事務局メンバーによる、OpenID関連のあれやこれや
来週開催されるJapan Identity & Cloud Summit 2014 のパーソナルデータ トラックについての記事をご紹介します。
(この記事は、.NatZoneの転載です。)
パーソナルデータ連携・利用の際に、どうしてもスピードが出ないのは、そもそもの設定が悪いからだと思っています。
その多くは、個人からの同意を取ることは不可能という前提のもとに、無断で利用しようとして炎上するか、利用するのをやめてしまうかのどちらかになってしまっているように思われます。いわばブレーキのない三輪車にエンジンを載せてスピードを出してコーナーに激突炎上大破するか、ペダルをキコキコ漕ぐかの二択に成っている状態と言えましょう。
この「同意を取ることは不可能」という想定は、本人にアクセスすることは事実上コスト的に不可能という想定だと言い換えてもよいでしょう。実際、受け取ったデータが本人へのアクセス手段から切り離されていたらそうでしょう。しかし、紙の時代ならいざしらず、Internet of Things の時代には、この想定はいかにも古臭いものです。
このような状況を打破するものとして、2007年くらいから様々な提案がなされてきました。その一つが OpenID 2.0 で提唱された、古典的なConsumer IdPモデルです。このモデルでは、Identity Provider に属性データを集中して、そこからのデータ提供時に本人同意を得て、必要とあればいつでもその同意を取り消すことが可能にするというモデルでした。皆さんよくご存知のFacebook Connect や Google OAuthなどは、このモデルのもとに成り立っています。
しかしながら、このモデルには、大きく2つの課題がありました。
ひとつは、「広告収入で成り立つ」IdPモデルには、ユーザ本人とIdPの間に利益相反があるという問題があるということです。これが、「Facebookにとって、あなたは商品であって客ではない。」という批判につながってきていると言えましょう。
そしてもうひとつは、パーソナルデータの利用条件は、選択肢の無い形で利用企業側からわかりにくい形で提示されるため、個人は実質的に有効な同意を出すことができないということです。
こうした課題に対する回答案として、2010年くらいから出されているのが、Personal Data Store/System (PDS) です。これは、Harverd の Berkman Center の Doc Searls が提唱している VRM (Vendor Relationship Management) の考え方から出てきており、極めてざっくり言えば、純粋にユーザの側に立つIdPにおいて、個人の側が企業に対してパーソナルデータ利用ライセンスを提示し、企業がそれに同意するというモデルです。これは、経産省パーソナルデータ・ワーキング・グループでも取り上げられました。ここでは、特に同意の問題が取り上げられ、2013年5月10日には、日本経済新聞のトップ記事になったので、覚えておられる方も多いかもしれません。
一方、それとは独立に日本でもいくつかの動きが出てきていました。一つが、2011年くらいからJIPDECが提唱しはじめたPS-Agentというものです。そして、もう一つが、2013年に報道やTEDxでも取り上げられた「情報銀行」です。
そこで、2014年をはじめるにあたって、Japan Identity & Cloud Summit 2014 (#JICS2014)の場を借りて、情報銀行構想に深く関わっておられる慶応大学大学院メディアデザイン研究科の砂原 秀樹教授と、経産省パーソナルデータ・ワーキング・グループの構成員をされておられた、日本ヒューレット・パッカード(株)ビジネス - IT・アラインメント・エヴァンジェリスト佐藤 慶浩氏にお越しいただいて、パネルディスカッション形式で検討をしたいと思っております。
皆様、お手すきの折には、ぜひ奮ってご参加をお願い申し上げます。
記
>>申し込み:https://jics.nii.ac.jp/entry/ 1月15日 (水)14:40-16:40 パーソナルデータにチェックを付けてください。