2024年4月4日木曜日

政府とデジタルウォレットのあり方に関するOIXのレポートを読む(1)

こんにちは、富士榮です。

政府とデジタルウォレットに関するOIX(Open Identity Exchange)のレポートをご存知でしょうか?昨年の秋口に出ているもので、簡単にいうと「政府が発行するクレデンシャルを政府が管理するウォレットに入れるのがいいのか、民間のウォレットにも入れていいのか」についての現状をまとめたレポートです。

Governments and Digital Wallets



ということで読んでいきます。
今回はエグゼクティブ・サマリー部分です。ここだけ読めば最低限の論点と結論はわかります。

ウォレット提供者の選択肢

冒頭の課題提起の部分にはこんなことが書いてあります。
Governments around the globe are tracking the evolution of digital wallets to try and determine how their citizens can use these to carry government issued credentials that enable a user to prove who they are and what they are eligible to do.
世界中の政府がデジタルウォレットの進化を追跡し、ユーザーが誰であり、何をする資格があるかを証明できる政府発行のクレデンシャルを携帯するために、国民がデジタルウォレットをどのように利用できるかを見極めようとしている。(Deeplによる機械翻訳)
最近はEUのEUDIWやUSのmDLの話は日本でもしばしば参照されています。
ただ、色々なアプローチのパターンがあるのも事実です。上記に続く文でも「EUは積極的で共通のフレームワークで認定されたウォレットを使うことを要求している。一方でUSでは各州が発行するモバイル運転免許証を企業が提供しているウォレットに格納する、というアプローチをとっている」という主旨のことが記載されています。

確かに誰がウォレットを提供すべきなのか?は大きなテーマですね。政府が直接発行するべきなのか、GoogleやAppleなどスマートフォンを提供しているベンダが提供するべきなのか、さらには特定の業界や用途に特化したウォレットがいいのか汎用的なものが良いのか、、など考えることは多いとレポートにも記載されています。

そして、このレポートでは「政府が国民に対して直接ウォレットを提供するべきなのかどうか?」にフォーカスすることが宣言されています。

政府が提供するウォレットと格納する資格情報

政府によるウォレット提供の是非を考える上ではウォレット上にどのような資格情報を格納することを想定するのか?が大切な考慮点となります。レポートでは、以下の4つのパターンでメリット・デメリットを含め比較をしていくことになります。
  1. 政府が発行したクレデンシャルのみを格納するためのウォレットを政府が提供する
  2. 政府および民間が発行したクレデンシャルを格納するためのウォレットを政府が提供する
  3. 上記1に加えて認定された民間企業が提供するウォレットに政府が発行したクレデンシャルを格納することを許可する
  4. 政府はウォレットを提供せず、認定された民間企業が提供するウォレットに政府が発行したクレデンシャルを格納することを許可する
本レポートでは4番目のオプションである「政府はウォレットを提供せず、認定された民間企業が提供するウォレットに政府が発行したクレデンシャルを格納することを許可する」ことが望ましい、と結論づけています。

理由としては以下が挙げられています。
  • 政府がウォレットの開発や運用にかかる費用を負担しなくて良い
  • 利用者から見て国による監視を心配されない
  • 使い慣れた民間のウォレットに民間のクレデンシャルと政府発行のクレデンシャルの両方を格納することができる
  • クレデンシャルを要求する事業者やサービスが民間と政府発行の両方のクレデンシャルを複雑なオペレーション(ウォレットの切り替えなど)なしに要求・提示を受けることができる
2番目の点はまさにデジタル庁の認証アプリで議論になっているポイントの一つですね・・・
参考)

そして、この「認定」こそが政府による集権とテックジャイアンとによる独占・集権のバランスを取るためのキーポイントになっている、という主旨のことも語られています。カナダではDIAC(Digital ID & Authentication Council of Canada)のPCTF(Pan-Canadian Trust Framework)によるウォレットの認定プログラムが行われていたり、EUでも適合性プロファイルが発行されていたりするのもその実例だと書かれています。

次回以降で上記の4つのモデルについて詳細を確認していきたいと思います。















0 件のコメント:

コメントを投稿