubとアカデミアとのつながりとしてはこのようなものが挙げられます。

プライバシー領域
  • ノルウェー科学技術大学
  • ジョージタウン大学
  • カーネギーメロン大学
セキュリティ領域
  • シュトゥットガルト大学
  • チューリング
  • NIST
  • 英国の大学
その他
  • ISOC/U
  • WITWATERSRAND大学
  • など
まだまだアカデミアと協業が深められる領域は色々とありそう、ということで議論が重ねられています。

暗号分野などアカデミアが果たす役割は大きい一方で、まだまだ産業界とのギャップは大きいってことですね。



ギャップを埋めるために色々とコラボレーションを進めていくことになると思います。
実際SIDI Hubのイベントは毎回アカデミアからも参加者を招待しています。


と、いうところでケープタウンのレポートも終わりです。
明日はワシントンD.C.での会合です。時差があるのでレポートできるのは日本時間では明後日になるのかな。


2024年9月8日日曜日

SIDI Hub - ケープタウンレポートを読む(5)

こんにちは、富士榮です。

いよいよ今週はワシントンD.C.で今年3回目のSIDI Hubサミットが開催されます。

この次は10月の東京、そして最終ゴールであるG20会合に向けたリオデジャネイロ会合が11月に控えます。



そろそろケープタウン会合のレポートも読み終えておきたいところですので、進めていきます。今回は相互運用に向けた最低限の要求事項のセッションです。


まず、グローバルで相互運用性を確保するためには、もちろん世界中の全ての組織やシステムが統一された標準をサポートすることがベストなわけですが、現実はそう甘くはないわけです。そうなると、実装パターンは以下の3つに集約されることになる、とSIDI Hubでは仮説を立てています。

  • 発行者とリライングパーティが複数のプロトコルを実装する
  • プロトコル変換を行うレイヤーを用意する
  • プロキシを配置する
2番目と3番目はプロトコル変換をプロキシでやるケースもあるので実質は同じ形での実装となる可能性もありそうです。

セッションではペイメントと送金、教育、そして国境を超えた商取引の2つのユースケースにおける最低限の要求事項の分析をしています。

例えばペイメントと送金については以下のように分析されています。

ユースケース

  • 国境を超えた送金と受け取り
  • 不正を防止するために受取人のIDの確認
  • 受取人の口座の確認
  • 支払いからスタートするのか、受取要求からスタートするのか
  • 制裁チェック
  • KYC情報の収集、法規制への準拠
  • 税務情報
  • エクスローや取引仲介者
→たしかにこれらを国境や制度が異なる国家間で実施するのはアフリカに限らず非常に困難を伴います。例えば海外送金をする際に受取人がテロリストでないことをどうやって確認するのか?というのは非常に難しい問題になりそうですし、オンライン送金をする際のインターフェイスの問題もあります。もちろん古くはCHIPSのようなクリアリングハウスや現行のSWIFTなどが国際送金では存在するわけですが、日常的に国境を超えて商売をしている国々においてそれらのシステムは過剰とも言えるでしょう。

両サイドにデジタルIDシステムは導入されているのか?

  • 管轄領域に依存、あったとしても相互運用性がない場合が多い

技術的な展望

  • 複数の決済システムやデジタルIDシステムは必ずしも相互運用可能ではない
  • ほとんどの国がFATFのAML要件に準拠している
  • 多様なウォレットが存在、相互運用性がない
  • デジタル資産の取引には異なる規制要件があり、保証レベルも異なる

技術的な課題

  • 共通のトラストフレームワークが存在せず、発行者ごとに異なる保証レベルとなっている
  • 国家間、国内においても一貫性のない”標準”の利用
  • IDウォレットの鍵管理の問題
  • webやmobile OSなど複数のプラットフォームで利用できるクレデンシャルが必要

こうなってくると技術の相互運用性のみならずトラストフレームワークのマッピングなども合わせて進める必要がありますね。まぁ、この辺りは引き続き整理を続けているので東京会合の時にはある程度まとまってくるんじゃないかな?と思います。


2024年9月7日土曜日

ウォレットの将来に関する考察

こんにちは、富士榮です。

ウォレットの話が続きます。


Ott Sarv氏がLInkedInに投稿した記事ですがCC BY4.0のライセンスで公開されていますのでこちらで読んでいこうと思います。


なお、
  • 黄色マーカーは私によります
  • 赤字は私のコメントです

さて、早速みていきます。

意見:eIDAS 2.0を踏まえたオープンウォレットの将来に関する重要な考察

デジタルIDソリューションのエンド・ツー・エンド・アーキテクトとして、ヨーロッパ、東南アジア、インドと中国の間の地域、アフリカ大陸などの多様な地域で活動する中で、私はデジタルIDシステムの導入に伴う大きな影響と重大な課題を目の当たりにしてきました。その経験から、信頼はデジタルIDの基本要素であり、その信頼はしばしば政府の権限や規制監督と密接に結びついていることを学びました。最近、eIDAS 2.0 ドラフト仕様が発表され、規制の状況はデジタル ID フレームワークに対する 政府の管理を強化する方向にシフトしていることがますます明らかになっている。このシフトは、ステートレスでオープンソースのデジタル・ウォレットを作成することを目的とする OpenWallet Foundation のようなイニシアチブの将来について重大な問題を提起している。

→興味深いですね。政府などの機関に信頼の基点を置く必要が叫ばれつつもウォレットにアイデンティティ情報を格納して持ち運ぶ、というところにこれまで「自己主権」ということを叫んできた人たちにとっては矛盾を産み始めているのかもしれません。

規制の背景を理解する: デジタルアイデンティティにおける政府の役割

ヨーロッパの規制環境から東南アジアやアフリカのダイナミックなデジタル・ ランドスケープまで、私が働いてきたどの地域でも、デジタル ID ソリューションの信頼確立に おける政府の中心的役割は一貫した要因であった。インドや中国の国家 ID プログラムであろうと、アフリカの国家が支援するデジタル ID 枠組みであろうと、政府の関与は大量採用と信頼の達成に不可欠であった。
これらの経験は、デジタル ID システムが成功するためには、その妥当性とセキュリ ティを保証する権威ある情報源(通常は政府)が必要であるという重大な現実を浮き彫りにし ている。政府は個人データおよび公共の利益の主要な管理者と見なされるため、個人は政府によって支 持されるデジタル ID を信頼する。政府の承認または認識がなければ、多くのデジタル ID イニシアチブ は、その技術革新にかかわらず、牽引力を得るのに苦労する

→適用領域次第だろうとは思いますが、政府を含む権威のある情報ソースがデジタルアイデンティティに関する信頼の基点になりやすいのは事実だと思います。一方でこのことが先日のID Dayの話のように国家にネグレクトされた人たちが存在する要因の一つにもなっていることも事実です。やはり人類は「信頼」について深く考察すべき時期に来ているんじゃないかとおもます。

Open Walletの課題: eIDAS 2.0規制への対応

分散型デジタル・ウォレットというビジョンを掲げるOpen Wallet Foundationは、この文脈において大きな課題に直面している。eIDAS 2.0 仕様草案は、欧州連合内のデジタル ID は国家発行または国家承認でなければならず、こ れらの ID に対する信頼は本質的に政府の権威と結びついていると明言している。この枠組みは、デジタル ID システムに対する国の管理を強化する広範な傾向を反映し ている。
Open Walletにとって、この規制環境は重大なジレンマをもたらす。オープンソースの原則と包括的な開発へのコミットメントは賞賛に値するが、その現在のアプローチは、政府主導の枠組みへの準拠が不可欠なEUのような主要市場の規制の現実と一致しない可能性がある。国家が支援するデジタル・アイデンティティ・システムへの移行は、特に政府規制の遵守が義務付けられている法域では、ステートレス・モデルの余地が限られている可能性があることを示唆している。

→まさに先に書いた通りです。分散型でオープン性を掲げる一方で政府に信頼の基点を置かざるを得ない、というのは矛盾する可能性があります。

Open Wallet Foundationへの戦略的提言

このような課題を踏まえて、Open Wallet Foundationに対する戦略的提言をいくつか紹介します:
A. プロジェクトの戦略的方向性の再評価
進化する規制の状況を考えると、Open Wallet Foundationは現在のモデルの限界を認識する時かもしれない。eIDAS 2.0や同様のフレームワークで政府が支援するデジタルIDが世界的に重視されていることから、Open Walletは現在のプロジェクトを終了し、戦略を見直すことを検討すべきです。これは失敗を意味するのではなく、当初のビジョンが現在の状況では実現不可能かもしれないという現実的な認識を意味する。

→なかなか刺激的な提言ですね。行き過ぎな気はします。あくまで実装としてのOpen Walletと政府に信頼の基点を置くクレデンシャルは両立できるんじゃないのか?とも思います。

B. 政府間協力への軸足
Open Walletは、ステートレス・デジタル・ウォレット・モデルを継続する代わりに、政府との協力によって既存のデジタル ID フレームワークを強化する方向に軸足を移すことができる。これには、政府主導のデジタル ID イニシアチブを補完しサポートするオープンソースのツール、モジュール、または標準を開発することが含まれます。政府の要求と連携することで、オープンウォレットはイノベーションを促進しながら、グローバルなデジタルIDエコシステムにおいて関連性を保つことができます。

→これは一部でやってるんじゃないの?とも思いますが、ちゃんと政府の方向性とコンフリクトがない形を目指していきましょう、ってところですね。

C. イノベーションとコンプライアンスのバランスをとるハイブリッドモデルの提唱
OpenWallet は、その包括的なマルチステークホルダーアプローチと規制遵守の必要性のバランスをとるハイブリッドモデルを模索すべきです。eIDAS 2.0のような規制の遵守に焦点を当てた専門ワーキンググループを結成することは、オープン性へのコミットメントを維持しながら、OpenWalletのビジョンを法的要件と整合させるのに役立つでしょう。EUの規制当局や他の標準化団体と直接関わることで、貴重な洞察や指針が得られるだろう。

→まぁ、そうなりますよね。戦っても仕方ない話なので、前項にもある通り歩調を合わせるっていうことが必要になりそうです。今更ながらですがマルチステークホルダーといっている中の重要な一部として政府も入っている、ということです。

D. 主要ステークホルダーとの継続的な対話の促進
関連性を維持するために、Open Walletは規制当局、政策立案者、およびその他の主要な利害関係 者と継続的に対話する必要があります。協議に参加し、フィードバックを提供し、ベストプラクティスを共有することで、Open Walletはデジタル ID 標準の進化に貢献する貴重な存在として位置付けられ、新たな規制の動向に 応じて戦略を適応させることができます。

→前項までと一緒ですね。ある程度歩調は合わせていると思いますが、もっと明確にやっていくべきなのかもしれません。

デジタルアイデンティティ戦略の再編

エンド・ツー・エンドのデジタル・アイデンティティの専門家として、私はOpen Wallet Foundationとその他の関係者に対し、進化する規制の状況に照らして現在のアプローチを批判的に評価するよう強く求めます。デジタルIDの信頼の礎としての政府の役割を認識し、オープンソースのイノベーションを国家主導のフレームワークと連携させる新たな方法を模索することが不可欠です。
私は、デジタル ID コミュニティに対し、政府および規制当局との協力関係を強化し、革新的で、準拠 性が高く、安全で、広く受け入れられるデジタル ID ソリューションを開発するための共通基盤を見出すよう呼びかける。

→良い投げ込みですね。こういうことを関係者がちゃんと意識をする良いきっかけになると良いと思います。これはもちろん日本においても、です。

デジタル・アイデンティティの現実的な道筋

デジタル ID の将来は、革新、信頼、および規制の間の微妙なバランスによって形成される。eIDAS 2.0 ドラフト仕様が示すように、デジタル ID の信頼は依然として政府の権限と監視と密接に関係 している。Open Walletのようなイニシアチブにとって、この現実は戦略的な再評価を必要とする。
現在のプロジェクトを終了し、規制の枠組みに沿ったモデルに軸足を移すことで、Open Walletはデジタル ID エコシステムに有意義な貢献を続けることができる。このアプローチにより、デジタル ID ソリューションは、規制の期待を尊重しながらも、多様な地域の ユーザーのニーズを満たし、インパクトがあり、コンプライアンスがあり、世界的に適切なものとなる。

→Open Wallet Foundationがどうしていくべきか、については必要以上にここでは触れませんが、技術だけではダメで、規制、そしてそもそも「信頼」はどのようにして醸成されるのか?を考えていけると良いと思います。(これはウォレットに限らず全てのデジタルIDシステムについて言えることですが)


ということで興味深く読ませていただきました。

2024年9月6日金曜日

”ウォレット”をどこまで意識する必要があるのか?

こんにちは、富士榮です。

みんな大好き”ウォレット”ですが、Verifiable CredentialsやmDocについて語る際に”ウォレット”を持ち出してしまうと、その部分の抽象化レベルだけ他と違ってしまって急に訳がわからない話になってしまうなぁ、、という悩みがあります。



みなさん”ウォレット”と聞くと「スマホにインストールされたネイティブアプリ」を想起してしまうからかもしれません。本来はウォレットの実装方式ではなく、クレデンシャルの保有者(Holder)に着目しないといけないんですけどね。

※つまり、「Issuer-Holder-Verifier」という3パーティモデル(IHVモデル)の話をしているのに、途中から「Issuer-Wallet-Verifier」というレベル感が合わない話にすり替わってしまうという話です。

この悩みにも関連しますが、我らがアンディー(Andrew Hindle)が良いコラムを書いていたので紹介しておきましょう。

Identity Wallets as Infrastructure - Andrew Hindle


一言でまとめると
ウォレットを機能として考えるのではなくインフラコンポーネントとして考えましょう。最終的にウォレット・プロバイダーを選択することなく携帯電話事業者などから提供されるデフォルトのウォレットを使うことになるでしょう
という話です。

私もたまに「ウォレットの乱立って今後どうなるの?」って聞かれますが、最近は「ウォレットとして独立したアプリケーションとして捉える時代は終わるんじゃない?もっと上位サービスの中に自然と存在している状態になって見えなくなるっていうのがユーザーにとって自然なのでは?」なんて言っていたりもしますが、「乱立から集約へ」というAndrewの意見と「乱立から不可視へ」という私の意見は異なる点もありますが、共通UXとして自然に溶け込んでいくことにならないと普及しない、という点については一致していると思います。


雑にGoogle翻訳したものを貼っておきます。

インフラストラクチャとしてのアイデンティティウォレット

デジタル ID ウォレットの世界は、これからさらに面白くなりそうです。欧州連合はEIDAS v2を展開し、モバイル運転免許証の採用は米国全土で加速しています (最近の例としては、ニューヨークとカリフォルニア)。そして、これらすべてをサポートする重要な標準 (とりわけ、ISO 18013-5や検証可能な資格情報など) はますます確立されつつあります。今後 3 ~ 5 年以内に、インターネット ユーザーの大半が少なくとも一部の資格情報をデジタル ID ウォレット (以下、単に「ウォレット」) に保存するようになることはほぼ間違いないでしょう

このような普及により、これらのウォレットをエンドユーザーのアプリケーションやサービスとして考えるのをやめ、「インフラストラクチャ」として考え始める時期が来ています。

ウォレットの再考: サービスからインフラへ

オンライン サービス (およびアプリ) は本質的に競争的です。個人用タスク管理システムを例に挙げてみましょう。市場には数多くのシステムがあります。OmniFocus、Amazing Marvin、Remember the Milk、Todoist、Toodleoo などです。中には、Apple の世界の「リマインダー」のように、オペレーティング システムやメーカーのエコシステムに組み込まれているものもあります。

それはそれで問題ありません。基本的な機能はほぼ同じです (タスクの作成、タスクの完了チェック)。ただし、システムによって提供される機能は異なり、それが自分にとって役立つかどうか、また、お金を払いたいと思うかどうかはわかりません。タスクのタグ付けなどの一部の機能は、1 社または 2 社のベンダーの USP として始まりましたが、需要が高まり、今ではすべてのタスク管理ツールの必須機能となっています。

ウォレットが他のアプリと異なる理由

では、なぜウォレットが違う必要があるのか​​、と疑問に思うかもしれません。おそらく、物理的な財布と同じように、誰もが欲しがるわけではない機能をウォレットに求めることになるでしょう。例: 私は仕事で年に数回米国に行きます。米国は英国よりもはるかに現金中心の経済です。英国では、今では現金を持ち歩くことはほとんどありません (自転車に乗っているときは別ですが、そのときは緊急時用に 20 ポンド紙幣を持っています)。米国では持ち歩きます。米ドル紙幣は英ポンド紙幣よりも長いので困ります。そのため、私の財布には、英国で販売されている多くの財布とは異なる寸法が必要です。言い換えれば、物理的な財布には米ドルと GDP の両方をネイティブでサポートする必要があるのです。

デジタル ID ウォレットの限界

では、デジタル ID ウォレットとの違いは何でしょうか?

簡単です。もし物理的な財布が、使用したい通貨をネイティブにサポートしていない場合は、回避策を簡単に実装できます。紙幣を別の方法で折りたたんで、収まるようにすることができます。もちろん完璧ではありませんが、うまくいきます。

しかし、これは私のデジタル ID ウォレットには当てはまりません。たとえば、ある国家が、自国の認証情報に有効なウォレットは特別な国家ウォレットのみであると決定し、そのウォレットが他のすべての人が頼りにしている検証可能な認証情報の一部の機能をサポートしていない場合 (または、更新が十分に速くない場合など)、私は困ってしまいます。私の唯一の選択肢は 2 つの別々のウォレットを実行することですが、その状況は急速に悪化する可能性があります。

「でも、これは先進国の国際的なジェットセッターが抱える問題のように思える」とあなたは言うでしょう。確かに、他の機関が同様の道を歩み始めたと想像してみてください。スーパーマーケットのポイント制度に参加するのですか? ウォレットが必要です! 銀行口座を開設するのですか? ウォレットが必要です! 学歴、専門資格、または福利厚生の資格が必要ですか? はい、ウォレットがさらに必要になります。特定の資格情報がどのウォレットに入っているか思い出せなくなるのも時間の問題です。また、デバイスを紛失した場合(紛失した場合)、またはアップグレード時に使い捨てウォレットの一部を転送し忘れた場合の資格情報回復プロセスは、考えたくもありません。ウォレットの急増は採用を妨げるでしょう。

インフラとしてのウォレットの力

企業もソフトウェアベンダーも、ウォレットを機能として考えるのをやめる必要がありますウォレットは実際にはインフラストラクチャ コンポーネントです。この文脈で「インフラストラクチャ」とはどういう意味でしょうか。鉄道や電力網を考えてみてください。少なくとも、それらが何を行うか、どのように機能するかという基本的な点については、誰もが同意しています。それらは大規模で、(文脈上) 広く利用可能です。そして、本当の価値は鉄道や電力網自体からではなく、それらの上に構築できるサービスから生まれます。言い換えると、それらは本質的に一貫性があり、相互運用性があり、遍在的で、基礎的なものです。または、Webster の定義によれば、「下部構造または基礎となる基盤。特に、コミュニティ、国家などの継続と成長が依存する基本的な設備と施設」です。

では、ウォレットについて考えてみましょう。ウォレットが利用可能になる可能性が最も高い最終段階は、ほとんどの人 (消費者、従業員、市民など) が携帯電話プロバイダーからウォレットを入手することだと私は考えています彼らは、入手するウォレットに基づいてプロバイダーを選択することはなく、そのプロバイダーのデフォルトのウォレットを単に使用します。なぜなら、彼らはウォレット自体の機能にはあまり関心がないからです。彼らは、ウォレットが使いやすく、信頼性が高く、安全に動作し、広く受け入れられ、それを使用してさまざまなデジタル、物理、ハイブリッド サービスにアクセスできることを望んでいるだけです。

この結果は、実は私たち全員にとっての利益です。個人のデジタル ID は、使いやすさ、アクセシビリティ、インクルージョン、顧客維持、セキュリティ、プライバシーなど、デジタル環境のさまざまな領域に革命をもたらします。その結果、企業や、地方レベルと国家レベルの公共サービスを含むその他の大規模組織に、顧客獲得/維持の向上、セキュリティとプライバシーの体制の改善、コスト削減などのメリットがもたらされます。

アイデンティティのための新しいアーキテクチャ

さらに、ウォレットをデジタル ID インフラストラクチャの一部として考えると、興味深く重要な新しいアーキテクチャがいくつか生まれます。ウォレットはシグナルを提供できます。ウォレットは「カウンセラー」になることができます。当社のエンタープライズ展開では、ウォレットからの入力を積極的に取得したり、それに応答したりできます。ウォレットは継続的な ID ランドスケープの一部になります。

好むと好まざるとにかかわらず、ウォレットはインフラストラクチャです。そのインフラストラクチャをできるだけシンプルで、誰にとっても便利なものにしましょう。

2024年9月5日木曜日

初回Vittorio Bertocciアワードの受賞者が決まったみたいです

こんにちは、富士榮です。

4月にこちらでも書いたVittorio Bertocciアワードですが受賞者が決まったみたいです。

Celebrating Excellence: Meet the first Vittorio Bertocci Award Winners!
相変わらずのこの写真(笑)。愉快なヤツでした


おさらいですがこのアワードは故Vittorio Bertocciの功績を継承すべくDIAF(Digital Identity Advanced Foundation)が設定しているアワードです。

今回受賞が決まったのはTrack1と2の受賞者でTrack1の受賞者の方は10月末のInternet Identity Workshop(IIW)でお会いできそうです。

受賞したのは以下の方々
  • Erick Domingues(Track 1)
    • ブラジルでRaidiamのプログラム・マネージャーをやっている人
    • FAPIの実装とかやっている方みたいですね
  • Frederico Schardong(Track 2)
    • ブラジルのサンタ・カタリナ大学でコンピューターサイエンスの研究をしている人
    • デジタルアイデンティティ、自己主権型アイデンティティなどの研究をしているみたいです
  • Jen Schreiber(Track 2)
    • Women Who Codeでエリアディレクターをやっている人
    • デジタルアイデンティティの実装を大規模サービスでやっている人っぽい

日本人も応募すればいいのになぁ。。

2024年9月4日水曜日

SIDI Hub - ケープタウンレポートを読む(4)

こんにちは、富士榮です。

引き続きSIDI Hubのケープタウン会合のレポートをよんでいきましょう。



今回はガバナンスです。

Governance - 報告者:Elizabeth Garber

ガバナンスに関してはGail Hodgesが担当しました。SIDI Hubの内部の各活動をローカルガバメントと連携・調整しつつ、それぞれのワークストリームへマッピングしていく、ということをやっています。

どうしても国際的な枠組みで動こうとするとこのような整理をしないとごちゃごちゃになっちゃうんでしょうね。



その他にも、

  • ユースケースの優先順位づけへのローカルの意見を反映しやすい仕組みの必要性
  • 国ごとの個別のデータフィールドを除けば技術的なアラインメントはほぼほぼ行けそう
  • エコシステムのガバナンスも考えないといけない
  • アーキテクチャ上の決定はローカライズされるべきである(特にオープンソースにすべきところとローカル単位でクローズにするかどうかを決められる部分の決定ができるようにするなど)
  • 既存のImplementationが相互運用性があるのか確認した方がよいのでは
など、持続可能な形で運用していくための意見だしが行われたようです。



あとは、ガバナンスやオペレーションを設計する上で考慮すべき事項についても話あわれたようです。

  • マルチ言語を含むスキーマの設計(どうしても英語がプライマリになってしまいがち)
  • Relying Partyの登録
  • Issuing AuthorityのDiscovery
  • vLEI的(そのものとは言っていない)な暗号学的に検証可能な法人エンティティを識別するための情報
  • x.509とOpenID Federationの違いなどの技術的な相違点
  • OSSのコードと認証の仕組み
  • OECD、G20などとのMOUの話
などなど。やはりグローバルで相互運用性を担保しつつ持続可能にするには考えるべきことはいっぱいです。一歩一歩整理をつけていっている途中ですがGailお疲れ様です・・・


ということで次回は最低限の要求事項のまとめのセッションです。

SIDI Hub - ケープタウンレポートを読む(3)

こんにちは、富士榮です。

引き続きSIDI Hubケープタウン会合のイベントレポートを見ていきます。今回はトラストフレームワークのセッションに関するレポートです。


早速見ていきましょう。

Trust Framework - 報告者:Stephanie de Labriolle

次はトラストフレームワークのワークストリームです。このセッションはElizabeth GarberとOpen Identity ExchangeのNick Mothershaw(リモート参加)が担当しています。

Stephanieのレポートによると参加者の半数くらいしかトラストフレームワークについて馴染みがなかったようですが、各国の法律やルールなどはすでにトラストフレームワークの主要な要素を持っているためElizabethからその辺りは説明がされたようです。

OIXのこの辺りの資料で説明したとのことです。

セッション中ではトラストフレームワークの利点の例として以下が挙げられたとのことです。

  • As a state, I want to flawlessly recognize an individual and know they are unique so that I can offer the right access and services
    • a Trust Framework defines requirements for Identity Proofing and Levels of Assurance
  • 国家としては、個人を完璧に認識し、その人が一意であることを知って、適切なアクセスやサービスを提供できるようにしたい。
    • トラストフレームワークは、アイデンティティの証明と保証レベルの要件を定義する
  • As a user, I want to know that my private information is safe so that I can avoid scams, identity theft, and harms in the digital and physical worlds
    • a Trust Framework defines requirements for Privacy, Security, Relying Parties/Verifier Obligations, Data Management, etc.
  • ユーザーとして、私は自分の個人情報が安全であることを知りたい。そうすれば、詐欺、個人情報の盗難、デジタルおよび物理的な世界での危害を避けることができる。
    • トラストフレームワークは、プライバシー、セキュリティ、依拠当事者/検証者の義務、データ管理などの要件を定義する
  • As an Identity Issuer I want to know that the information is going to a trustworthy place so that I can protect users’ data
    • a Trust Framework defines requirements for Relying Party/Verifier Obligations, and Trust Registry protocols
  • ID 発行者として、情報が信頼できる場所に送られることを知り、ユーザのデータを保護したい。
    • トラスト・フレームワークは、依拠当事者/検証者の義務、およびトラスト・レジストリのプロトコルの要件を定義する
  • As a user, I want to know that I can safely use my credential anywhere to prove who I am, what I can do, and to access resources
    • the Trust Framework defines requirements for Credential Standards
  • ユーザとして、自分が誰であるか、何ができるかを証明し、リソースにアクセスするために、自分のクレデンシャルをどこででも安全に使用できることを知りたい。
    • トラスト・フレームワークは、クレデンシャル標準の要件を定義する

そして、Open Identity Exchange(OIX)は以下の8つのトラストフレームワークの分析を実施してきました。

日本は???
安心してください。その後OpenIDファウンデーションジャパンの有志でちゃんと進めてくれています。次の日本会合ではその辺りも発表があると思います。

なお、OIXの分析の結果、OIXが「デジタルIDトラストフレームワークのDNA」として定義している「一般的なポリシー・ルール」と「アイデンティティ保証に関するポリシー」の2つの主要テーマと、関連するサブテーマが設定されています。

ここでも小グループに分かれてディスカッションを行い、トラストフレームワークの要素を用いて各国の状況の分析を行っています。
詳細はレポートを見ていただければと思いますが、こんな感じで分析したようです。


また、トラストフレームワークのベネフィットについても議論が行われました。
結果、以下のようなまとめが行われたとのことです。
この分析のベネフィット
  • 相互運用性の推進
  • データ保護とセキュリティの促進
  • コストの削減
  • 包摂
  • デジタル経済の発展
  • 官民サービスの提供への志向
一方でチャレンジとして以下も挙げられています。
  • ポリシーをどのように運用していくか
  • デジタル化をどのように進めるか
  • 人的要因・サイロ化・リーダーシップの課題への対応
  • インフラの不足
  • スキル不足
  • 地理的な問題、規模、セキュリティ上の問題
そして、何が足りないのか?についても議論が行われ、「専門家のアドバイスの中立性をどのように担保・確認するのか?」などについても語られたようです。どうやら一部の国の政府は外部有識者へのアドバイスを求める際、公平性や中立性に課題がある、と考えるケースもあるようです。


なお、トラストフレームワークの議論についてもUNHCRとの関連で議論が行われました。
Meanwhile, non-jurisdictions focused on how to support UNHCR, which has the challenge of serving 130M current refugees that are part of the UNHCR system and under their protection. They have integrations with about 7 strategic partners including refugee origin and destination countries, and they need to have 50-60 more integrations to national civil registry systems. Some users entering the system will have documents from their origin country and the origin country system of record may be accessible to check data against and people may have mobile devices (e.g. Ukraine), while other individuals may not have mobile devices and may be stateless or originate from failed states where records are not available.

一方、非管轄当局は、UNHCRをどのように支援するかに焦点を当てた。UNHCRは、UNHCRのシステムの一部であり、その保護の下にある1億3,000万人の現在の難民にサービスを提供するという課題を抱えている。UNHCRは、難民の出身国や目的地を含む約7の戦略的パートナーと統合しており、さらに50~60の国別市民登録システムとの統合が必要である。システムに入る利用者の中には、出身国の文書を持っていて、データを照合するために出身国の記録システムにアクセスできたり、携帯端末を持っている人(ウクライナなど)がいる一方で、携帯端末を持っておらず、無国籍であったり、記録が利用できない破綻国家出身であったりする人もいる。 

数多くの難民を支援するUNHCRでは多くの国のシステムとの相互運用性を実現する必要がありそうです。しかしながら難民の状況はさまざまなので国民IDシステムへのアクセスができない場合などもあるので非常に難しい舵取りが求められている状態のようです。

またウクライナの状況を例としてUNHCRに何が求められるのか?についても議論が行われ、難民登録やデジタル技術による解決なども話題に上ったようです。


ということでトラストフレームワークのセッションも終わりです。

次回はガバナンスです。