見出し画像

Verifiable Credentials の名寄せリスクの整理を試みる

MORIDaisuke

こんばんは。MORIDaisukeです。2025年もよろしくお願いします。

Verifiable Credentials(VC)やデジタルIDウォレット(DIW)界隈でよく挙げられる課題に「Verifierの結託による名寄せリスク」があります。
このVCにまつわる名寄せリスクや対策技術を学んでいるうち、どうも話がつながらないな?と思うことが何度かありまして、自分の理解のために整理してみようと思います。

サムネは「名寄せでプライバシーを侵害されたおじさん」です。かわいそうですね。

おことわり

  • このnoteは私が個人的に行った調査結果や考えをまとめたものです。業務上知り得た秘密情報や非公開情報は含んでおりません。

  • 私はこのテーマの初学者です。有識者からみたら的外れな整理かもしれません。内容に疑義や誤りがあれば、お手数ですがこっそり教えていただけますと嬉しいです。  

  • VCやDIWに何らかの形で関与されている方を読者として想定しています。VCやDIWの基本的な概念や用語の説明は割愛します。

それではお付き合いください!

VCの名寄せリスクとは

例えばモバイル運転免許証のようなVCは、本人確認や年齢確認の用途で様々なサービスに提示されることが想定されます。
このとき、VCの提示先のサービスAとサービスBが結託すると、VCに含まれる識別子などを使って両サービスの利用者データを本人の同意なく名寄せ・結合することができてしまいます。

こうした名寄せは、個人の行動追跡、プロファイリング、統計的差別などにつながるため、プライバシー上のリスクとされています。
これはVCに限った話ではなく、氏名や住所、携帯電話番号、マイナンバー、公的個人認証の電子証明書、ブラウザのCookieなど、識別子になりうる情報には大なり小なり名寄せに悪用されるリスクがあります。

VCの構造から名寄せリスクの整理を試みる

この「VCの名寄せリスク」には、結構いろんな種類があるのでは?と思いまして、VCやVPの構造から名寄せリスクの整理を試みてみました。
概観は以下のような感じです。

①個人に紐づく識別子による名寄せ

  • マイナンバー、運転免許証番号、パスポート番号など、資格情報には個人に紐づく識別子が含まれる場合があります。これを安易にVerifierに渡してしまうと、その識別子を使って名寄せ可能になってしまいます。

  • PPIDなどの仮名識別子に置き換える、識別子を必要としないVerifierには選択的開示によって識別子を渡さないようにする、といったことが対策になるかと思います。

②属性情報の組み合わせによる名寄せ

  • 前述の①のような直接的な識別子がなくとも、資格情報に含まれる住所や氏名などの属性情報の組み合わせを識別子として使うことで、名寄せ可能になってしまいます。

  • これの完全な対策は難しいですが、選択的開示によってVerifierに渡す情報を最小限にすることで、一定のリスク低減ができるはずです。

③VCのメタデータによる名寄せ

  • VCに含まれるメタデータにも留意が必要です。例えば「発行日時」が高い精度で記録されていた場合、氏名と組み合わせるだけでも一意に名寄せ可能になる場合があります。

  • 属性と同じく、選択的開示で必要のないメタデータを隠すことが対策になります。k-匿名化の観点でメタデータの精度を落とすこともリスク低減に繋がりそうです。

④Issuerのデジタル署名による名寄せ

  • VCに付される発行者(Issuer)の署名値は、通常クレデンシャルに対して一意となるため、署名値による名寄せが可能になってしまいます。

  • 対策としては、異なる署名鍵で署名した複数のVCをあらかじめ発行しておく、BBS+署名やゼロ知識証明など元の署名値を秘匿できる技術を用いる、などがあるようです。正直ちゃんとは理解できていません。

⑤Holderのデジタル署名による名寄せ

  • VPに付される保持者(Holder)の署名値についても同様に、署名値による名寄せが可能となってしまいます。

  • 対策としては、ランダムな値(nonce)やVerifierの識別子を含めて署名することで署名値を変化させたり、複数の署名鍵をローテーションしたりする方法があるようです。

まとめ

このように、ひと口に「VCの名寄せのリスク」と言っても、実際には色々なパターンの考慮が必要そうです。
それぞれの対策はここで挙げた以外の技術もあると思いますが、技術だけでは単純に解決できないリスクも残存しそうです。

結局のところ、扱うクレデンシャルやユースケースのリスクを踏まえて、複数の技術的対策やガバナンスを組み合わせてリスクを低減するという、いつものリスクマネジメントのアプローチが必要だと理解しました。

特にオチはありませんが、今回の整理は以上です。
最後まで読んでいただきありがとうございました。


いいなと思ったら応援しよう!