このエントリは高木浩光さんの「富士通総研が研究員のコラムを削除、国民ID・共通番号制度を巡る現況」を読んで、PPID方式に対する誤解が広まるんじゃないかと勝手に心配して書いたエントリです。まず断っておくと、Webサービスで使われるPPID方式と情報連携基盤とではそもそも仕組みが全く違いますので、このエントリに書く名寄せの方法は情報連携基盤では使えません。従って、本エントリは高木さんの主張に何ら影響を与えませんし、私自身『フラットモデル』は論外という立場です。
さて、高木さんはLiberty Allienceの目的として、
*RP同士が結託してもIDによる名寄せができないようにする
と書かれていますが、PPID方式であってもRPが結託した場合、それらRP間で共通する利用者については機械的に名寄せが可能、ということを示したのが右の図になります。
図の上半分は前提となる部分で、IdP上でのID:xxxxのユーザに対して、RP1ではID:zzzzが、RP2ではID:yyyyが割り振られている様子を表しています。図の一番下にいるのが、今回の例で運悪く名寄せの対象となるID:xxxx@IdPの利用者です。この時、RP1とRP2が結託してシステムを構築し、図の下半分の流れとなるように仕組みます。
あとはこの仕組みを適当にカモフラージュして運用を続ければ、RP1-RP2間の名寄せは自動化できます。 したがって、PPID方式では
* RPのIDからIdPのIDを逆計算する * RPがIdPのデータだけ{{fn 'RPにPPIDを振り出すための「種(salt)」は取られていないということ'}}を取ってきて、自分のデータとIDで名寄せする * RPが他のRPのデータを取ってきて、自分のデータとIDで名寄せする * 複数のRPからデータを取ってきて、それらをIDで名寄せする
といったことはできませんが、
* RPどうしが悪意を持って結託して、お互いのIDを名寄せする
というのを防ぐのは残念ながらできないということになります。
余談ながら、この方法はWeb広告やGoogle analyticsで使われているやり方のアレンジで、いってしまえば一般的に広く利用されている仕掛けの応用ですので、PPID方式自体の欠陥という訳ではありません。つまり、これを欠陥あるいはセキュリティ上の脅威として防ごうと思ったら、Web広告やGoogle analyticsも使えなくなるようにブラウザの仕様を変えるしかありません。
PPID方式にこのような抜け穴があるなら、情報連携基盤にも同様の穴があるのではないかと考えるのは当然ですが、すばらしいことに情報連携基盤ではそのようなことが無いようにちゃんと設計されています。
個人情報保護ワーキンググループの個人情報保護WG(第3回)議事次第 の(資料2−2)番号制度 番号連携イメージに(ちょっとごちゃごちゃしていてわかりにくいですが)ある通り、情報連携基盤の利用において「利用者」は必ず「マイ・ポータル」および「情報連携基盤」経由で各「情報保有機関」にアクセスするような仕組みとなっています。図では「情報連携基盤」と「情報保有機関」を結ぶ専用回線を使った閉域ネットワーク内における連携でPPID方式を使うという事になっており、私が最初に示した図に当てはめられるような「情報保有機関」が直接「利用者」にサービスを提供する仕組みではありません。このため、「情報保有機関」にCookieやWebバグを仕込む余地は無く、一般的なPPID方式にある名寄せの危険性は情報連携基盤の現在の設計には無い、ということになります。
逆に言うと、「なぜマイ・ポータルなんてお仕着せのものを使う必要があるんだ、情報保有機関が直接サービスを提供すれば良いじゃないか」とか、官民問わず「情報連携基盤をWebサービスのIdPとして解放しろ」などという方向に向かうと危険ということになります。
ここで情報連携基盤から離れて、一般的なPPID方式のWebサービスにおけるRP結託のリスクについてちょっと補足します。
最初に書いた通り、PPID方式でもRPどうしが結託した場合に名寄せは防げませんが、名寄せ可能な範囲はあくまで結託したRP間のデータのみで、IdPや、結託の枠外のRPのデータまで名寄せされることはありません。従って、こうした名寄せのリスクの大きさは、結託の規模によるといえます。
まあ、世の中にはすでにRPどころか、IdPも含めて結託して、名寄せ・マーケティングに利用しますと宣言しているシングルサインオンサービスもすでにありますが。楽天とか、楽天とか!、楽天とか!!、楽天とか!!! 。
もうちょっとだけ続きます。うまくまとめられずに箇条書きで逃げている上に同じことを何度か書いたりしてますが、ご容赦を。
* 一般論としてRP(IdP)に結託してWebバグやCookieを使われたら名寄せは防ぎようがない * PPID方式では「RPどうしが結託しても名寄せできない」とは言い切れず「第三者による名寄せはできない。また、あるRPが漏えい起こした時に、IdPや他のRPに迷惑をかけない」ぐらいまで * それでもPPID方式とフラットモデルとの間には越えられない壁がある