gavangavanの日記

書きたいことを書いております。

電子政府における個人情報へのアクセス履歴の可視化

社会 情報技術

先日のエントリで、電子政府における個人情報では情報の保持者(政府)と情報の利用者に加えて、情報のオリジンたる個人がいるので、従来型のセキュリティ3要素(秘匿性、完全性、可用性)に加えて、第4の要素「アクセス履歴の可視化」が重要だ、という指摘をした。

今朝たまたまベッドで横になったまま(病気なのでいつもそうなのだが)twitterを読んでいたら、OpenID foundationの崎村夏彦さん(@_natのツイートをTL中にみつけた。

原口5原則って、まさにユーザーセントリック。 OpenIDで解こうとしているのと同じことですね。CXとか、ほんとドンピシャだと思う。ちょっといろいろ書いてみた。 http://ow.ly/1oqJj

http://twitter.com/_nat/status/10743286739

で、読ませていただいたのだが、

原則1 国民の権利を守るためのであること

原口大臣がいう、国民を管理するためのIDではなく、国民のためのIDというのがこれの本質だろう。そういう意味では、これの説明として書かれていることは、この原則1の一部分についてしか言及していないと思われる。

さて、その「一部分」だが、「重複なく、漏れなく」というのは案外難しい。

まずもって、人の生き死に情報がどれだけ正確に把握されているかという問題がある。

次に、これが正確だったとしても、こんどはそれを本人に結びつけるのが難しい。

(中略)

したがって、この原則を実現するためには、身元確認基準を整備することも同時にやらなければならないということになる。

http://www.sakimura.org/modules/wordpress/index.php?p=669

この部分には正直はっとさせられた。日常的には運転免許証や保険証で本人確認して印鑑証明とったりって認証になってないよなあ、とかぼやいていたわけだが、まさにこの指摘の1点につきる。

原則2 自らの情報を不正に利用・ストックされず、確認・修正が可能な、自己情報をコントロール出来る仕組みであること

いわゆる自己情報コントロール権のはなしであるが、これを実現するためには、どこに、どのような条件で自己情報を提供したかが管理されていなければならない。そして、相手が約束したことの証跡を残さなければならない。

OpenID CX (draft) は、まさにこのために考案されたプロトコルだ。

そもそも OpenID は、OpenID プロバイダー(OP)に自己情報を格納し、それをサイト(RP)に提供してゆくというフレームワークだ。OPに格納した自己情報は当然自分で編集できる。

RPに情報を引渡した際の条件などの記録は、その拡張仕様である CX が受け持つ。

(中略)

さらに、相手が「そんな条件は結んでいない」と言い出したら、この「契約書」を裁判所に持ち込めば、有力な証拠となるであろう。

CXは、自己情報コントロール権を実現するための有力な手段なのである。

http://www.sakimura.org/modules/wordpress/index.php?p=669

これもまたうならされてしまった。OpenIDはここまで考慮して策定されている。自分の情報は政府にあるのではなく、政府は情報のアクセス権者ということだ。自身の情報の保持者をユーザにしたまま(当然編集権も個人に残されている)アクセス権者のコントロールまでプロトコル化されているのだからほとんど完璧だ。

原則3 利用される範囲が明確な番号で、プライバシー保護が徹底された仕組みであること

利用される範囲と目的は、常に明確に述べられるべきで、これは CX の「契約書」の中に記載されることとなる。また、データが転送されるときには、契約書に記載してある、データ引渡し先の公開鍵によって暗号化して送るので、他の機関が読み取ることはできない。

名寄せを防ぐということに関しては、2つの対策を行っている。

一つ目は、分野ないしはサービスごとに異なる「番号」を降り出す仕組みである。
(中略)
また、電子署名を使うと、証明書情報から名寄せが可能になってしまうという問題に関しては、OPがユーザーになりかわって代理署名することによって、CXでは解決している。

http://www.sakimura.org/modules/wordpress/index.php?p=669

これもまたとてもイケている。データの利用可能範囲が明記されておりプロトコル上いつでも閲覧できるのだから、「知らなかった」は通用しない。技術には将来的に穴が見つかる可能性があるが、契約書という形で証拠が残せる仕組みはそういう場合の安全策となりうる。

名寄せの対策も可能なことはいうまでもない。OpenIDはそもそもが分散認証システムだ。おのおののIDプロバイダがなにを証明し、なんのために用いることを前提としているか、は自由で、それらを本質的に並立させるシステムだからだ。

原則4 費用が最小で、確実かつ効率的な仕組みであること

オバマ政権になって、米国政府はこれまでの認証政策を180度転換させた。

それまでは「政府が国民にID(番号+認証+属性etc.)を提供」するモデルを模索していたが、その失敗を認め、「国民が使っているIDを政府も使う」モデルに大転換したのだ。その結果、この3月から Google などの ID を政府のサイトにログインするのに使うことができるようになった。

(中略)
日本でも同じような形が可能だろう。で、キャリアなどが提供する OpenID 等のIDを利用してゆく。

こうやって、民間の力、民間にすでにあるものを使ってこそ、費用が最小で、確実かつ効率的な仕組みが可能だ。

http://www.sakimura.org/modules/wordpress/index.php?p=669

大事なことはOpenIDアーキテクチャを規定するAPIレイヤであって、詳細な下部の実装についてはおおむねフリーハンドということだ。これは将来における要請にしたがって自然にリプレースすることが可能ということを含意する。これが政府天下り式の「動かなくなるシステム」とは全然違うところだし、古きよきインターネット(TCP/IP)の風のようなものをOpenIDに強く感じるところでもある。

政府が提供するのは、各種APIの提供に限るべきだ。サービスを組み合わせてユーザーに使い易く作るのは、民間の方がずっとうまい。もちは餅屋だ。政府がやるべきなのは、民間がサービスを作るのに必要なデータ形式を標準化し、それをAPIを通じて提供することだ。

まちがっても、巨大な中央集権システムを作ろうとしてはいけない。そんなものは、新手の公共事業に過ぎない。
(後略)

http://www.sakimura.org/modules/wordpress/index.php?p=669

これは原口氏が最近ツイートしていた「政党のLinux化」にも相通じる考え方だとおもう。

私が目指す「リナックス型」の理想の政党。これまでのピラミッド型の依存と分配の政治の対極。全ての人が平等で自由に出入りできる。オープン・ソースで情報や利益を囲いこまない。自立と創造、協働のネットワーク型政党を目指したいと思います。ツィッターのコミュニケーション形態に似ているかも。

http://twitter.com/kharaguchi/status/9892433084

第5原則についての考察もあったがここではちょっと省略。

ここまで読んで、「情報アクセスの可視化」の論点がやっぱり出てこないがどうしても気になったので、崎村さんにリプライしてみた。
(長くなったので次エントリに続く)