Skip to content

アイデンティティの法則

  • 著者: Kim Cameron
  • 所属: Microsoft Corporation
  • 日付: 2005年5月11日
  • 原文 PDF ファイル: TheLawsOfIdentity.pdf
  • 英語版 Markdown: index.md

インターネットは、接続先が誰であり何であるかを知る方法を持たずに構築された。このことは、私たちがインターネットでできることを制限し、増大する危険にさらしている。何もしなければ、盗難と欺瞞の事例が急速に増え、それらが積み重なってインターネットに対する公衆の信頼を侵食していくだろう。

本稿は、その信頼の喪失を防ぎ、インターネット利用者がサイバー空間で関係を持つ相手について、安全性、プライバシー、確実性を深く感じられるようにするにはどうすればよいかを扱う。新しい Web ベースのサービスやアプリケーションが「サイバー出版」を超えて、あらゆる種類のやり取りやサービスを包含し続けるために、これほど重要なことはない。私たちのアプローチは、デジタルアイデンティティシステムがさまざまな文脈で成功または失敗する動態を、アイデンティティの法則として表現される形式的な理解へと発展させることだった。これらの法則を総合すると、インターネットが明らかに必要としているアイデンティティ層を提供できる、統合的なアイデンティティ・メタシステムが定義される。

ここで提示する考え方は、www.identityblog.com に記録された幅広い対話を通じ、またさまざまな私的なやり取りを通じて、ブログ圏で広範に洗練された。その対話はコンピュータ業界の従来の多くの断層線を横断するものだった。特に、Arun Nanda、Andre Durand、Bill Barnes、Carl Ellison、Caspar Bowden、Craig Burton、Dan Blum、Dave Kearns、Dave Winer、Dick Hardt、Doc Searls、Drummond Reed、Ellen McDermott、Eric Norlin、Esther Dyson、Fen Labalme、Identity Woman Kaliya、JC Cannon、James Kobielus、James Governor、Jamie Lewis、John Shewchuk、Luke Razzell、Marc Canter、Mark Wahl、Martin Taylor、Mike Jones、Phil Becker、Radovan Janocek、Ravi Pandya、Robert Scoble、Scott C. Lemon、Simon Davies、Stefan Brands、Stuart Kwan、William Heath に謝意を表したい。

問題の所在

インターネットは、接続先が誰であり何であるかを知る方法を持たずに構築された。

アイデンティティの場当たり的な寄せ集め

この本質的な機能が欠けているため、インターネットサービスを提供する誰もが回避策を考え出さなければならなかった。ネイティブなアイデンティティ層を欠く今日のインターネットは、アイデンティティの場当たり的な一品ものの寄せ集めに基づいていると言ってよい。

人々の Web 利用が広がるにつれて、こうした回避策にさらされる機会も増える。誰かに責任があるわけではないが、その結果は有害である。何億もの人々が、どのサイトが何を求めてきても、それをオンラインで業務を行う「通常の方法」として受け入れるよう訓練されてきた。画面に現れるほとんどどんな入力フォームにも、名前、秘密のパスワード、個人を識別する情報を入力するよう教え込まれてきたのである。

利用者には、訪問先サイトの真正性を評価するための一貫した理解しやすい枠組みがない。また、私的な情報を不正な相手に開示しているかどうかを確実に知る方法もない。同時に、自分のデジタル上の存在の多様な側面を制御したり、覚えておいたりするための枠組みも欠いている。

インターネットの犯罪化

人々は、現実世界で次第に大きな価値を持つものを管理し交換するために、インターネットを使い始めている。このことは、アイデンティティの寄せ集めが場当たり的で脆弱であること、そしてそれをどう悪用できるかを理解している犯罪者層に見過ごされなかった。こうした犯罪勢力は、国際的にますます専門化され、組織化されてきた。

個人消費者は、自分が誰と取引しているのかを見分けられないことにつけ込む「フィッシング」手口によって、銀行情報などを手放すよう欺かれる。また、知らないうちに「スパイウェア」をコンピュータへインストールさせられ、長期的な「ファーミング」攻撃で情報を収集されることもある。他の手口は、大量のアイデンティティ情報を保有する企業、政府、教育機関のデータベースを狙い、一度に数十万件のアイデンティティを盗み出すことに成功している。犯罪組織はこれらのアイデンティティを取得し、それを使って最短時間で可能な限り多くを盗むことに熟達した新種の革新者へ転売するために存在している。こうしたネットワークの国際性は、潜入と解体をますます困難にしている。

フィッシングとファーミングは現在、コンピュータ産業で最も急速に成長している分野の一つと考えられており、年平均成長率(CAGR)は 1000% に達する。1 私たちのやり方を大きく変えなければ、この傾向は続くだろう。

現在の状況の先を見据え、現在の動態が抑制されずに続くなら深刻な危機へ向かっていることを理解する必要がある。インターネット上のアイデンティティの場当たり的な性質は、専門化された攻撃者による拡大する攻撃に耐えられない。

この種の公共的危機が深刻化すれば、インターネットは、本来であれば経済取引に対する信頼と受容を高めるべき時に、それらを失い始めることになる。しかし、後退する危険に加えて、前進しないことのコストも理解しなければならない。アイデンティティ層の欠如は、サイバー空間のさらなる定着を制限している主要因の一つである。

さらに、統一的で合理的なアイデンティティ基盤がなければ、Web サービスの恩恵を得ることも妨げられる。

Web サービスは、重要な新機能を提供し、環境に応じて進化できる、堅牢で柔軟な分散システムを構築するために設計されてきた。そのような生きたサービスは疎結合で有機的でなければならず、硬直した事前計画と直結配線のパラダイムから離れなければならない。しかし、デジタルアイデンティティが依然として、なお直結配線されなければならない場当たり的な一品ものの寄せ集めである限り、Web サービスの他の側面で達成した交渉可能性や合成可能性は、何も新しいものを可能にしない。誰が何と接続しているのかを知ることは、次世代のサイバーサービスが出発線を越えるために不可欠である。

アイデンティティ層を追加することは難しい

インターネットへ、より標準化されたデジタルアイデンティティサービスを追加しようとする試みはあった。また、公開サイトへの接続を保護する SSL の利用や、企業内での Kerberos の利用のように、特定領域では部分的な成功もあった。2

しかし、こうした成功は、アイデンティティの寄せ集めを、インターネット全体に広がる合理的な基盤へ変えるにはほとんど役立たなかった。

なぜインターネットのためのアイデンティティ層を作ることはそれほど難しいのか。主な理由は、それが何であるべきか、どのように運用されるべきかについて、ほとんど合意がないことにある。この合意の欠如は、デジタルアイデンティティが文脈に関係していることから生じる。インターネットは単一の技術的枠組みである一方、その上で栄える千種類ものコンテンツ、少なくとも同じだけ多様な文脈を通じて経験される。これらの文脈のいずれかに関わるプレイヤーは、デジタルアイデンティティが自分たちに影響を及ぼす範囲でそれを制御したいと考え、多くの場合、自分たちの文脈から他の文脈への波及を防ぎたいと考える。

たとえば企業は、顧客や従業員との関係を重要な資産と見なし、それを厳しく保護する。企業が自らの選択を制限したり、関係をデジタルに作成・表現する方法への制御を手放したりすることを期待するのは非現実的である。また、そうする明白な動機となる単一のアプローチも現れていない。個別企業の異なる文脈は、それぞれが異なる種類の解決策を自由に採用できなければならないという要件につながる。自分たちの制御下にないアイデンティティ枠組みよりは、場当たり的なアイデンティティの一品ものの方がまだましなのである。

政府にも、他の種類の組織とは異なるニーズがあることが分かっている。そして金融業界のような特定の業界クラスター、すなわち「垂直市場」も、顧客とのデジタルな関係を維持する際に固有の困難と願望があることを認識するようになった。

これらの機関がどれほど重要であっても、提案されるサイバーアイデンティティシステムについて最終的な判断を下すのは、消費者としての個人である。個人が好まず、使おうとしない、または使えないものは、必然的に失敗する。別の誰かが代替案を持って現れるだろう。

インターネットの安全性に対する消費者の不安は、多くの人がオンライン購入でクレジットカードを使うことを妨げている。マルウェアとアイデンティティ盗難の増加により、プライバシー問題はすべてのインターネット利用者にとって最重要の懸念になった。その結果、より大きなプライバシー問題に対する認識と対応準備が高まっている。

仮想世界が発展するにつれて、プライバシーの専門家は、消費者および市民の観点から、アイデンティティに関する繊細で十分に根拠のある分析を発展させてきた。彼らの介入を受けて、法律家、政府の政策立案者、選挙で選ばれた代表者たちは、私たちがサイバー空間に定着していく中で社会が直面する多くの困難なプライバシー問題を、ますます強く認識するようになった。これはすでにベンダーの感度の高まりと政府の介入をもたらしており、今後さらに続くと予想される。

要するに、現在の状況の危険がどれほど深刻であっても、単一で単純なデジタルアイデンティティ解決策が万能薬として現れることは現実的ではない。

たとえ奇跡が起こり、さまざまなプレイヤーが一つの国の中で何が完璧かについて何らかの広範な部門横断的合意に達したとしても、それを国境を越えて普遍的に拡張できる可能性はゼロである。

アイデンティティ・メタシステム

デジタルアイデンティティの場合、多くのプレイヤーの多様なニーズは、複数の構成技術から単一のアイデンティティ基盤を織り上げることを求める。最初は手ごわく見えるかもしれないが、コンピューティングの進化の中で、似たことは何度も行われてきた。

たとえばパーソナルコンピューティングの初期には、アプリケーション開発者は、どの種類のビデオディスプレイが使われているか、どのような特性のストレージデバイスが設置されているかを意識しなければならなかった。やがて、特定のハードウェアの詳細から抽象化された一連のサービスを提供できるソフトウェア層が現れた。「デバイスドライバ」の技術により、必要に応じて交換可能なハードウェアを差し込めるようになった。ハードウェアはコンピュータに対して「疎結合」になり、アプリケーションが新機能を利用するために書き直される必要がなくなったため、ハードウェアは急速に進化できるようになった。

ネットワーキングの進化についても同じことが言える。かつて、アプリケーションは使用中の特定のネットワークデバイスを意識しなければならなかった。最終的に、ソケットと TCP/IP という統合技術が現れ、Token Ring、Ethernet、X.25、Frame Relay など、多くの特定の下位システムと、さらには当時まだ発明されていなかった無線のようなシステムとも連携できるようになった。

デジタルアイデンティティにも同様のアプローチが必要である。特定実装の内部的な複雑さからアプリケーションを保護し、デジタルアイデンティティを疎結合にできる、統合的なアイデンティティ・メタシステムが必要である。このメタシステムは、実質的にはシステムのシステムであり、デバイスドライバやネットワークソケットとよく似た統一インターフェイスを公開する。それにより、一品ものは、世界全体が事前に合意することを要求せずに、メタシステムの枠組みの中で機能する標準化技術へ進化できる。

障害を理解する

冒頭の問題を言い換えると、アイデンティティ・メタシステムの役割は、インターネット上のどこであっても、誰が何と接続しているかを確立する信頼できる方法を提供することである。

私たちは、さまざまな種類のシステムが特定の文脈では識別をうまく提供してきたことを観察してきた。しかし成功しているにもかかわらず、それらは他のシナリオで利用を集められなかった。こうした成功と失敗を説明する要因は何か。さらに、インターネット規模で機能する解決策の特徴は何か。これらの問いに答えるには、1970 年代以降のさまざまなアプローチの成功と失敗から多くを学ぶ必要がある。

この調査は、「アイデンティティの法則」と呼ぶ一連の考え方につながった。私たちは「法則」という語を、観察から生じ、検証可能で、したがって反証可能な世界についての仮説という科学的な意味で選んだ。3 読者は、私たちが法的または道徳的な規範を示したいわけでも、「アイデンティティの哲学」について議論を始めたいわけでもないことに留意してほしい。4

これらの法則は、インターネット規模の分散コンピューティングのバックプレーンとして機能できるほど広く受け入れられるデジタルアイデンティティ・メタシステムを定義する、客観的な動態の集合を列挙する。そのため、それぞれの法則は、そのようなシステムの構築を導くアーキテクチャ原則を生み出すことになる。

私たちの目的は実用的である。たとえば「利用者の制御と同意の法則」を仮定するのは、経験が次のことを教えているからである。利用者を制御の主体にしないシステムは、ただちに、または時間の経過とともに、十分な数の利用者から拒否され、統合技術になり続けることはできない。この法則が価値観とどう噛み合うかは、ここでの論点ではない。

他の法則と同様に、この法則は、アイデンティティ・メタシステムが運用可能でなければならない多くの社会的構成や文化を前提としたとき、そのメタシステムがどのような姿でなければならず、どのような姿であってはならないかを制限する輪郭を表している。法則を理解すれば、破綻する運命にある提案の多くを、時間を浪費する前に取り除く助けになる。

法則は検証可能である。それらは結果を予測することを可能にし、私たちは提案以来一貫してそうしてきた。また、それらは客観的でもある。つまり、定式化される前から存在し、作用していた。たとえば「正当な当事者の法則」が、Microsoft の Passport アイデンティティシステムの成功と失敗を説明できるのはそのためである。

アイデンティティの法則を総合すると、インターネットに欠けているアイデンティティ層のアーキテクチャが定義される。

対話を可能にする言葉

多くの人が、アイデンティティ、デジタルアイデンティティ、ペルソナ、表現について考えてきた。法則を提案するにあたり、私たちはこの議論を終わらせるつもりはない。しかし、この取り組みの実用的な目的に沿って、法則そのものを理解できるようにする語彙を定義する。

デジタルアイデンティティとは何か

まず、デジタルアイデンティティを、あるデジタル主体が自分自身または別のデジタル主体について行うクレームの集合として定義する。これをさらに検討する前に、デジタル主体とクレームの集合によって何を意味するのかを定義させてほしい。

デジタル主体とは何か

Oxford English Dictionary(OED)は subject を次のように定義している。

「議論され、記述され、または扱われている人または物」

そこで私たちは、デジタル主体を次のように定義する。

「デジタル領域で表現され、または存在し、記述され、または扱われている人または物」

分散コンピューティングにおける意思決定の多くは、開始者または要求者を「扱う」ことの結果である。そして、デジタル世界には、人間以外にも「扱われる」必要のある多くの主体が含まれていることを指摘しておく価値がある。たとえば次のようなものがある。

  • デバイスとコンピュータ(そもそも私たちがデジタル領域へ入り込むことを可能にするもの)
  • デジタルリソース(私たちをそこへ引き寄せるもの)
  • ポリシー、および他のデジタル主体間の関係(たとえば、人間とデバイス、文書、サービスとの間の関係)

OED はさらに、哲学的な意味で subject を「属性に対立するものとしての、物の中心的実体または核心」と定義している。後に見るように、「属性」はクレームで表現されるものであり、主体はそれによって記述される中心的実体である。5

クレームとは何か

クレームとは次のものである。

「何かが真であるという主張。典型的には、それが争われているか疑わしいもの」

デジタル領域におけるクレームの例があると分かりやすいだろう。

  • クレームは、単に識別子を伝えるだけの場合がある。たとえば、主体の学生番号が 490-525 である、または主体の Windows 名が REDMONDkcameron である、というものだ。これは既存の多くのアイデンティティシステムが機能する方法である。
  • 別のクレームは、主体が所定の鍵を知っており、その事実を証明できるはずだと主張するかもしれない。
  • クレームの集合は、氏名、住所、生年月日、市民権など、個人を識別する情報を伝えるかもしれない。
  • クレームは、主体が特定のグループの一員である、たとえば年齢が 16 歳未満である、と単に提案するだけかもしれない。
  • また、クレームは、主体が一定の能力を持つ、たとえば一定限度まで注文できる、または所定のファイルを変更できる、と述べるかもしれない。

「疑わしい」という概念は、インターネットのような分散世界の微妙さを捉えている。クレームは、それに依存する当事者による評価の対象でなければならない。私たちのネットワークが連合化され、多くの異なる主体の参加に開かれるほど、このことはいっそう明白になる。

したがって、分散され連合化された環境では、「クレーム」という語の使用は、「事実または信念についての自信に満ちた力強い陳述」を意味する「アサーション」のような別の語より適切である。6 閉じたドメインモデルから開かれた連合モデルへ進化すると、状況は、アサーションを行う当事者とそれを評価する当事者が複雑で、時に両義的な関係を持ち得るものへ変わる。この文脈では、アサーションは常に疑いの対象でなければならない。送信者から受信者へ完全な形で伝送されたかという疑いだけでなく、それが真であるか、さらには受信者にとって関係があるかという疑いも含まれる。

クレームベースの定義の利点

ここで用いるデジタルアイデンティティの定義は、既知のすべてのデジタルアイデンティティシステムを包含しており、したがって私たちの寄せ集めに含まれる合理的な要素を概念的に統合し始めることを可能にする。複数の実装とやり方を包含するメタシステムのために、デジタルアイデンティティを定義できるようにする。

この定義を提示するにあたり、私たちは、それが広く信じられているいくつかの考えとは合わないことを認識している。たとえば、特定の文脈ではアイデンティティは一意でなければならない、という考えである。多くの初期システムはこの前提で構築され、多くの文脈で非常に有用な前提でもある。唯一の誤りは、それがすべての文脈で必須だと考えることである。

例として、Microsoft のような企業と、ここでは Contoso Analytics と呼ぶ分析サービスとの関係を考えてみよう。Microsoft が Contoso Analytics と契約し、Microsoft の誰もが業界動向に関するレポートを読めるようにするとする。また、Microsoft は、Microsoft の誰がどのような関心を持ち、どのレポートを読んでいるかを Contoso Analytics に正確には知られたくないとする。

このシナリオでは、実際には一意な個人識別子をデジタルアイデンティティとして使いたくない。Contoso Analytics は、有効な顧客だけがレポートへアクセスできることを保証する方法をなお必要としている。しかしこの例では、デジタルアイデンティティは非常に限定されたクレーム、すなわち現在サイトへアクセスしているデジタル主体が Microsoft の従業員の誰かであるというクレームによって表現されるのが最善である。この点で、私たちのクレームベースのアプローチは成功している。一つのデジタル主体(Microsoft Corporation)が、一意な識別子を使うことなく、別のデジタル主体について何かを主張することを可能にするからである。

このデジタルアイデンティティの定義は、クレームの提示と、現実世界の対象との結び付きの証明可能性とを明確に分離することを私たちに求める。

私たちの定義では、クレームの有用性、真実性、信頼性の評価を依拠当事者に委ねる。真実性と可能な結び付きはクレームの中にあるのではなく、評価の結果として生じる。評価する当事者が、提示されたクレームを受け入れるべきだと判断した場合、その判断は主体についてのさらなるクレームを表すだけであり、今度は評価する当事者によって行われるものとなる(それがさらに伝達される場合もあれば、そうでない場合もある)。

したがって、デジタルアイデンティティの評価は、その出発点からの単純な変換をもたらし、再び一つのデジタル主体が別のデジタル主体について行うクレームの集合を生み出す。信頼、帰属、有用性の問題は切り出すことができ、デジタルアイデンティティ自体を表現する仕組みより高い層で扱える。

アイデンティティの法則

ここから、デジタルアイデンティティシステムの成功と失敗を説明する七つの本質的な法則を見る。

1. 利用者の制御と同意

技術的アイデンティティシステムは、利用者を識別する情報を、その利用者の同意がある場合にのみ開示しなければならない。

アイデンティティ・メタシステムの成功にとって、それを使う個人ほど中心的な存在はない。システムはまず、利便性と単純さによって魅力的でなければならない。しかし持続するためには、何よりも利用者の信頼を得なければならない。

この信頼を得るには、全体的なコミットメントが必要である。システムは、どのデジタルアイデンティティを使うか、どの情報を公開するかについて、利用者を制御の主体にするよう設計されなければならない。

システムはまた、情報を求めるすべての当事者のアイデンティティを検証することで、利用者を欺瞞から保護しなければならない。利用者がアイデンティティ情報を提供すると決めた場合、それが正しい場所へ送られることに疑いがあってはならない。そしてシステムには、どのような目的で情報が収集されているのかを利用者に認識させる仕組みが必要である。

システムは、利用者がインターネット上の行動を追跡できるアイデンティティプロバイダを選択した場合、そのことを利用者へ知らせなければならない。

さらに、文脈に関係なく利用者が制御しているという感覚を強化しなければならず、利用者との契約を恣意的に変更してはならない。これは、企業環境でも消費者環境でも利用者の同意を支えられることを意味する。拒否が会社の雇用条件を破る可能性がある場合であっても、同意のパラダイムを保持することが不可欠である。これは従業員に知らせると同時に、雇用者を免責することにも役立つ。

「利用者の制御と同意の法則」は、メタシステムが利用者の判断を記憶し、利用者がそれを以後の機会に自動的に適用させることを選べる仕組みの利用を認める。

2. 制約された利用のための最小開示

識別情報の開示量が最も少なく、その利用を最もうまく制限する解決策が、長期的に最も安定した解決策である。

私たちは、侵害は常に起こり得るという前提で識別情報を扱うシステムを構築すべきである。そのような侵害はリスクを表す。リスクを軽減するには、「知る必要がある」場合にのみ情報を取得し、「保持する必要がある」場合にのみ保持するのが最善である。これらの実践に従えば、侵害が起きた場合の損害を最小限に抑えられる。

同時に、識別情報の価値は、その量が減るにつれて低下する。したがって、情報ミニマリズムの原則で構築されたシステムは、アイデンティティ盗難の標的としての魅力が低く、リスクをさらに下げる。

(制御の法則で述べた利用ポリシーと組み合わせて)利用を明示的なシナリオに限定することで、「知る必要がある」原則がリスクを減らす効果はさらに大きくなる。いつか必要になるかもしれないという「念のため」に情報を収集して保持する可能性はなくなる。

「最小の識別情報」という概念は、クレームの数が最も少ないという意味だけでなく、複数の文脈にまたがって所定の個人を識別する可能性が最も低い情報という意味でも理解されるべきである。たとえば、あるシナリオで一定年齢であることの証明が必要なら、生年月日ではなく年齢区分を取得して保存する方がよい。生年月日は、他のクレームと組み合わさると主体を一意に識別する可能性が高く、したがって必要でないなら避けるべき「より識別性の高い情報」を表す。

同様に、他の文脈で再利用できる一意な識別子(運転免許証番号、社会保障番号など)は、文脈をまたがない特定目的の一意な識別子よりも「より識別性の高い情報」を表す。この意味で、社会保障番号を取得して保存することは、ランダムに生成した学生番号や従業員番号を割り当てることよりはるかに大きなリスクを表す。

この法則が破られたところでは、多数のアイデンティティの惨事が起こってきた。

「最小開示の法則」は次のようにも表現できる。識別情報の集約はリスクも集約する。リスクを最小化するには、集約を最小化せよ。

3. 正当な当事者

デジタルアイデンティティシステムは、識別情報の開示が、所定のアイデンティティ関係において必要かつ正当な位置を占める当事者に限定されるよう設計されなければならない。

アイデンティティシステムは、情報を共有する際に、利用者がどの当事者または当事者たちとやり取りしているのかを認識できるようにしなければならない。

正当化の要件は、情報を開示する主体と、それに依存する依拠当事者の双方に適用される。この点で、Microsoft の Passport に関する私たちの経験は示唆的である。インターネット利用者は Passport を MSN サイトへアクセスする便利な方法と見なし、それらのサイトも Passport を喜んで利用していた。その規模は 1 日あたり 10 億回を超えるやり取りに達していた。しかし、ほとんどの非 MSN サイトにとって、Microsoft が自分たちの顧客関係に関与することは意味をなさなかった。利用者も、自分たちのすべてのインターネット活動を単一の Microsoft アイデンティティサービスに知られたいと望んでいたわけではなかった。その結果、Passport はインターネットのためのアイデンティティシステムになるという使命に失敗した。

今後、この法則の例をさらに多く見ることになる。今日、一部の政府はデジタルアイデンティティサービスの運営を考えている。政府と取引する際に政府発行のアイデンティティを使うことは意味があり、明らかに正当化できる。しかし、たとえば家族 Wiki へのアクセス制御や、消費者を趣味または悪習へ結び付ける場面で、政府アイデンティティを使うことが「必要かつ正当」であると市民が同意するかどうかは、文化的な問題になるだろう。

同じ問題は、信頼基盤を構築する仲介者にも立ちはだかる。この法則は、可能なことを制限しようとするものではなく、私たちが認識しなければならない動態を描き出すことを意図している。

制御と同意の法則から、信頼を得るにはシステムが予測可能で「半透明」でなければならないことが分かっている。しかし利用者は、法則 6(人間の統合)で見るように、他の理由からも自分が誰と取引しているのかを理解する必要がある。物理世界では、私たちは状況を判断し、自分について何を開示したいかを決めることができる。これに対応するものが、デジタルにおける正当な当事者である。

開示に関わるすべての当事者は、開示する当事者に対して、情報利用に関するポリシー文書を提供しなければならない。このポリシーは、開示された情報に何が起こるかを統制すべきである。このポリシーは、開示する当事者が発行する「委任された権利」を定義するものと見ることができる。

いかなる利用ポリシーも、犯罪捜査の場合にはすべての当事者が当局に協力することを認めるだろう。しかし、それは国家がアイデンティティ関係の当事者であることを意味しない。もちろん、この点は情報が共有されるポリシーの中で明示されるべきである。

4. 方向性のあるアイデンティティ

普遍的なアイデンティティシステムは、公開主体が利用する「全方向」の識別子と、私的主体が利用する「一方向」の識別子の両方をサポートし、それによって発見を促進しつつ、相関ハンドルの不要な公開を防がなければならない。

技術的アイデンティティは、常に何らかの他のアイデンティティまたはアイデンティティ集合との関係において主張される。物理世界との類推で言えば、アイデンティティには大きさだけでなく方向もある。特別な「アイデンティティ集合」の一つは、すべての他のアイデンティティ(公衆)である。他にも重要な集合がある。たとえば、企業内のアイデンティティ、任意のドメイン、またはピアグループにおけるアイデンティティである。

公開されている主体は、不変でよく知られた識別子を持つことができる。これらの公開識別子は、現れた誰に対してもアイデンティティを発するビーコンと考えられる。そしてビーコンは「全方向」である(すべての他のアイデンティティの集合に対して、自らの存在を明らかにする意思がある)。

よく知られた URL と公開鍵証明書を持つ企業 Web サイトは、そのような公開主体の良い例である。公開 URL を変更することには利点がなく、実際には大きな不利益がある。サイトを訪れるすべての人が公開鍵証明書を調べても問題ない。同じく、誰もがそのサイトの存在を知っていても差し支えない。その存在は公開されているからである。

そのような公開主体の第二の例は、ビデオプロジェクタのように公に見えるデバイスである。このデバイスは企業内の会議室に置かれている。会議室への訪問者はプロジェクタを見ることができ、プロジェクタは近くに来た人に自分を告知することでデジタルサービスを提供する。ここで概説する考え方では、それは全方向のアイデンティティを持つ。

一方で、企業 Web サイトを訪れる消費者は、そのサイトのアイデンティティビーコンを使って、そのサイトと関係を築きたいかどうかを判断できる。その後、利用者のシステムは、そのサイトだけで使う識別子を選択することで、そのサイトとの「一方向」のアイデンティティ関係を確立できる。別のサイトとの一方向のアイデンティティ関係では、完全に無関係な識別子を生成することになる。このため、サイト間で共有され、活動や嗜好のプロファイルを巨大な調査記録へ組み上げるための相関ハンドルは発せられない。

コンピュータ利用者が、前述のプロジェクタを備えた会議室へ入るとき、その全方向のアイデンティティビーコンは、(制御の法則に従って)利用者がそれとやり取りしたいかどうかを判断するために利用できる。やり取りする場合には、コンピュータとプロジェクタの間で短命の一方向アイデンティティ関係を確立し、最小開示の法則に従って可能な限り少ない識別情報だけを明かしながら、安全な接続を提供できる。

Bluetooth やその他の無線技術は、これまで第四法則に従ってこなかった。それらは私的主体に対して公開ビーコンを使っている。このことは、これらの分野の革新者たちが現在取り組んでいる消費者の反発を説明している。

公開鍵証明書も、プライバシーが問題になる文脈で個人を識別するために使われる場合、同じ問題を持つ。証明書がこれまで、この法則に適合する場合(すなわち公開 Web サイトの識別)には広く使われ、私的な個人の識別になると概して無視されてきたことは、単なる偶然ではないのかもしれない。

別の例として、パスポートや学生追跡アプリケーションで提案されている RFID 技術の利用がある。RFID デバイスは現在、全方向の公開ビーコンを発している。これは私的個人による利用には適切ではない。

パスポート読取機は公開デバイスであり、したがって全方向ビーコンを採用すべきである。しかしパスポートは、信頼された読取機にのみ応答すべきである。パスポートは、所持者を識別し、特定国の国民であると標識付ける信号を、盗聴者なら誰にでも発するべきではない。これらのビーコンによって無人装置が起爆され得る例も示されている。カリフォルニアでは、アイデンティティの方向性の濫用を是正するための最初の立法措置がすでに取られている。立法者が私たちより先にこれらの問題を理解していることは、技術者の構想力の失敗を示している。

5. 運用者と技術の多元主義

普遍的なアイデンティティシステムは、複数のアイデンティティプロバイダによって運用される複数のアイデンティティ技術の相互運用を導き、可能にしなければならない。

アイデンティティを表現する方法が一つだけなら都合がよい。しかし、アイデンティティが必要とされる多数の文脈は、それを許さない。

単一の中央集権的な一枚岩のシステム(メタシステムの反対物)が決して存在し得ない理由の一つは、ある文脈で任意のシステムを理想的にする特性が、別の文脈ではそのシステムを失格にするからである。

政府サービスとやり取りする際に、政府発行のデジタルアイデンティティを使うことは理にかなっている(単一の全体的アイデンティティは、個々の政府部門間で識別子の相関を意味するものでも、妨げるものでもない)。

しかし多くの文化では、雇用者も従業員も、職場でログインするために政府識別子を使うことに安心感を持たないだろう。政府識別子は税務情報を伝えるために使われるかもしれないし、人が初めて雇用のオファーを受けるときに必要とされることすらあるかもしれない。しかし雇用という文脈は十分に自律的であり、政府運営技術による日々の観察から自由な、独自のアイデンティティを正当化する。

一方で、顧客や Web を閲覧する個人は、多くの場合、どの雇用者が提供するものよりも高いプライバシーレベルを望むだろう。

したがって、デジタルアイデンティティに関しては、異なる当事者(個人自身を含む)によって運用されるアイデンティティプロバイダを持つだけの問題ではなく、異なる、そして潜在的には矛盾する機能を提供するアイデンティティシステムを持つ問題でもある。

普遍的なシステムは、私たち一人ひとりが異なる文脈では、市民、従業員、顧客、仮想ペルソナで同時にあることを認識しつつ、差異化を包含しなければならない。

これはさらに別の角度から、異なるアイデンティティシステムがメタシステム内に存在しなければならないことを示している。これは、単純なカプセル化プロトコル、すなわち物事について合意し、運ぶ方法が必要であることを含意する。また、個人や組織が日々の活動を行う中で、適切なアイデンティティプロバイダと機能を選択できる、統一された利用者体験を通じて情報を表出させる方法も必要である。

普遍的なアイデンティティ・メタシステムは、もう一つの一枚岩であってはならない。それは多中心的(連合はこれを含意する)であり、同時に多形的(異なる形で存在する)でなければならない。これにより、アイデンティティの生態系が出現し、進化し、自己組織化できる。

RSS や HTML のようなシステムが強力なのは、どのようなコンテンツでも運べるからである。アイデンティティそのものにも、いくつか、あるいは多くのコンテンツがあり、それでもなおメタシステムの中で表現できることを理解する必要がある。

6. 人間の統合

普遍的なアイデンティティ・メタシステムは、人間の利用者を分散システムの構成要素として定義し、アイデンティティ攻撃からの保護を提供する明確な人間・機械間コミュニケーション機構を通じて統合しなければならない。

私たちは暗号の利用により、Web サーバとブラウザの間のチャネル、時には何千マイルにも及ぶチャネルを保護することについてはかなり良い仕事をしてきた。しかし、ブラウザの表示とそれを使う人間の脳との間にある 2、3 フィートのチャネルを十分に保護することには失敗してきた。この計り知れないほど短いチャネルこそ、フィッシャーやファーマーから攻撃されているものである。

それも当然である。利用者は Web を移動する中で、どのアイデンティティを相手にしているのか。アイデンティティ情報はどれほど分かりやすく利用者に伝えられているのか。私たちのデジタルアイデンティティシステムは、客観的研究で有効であると示された方法で利用者とインターフェイスしているのか。アイデンティティ情報は現在、証明書という形を取っている。研究は、証明書が利用者にとって意味を持つことを示しているのか。

私たちはいったい何をしているのか。それが何であれ、より良くしなければならない。アイデンティティシステムは、人間の利用者まで拡張され、統合されなければならない。

Carl Ellison とその同僚たちは、人間とサイバネティックなシステム構成要素の混合ネットワーク、すなわち Web サーバから人間の脳までの完全なチャネルにまたがる相互作用を表すために、「セレモニー」という語を作った。セレモニーはサイバープロトコルを超え、利用者とのコミュニケーションの完全性を確保する。

この概念は、利用者の体験を根本的に変え、情報に基づいた判断を可能にするほど予測可能で明確なものにすることを求める。

アイデンティティシステムはすべてのプラットフォームで機能しなければならないため、すべてのプラットフォームで安全でなければならない。その安全性をもたらす性質は、秘匿性や、基盤となるプラットフォームまたはソフトウェアが知られていないこと、採用が少ないことに基づいていてはならない。

一つの例は、United Airlines の Channel 9 である。これは搭乗している飛行機の操縦室と航空管制との間のライブ会話を伝える。このチャネル上の会話は非常に重要で、技術的で、焦点が絞られている。参加者は「雑談」しない。すべての当事者が、管制塔と飛行機から何を期待すべきかを正確に知っている。その結果、無線雑音や静電気雑音が多くても、パイロットと管制官はコミュニケーションの正確な内容を容易に聞き分けられる。問題が起きたときには、チャネルの予測可能性が破れることが状況の緊急性を示し、危険を理解して対応するために人間のあらゆる能力を引き出す。チャネルの限定された記号体系は、コミュニケーションに非常に高い信頼性があることを意味する。

アイデンティティ情報の交換にも、同じ種類の境界付けられた、非常に予測可能なセレモニーが必要である。セレモニーは「何となく良ければよい」という類いのものではない。それはあらかじめ定められている。

しかし、この可能性の制限は、コンピューティングに関する私たちの考えと相いれないのではないか。コンピューティングの多くの進歩は、セレモニーの厳格な光の下では排除される曖昧さや意図しない結果から生じてきたのではないか。

これらは妥当な問いである。しかし、誰と話しているのか、どの個人識別情報を明らかにするのかを判断する際には、意図しない結果を望むことは決してない。

問題は、システムとその人間の利用者との間のコミュニケーションにおいて、非常に高い信頼性をどう実現するかである。これは大部分において、ユーザーテストによって客観的に測定できる。

7. 文脈をまたぐ一貫した体験

統合的なアイデンティティ・メタシステムは、複数の運用者と技術を通じて文脈の分離を可能にしながら、利用者に単純で一貫した体験を保証しなければならない。

いくつもの文脈的なアイデンティティ選択肢を持つ未来を想定してみよう。たとえば次のようなものがある。

  • ブラウジング: Web を探索するための自己主張型アイデンティティ(実データを何も渡さない)
  • 個人: 継続的だが私的な関係を持ちたいサイトのための自己主張型アイデンティティ(氏名と長期的なメールアドレスを含む)
  • コミュニティ: 他者と協働するための公開アイデンティティ
  • 専門職: 雇用者が発行する、協働のための公開アイデンティティ
  • クレジットカード: 金融機関が発行するアイデンティティ
  • 市民: 政府が発行するアイデンティティ

個人ごとに、これらのデジタルアイデンティティやその他のアイデンティティの組み合わせは異なると予想できる。

これを可能にするためには、デジタルアイデンティティを「もの化」7 しなければならない。つまり、利用者がデスクトップ上で見たり、追加・削除したり、選択・共有したりできる「もの」にするのである。フォルダや文書を一貫して表すアイコンやリストを発明していなかったら、今日のコンピュータはどれほど使いやすかっただろうか。デジタルアイデンティティについても同じことをしなければならない。

所定の文脈でどの種類のデジタルアイデンティティが受け入れられるのか。候補となるものの性質は、利用者がサービスを得たい Web サービスによって指定される。一致する「もの化」されたデジタルアイデンティティを利用者に表示し、利用者はそれらの中から選択し、どの情報が求められているかを理解するために使える。これにより利用者は、何を公開するかを制御できる。

異なる依拠当事者は、異なる種類のデジタルアイデンティティを要求する。そして二つのことは明らかである。

  • 単一の依拠当事者は、しばしば複数種類のアイデンティティを受け入れたいと考える。
  • 利用者は、自分の選択肢を理解し、その文脈に最も適したアイデンティティを選びたいと考える。

すべての法則を合わせると、アイデンティティ情報の要求、選択、提示は、当事者間のチャネルが安全であるように行われなければならないことが分かる。利用者体験はまた、利用者の同意、関係する当事者、そして提案されている利用目的についての理解に曖昧さが生じることを防がなければならない。これらの選択肢は一貫して明確である必要がある。人間というシステム構成要素と曖昧さなくコミュニケーションする方法でこれを行うには、文脈をまたぐ一貫性が必要である。

利用者として、私たちは、自分のさまざまなアイデンティティを、独立した文脈への必要性を尊重しながらも統合された世界の一部として見る必要がある。

結論

アイデンティティシステムに取り組む、またはそれを扱う私たちは、アイデンティティの法則に従う必要がある。そうしなければ、結果として生じるすべての技術を最終的に損なう、強化し合う副作用の痕跡を作り出すことになる。その結果は、土木技師が重力の法則を無視した場合に起こることに似ている。これらの法則に従うことで、普遍的に受け入れられ、持続する統合的なアイデンティティ・メタシステムを構築できる。

  1. たとえば、Anti-Phishing Working Group の 2005 年 2 月版 “Phishing Activity Trends Report” は、7 月から 2 月までのフィッシングサイトの月間成長率を月 26% としており、これは年平均成長率 1600% に相当する。 

  2. また最近では、企業間のアイデンティティ共有におけるフェデレーションの成功例も見られる。 

  3. 私たちは、「実験ではなく論理によって証明されるもの」を意味する「命題」や、「自明のもの」を意味する「公理」という語を意識的に避けた。 

  4. これら三つの領域はいずれも強い関心を引くものだが、現在の議論は、アイデンティティ基盤の差し迫った危機を解決するために直接検証可能で適用可能な事項へ厳密に集中する必要がある。 

  5. 私たちは、「独立した存在を持つもの」を意味する "entity" のような代替語よりも、subject という語を選んだ。ここで、ものの独立した存在は論点ではない。それは何か別のものの一側面である可能性も十分にある。重要なのは、そのものが何らかの依拠当事者によって扱われ、それについてクレームが行われているということである。 

  6. OED。 

  7. 私たちは、より由緒ある "reify" という語を「ローカライズ」することを選んだ。