SIDI Hub - ベルリンレポートを読む（５）

こんにちは、富士榮です。

引き続きSIDI Hubベルリンレポートを読んできましょう。

今回はユースケースをベースにしたGap分析です。Deboraがレポートしてくれています。

相互運用性を担保する上で大きな障壁になりそうな課題として以下を挙げています。

We focused on three topics:

• Relying Party Registration: it is tackled in the scope of EUDIW and covered by Aadhaar, NIMC, and others on a country-by-country basis. But how does this interoperate across borders on a global scale?
• Issuing Authority Discovery: ICAO centralized this for passports after many years. But how will this work for public and private sector issuers?
• Legal Entity Identifiers: the LEI (GLEIF) and DNS (ICANN) are two current examples. What is the best way to achieve legal entity linking?

We then facilitated a discussion, and the following summarizes the key points addressed in the room.

我々は3つのトピックに焦点を当てた：

• リライングパーティの登録：EUDIWの範囲内で取り組まれており、AadhaarやNIMCなどが国ごとにカバーしている。しかし、世界規模で国境を越えてどのように相互運用するのか。
• 発行機関の発見： ICAOは何年も経ってから、パスポートのためにこれを一元化した。しかし、公的機関や民間企業の発行者にとってはどのように機能するのだろうか。
• 法的実体識別子：LEI（GLEIF）とDNS（ICANN）が現在の2つの例である。取引主体の連結を実現する最善の方法は何か？

その後、ファシリテーターによるディスカッションが行われ、その中で取り上げられたポイントを以下に要約する。

どれも頭の痛い問題ですね。特に2点目、3点目は答えが出そうにない課題ですねぇ。。いつまで経ってもIssuerのディスカバリは難しい問題です。ここで言っているのは単純に公開鍵を取得するためのURLのディスカバリだけじゃないですからね・・・どうやってIssuerが正当な機関であることを信じられるか、みたいな話です。また、識別子も非常に難しい問題です。DNSは比較的成功したモデルではありますが、それでも過去に使っていたドメインを別の機関が取得するという問題などもありますので、長期的に運用する上では非常に難しいかと思います。

それぞれ深掘りしていきます。

Relying Party (RP) Registration:

The group discussed the nature of Registration, its requirements, and how Trust establishment could work globally.

• Are we focused only on foundational identity, or do we include functional identity systems?
• Example from Nigeria: the agency responsible for ID management is NIMC. In the case of foundational identity, one of the first things they do is a process of due diligence called Verification. RPs are registered mainly for the foundational part. It is specific to the country.

依拠当事者（RP）登録：

このグループでは、登録の性質、要件、および信頼性確立がグローバルにどのように機能するかについて議論した。

• 私たちは基盤的 ID のみに焦点を当てているのか、機能的 ID システムも含めるのか。

• ナイジェリアの例：ID 管理を担当する機関は NIMC である。基盤的 ID の場合、最初に行うことの 1 つは、検証（Verification）と呼ばれるデュー・ディリジェンス・プロセスである。RP は主に基礎部分のために登録される。これはその国特有のものである。
• Why are RPs registering? What are the requirements? What are the types of problems we are trying to solve?

• Example of the mDL standard: the Trust ecosystem is only for Issuers. If I share my mDL with you, why should I trust you? This concern is especially relevant for a commercial vendor, e.g., Aadhaar they have to register all RP fingerprint devices with governments to know they are trusted 

• なぜRPは登録するのか？要件は何か？どんな問題を解きたいのか？ 

• mDL標準の例：トラスト・エコシステムは発行者のためだけのもの。mDLを共有した場合、なぜ信用しなければならないのか？この懸念は特に商業ベンダーに関連する。例えば Aadhaar の場合、信頼できることを知るためにすべての RP 指紋デバイスを政府に登録しなければならない。

• Should the solution be based on use cases? Should it be a risk-based approach?

• It depends on the type of credentials, e.g., education with entity categories. A commercial entity doesn’t need your entire transcripts.
• ソリューションはユースケースに基づくべきか。リスク・ベースのアプローチにすべきか？

• クレデンシャルのタイプ（例えば、エンティティ・カテゴリーを持つ教育）によって異なる。営利団体は成績証明書全体を必要としない。 
• Should it be public or private-led, or a combination of both? 

• Example, more public-led: ICAO 

• Example, more private-led: ICANN
• 公共主導か民間主導か、あるいは両者の組み合わせか？ 

• より公共主導の例：ICAO 

• より民間主導の例：CANN
• Governance relates to funding the operating costs: would it be self-funded like ICAO? Should it be external funding? What are good reference models? 

• ICAOのように自己資金で運営するのか？外部資金とすべきか？良い参考モデルは何か？ 

• Should it be global or regional? 

• AAMVA is in North America and only about driver's licenses 

•  グローバルかリージョナルか 

•  AAMVAは北米にあり、運転免許証に関するものだけである。 

• How would we approach the following: 

• Lifecycle management? 

• Type of data? 

• Legitimacy & KYB? 

• Policy enforcement? 

• 以下について、どのようにアプローチしますか？ 

• ライフサイクル管理？ 

• データのタイプ？ 

• 正当性およびKYB？ 

• ポリシーの施行？
• Should we pursue an academic analysis of the options?
• オプションについて学術的な分析を行うべきでしょうか？ 

• Who are the decision-makers, and why?
• 意思決定者は誰で、その理由は？ 

• Is there a hierarchy or a pre-existing way to navigate views?
• 階層やビューをナビゲートする既存の方法はあるのでしょうか？ 

• What is the appropriate role for: 

• Governments? 

• NGOs like the UN? Is the UN sufficiently independent? 

• Standards Organizations? 

• 以下について適切な役割とはどのようなものか： 

• 政府？ 

• 国連のようなNGO？国連は十分に独立しているか？ 

• 標準化団体？
• What is required to achieve consensus?
• コンセンサスを得るために必要なことは何でしょうか？ 

We discussed that the Champion Use Cases will indicate the breadth of the issues we have to face if we go for the widest possible interoperability

チャンピオンユースケースは、最大限の相互運用性を実現しようとする場合に直面する問題の広がりを示すことになるだろう、という点について話し合いました。

当然ですが、相互運用を考えるとかなり幅広い議論が必要となりますね。

もう少しスコープを絞って議論をシャープにしていかないとまとまらない気もします・・・（少なくとも一気に全体ミーティングでまとまる量じゃない）

リライングパーティだけで上記ボリュームだったので、他にもガバナンスなどもあるので、この辺りは明日以降に。