ただいま!2週間、Identityのプロに囲まれて過ごし、今まで以上にIdentityへの愛を深めてUSから帰国したクリスチーナです。
ブログの前編ではConsumer Identity World、後編ではInternet Identity Workshopについてレポートします。
2週間の学び
Key Insights
Identity関連の議論は、技術面の規格およびデータセキュリティにまつわる、先進国に最適化されたものが多く、自分が取り組んでいるような「『取り残された人々』をEmpowerするためのIdentity」という視点は本当に少なく、業界においてどうポジショニングしていくか考えさせられました。
Learnings
トレンドに関する学びは大きく以下3点でした: - Self-Sovereign Identityの実現方法はブロックチェーンに限らない - ブロックチェーン基盤のIdentificationの規格整備やユースケース確立にはまだ時間がかかりそうだ - 従来型のIdentification業界が着々とセキュリティを強化しながら前進している ブロックチェーンと従来型の双方が、目的に応じた技術を選定するという「Appropriate Technology」という考え方に言及することが多かったのが印象的でした。
Next Steps
私たちのThe Invisiblesプロジェクトでは、最初から”We are technology agnostic” -バズワードに関係なく目的に合致したテクノロジーを使っていくよ - という風にパートナーと合意してあったので、今回の視察を得て、Self-Sovereign Open ID Connectなどブロックチェーンに限らない従来型のIdentity技術の検討も進めていくことになりました。
既存の技術規格の理解を更に深めなくては…
Consumer Identity World
KuppingerColeというヨーロッパを代表する情報セキュリティ専門のアナリスト企業主催のConsumer Identity World USA 2019で基調講演及びパネルディスカッションをやらせていただきました。
基調講演
基調講演では、政府など一つのAuthorityに頼らないIdentityの在り方についてお話させていただきました。ブレブレだけどふじえさんが撮ってくれたお写真w
以下、サマリです。
私たちがThe Invisiblesプロジェクトで作りたいものは、「市民権とは関係なく、組織や国境を越えて受け入れられる分散型アイデンティティ」で、そのためには一つの組織に頼らなく手もいいようにデータの信頼性を保証する仕組みとそれを支える技術が必要です。
コンセプトを固めつつも、実際に動き出しており、 ① 仕組みに関しては、ISO(国際標準化機構)と難民向けにデジタルアイデンティティを発行するプロセスを標準化する国際規格をドラフトするワーキンググループを立ち上げ中 ② 技術に関しては、ブロックチェーンを活用したアイデンティティウォレットを医師向けにバングラデシュで発行し、実証しています。
以下、スライドの抜粋です。
①自己証明手段を持てずに機会を逃している「取り残された層」の規模が非常に大きい
Identity業界の大半が取り組んでいるセキュリティやIdentityマネジメントは既に自分や自分の資産を証明する手段を持っている「Privileged」向けであり、別のアプローチが必要。
#別の登壇用に和訳していたスライドです
②政府など一つのAuthorityに頼らないIdentityのトラストアンカーは国際規格
国連と政府が協力するトップダウンアプローチは法的拘束力がなくて上手くいかない場合が多い。バングラデシュで1000人以上の労働者がビルの下敷きになるというラナプラザの悲劇のあと、バングラデシュ政府はILO(国際労働機関)と声明をだしたが、労働環境が改善することはほとんどなかった。
その一方で、ZARAやH&Mなどの大企業、労働組合、被害者の家族、サプライチェーンのほかの中小企業などが集まってドラフトしたISO 45001という労働環境の基準を定めた国際規格によって大企業は工場がその規格に準拠しているかを確認できるようになったため、状況がよくなりつつあります。
同じように、国や国連が「これがあなたのアイデンティティです」と認定しなくても「この国際規格に準拠しているからそのアイデンティティを発行し、使用を認めます」という世界にしたいのです。
余談ですが、実際には、国際規格の適用時に各現地コミュニティによるボトムアップでのローカライゼーションも重要になってきます。
__③私がしているのは夢物語ではなく、過去にNansen Passportという事例があります
__
これは国連が発行したものなので、今の世界では同様には機能しないのでしょうが、難民が「アイデンティティ」を手に入れられれば、とてもEmpowerされ、そのようなアイデンティティ発行も可能であることの裏付けでもあります。
④ 現在実際に作成している一組織に頼らない分散型アイデンティティプロセスモデル
#テクノロジーの部分は省略します。
繰り返しになりますが、「『取り残された人々』をEmpowerするためのIdentity」という視点にあまりピンと来ていない人も多い印象を受け、伝え方をまだまだ工夫しなくてはと思いました…
パネルディスカッション
”Next Steps and Trends in Consumer Identity Management”というパネルディスカッションに参加させていただきました。その中でのハイライトを取り上げます。(思ったり思い出せず、、追記する可能性大です)
部分的に訳しましたが、少し英語が続きます、ごめんなさい。どうしても和訳ひつようでしたらDMください。
What are the emerging trends in consumer identity?
Me: One thing I feel is strengthening momentum towards individuals owning their own data. One example is MyData movement, whose mission is exactly "Empower individuals by improving their right to self-determination regarding their personal data." Right now, MyData 2019 conference is happening in Helsinki, and I, myself help run MyData Japan chapter.
True that individuals owning their data means more responsibility on individuals themselves. You cannot blame insurance company for breach of your data if you were supposed to keep track and take care of that data yourself. Which is why we are seeing the emergence of initiatives like information banks in Japan
消費者アイデンティティの新しいトレンドは何ですか?(訳)
私が感じることの1つは、個人が自分のデータを所有するという動きの勢いです。その一例がまさに
個人が自身のデータについて十分に理解し、主体性と主導権を持って、自らのためにパーソナルデータを活用できる世界
を目指すMyDataのムーブメントです。CIWとヘルシンキで同時期開催されていた、MyData 2019カンファレンスは今までにない盛り上がりをみせ、来年はMyData Asia2020をMyData Japan chapterと企画しております。
確かに、個人がデータを所有するようになると、個人自身がより多くの責任を負うことになります。データを追跡し、自分でデータを処理することになっている場合、保険会社を非難することはできません。それが、日本の情報銀行のような取組みが出現する背景だと思っています。
What is the future of decentralized identity?
Me: Sovrin Foundation has been one of the first runners in the space. And it is impressive to see big corporations like IBM, Cisco, T-Mobile joining their network.
These big corporations are still at the stage where they are internally checking if this technology can be used, so I do not think mass adoption wil be anytime soon, but examples like this still make me feel optimistic.
分散型アイデンティティの未来は何ですか?(Google翻訳)
私:Sovrin Foundationはこの分野で最初のランナーの1人でした。また、IBM、Cisco、T-Mobileなどの大企業がネットワークに参加しているのも印象的です。
ただし、これらの大企業はまだこのテクノロジーが使用できるかどうかを内部で確認している段階にあるため、社会実装にはまだ時間がかかりそうですが、このような例は、私が分散型アイデンティティの未来が明るいという理由の一つです。
What do you think of "Self-Sovereign Identity"?
Justin (Audience): it is a misnomer. It is a myth. Christian (KuppingerCole):Who regulates the space? Government?
Me: Let me come back to this because this touches upon my favorite topic of international standards. Identity goes beyond national borders, and there is no way governments can govern it.
My other concern is the fact that the Internet space is governed by algorithms written by coders who do not have much knowledge in legal, sociological nor ethical matters.
We really need various stakeholders - governments, tech companies, NGOs, UN agancies - coming together to draft standards that work for parties involved individuals, while respecting rights of the individuals.
What I would add now: I am currently reading a book Tools and Weapons: The Promise and The Peril of the Digital Age written by a Microsoft President Brad Smith, where he details the struggle of a tech giant dealing with legal, ethical and social issues. The book opened my eyes that Microsoft was doing more than I thought, but also confirmed that we still have a long way to go before we would be talking openly about these matters.
Let's talk about consent
Me: There is this emerging notion of layered consent: 1/ consent towards access to my data and 2/ consent towards usage of that data.
For example, I might be ok for my credit history and social footprint to be used to grant me a loan, but I might not be ok for the same data to be used to influence my voting decision. Nor I might not be ok for an insurance company to access the same data.
The discussion has just started and I am curious to see if we can accommodate both aspects in one 'consent' or these two should be more clearly separated.
Me: Another important aspect of consent is the fact that giving consent to our own data affects our family and friends.
By getting access to my DNA, these companies get access to my family's DNA. By allowing a wifi service to access my social network including a list of my followers, they get access to the profiles of my followers.
Until these DNA companies get privacy right, I am not giving them my DNA, but the scary thing is that they would be able to get it if someone in my family shares their DNA data...
Me: Estonia has an interesting example of consent being related to transparency.
There, individuals can see all the logs of how their data is being used. My friend saw that police has accessed his data, so he contacted the police to find out why they did that, since he did not remembering violating any law. The police got back to him saying that his car was parked next to a car into which a thief broke in, so they were confirming the owners of surrounding cars. Well, sounds legit, so my frience dropped the case.
+α
パネルディスカッションの後にAzure Active Directoryプロダクトチームのトップが視聴者の中にいたことが判明し、「すごく良かったよー」と対面でもメールでも一言いただけたのが、とっても嬉しかったです!
ちなみに一緒に登壇したLubnaとはMyData NYを立ち上げようと話していたことがあったり、The Invisiblesの走り出し時代に少しアドバイスもらったりとリモートでは話したことがあったのですが、対面は初めてだったので、これにも感動しました!
余談
11歳の時に初めて飛行機でアメリカに来た時に、飛行機の上から見えたサンフランシスコ湾の汚さやサンフランシスコの上空の空気の汚さに衝撃を受けて涙を流しました。
この記事を飛行機の中で書きながら、着陸する飛行機の外を見て、景色自体は悪化してきているのに最近はなんとも思わなくなってしまっている自分がいることに気が付いてぎょっとしています。
そのうち、気候変動関連の仕事に戻りたいかもしれない。。
他にもシアトルでワイン会したり、ワイナリー行ったり、オーブンから出したてのカキ空けながらやけどしたり、とわいわい楽しくやっていました!
ふじえさんには終始お世話になりました!!(お誕生日おめでとうございました!!) 日本初のAuth0 Ambassadorへの選出、おめでとうございます!