COVID後の世界を元の状態に戻すために重要なのは、移動を希望する人が陰性であるか、ワクチン接種を受けているか、あるいは未接種であっても当局が定める基準を満たしていることを確認するための合意された手段を持つことです。こうした情報がどのように共有され、保存され、私たちの他の身元情報と結びつけられてしまうのかについて、依然として議論があります。
当社は何十年にもわたり、他の疾患の検査結果やワクチン記録を示す紙の文書を問題の多すぎることなく使用してきました。今回は少し違います。紙は偽造が容易で、確実に検証したり認証したりする手段もないため、広く支持を得ることは難しいでしょう。
新しいデジタルヘルスパスソリューションは有望性を示していますが、広範な採用の可能性を維持するために多くの要素をバランスさせる必要があります。役立つように簡単である必要があります。どのワクチン接種や検査結果、その他の情報が認識されるかの様々な要件に対応するため、検査室は十分に検証可能かつ柔軟である必要がある。また、ユーザーのプライバシーを意識する必要があります。
プライバシーの部分が、最も厄介になる可能性があります。COVIDにより、私たちの身元データ(年齢、国籍、性別)を健康データとどのように結びつけるのかについて疑問が生じています。これら2種類のデータを統合し、一元的に管理することが本当に望ましいのでしょうか。 また、それらのデータが十分なセキュリティ対策を講じないまま第三者に利用可能となる状況を許容すべきなのでしょうか。
「自己主権型アイデンティティ(Self-Sovereign Identity:SSI)」運動
一部の人々が提示している解決策では、自分が持つすべての情報を相手に渡す必要はなく、義務として求められる情報、または自分が提示したい情報だけを提供すればよいとされています。したがって、パスポートや運転免許証などのIDそのものを提示するのではなく、相手(ゲートキーパー)が知る必要がある以上の情報を与えない資格情報だけを提示することになります。例えば、COVID流行下のイベントに参加するには、最近検査を受けたこと、ワクチン接種を済ませていること、または定められたその他の基準を満たしていることだけを示せばよい場合があります。運転免許証やパスポートに記載されているほかの情報を提示する必要はなく、本来、そのような情報まで見せる必要はありません。
この考え方の最も一般的な実装形態が、いわゆる self-sovereign identity(自己主権型アイデンティティ、SSI)であり、テクノロジーおよびプライバシーのコミュニティで幅広い支持を得ています。自分自身が「主権主体」であり、自分についてどの情報を誰に知られるかを自分で制御できます。 資格情報を発行するのは他者であっても、必要な場面で何をどこまで提示するかは自分で決定できます。Doc Searls氏はこれを次のように述べています[1]:「私の知る限り、世界の組織、とくにビジネスの場面で個人が主導権を握るうえで、これほど有望なものはほかにありません。」
この仕組みを機能させるには、情報を検証する側が、その情報が正確で真正であり、かつその情報が提示している本人、すなわちあなたに関するものであることを確認できなければなりません。そこでSSIというパズルの第2の要素として登場するのが、検証可能な資格情報です。検証者が誰であれ――クラブの用心棒であっても入国審査官であっても――その要件を満たすのに十分な仕組みが必要であり、かつ、このプロセスの中で共有したくない情報が漏えいしないというSSIの原則を損なってはなりません。
World Wide Web Consortium(W3C)は2019年末に「検証可能な資格情報」を標準として公表し、資格情報を「暗号学的に安全で、プライバシーを保護し、機械による検証が可能」にする方法を示したと述べました。しかし、このアプローチにはCOVID以前から、とくに金融分野で一定の関心が寄せられていたものの、広く一般に注目されるようになったのはパンデミック以降のことです。
SSIは、ビットコインのような暗号通貨を支える分散型台帳技術であるブロックチェーンの活用を探る層のあいだで最も支持を獲得してきました。これは、SSIを「COVIDパスポート」に活用する最も一般的な方法であることが示されています。例えば、IATA Travel PassはSSIとブロックチェーンを使用しています。ブロックチェーンの中核にあるのは「分散」という概念で、データを第三者の個人や組織が保持することなく、個人と主体の間でやり取りされるデータを管理・認証・保存する中央機関が不要であることを意味します。
各資格情報、あるいは分散型識別子は、他のエンティティによってデジタル署名されることで「検証可能な資格情報」となり、第三者に提示できるようになります。例えば、イベントが年齢証明を求める場合は、政府がデジタル署名したその資格情報を、ユーザーの「デジタル・ウォレット」に保存された資格情報から提示できます。イベント側は、その資格情報が改ざん耐性のあるブロックチェーン上に保存されていることから、真正であることを確認できます。
ここで重要なのは、これらのやり取りが他者の管理システムの外部で行われるという点です。 理論上は、参加者は自律的な仕組みの中で対等な主体としてやり取りします。
自分のデータを管理できていないと感じる人が増える世界において、この考え方は大きな魅力を持っています。 個人は、中央機関が保持している自身のどの情報を共有するかをより制御できるだけでなく、理論上は、現在一元的な保管庫が存在しない証明書、賞、資格などの分散した資格情報を自身で収集できるようになるはずです。貿易金融に携わるデータ専門家のMichel Klizi氏は最近こう述べています[2]:「次世代の顧客主権について抜本的に再考しなければ、私たちのデジタル権利が継続的に侵食されるリスクがあります。」
SSIと医療データの今後
このアプローチを推進する人々は、これを分散型識別子(DID)へのより大きな移行の始まりと捉えており、SSIは運転免許証、金融、さらには医療の分野にも展開できると考えています。
例えば4月に発表されたブラジルの学者による研究[3]では、SSIが医療、特に医療記録にどのように適用されるのかを検討した。患者は生涯にわたって複数の医療提供者にかかるため、データが複数の医療提供者間に分散することがあります。その結果、これらは 「そのサイロの外では利用できない」 サイロ化されたデータベースを形成します。ウェアラブル装置から収集されたデータは、さらに多くの患者生成データサイロを作成している。SSIは、個人が自分のデータをより容易に共有できるようにし、患者モニタリング、保険支払い、処方薬の管理に影響を及ぼす可能性があります。
別の例として、英国のNational Health Serviceの医師は、資格のない医師がネットを滑るのを防ぐためにSSIソリューション[4] を実装しています。パイロットでは、一般医療審議会が、医療スタッフによって制御されるデジタルSSIウォレットに「実践のライセンス」資格情報を発行します。スタッフは認証情報を参加病院に提示し、病院はスタッフが臨床システムにログインするために使用できる “サインイン” 資格情報を発行します。COVIDが発生してから、パイロットは約84のNHS組織に拡大されました。
少なくとも今のところ、誰もがこれらのタイプのユースケースが必要だと考えているわけではありません。昨年5月に発表された論文[5] は、『分散化は、現在ガバナンス議論でもブロックチェーン支持者の間でも“流行している” とはいえ、決してあらゆる古い問題の万能薬ではない』と結論付けています。
実際、技術の導入を試みている人の中には、世界規模では未検証で、ガバナンス枠組みがまだ定義されている途上にある多くの新技術に対して、あまりに多く、あまりに早いことをしようとしていると感じる人もいます。結局のところ、これらのソリューションは、エンドユーザーがその複雑さにどれほど対応できるかにかかっており、過去には数多くの失敗例があります。たとえば、Microsoftは2011年にCardSpaceというIDウォレットを放棄する前にプッシュしました。 批評家は、同じレベルのプライバシーと検証可能性を提供できるのに、ブロックチェーンやDIDを必ずしも必要としない選択肢もあると指摘しています。
実際、世界保健機関のガイダンス[6]では、SSIはスマートワクチン接種証明書の開発に言及されておらず、むしろ、発行された文書の信頼性を確認するための信頼フレームワークを構築するために、より伝統的な公開鍵インフラストラクチャまたはPKIを選択する。署名はPKIを通じて発行され、WHOは加盟国に代わってトラストブローカーの役割を果たす。
明らかなのは、COVIDのワクチン接種記録と検査結果を簡単な方法で記録・共有し、渡航資格を有する人びとができるようにするために、信頼性の高い国際的に認められたシステムやシステムの組み合わせが差し迫って必要とされていることである。それ自体が、新しい種類のデータ、およびデータの記録、共有、および検証の新しい方法を導く可能性があります。
参考文献:
[1] “What SSI needs”, Project VRM
[2] “The Anatomy of Personal Data Sovereignty”, Forbes
[3] “Blockchains and Self-Sovereign Identities Apploied to Healthcare Solutions: A Systematic Review”
[4] Technometria社「SSI エコシステムの構築:NHSにおけるデジタルスタッフパスポート」
[5] Zwitter, A.J., et al., 2020. Digital Identity and the Blockchain: Universal Identity Management and the Concept of the “Self-Sovereign” Individual.Frontiers in Blockchain,3,pp.26.
[6] World Health Organization Interim guidance for developing a Smart Vaccination Certificate
