オンライン・オフライン問わず、「私」の証明にはまだまだ課題が多くある。
たとえば、コンビニでお酒やタバコを購入する際に、年齢証明のために自動車免許証などの物理的なカードを見せなければならなかったり、オンラインではそもそもお互いを信頼すること自体が難しかったりする。
そのような課題を解決するサービスが、今回ご紹介するデジタルID「Yoti」というサービスだ。
本記事では、Yoti のアイデンティティ証明の仕組み、ユースケース、ビジネスモデル、将来性について整理していこう。
- Yoti の会社概要
- Yoti アプリのアイデンティティ証明の仕組み
- Yoti の導入事例、P2P取引における利用も
- セキュリティ面にも配慮したデータ保存方法
- Yoti の透明性と説明責任を担保するためのガバナンス
- SSI(自己主権型アイデンティティ)と Yoti の関連性
- まとめ
Yoti の会社概要
Yoti は、2014年に創業されたイギリス・ロンドン発の会社だ。
「We're on a mission to become the world's most trusted identity platform」というように、「世界で最も信頼されたアイデンティティプラットフォームになる」ことが同社のミッションである。
これまでに、累計£16M(約20億円)を調達しており、バリュエーションは £85M(約105億円)に達している。
提供しているサービスとしては、同社のコアとなる「Yoti」というアイデンティティ認証サービスに加え、「ProveMyAge」というブラウザベースの年齢制限コンテンツへのアクセスを制限するサービスがある。
以下では、主要サービスである「Yoti」について、さらに詳細に解説していこう。
Yoti アプリのアイデンティティ証明の仕組み
Yoti は、現在 iOS / Android でアプリが提供されている。イギリスを中心に既に470万ダウンロード(2019年8月時点)を記録している。
アプリに登録すると、電話番号と5桁のデジット番号を設定する。その次に、スマホのカメラを用いいて3D顔認証のための顔スキャンを実行。
その後、政府発行のIDドキュメント(パスポートや免許証)による認証を行うような流れになっている。なお、IDドキュメントの元データは7日以内に削除される。
実際に、アイデンティティの証明に利用する際には、認証を行いたい側がアプリからQRコードを提示して、そのQRコードをYotiアプリで読み込み、5桁のデジット番号あるいは生体情報により認証する流れだ。
Yoti で意識されているのは、必要最低限のデータを見せることで、不必要に個人情報を晒さなくても済むように設計されている点だ。
たとえば、上図のように、18歳以上であることが証明できればよいという場合には、実際の年齢や誕生日といった他の情報を出す必要はない。
これは、自動車の免許証やパスポートを提示した際に不必要な情報まで見えてしまうことと比較すると、セキュリティの面で優位点となる。
ユースケースとしては、パブやクラブ、映画館における年齢認証における利用、小売店におけるセルフチェックアウト時の年齢制限商品の買い物、航空券の購入及び発券における個人認証といったシーンが主に想定されている。
Yoti の導入事例、P2P取引における利用も
Yoti は様々なシーンにおいて導入が進んできている。
たとえば、イギリスのジャージー(ジャージー代官管轄区)では、デジタルIDプロバイダーに任命され、2019年8月現在では、ジャージーの成人の10%が利用している。
また、イギリスの2,000以上のコンビニエンスストアがすでにYotiを導入している。フェイクIDを用いた未成年による年齢制限商品の購入を防ごうという狙いだ。
その他にも、Healthrow Airport(航空会社)、NCR(セルフチェックアウトソリューション提供)、Yubo(SNS)とパートナーシップを結ぶなど、様々なシーンにおけるアイデンティティ認証に用いられ始めている。
また、面白いのが、Yotiは、オンラインP2P取引におけるアイデンティティ証明への利用にも対応した。
これにより、たとえば、マッチングアプリでマッチした相手とお互いにアイデンティティ認証をすることで、会う前の不安やリスクを事前に取り除くことができる。
また、マッチング以外にも、C2C取引全般において、相手をいかに信用するかという問題は大きなテーマであることから、今後、さらに多くのシーンでの応用されているかもしれない。
セキュリティ面にも配慮したデータ保存方法
このような1つの民間企業がアイデンティティプラットフォームを提供するとなると気になるのが、セキュリティの問題だ。
Yoti では、氏名、性別、誕生日といったデータは、それぞれ暗号化された後に要素毎に別々に保存される仕組みになっているという。
それぞれのユーザーだけがそれらを結び合わせて閲覧することができる。もちろん、Yoti の中の人も閲覧することはできない。
データ自体は Yoti のサーバーに保存され、ユーザーのデバイスには暗号を解くための鍵のみを保存する形式だ。
Yoti の透明性と説明責任を担保するためのガバナンス
Yoti のコア原則のうちの1つは、「透明性と説明責任(Transparency and Accountability)だ。
これを民間企業で維持していくのは、なかなか難しい課題だ。そこで、Yoti が導入しているのが「Guardian Council」という第三者の監督機関の設置だ。
Guardian Council は、現在3名で今後8〜10名に増員していく予定。新たな Guardian の任命は、既存メンバーによりノミネート後に Yoti コミュニティによる承認が必要となる仕組みだ。
Yoti は、民間の一企業という立場でありながら、このような監視機関を自ら立ち上げることにより、そのガバナンスを強化しているわけだ。
このようなガバナンス体制の構築は、ブロックチェーンでもよく話題になる。トークンによるインセンティブ設計はないものの、同じような思想にあるといえそうだ。
SSI(自己主権型アイデンティティ)と Yoti の関連性
Yoti は、SSI(自己主権型アイデンティティ)と言えるものだろうか?
Christopher Allen 氏の SSI の10個の原則 と比較してみると、多くの点でその条件を満たしている。
一方で、永続性やポータビリティの点では、疑問符がつきそうだ。また、透明性については、先述の Guardian Concil がそれを担保する仕組みとして設置されているが、パブリックチェーンによる透明性と比較すると劣る部分はあるかもしれない。
Yoti 自身は、SSIという打ち出し方はしていない。ただ、その根本の思想や解決したい課題は通じている。
ブロックチェーンが発展途上にある技術であることを考えると、Yoti は今できる技術を用いて現実的なソリューションを提供している企業だと捉えることができるだろう。
想像でしかないが、今後、ブロックチェーン技術の発展とともに、Yoti が DID のような標準プロトコルに対応していくことは考えられるだろう。
まとめ
本記事では、デジタルIDを提供する Yoti について詳細に解説をしてきた。
デジタルIDの領域は、これからさらに盛り上がっていくだろう。
Self-Sovereign Identity(自己主権型アイデンティティ)のみならず、様々なサービスやプロダクトを調べていくことで、今後の動向について考察していきたい。