新時代の経済を担う石油とも言われるパーソナルデータの流通であるが,あたかも石油が公害問題を克服せざるを得なかったように,プライバシー上の課題を克服しなければ大規模な実現は難しい.そのためには,プライバシー保護をプロトコルデザインの段階から埋め込むことが必要である一方,盛り込むべき項目は一般事業者が採用できるようなプラクティカルな配慮も不可欠である.本稿では,2014年2月に標準として承認されたOpenID Connectについて,どのようなプライバシー保護手段が盛り込まれたか,それがどのようにプライバシー・トラストフレームワークの実現に寄与するかについて概観する.

1.はじめに

1.1 Privacy by DesignとPrivacy-First

 世界経済会議(WEF)が2011年に発表したレポート「パーソナルデータ:あらたな資産カテゴリの出現(Personal Data: The Emergence of a New Asset Class)」[1]では,「パーソナルデータは新たな石油―21世紀の価値ある資源である」と指摘している.このパーソナルデータの利活用であるが,あたかも石油の利用が公害問題を生んだように,プライバシー侵害という外部性を必然的に生んでしまう.ある一定以上のレベルで石油を使うのには,公害問題を克服せざるを得なかったように,プライバシー上の課題を克服しなければパーソナルデータの大規模な利用も難しい.そのためには,パーソナルデータを取り扱うプロトコルにも,プライバシー強化の手段を設計の段階から埋め込むことが必要である.

 一方,盛り込むべき項目は,一般事業者が採用できるようなプラクティカルな配慮も不可欠である.本稿では,2014年2月にOpenID Foundationにて国際標準として承認されたOpenID Connectについて,プライバシーへの配慮をプロトコル設計の段階からどのようにして組み込んだかを概観する.

2.パーソナルデータ連携とOpenID Connect

2.1 パーソナルデータとその連携

 WEFの定義によると,パーソナルデータとは「人によって作られた,ないしは,人について作られたデジタルデータ」である.いわゆる個人データよりも広い概念であり,必ずしも個人の特定を必要としない.ISO/IEC 29100[2]でいうところのPersonally Identifiable Information(個人識別可能情報,PII)は「(a)その情報が関係する個人を特定することに利用可能か(b)個人に直接・間接的に結びつけることが可能ないしはその可能性がある任意の情報」であるから,これに近い概念である.

 上記のWEFのレポートでは,このパーソナルデータを(1)自発的に提供されたデータ,(2)観察されたデータ,(3)推計されたデータ,の3つに分類している.自発的に提供されたデータというのは,本人が同意のもとに提供したデータである.Webサイトなどにユーザが入力するようなデータがこの代表例であろう.観察されたデータとは,ユーザのWebページアクセスの履歴や行動履歴などを観察することによって取得されるデータである.多くの広告ネットワーク(アドネットワーク.広告主から広告を一手に受注し,参画しているメディアへ広告を配信する)が利用しているのは,この類のデータということになる.そして,最後の推計されたデータが,こうして集められたデータ等に何らかのモデルを適用して推計するもので,いわゆるプロファイリング(ユーザの行動他から,ユーザの持つ特性を推論すること)というのはこの範疇に入る.

 このうち,あるWebサイトから別のサイトにユーザの同意と許可をもとにパーソナルデータを送信する「パーソナルデータ連携」が担当するのは(1)の自発的に提供されたデータで,OpenID Connectはこれを支援するものである.