加速するDXによってインターネットの重要性が増す中、インターネット上の「トラスト」、つまりインターネット上でやり取りされる情報の信頼性の確保が切実な課題となっています。特定のプラットフォーマーに過度に依存することなく、情報を自己主権的に管理し、かつその信頼性を検証可能なものとする仕組みとして注目を集めているのが、「Trusted Web」です。日本政府では、2030年の実装を目標に掲げてロードマップを策定。企業や個人が安心、安全につながれるデジタル社会の実現を目指し、いくつものユースケースの検証が行われています。

「はじめまして。〇〇株式会社の△△です」。ディスプレイの向こう側で笑顔を向ける男性。新規取引を申し込んできたこのビデオ会議の相手が“本物”かどうか、私たちはどうすれば見極めることができるでしょうか。

社名は実在する企業と同名ですが、本当にその会社でしょうか。この人は本当に、その部署に所属しているのでしょうか。名前は偽名ではないのでしょうか。好感の持てる表情も、ひょっとしたら偽装かもしれません……。

コロナ禍を経てデジタルトランスフォーメーションが大きく前進し、社会におけるインターネットへの依存度はますます高まっています。日々の会話から経済活動に伴うやりとりまで、様々なコミュニケーションがオンラインで行われる一方で、いまディスプレイ越しに見えている情報が、やり取りしているデータが、話している相手が確かに“本物”なのか、インターネット上で「トラスト」を客観的に検証する方法は、意外なことにほとんど存在しません。

名前が一緒だから、そう名乗っているから、知人とつながっているからなど、オンラインで行われているやり取りの多くは、現実社会の人間関係やルールを反映した、暗黙的なトラストに基づいて行われています。その上で一定の範囲においてリスクを受容したり、特定のプラットフォームにトラストを依存したりしているのが現状です。

たとえば、私が私であること（アイデンティティ）は、どうトラストされるのでしょうか。インターネット上のデジタル化されたアイデンティティは、多くの場合、サービスごとに行われる個人情報の登録のもと発行されるIDとパスワードを用いた認証によってトラストされています。

現在、SNS、ECからSaaSまでサービスごとに、プラットフォーマーである事業者がIDを発行し、発行されたIDとパスワードでのログインやスマートフォン等を用いた多要素認証により、多くのやりとりが行われています。ID発行時には公的書類による身元確認を行っているものもありますが、そのトラストは基本的に個々のプラットフォームごとに閉じていて、相互接続性はありません。A社のIDを使ってB社のサービスが利用できる「シングルサインオン」が採用されているケースもありますが、この場合もトラストの輪＝トラストサークルが広がっているだけで、サークルが閉じていることに変わりはありません。

これらのトラストの多くは、インターネットを構成するレイヤーのうち、アプリケーション層で実現されています。現状は、クラウドを含む特定のアプリケーションの中でしかトラストが満たされないため、ユーザはプラットフォームごとに都度、個人情報を登録してIDを取得し、アプリケーションを使い分けなければなりません。たとえばオンラインで交わされる契約書などへの署名も、デジタル署名を提供する特定のアプリケーション上ではトラストされますが、他のアプリケーションとの互換性は担保されていないケースがほとんどです。

アイデンティティのトラストをプラットフォーマーに依存することによって、ユーザに関する様々な情報が特定の事業者に一極集中する傾向にあることも、近年、問題視されるようになってきています。情報の収集方法や活用範囲がブラックボックス化していることや、ヒューマンエラーやサーバ攻撃などによる、情報漏洩リスクの高まりも指摘されています。言い換えれば、サービスを提供するためにユーザ情報を預かり、管理しなければいけない、企業側のリスクや負担も増大しているということです。

一方で、昨今の急速なAIの進化によって偽装は深刻さを増しています。客観的にトラストを検証できる仕組みがないことで費やされる労力や作業の非効率性は、少子高齢化による深刻な労働力不足に伴って、今後大きな社会問題となることは間違いありません。 現実社会に対するインターネットの影響力が日々増す中、客観的かつ相互接続的にトラストを検証できるサステナブルな仕組みとして、「Trusted Web」が求められています。

Trusted Webは、内閣官房デジタル市場競争本部の有識者会議「Trusted Web推進協議会」が提唱する、インターネットのトラストを向上するための仕組みです。2022年8月に公開された「Trusted Web ホワイトペーパーver2.0」では、目指す方向性について「特定サービスに過度に依存せず、ユーザ自身が自らに関連するデータをコントロールすることを可能とし、データのやり取りにおける合意形成の仕組みを取り入れ、その合意の履行のトレースを可能としつつ、検証できる領域を拡大することにより、トラストの向上を目指すものである」とまとめています。

Trusted Webを構成する要素技術に「検証可能なクレデンシャル（VC）」があります。クレデンシャルは、現実世界において以下のような情報で構成されます。

VCはVerifiable Credentialsの略で、クレデンシャルにデジタル署名などの技術を用いることで実現します。VCを受け取った人は、そこに含まれる情報において、そのVCは誰が誰に発行（証明）したもので、誰から送付されたものかといった情報を検証できるので、現在一般的に行われているカードや紙による物理的な身分証明書の確認に比べて、運用面における改ざん検知が容易になり、トラストの向上が期待できます。

VCのデータモデルの仕様は、Web技術の標準化団体であるW3Cで2022年3月にv1.1の勧告が行われ、2023年8月にはv2.0のWorking Draftが公開されています。またIETF（Internet Engineering Task Force）では、OIDF(OpenID Foundation)でVCを所有者・発行者・検証者間でやり取りするための仕様検討が進められています。その他にISOでは、スマートフォン等に格納されるモバイル運転免許証（mDL：mobile Driver’s License）を実装するためのインターフェース仕様が規定(ISO/IEC 18013-5)されています。

Trusted WebとしてVCをどのように実装していくか、その形態は未確定ですが、目指すのはたとえば、ユーザがデジタルIDのウォレット（Digital Identity Wallet：以下、ウォレット）を持ち、VCを自ら管理して、必要に応じて相手に渡すといった方法です。これを従来のユーザ登録に置き換えれば、ユーザは開示する情報を自らコントロールできるだけでなく、サービスごとに発生する個人情報の入力や、ID、パスワードの使い分けといった手間から解放される可能性があります。またサービスを提供する企業も、アイデンティティの検証作業を効率化しつつ、サービスに不要な個人情報管理のリスクを負担せずに済みます。

図３において、ユーザは自らの情報を自己主権的に扱うことができる反面、スマートフォンのウォレットでそれらを管理する場合には新たな懸念も生じます。特にセキュリティに関しては、システム全体でみれば情報はユーザのウォレットに分散しているように見えますが、ユーザの視点では自身の情報がウォレットに集中することになり、ウォレットは攻撃者にとっての標的となるリスクが高まると考えられます。したがってTrusted Webを実現する上では、技術の互換性やユーザの利便性の確保のみならず安心・安全の確保の点で、世界標準技術への準拠と共に、極めて高い実装技術力が必要となります。

さらに、Trusted Webは技術的なアプローチだけで実現するわけではありません。検証者がVCの所有者をトラストするにあたって、そもそも送付されたVCの発行者がトラストできるのか？という疑問、またセキュリティ上の問題を抱えているウォレットやデバイスから送信されたVCはトラストできないという問題、さらにはVC検証者を名乗る攻撃者が存在する懸念（所有者は、攻撃者にVCを提示すると情報を盗まれるリスクがある）などといった点は、技術的なアプローチに加えて、ガバナンスによる課題解決とそれに基づく運用が重要です。

日本政府は2020年10月に、有識者によるTrusted Web推進協議会を発足。Trusted Webのビジョンや技術アーキテクチャの概要をホワイトペーパーにまとめ、国内外に発信して議論を進めるとともに、Trusted Webの社会実装に向けて、産官学の協力のもと、様々なユースケースの実証やプロトタイプ開発を推進しています。

2022年にはデジタル庁において「Trusted Webの実現に向けたユースケース実証事業」が行われ、電通国際情報サービス（ISID）を含む13の事業者が採択され、うち11の事業者でプロトタイプシステムの開発が行われました。ISIDでは「中小法人・個人事業者を対象とする補助金・給付金の電子申請における『本人確認・実在証明』の新しい仕組み」のプロトタイプを制作しました。

実証事業を行った結果、検証者の業務効率化や、補助金、給付金の支給のスピードアップといったメリットの可能性があるとわかりました。一方で、所有者のKYC（Know Your Customer）とKYB（Know Your Business）の重要性や、このユースケースにおいては地方自治体や税務署、金融機関などの業務プロセス変革の必要性など、様々な課題も認識し、以下の3つを課題と提言としてまとめました。

なかでも①のKYCとKYBの重要性は、本人確認によりアイデンティティ属性の集合を確認するプロセスで、現実社会とインターネットをつなぐ際に土台となる役割を担います。実証を行った補助金・給付金のユースケースのみならず、実世界のトラストを反映したTrusted Webの社会実装において最重要かつ不可避の課題と言えるものです。そこで2023年は、これらを踏まえて、新たな採択実証事業として「『KYC/KYBに基づいたトラストのある取引』を促進する新しい仕組み」のプロトタイプ制作を行い、技術と業務の両面での検証を進めています。

「『KYC/KYBに基づいたトラストのある取引』を促進する新しい仕組み」の実証の業務面ではeKYC（オンライン本人確認）を手がける事業者であるACSiON（アクシオン）が参加しています。同社はISIDとセブン銀行による合弁会社で、オンライン確認プラットフォーム事業のほか、不正検知プラットフォーム事業、フィッシング対策サービスなどを手がけるFintech企業です。 また技術面では、API認可・アイデンティティ連携ソリューションを提供するAuthleteが参加しています。ISIDは、Authleteと共にインターネット上に高信頼性デジタルIDネットワークを構築することを目的とした国際プロジェクトであるGAINプロジェクトに参加し、OpenIDの認可の仕組み上でVCを発行するOID4VCI等の最新仕様の策定において、実装面から貢献しています。

個人の本人確認を対象とするKYCは、オンラインで本人確認を行うeKYCの事業化が進んでいます。一方でKYBは、法人間の取引におけるリスク評価を目的として、法人が新たな取引を行う際や、取引の額や領域を以前より拡大する際などに行われていますが、KYBの事業化はほとんど進んでいません。法人は個人で構成されており、法人と個人の関係性の把握が複雑で流動的であるというのが、その理由の1つです。また取引リスクの大きさによって法人の身元確認のレベルが異なることや、業界や企業ごとにやり方が異なることも課題となっています。現状のKYBは、犯罪収益移転防止法で定められた事項に沿う形で、多くの場合、法人が必要とする情報ポリシー等に従い、各法人が慣行的かつ独自のプロセスを用いて実施されています。法人間をまたいだプロセスの整理が難しいだけでなく、確認手法によってはそもそもデジタル化が可能かどうか不明なものもあります。

法人に関するデータは膨大であり、その収集と更新には大きなコストがかっています。またKYBのデータは再利用可能な形でのデジタル化がなされておらず、多くの金融機関などの法人が問題意識を持っています。

KYBを単にデジタル化するだけではなく、企業におけるKYBのプロセスを紐解いて、企業のノウハウに該当する競争領域と、共通事項としての協調領域を切り分けることで、KYBの一部の事業化が可能になり、企業のプロセスを最適化できる可能性があります。ここにTrusted Web技術を活用することで、発行者がKYCとKYBのVCを提供できるようになれば、検証者によるユーザのトラストが検証可能となって効率化が進み、トラストのある取引が促進される可能性があると考えています。

 

「『KYC/KYBに基づいたトラストのある取引』を促進する新しい仕組み」を構築することは、所有者側の情報取得と提示にかかる負担、ならびに、検証者での情報確認作業の大幅な軽減が見込まれるだけでなく、法人間の取引における信頼構築のスピーディーな構築につながる可能性があります。

インターネット上でトラストを客観的に検証できるTrusted Webが実現すれば、ディスプレイ越しに見ている情報が、やり取りしているデータが、話している相手が“本物”なのか、信頼を得るための手続きや、調査、検証する業務が大幅に効率化される可能性があります。さらに究極的には、VCの所有者が情報を選択して開示（Selective Disclosure）することにより、検証者は所有者の名前や住所を知らなくても、VCによって提供される情報やデータを信頼して年齢確認ができたり、何らかの資格を持っていることが検証できたりする可能性があります。これらが実現することで、利用者は一定の信頼関係があることを前提としたやり取りができるようになり、社会に多くのメリットを与えるものと考えています。

Trusted Webは今後、人々がインターネット上においてトラストを持ってやり取りする際の基盤になる可能性があります。誰もが安心、安全につながれる。トラストのあるデジタル社会の実現を目指して、技術とガバナンスの両面で取り組みが進められています。