情報銀行は国際的なプラットフォームが必要

この流れは2018年頃から活発化し始めています。

例えばDistributed Systemsは、米コインベースに買収され社内ユニット「Identity」に加わり、分散アイデンティティソリューションに取り組んでいます。基本的な仕組みは、最初に行政機関のような第三者が本人確認を行い、その後は各個人がIDを管理するためのブロックチェーンによる分散型IDを想定しています。

Distributed Systems

Our mission is to place users in control over their data and privacy.

medium.com

この分散型IDについては、国際的に準拠したプライバシーソリューションを構築するため、コインベースがW3CとDIDワーキンググループを立ち上げています。その先にあるのは社会保障庁または交通局のような公的機関で利用されることを想定されているようです。

分散ID(DID)v0.11 コミュニティグループ報告書草案 2021年4月30日

Decentralized Identifiers (DIDs) v1.0

Core architecture, data model, and representations
W3C Working Draft 30 April 2021

w3c.github.io

概要

分散型識別子(DID)は、検証可能な分散型デジタルIDを可能にする新しいタイプの識別子です。 DIDは、DIDの管理者が識別したと判断したサブジェクト(個人、組織、物、データモデル、抽象エンティティなど)を識別します。 通常のフェデレーション識別子とは対照的に、DIDは一元化されたレジストリ、IDプロバイダー、および認証局から分離できるように設計されています。 具体的にはDIDに関連する情報の検出を可能にするために他の関係者が使用される場合がありますが、この設計により、DIDのコントローラーは、他の関係者の許可を必要とせずに、DIDの制御を証明できます。 DIDは、DIDサブジェクトをDIDドキュメントに関連付けるURIであり、そのサブジェクトに関連付けられた信頼できるインタラクションを可能にします。

各DIDドキュメントは、暗号化マテリアル、検証方法、またはサービスを表現できます。これらは、DIDコントローラーがDIDの制御を証明できるようにする一連のメカニズムを提供します。 サービスは、DIDサブジェクトに関連付けられた信頼できるインタラクションを可能にします。DIDサブジェクトがデータモデルなどの情報リソースである場合、DIDはDIDサブジェクト自体を返す手段を提供する場合があります。

プライバシーの考慮

DIDとDIDドキュメントは設計上、DIDコントローラーによって直接管理されるため、プライバシーバイデザイン[PRIVACY-BY-DESIGN]の原則を分散型識別子アーキテクチャのすべての側面に適用することが非常に重要です。 追加のプライバシー保護を推奨または適用するレジストラ、ホスティング会社、またはその他の中間サービスプロバイダーはありません。 この仕様は開発全体を通じて7つのプライバシーバイデザインの原則すべてを適用しています。 プライバシーは予防や改善ではなく、デフォルトとして埋め込まれています。

7つのプライバシーバイデザインの原則

  • 原則1 リアクティブ(事後)でなくプロアクティブ(事前)
    プライバシー対策は事後の措置でなく、プロアクティブな対策で、問題が発生する前にプライバシー侵害を防ぐことである。PbDは、プライバシー上のリスクが発生した際にプライバシー侵害を解決するための救済策を提供する。
  • 原則2 デフォルト設定でプライバシー
    情報システムやビジネスにおいて個人情報が自動的に保護されることで、最高のプライバシー対策を提供する。プライバシーを保護するためにシステムにデフォルトで組み込まれている必要がある。
  • 原則3 設計時に組み込むプライバシー対策
    プライバシー対策は、設計時に情報技術、組織や社会基盤に組み込まれており、結果としてプライバシー対策が、構成要素の不可欠な基盤機能となる。
  • 原則4 ゼロサムではなくポジティブサム
    セキュリティ対策とプライバシー対策においてゼロサム的なアプローチではなく、すべての正当な利益をポジティブサム”Win-Win”の方法で対応する。
  • 原則5 エンドツーエンドのプライバシーライフサイクル
    データのライフサイクル全体に対応し、情報のライフサイクル管理を保証する。
  • 原則6 可視化と透明性
    全てのステークホルダーは、何が情報技術、組織や社会基盤に関係するかを確認する(可視化)。そして企業組織の理念、目標に対して独立した検証を行う(透明性)。
  • 原則7 ユーザープライバシーの尊重
    システム構築者と運用者は、デフォルト設定されたプライバシー対策により、適切な通知、権限委譲、およびユーザープライバシー対策について選択出来る機能を提供する。つまり、個人を中心に個人の利益を考慮し、尊重しなければならない。

分散型IDアーキテクチャの主要コンポーネントの概要


DIDおよびDIDドキュメントは、検証可能なデータレジストリに記録されます。 DIDはDIDドキュメントに解決されます。 DIDはDIDサブジェクトを識別します。 DIDコントローラーはDIDドキュメントを制御します。 DIDURLにはDIDが含まれています。 DIDドキュメントフラグメントまたは外部リソースに逆参照されたDIDURL。
図 DIDアーキテクチャの概要と基本コンポーネントの関係

DIDs and DID URLsDID


DIDのパーツを示す図。 左端の文字は「did」を青で綴り、上から水平の括弧で囲まれ、括弧の上に「scheme」と書かれたラベルが付いています。 'did'文字の後に灰色のコロンが続きます。 真ん中の文字はマゼンタの「example」を綴り、下から水平の括弧で囲まれ、括弧の下に「DIDMethod」と書かれたラベルが付いています。 灰色のコロンはDIDメソッドに従います。 最後に、最後に緑色で「123456789abcdefghi」と表示されている文字は、下から水平の角かっこで囲まれ、角かっこの下に「DIDメソッド固有の文字列」と表示されているラベルが付いています。

分散識別子(DID)は、3つの部分で構成されるURIです。スキームdid :、メソッド識別子、およびDIDメソッドによって指定された一意のメソッド固有の識別子です。 DIDはDIDドキュメントに解決できます。DID URLは、基本的なDIDの構文を拡張して、特定のリソースを見つけるために、パス、クエリ、フラグメントなどの他の標準URIコンポーネント、DIDドキュメント内の暗号化公開鍵、またはDIDドキュメントの外部のリソースを組み込みます。

DID subjects(DIDサブジェクト)

DIDサブジェクトは、定義上、DIDによって識別されるエンティティです。 DIDサブジェクトはDIDコントローラーである場合もあります。 個人、グループ、組織、物、または概念など、あらゆるものがDIDの対象になる可能性があります。

DID controllers(DIDコントローラー)

DIDコントローラーは、DIDメソッドで定義されているように、DIDドキュメントに変更を加える機能を持つエンティティ(個人、組織、または自律型ソフトウェア)です。 この機能は通常、コントローラーに代わって動作するソフトウェアによって使用される暗号化キーのセットの制御によってアサートされますが、他のメカニズムを介してアサートされる場合もあります。 DIDには複数のコントローラーが含まれる場合があり、DIDサブジェクトはDIDコントローラーまたはそれらの1つである可能性があることに注意してください。

Verifiable data registries(検証可能なデータレジストリ)

DIDドキュメントに解決できるようにするために、DIDは通常、基盤となるシステムまたはある種のネットワークに記録されます。 使用される特定のテクノロジーに関係なく、DIDの記録と、DIDドキュメントの作成に必要なデータの返送をサポートするこのようなシステムは、検証可能なデータレジストリと呼ばれます。 例としては、分散型元帳、分散型ファイルシステム、あらゆる種類のデータベース、ピアツーピアネットワーク、その他の形式の信頼できるデータストレージがあります。

DID documents(DIDドキュメント)

DIDドキュメントには、DIDに関連付けられた情報が含まれています。 これらは通常、暗号化公開鍵などの検証方法、およびDIDサブジェクトとの対話に関連するサービスを表します。 DIDドキュメントでサポートされている一般的なプロパティは、コアプロパティで指定されています。 DIDドキュメントはバイトストリームにシリアル化できます。 DIDドキュメントに存在するプロパティは、メソッドで定義されている該当する操作に従って更新できます。

DID methods(DIDメソッド)

DIDメソッドは、特定のタイプのDIDとそれに関連するDIDドキュメントを作成、解決、更新、および非アクティブ化するメカニズムです。 DIDメソッドは、個別のDIDメソッド仕様を使用して定義されます。

DID resolvers and DID resolution(DIDリゾルバーとDID解決)

DIDリゾルバーは、入力としてDIDを受け取り、出力として準拠するDIDドキュメントを生成するシステムコンポーネントです。 このプロセスはDID解決と呼ばれます。 特定のタイプのDIDを解決するためのステップは、関連するDIDメソッド仕様によって定義されます。

DID URL dereferencers and DID URL dereferencing(DIDURL逆参照およびDIDURL逆参照)

DID URL逆参照は、入力としてDID URLを受け取り、出力としてリソースを生成するシステムコンポーネントです。 このプロセスは、DIDURL逆参照と呼ばれます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ