一般社団法人OpenIDファウンデーション・ジャパンは2014年2月27日、「OpenID Connect」のAPI標準技術仕様が米OpenID Foundationを通じて最終承認されたと発表した。OpenID Connectの仕様群の日本語訳も公開した。OpenID Connectは米グーグル、米マイクロソフトなどがサービスに実装している。
OpenID Connectは、ユーザーがパーソナルデータのコントロールを行うことを目的とした認証プロトコル。Webサービスごとにアイデンティティを使い分けて、利用者のプライバシー強化を実現する技術として標準化が進められてきた。
Webサービスやモバイル・アプリケーション側もID連携(フェデレーション)によって、ユーザーが示したアイデンティティと、メタデータやポリシーを付き合わせて、アクセスさせるかどうかを決められる。社内からのアクセスなら認証OKというように、位置情報などもリアルタイムに判断材料として扱えるという。
フェデレーションが進めば、パスワードが使い回される機会を減らして、セキュリティが脆弱なサイトなどから漏洩したパスワードによってアカウントが攻撃されるといったリスクも低下させられる。崎村夏彦・米OpenID Foundation理事長は「1つのアカウントをリセットするのに100ドルくらいかかっている現実的なコストが削減できる」と話す。
Webサイトやモバイルアプリケーションの間でデジタル・アイデンティティ情報を流通させるシステムが簡単で安全に実現できるという。OpenID Connectの仕様は、グーグルやマイクロソフト、米セールスフォース・ドットコムなどのサービスに実装され、日本でもヤフーやミクシィ、楽天などの企業のサービスでサポートされている。
国内では、個人情報保護法の改正などパーソナルデータ活用の新たな法制度が検討されている。2016年から税と社会保障の分野でマイナンバー制度が導入されるが、税と社会保障以外の分野での活用を求める声も絶えない。利用者の同意を起点とするID連携のあり方として、法制度を含めて議論が進みそうだ。
[発表資料へ]
