SSI（自己主権型ID）とは？デジタル時代にSSIが求められる背景と仕組み

「SSI (Self-Sovereign Identity )」あるいは「自己主権型アイデンティティ」という言葉を聞いたことがあるだろうか？

「SSI」や「DID（分散ID）」というワードを耳にしたことはあるけれど、その仕組みや背景についてさらに詳しく知りたいという方も多いことだろう。

そんな方のために、本記事では、SSI（Self-Sovereign Identity）の概要や仕組み、必要とされる背景、DID（分散ID）との関係性といった点について解説していこう。

SSI（Self-Sovereign Identity / 自己主権型アイデンティティ）とは？
SSIが必要とされる背景、現状のデジタルIDの問題点
SSI の基本的な仕組み
具体的な実装としてのDID
SSI / DID（分散型ID）の主要サービス
まとめ
SSIについての参考サイトURL

SSI（Self-Sovereign Identity / 自己主権型アイデンティティ）とは？

まず、SSI（自己主権型アイデンティティ）の定義について確認しよう。

前提として、SSIの定義に確固たるものはなくコンセンサスがとれているわけではないが、分かりやすい定義の1つとして、SSIを提供する Sovrin の定義をご紹介しよう。

Self-sovereign identity (SSI) is a term used to describe the digital movement that recognizes an individual should own and control their identity without the intervening administrative authorities. SSI allows people to interact in the digital world with the same freedom and capacity for trust as they do in the offline world.

抄訳すると、以下のとおり。

SSI（自己主権型アイデンティティ）とは、個人が管理主体の介入なしに自らのアイデンティティを保有及びコントロールすべきであると認めるデジタルムーブメントを表す際に使われる言葉です。SSIは、デジタルの世界でも現実世界と同じレベルの自由と信用力を用いてやり取りができるようにします。

ポイントをまとめると、以下のようになる。

管理主体の介入なしに成立
個人自らが保有及びコントロールできる
現実世界でできていることをデジタルの世界でも実現しようとするもの

オフラインの現実世界においては、実在する自分自身がアイデンティティ（ID）になっている。そのIDに紐付く形で、容姿などの表面的な特徴や、免許証などの自らのスキルを証明するもの（Credentials）が存在している。

一方、オンラインのデジタル世界においては、どうだろうか？あなたを表すアイデンティティ（ID）はあるだろうか？

Google の ID や、Facebook のアカウントがそれに近いと考える人もいるだろう。しかし、Google の ID や Facebook のアカウントに自らのあらゆる情報を集中させるのには、個人として嫌悪感を抱く人もいるだろうし、何よりセキュリティ面における不安もある。

そんな中、オンラインにおいても企業等の管理主体の介在なしに自分を表現するアイデンティティを作る上で必要となってくるのが「SSI（自己主権型アイデンティティ）」である。

SSIが必要とされる背景、現状のデジタルIDの問題点

SSIが必要とされる背景として、現状のデジタル世界のアイデンティティにおける問題点についてご紹介しよう。

Sovrin Foundation の議長を務める Phillip J. Windley 氏は、デジタル世界のアイデンティティに対して5つの問題点を提示している。

The Proximity Problem（近接問題）
- オンラインのやりとりにおいては、取引相手がどのような人なのか、そもそも人なのかすら分からないため、不正の余地がある。オフラインの場合は対面でのやりとりとなるため、不正の余地が少ない。
The Scale Problem（スケール問題）
- Google や Facebook 等のソーシャルログインが一般に利用されているが、いつ仕様が変わるかも分からないような外部サービスの導入に積極的ではないサービスもあり、1つのIDによるスケーラビリティは限定的になってしまう。
The Flexibility Problem（柔軟性問題）
- 現状のアイデンティティ関連ソリューションは、スキーマやアトリビュートの仕様が限定的で柔軟性に欠けている。
The Privacy Problem（プライバシー問題）
- 個人識別子を元にデータはコピーされ企業保有のストレージに集積されることになるが、そのセキュリティが100％守られているとは限らない。
The Consent Problem（同意問題）
- 個人の同意なしにデータの提供がされてしまうことがある。

言われてみれたしかに、といえる問題点が多いのではないだろうか。

１ユーザーとして分かりやすいのは、「プライバシー問題」や「同意問題」だろう。

直近でも、米国の金融大手キャピタル・ワンにて1億3千万人ものデータ流出が発覚¹したり、2018年には信用情報を扱う米国信用調査会社最大手のエクスペリアンでもデータ流出の事件がおきている。

また、「同意」の問題については、リクナビが企業に対して「辞退予測」の数値を提供²していることが発覚し波紋を呼んだことが記憶に新しい。

その他の観点は、ユーザーとしては意識しにくいかもしれないが、オンラインアイデンティティの構造的な問題として考えられる。

このような問題を解決することで、オンラインでも安心安全でありかつ便利な生活を実現しようという試みが「SSI（自己主権型アイデンティティ）」というわけだ。

SSI の基本的な仕組み

では、SSI（自己主権型アイデンティティ）では、どのような仕組みで、上述の問題点を解決しようというのだろうか。その仕組みについて解説していこう。

基本的には、DID（Decentralized Identity：分散型ID）を発行し、そのIDに対して、信頼できる第三者機関から証明書を付与していくことで、信用を担保していくという考え方だ。

証明書への署名をブロックチェーンあるいは分散台帳に記録することにより、特定の中央管理者に依存せずとも成立させることができる。

SSI（自己主権型ID）の基本的な仕組みを図示するとこのようになる

簡単に流れをまとめると、以下のようになる。なお、細部については概念の理解を優先するため省略している。

Issuer と呼ばれる信頼できる第三者機関が、個人に対して電子署名した証明書を発行する
- その際に、Issuer の DID と署名の情報をブロックチェーン（分散台帳）に記録する
User は、証明書に副署（電子署名）をする
- その際に、User の DID と署名の情報をブロックチェーン（分散台帳）に記録する
Verifier は、ブロックチェーン（分散台帳）の情報を元に、情報が正しいことを検証（Verify）する

このような仕組みをとることによって、特定の中央管理者を介さずとも、個人のIDとそれに紐づく情報の確認を行うことができるわけだ。

もちろん、サービス毎で分散台帳に何を記録するのか、どのように検証を行うかなど、相違点はあるが、これがSSI（自己主権型アイデンティティ）の大枠の流れである。

なお、DID（分散型ID）は、1人あたり1つと限られているわけではなく、複数のIDを作成することはできる。

ただ、DID を作成したところで、Issuer からの証明書がなければそれはほとんど意味をなさないIDとなってしまう。

自らの DID に様々な機関からの証明書を紐付けることで、自らの存在を表現することができるようになり、必要に応じて必要な情報を提供できるような便利なオンラインIDとなっていく。