ハッキング・盗用の危険はないか
イスラエルは昨年、ワクチンパスポート「グリーンパス」を導入し、保有者の個人情報をQRコードに変換してスマートフォンなどに保存する方式を採択した。問題は、このQRコードが暗号化されず、偽造事例が頻繁に発生したという点だ。偽造されたワクチンパスポートがテレグラムなどを通じて流通する事態も確認された。イスラエル政府は急いで暗号化に乗り出したが、対応の遅れに非難が上がった。
ワクチンパスポートからさらに進化した形の「モバイル身分証」は、実物身分証と同じ効力を持つだけに、情報流出に対する懸念の声も大きい。モバイル身分証を提供する中央サーバーはもちろん、個人ユーザーの端末のうちどれか一つでも奪取されれば、個人の身元盗用、証明書流出などの追加的な被害につながりかねないためだ。
◇自己主権の身元証明でセキュリティ強化…DID技術が後押し
このような懸念をふまえ、モバイル身分証サービス普及のために韓国政府が導入したのが「自己主権身元証明(Self-Sovereign Identity)」方式だ。
この方式は現在、通常利用している中央集中式身元証明とは対照的な概念だ。既存の身元認証は名前、電話番号だけでなく住所、年齢など顧客がすべての個人情報を提供しなければならなかった。しかし、自己主権身元証明では、個人情報の所有および利用の権限を身元主体であるユーザーが持つことになる。
自身のスマートフォンに向けて、身元情報を発給してもらって保管し、身元確認要請があるたびに、本人の判断によって情報提供の可否を決める。身分証の使用履歴は、個人スマートフォンに保存されるが、中央サーバーには保存されないため、履歴は本人だけが確認できる。
脱中央化(文末参照)身元証明(DID)技術は、ブロックチェーン技術を利用したサービスだ。身元証明のための個人情報を暗号化し、これをブロック単位で構成して保存する。その後、財布から住民登録証を取り出すように、ブロックチェーンの財布からDIDを提出し、身元を証明する。この技術を活用すれば身分証、使用履歴などのデータ偽造や変造が不可能になる。
韓国では▽セキュリティ企業「ラオンセキュア」中心の「オムニワン」▽SKテレコムと主要銀行が連合した「イニシャル」▽ブロックチェーン技術専門企業「アイコンループ」が主導する「マイアイディー」――などが代表的なDIDプラットフォームだ。今年7月末から全国的に発給されているモバイル運転免許証に、このDID技術が適用された。
◇「利便性とセキュリティの両方を満たせ」
モバイル身分証に適用されるセキュリティ政策も次第に強化されている。韓国行政安全省と移動通信3社のパスアプリが出したモバイル住民登録証サービスの場合、本人名義で開通したスマートフォン1台だけで利用できるよう制限している。また、画面キャプチャーの遮断やQR柄の初期化など、強力なセキュリティポリシーも適用した。
だが、モバイル身分証サービスはまだ商用化されたばかりで、ハッキングや盗用被害の心配が全くないとは言えない。
IT法学研究所のキム・ジンウク所長(弁護士)は「モバイル身分証はまだ始まったばかりで、初期の脆弱な部分を狙ったハッキングやシステムの不備に備えなければならない」と語る。セキュリティの専門家は、高度化されたセキュリティ技術によってハッキング対策などを徹底し、国民の信頼を得る必要があると提言している。
(おわり)
ことば 脱中央化(decentralization)
中央への集中から脱し、分散させること。脱中心化された分散型クラウドネットワークシステムやサービスを指すこともある。Decentralized Finance(DeFi)は、金融機関にみられるような、中央で金融資産を管理する中央集権型システムを必要としない「分散型金融」。
◇
「モバイル身分証の時代」はNEWSISのオ・ドンヒョン、ソン・ジョンホの両記者が取材しました。
(c)NEWSIS