国家主権と相互運用性のバランスを取る
OIDFがデジタルアイデンティの未来に関するクリティカルな議論をリード
IGF 2025では、発展途上国および後発開発途上国が包括的なデジタルトランスフォーメーションを達成するための道筋を探っています。
先日、ノルウェーのリレストレムで開催されたInternet Governance Forum(IGF)2025では、発展途上国および後発開発途上国(DLDCs)が直面する最も緊急の課題の1つとして、how can digital identity interoperability be balanced with national sovereignty?(デジタルアイデンティティの相互運用性を国家主権とどのように調和させるか)というテーマで議論を行いました。
このワークショップは、AfICTA、the Sustainable and Interoperable Digital Identity (SIDI) Hub、ノルウェー税務局、およびノルウェーデジタル庁が共同で主催し、アフリカ、アジア、ヨーロッパから政策立案者、技術専門家、市民社会関係者を招集して、今日の主権の真の意味と、それを尊重するデジタルアイデンティティシステムをどう設計するかについて議論しました。
この議論を主導し、貢献する中で、OpenID Foundationは包括的なデジタルアイデンティティソリューションをグローバルに推進することへの取り組みを紹介しました。
グローバルな原則から各地での実践へ
このワークショップは、OpenID Foundationの事務局長であり、SIDI Hubの共同オーガナイザーでもあるGail Hodges氏が司会を務めました。彼女は、データ、インフラ、政策における国家の自主性を強化しながら、国境を越えて機能するデジタルアイデンティティシステムの重要性を強調して議論を開始しました。
これを補完する形で、OpenIDファウンデーション・ジャパン代表理事である富士榮 尚寛氏が、OID4VCI/VPのような国際標準仕様を用いた日本の業界を横断する教育資格連携の経験から、重要な技術的知見を提供しました。また、富士榮氏は、Apple IDのウォレット機能でマイナンバーカードを利用可能にした日本の最近の取り組みや、欧州連合およびアジア諸国との二国間関係についても言及しました。富士榮氏の貢献は、ナレッジトランスファー、国際標準仕様の実装、二国間関係における日本のアプローチが、相互運用可能なデジタルアイデンティティシステムを導入しようとするアフリカ諸国にとって再現可能なモデルを提供できることを示しました。
同様に、ノルウェー政府のデジタル担当ディレクターであるTor Alvik氏は、ノルディックおよびバルト諸国がNobidアライアンスに参加して国境を越えたデジタルアイデンティティを推進する中で得た知見や、デジタルアイデンティティのアーリーアダプターとして直面した課題について詳しく説明しました。彼らの現実的な地域でのアプローチと学びは、同様の目標を達成しようとするアフリカの仲間たちにとっても価値あるものとなるでしょう。
誰も取り残されない社会の基盤としてのデジタルアイデンティティ
このセッションでは、専門家パネルの議論から浮かび上がったいくつかの基本原則が強調されました:
誰も取り残されない社会(包摂性)の基盤としてのデジタルアイデンティティ
このセッションでは、専門家パネルの議論から浮かび上がったいくつかの基本原則が強調されました:
デジタルアイデンティティは包括性への入り口
デジタルアイデンティティが認識されなければ、個人はデジタル上で「見えない存在」となり、経済的にも疎外され、銀行、教育、医療、移動といった基本的なサービスにアクセスすることができません。ナイジェリアの出生時に発行される国民識別番号(NIN)のような早期登録戦略を実施している国々は、長期的な包摂性を確保し、アフリカのデジタル格差を埋めるための堅牢な住民登録システムがどのように構築できるかを示しています。
デジタルアイデンティティの成功は国や地域によって平等ではありません。そのため、ナイジェリアやSIDI Hubのような先進国・地域、先進的なマルチステークホルダープロジェクトからのベストプラクティスを共有することが、すべての法域とその住民に利益をもたらすためのギャップを埋める助けとなります。
国境を越えた相互運用性は地域経済統合に不可欠
国内、地域、または世界的なデジタルアイデンティティの相互運用性は、自然に実現できるものではありません。持続可能で拡張可能な成果を実現するためには、法域内および法域を超えたステークホルダーによる一貫性のある集中した努力が必要です。
アフリカ大陸自由貿易圏(AfCFTA)がその潜在能力を最大限に発揮するためには、国境を越えたシームレスな本人確認によって、人・モノ・サービスの自由な移動を可能にしなければなりません。したがって、デジタルアイデンティティシステムはAfCFTAのデジタル貿易の手順に組み込まれる必要がありますし、地域全体に広げていく設計図をつくるにあたっては各国の成功事例を取り入れるべきです。これらの知見は、アフリカ内のECOWASプロジェクトや、アフリカ外のノルディックおよびバルト諸国のNobidプロジェクト、EUデジタルアイデンティティウォレット、日本の二国間関係などから得ることができます。
相互運用可能な枠組みの中で国家主権を維持する必要がある
各国は、自国民のデータを管理するために、強力なデータ保護法、堅牢な信頼フレームワーク、および規制の整合性を必要とします。このバランスを取るためには、持続的な政治的意志、制度的な取り組み、そしてアフリカ諸国間のデジタル化の準備状況の違いを認識した上での個別対応が求められます。
SIDI Hubのような取り組みは、各法域が自国の政策とグローバルなベストプラクティスと比較してギャップを特定するのと助けます。政策と技術スタックに対する慎重かつ一貫したアプローチを通じて、アフリカを含むすべての法域が国内の主権を守るという目標を達成し、アフリカ全体や国際的な貿易において各国が持つ目標や願望を実現することができます。
地域モデルとグローバルな教訓
AfICTAのDr. Jimson Olufuye博士は、
アフリカが国連グローバルデジタルコンパクトの形成において戦略的な役割を果たすことを強調し、主権と包摂性の原則がAfCFTAの枠組みの下でのデジタルアイデンティティの展開において中心的であるべきだと述べました。
ベナンの経済・財務省のDr. Kossi Amessinou博士は
、「C'est Moi」イニシアティブを紹介しました。これは、政府が発行する身分証明書で、市民に無料で提供されるもので、政策目標と包括性の目標の両方に貢献しながら、ECOWAS地域内での相互運用性を維持する国家主導の革新の具体例です。
ナイジェリアの国家身分証明書機関(NIMC)のAbisoye Coker局長は、同国の統合されたNINCと、国内、地域、グローバルレベルでのデジタルIDの相互運用性に向けた取り組みを詳述し、SIDI Hubの信頼フレームワークマッピングのようなイニシアティブの重要性を強調しました。
ノルウェー政府行政・電子政府庁のSubject DirectorであるTor Alvik氏は、バルト諸国およびスカンジナビア地域におけるデジタルIDの地域協力から得られた教訓を共有し、北欧からの視点を提供しました。これには、法的独立性を維持しつつ、共通インフラの協力を可能にする信頼に基づく成功モデルも含まれています。
SIDI Hubがもたらす世界的なインパクト
Secure Identity AllianceのDebora Comparin氏は、45以上の国々と協力して、持続可能で、オープンかつ相互運用可能なデジタルアイデンティティのソリューションを共同開発するというSIDI Hubのミッションの概要を説明しました。難民の身元確認、デジタル教育資格、銀行口座開設などのユースケースにおけるSIDI Hubの取り組みは、国家主権を設計段階で組み込みながら、実践的な実装が大陸を超えて展開できることを示しています。
Debora氏は、これまでに達成された成果(ここで紹介)と今後の計画について強調しました。これには、アフリカカップ/オリンピックの「チャンピオンユースケース」のためのデジタルアイデンティティ相互運用性参照アーキテクチャ、およびデジタルアイデンティティ信頼フレームワークマッピングを拡大するためのツールが含まれています。
今後に向けた実践アプローチ
ワークショップでは、進展を加速させるための具体的なステップが特定されました。
- ナイジェリアやその隣国など、高度なシステムを持つ国々の間で地域的な相互運用性のパイロットプロジェクトを推進し、国境を越えた機能性に関する実践的な考察を提供し、実装上のギャップを特定することが重要であること。すべての登壇者は、国や地域がこのような実践的な行動を取ることの価値を認識していました。
- 国際標準を取り込んだ国家政策および実装は、国家主権の尊重、信頼フレームワークのマッピング、地域・グローバルなアイデンティティプロトコルとの互換性を確保しつつ、国内・地域・グローバルでの相互運用性の迅速な実現すること
- 地域間または法域、さらにグローバルにわたるトラストフレームワークのマッピングは、人や貿易の国境を越えた移動に不可欠。SIDI Hubが10の管轄区域の信頼フレームワークを調査し、共通の価値観や特徴にマッピングする取り組みは、既存のデジタルアイデンティティ実装の整合だけでなく、次にくる法域
域が自国の政策をマッピングし、ギャップを特定し、現在のベストプラクティスに基づいてそれらを改善するのに役立つこと
- 公共と民間の協力による市民キャンペーンを組み合わせることで信頼が築かれ、交通割引、医療アクセス、金融サービスなどの実用的な応用を通じて現実的な価値が示されること
標準化リーダーシップによる前進の維持
セッションの締めくくりとして、SIDI Hubの今後の活動、特にオープンスタンダードの推進、相互運用性を実現するリファレンスアーキテクチャの策定、信頼フレームワークのマッピング、マルチステークホルダーの連携に対する強い支持が示されした。OpenID Foundationが調整役および技術面で貢献していることは、標準化団体がグローバルなデジタルIDの普及と相互運用性の進展に大きな役割を果たせることを証明しています。
デジタルアイデンティティシステムが国境を越えた貿易、教育、金融包摂の基盤インフラとなる中で、IGF 2025で示された協働アプローチは、相互運用性と主権が両立することを保証するための設計を提供します。
適切な標準、ガバナンス、パートナーシップにより、発展途上国や最貧国も、世界とつながりながらも地域で管理できるデジタルアイデンティティシステムを形成できます。
SIDI Hubとノルウェー、日本、アフリカのパートナーとの間で、アフリカ自由貿易圏の導入に向けた進展の摩擦点を共同で解決する方法を見つけるための作業が進行中です。
このワークショップの成果は、アフリカおよびそれ以外の地域での政策と技術の実装に反映され、包括的なデジタル変革に必要な標準開発と国際協力を促進する上でOpenID Foundationが重要な役割を果たし続けるでしょう。
このブログ記事は、近日中に完全な報告書とともに更新予定です。
AIのアイデンティティ管理について話し合いましょう
共同議長:Atul Tulshibagwale(SGNL)、Tobin South(WorkOSおよびスタンフォード)、Jeff Lombardo(AWS)
先日終了したIdentiverseカンファレンスにおいて、AWSのJeff Lombardo氏の提案により、参加者の数名がAIに関連するさまざまなセキュリティ提案について議論するために集まりました。
これまで、AIとアイデンティティのコミュニティは、個別に発展してきました。このような断絶は、プライバシー、セキュリティ、相互運用性に関する既知の落とし穴を繰り返すリスクがあり、安全で信頼できるAIの展開を加速できるはずの重要な標準の採用を遅らせる可能性があります。既存の標準は、特に権限の委譲、エージェント認証、エージェント間の認可の伝播と委任、およびエージェントの発見とガバナンスに関して、AIエージェントの新たなニーズを部分的にしかカバーしていません。
私たちは、急速に変化する状況に関して議論するための適切なフォーラムが必要であることを認識しました。そこでは、OAuth 2.0のような既存の標準がAIコミュニティの検討を加速するのに役立ち、どのユースケースが重要なパスであるか、そしてAIとアイデンティティ管理が交わる新しい領域において現在のデファクトスタンダードと各種標準のギャップを埋める方法について話し合うことができます。
OpenID Foundationコミュニティグループを作るというアイデアは、単一の標準化団体で主導権を握るという意図ではなく、すでに行われている会話を持ち寄り、それらをさらに進展させる議論をどこでするかを整理するための信頼性の高いオープンなフォーラムとして生まれました。そのため、これらの会話から生まれる議論と成果物は、AIとアイデンティティのフォーラムにおいて、またデファクトスタンダードの取り組みやOIDFなどのオープン標準化団体内で進展している、共有ロードマップと成果物につながるべきであることが合意されました。
私たちは共に、アイデンティティ専門家の知見を活用しながら、既知の落とし穴を回避し、「安全な牧草地(危険や問題のない安全な場所)」への共有パスを見つけつつ、重要なパスとコンセンサスベースのロードマップの提供を加速し、AIコミュニティを支援することを願っています。
控えめに言っても、AIセキュリティに関する提案には何らかの形でアイデンティティに関わるものが膨大にあります。しかし、知的財産権の懸念を心配することなく、利害関係者がこれらの提案やアイデアを自由に議論できる場所は、これまで欠けていました - 今日まで。これを認識し、OpenID Foundation 理事会はOIDFコミュニティグループポリシーに従い、「Artificial Intelligence Identity Management」(AIIM)という名前のコミュニティグループの設立を承認しました。
コミュニティグループとは何か?
OpenID Foundationのワーキンググループ(WG)は、特定の領域の問題に取り組み、仕様書または一連の仕様書や文書の形で成果を提供します。一方、OpenID Foundationのコミュニティグループ(Communiti Group:CG)は、仕様書を作成するのではなく、安全に集まるための場を作ることを明確に目的としています。
エコシステムのギャップ、採用のギャップを特定できる議論を進めるため、または相互に合意されたCG憲章と参加同意書によって全ての議論と成果物が保護されているワーキンググループ間で活動するためです。標準におけるギャップが特定された場合、それらは関連するOIDF WGまたは連携パートナーの標準化団体に持ち込まれます。
参加同意書の要件があるため、参加者はOIDFの知的財産によって保護された成果物を自由に議論でき、その成果は全ての人に自由に利用可能となります。AIMコミュニティグループのウェブサイトはこちらで、毎週木曜日の太平洋時間午前9時の通話へのリンクと、新しいAIIM CGの参加同意書もこちらにあります。
AIIM CGの目的
「AIはインターネットの多くの側面に変革をもたらしている...」これがAIIM CGの憲章の冒頭です。
この変革は、社会的交流、デジタル商取引、金融サービス、そしてより広範な人間とデジタルのインターフェースにまたがっています。しかし、AIシステムが急速に拡大するにつれて、重要な課題が浮上しています。AIとアイデンティティのコミュニティは大部分がサイロ化して発展しています。この断絶は、プライバシー、セキュリティ、相互運用性に関する既知の落とし穴を繰り返すリスクがあり、安全で信頼できるAIの展開を加速できるはずの重要な標準の採用を遅らせる可能性があります。
私たちは以下のことに取り組みます:
- 現在標準で対応されていないが、対応が必要であり、アイデンティティコミュニティが注力すべき領域を特定する
- 用語に関するコンセンサスを得る
- 主要なプラットフォームベンダーを含む業界の利害関係者と関わる
- 信頼されたパートナー組織が参照したり、業務に活用したりできる「Agentic AIチャンピオンユースケース」を定義する
- アイデンティティに影響を与えるAIに関する政府規制を監視する
- そして、共同議長が作成に取り組むAIホワイトペーパーを作成する
AIIM CGは、リスペクト、同意によるプライバシー、および相互運用性という中核原則の下で運営され、スケーラブルで包括的、かつ信頼できるAIソリューションをサポートすることを目指します。標準プロトコルを直接開発することはありませんが、OIDF内または連携パートナーシップを通じて将来の標準開発のための不可欠な基盤を築きます。
AIIM CGの提案者
最初のIdentiverse会議の多くの有識者や、OIDFのAIとアイデンティティホワイトペーパーに取り組んでいる人々は、すでに自主的にこのCG形成を支援するために登録しています。これらの人々は個人の立場で参加や支持を表明しているのであって、その人が所属する会社や組織が公式に支援や関与を約束しているわけではありません。提案者には以下が含まれます(敬称略):
- Gail Hodges
- Atul Tulshibagwale
- George Fletcher
- Jeff Lombardo
- Tobin South
- Naveen CM
- Aaron Parecki
- Sean O'Dell
- Nancy Cam-Winget
- Mike Kiser
- Alexandre Babeanu
参加すべき理由
AIとアイデンティティに関するアイデアを議論するための安全な場所が必要なら、ここがその場所です。ここでの開発のペースは猛烈なため、多くのノイズが発生すると予想されます。共同議長として、私たちの仕事は、アイデンティティコミュニティにとって本当に重要なことに焦点を失わないようにすることです。リンクの参加同意書に署名して、AIIM CGに参加してください。
毎週木曜日の太平洋時間午前9時に行われる定期的な週次通話への参加を皆様に歓迎します。詳細については、AIIMコミュニティグループのホームページをご覧ください。また、AIIM CGのメーリングリストに登録することもでき、貢献者である場合は、アイデアを議論するために投稿することができます。OpenID Slackにも、AIIM CG用のチャンネルがあります。
素晴らしい議論を楽しみにしています!
ノルウェーの医療セキュリティを変革するFAPI 2.0
FAPI 2.0セキュリティプロファイルが、HelseIDサービスという新しいノルウェーの健康ネットワーク(Norwegian Health Network:NHN)で実装されました。
OpenID Foundationは、この安全な医療エコシステムにおける重要な成果を紹介できることを誇りに思います。また、OpenID Foundationは、NHNがOpenID Foundationのメンバーになることを決定したことを共有できることを大変嬉しく思います。
ノルウェーの保健・医療サービス省(the Ministry of Health and Care Services)が管轄するNHNは、e-ヘルス分野における国営のサービスプロバイダであり、医療・介護サービスがすべての地域で効果的に連携するための安全かつ適切なインフラを確保する責任を負っています。
これまで、金融サービス以外ではFAPIがこの規模で採用されたことはありませんでした。HelseIDの取り組みは、各参加者が独自に設定していたセキュリティ基準をやめ、全体で共通の基準を採用する方向に進んだ事例です。この取り組みは、FAPI 2.0プロファイルへの対応が必須の大規模なAPIセキュリティと標準化に取り組むあらゆる分野にとって、貴重な教訓を提供しています。
HelseIDとその重要性
HelseIDは、ノルウェーのすべての医療提供者(国内最大の病院から個人開業医のクリニック、薬局、歯科医院、自治体の保健サービスまで)を統合するNHNが運営する、中央集権型IAMプラットフォームです。国のe-ヘルスサービスを利用するにはNHNへの加入が必要で、誰もが医療サービスを利用できるようにしています。全機能に展開された場合、HelseIDはノルウェーの医療システム全体に対する安全なアクセスをサポートし、最大50,000の医療組織と約600万人のノルウェー国民が使用するソリューションのための、拡張性の高い認証基盤を提供することになります。
歴史的に、ノルウェーの医療セクター内のさまざまなプロジェクトは独自のセキュリティプロファイルを開発しており、要件の断片化とベンダーの重複作業による高コスト構造となっていましたた。HelseIDはこれらの異なるソリューションをFAPI 2.0プロファイル(堅牢なOAuth 2.0およびOpenID Connectベースの標準)に置き換えています。FAPI 2.0に統一することで、HelseIDは機密性、完全性、認証のレベルを高めるだけでなく、成熟したライブラリのエコシステム、適合性ツール、グローバルなベストプラクティスも活用しています。
独自プロファイルからFAPI 2.0を必須へ
この移行は、NHNが実装者とベンダーに課していた独自のセキュリティプロファイルの負担が持続的ではないことを認識したことから始まりました。そしてNHNは、様々な互換性のない実装を続けるのではなく、FAPI 2.0を全面的に採用することを選択しました。標準化が最終的に開発とメンテナンスを合理化し、セキュリティへの信頼を高め、多くの組織を統合する課題を軽減することを知っていたからです。この戦略的な転換には、内部ガイダンスの書き直し、NHNスタッフと外部の実装者の両方のトレーニング、HelseIDの特定のニーズに合わせたクライアントライブラリの開発など、大きな先行投資が必要でした。それにもかかわらず、NHNチームは標準化がコストを大幅に上回る長期的な利益をもたらすという信念を持ち続けました。
急激な変更が重要な医療サービスを混乱させる可能性があることから、NHNはFAPI 2.0を段階的に展開しています。一方ですべての新しいAPIは、FAPI2.0をサポートすることが要求されています。既存のサービスは、ベンダーが新機能をリリースしたり、非推奨通知に対応したりすることで、時間をかけて移行されます。重要なことに、NHNは厳格な「例外なし」のポリシーを採用しました。適用除外は許可されず、ベンダーには非準拠のサービスは将来、段階的に廃止すると通知されました。このアプローチにより、「ビッグバン」切り替えの混乱を避けながら、完全適用が確保され、実装者にとってセキュリティが最優先事項となりました。
セキュリティの拡張と自動適合性テストの効果
100のAPIとそれらにアクセスできる1800のクライアントを視野に入れ、NHNは困難な課題に直面していました。彼らはすべてのRPとアイデンティティプロバイダーがFAPI 2.0の厳密な要件に準拠していることを検証する必要がありました。これまで当たり前だった手動テストは時間がかかり、コストが高く、ネットワークの拡大に追いつくことができません。しかし、自動適合性テストツールの導入で、NHNのセキュリティ運用が変革されつつあります。
実装者とベンダーは合格/不合格の基準について即時にフィードバックを受け取り、開発サイクルを大幅に短縮します。NHN自身のチームもこのツールを使ってアイデンティティプロバイダーをテストし、問題を発見し、ソフトウェアプロバイダーやライブラリ保守担当と協力してコンプライアンスを向上させています。ネットワークが成長するにつれて、テストインフラはセキュリティ人員が比例的に増加することを排除しながら拡張する必要があります。この自動化されたアプローチは、完全なコンプライアンスへの道のりを加速するだけでなく、実装者がより高品質で相互運用可能なFAPI 2.0実装を構築できるようにします。
NHNの自動テストによる現在のアプローチはすでにその実装の品質を向上させていますが、重要なことに、さらに将来を見据えた計画もあります。OpenID FoundationとNHNチームの両組織が、公式な認定と自己認定に関する将来的な協力の可能性を積極的に探っています。NHNは、OpenID Foundationの適合性検証テストの採用を検討することで、グローバルなベストプラクティスに準拠しつつ、セキュリティフレームワークを強化し、コンプライアンスの負担をさらに軽減することを目指しています。
実世界でのセキュリティ向上と変革に対する「なるほど!」の瞬間
FAPI 2.0の価値に関しておそらく最も説得力のある証言は、NHN自身が行ったリスク評価から得られます。ある並行して進行していた医療サービスプロジェクトでは、チームはFAPI 2.0 DPoPオプションと補完的なセキュリティ対策や措置を実装する前に初期評価を行い、その後も評価を繰り返しました。
結果は顕著でした。トークン盗難の可能性と、いかなる侵害の潜在的影響も劇的に低下しました。DPoPにより、盗まれたトークンは完全に使用できなくなります。限られたサブセットへのアクセスを単に制限するのではなく、データへのアクセスを一切許可しません。この脅威の完全な無力化は変革に対する「なるほど!」の瞬間をもたらし、技術チームと組織のリーダーシップに対して、FAPI 2.0への投資が当初予想していたよりも価値があることを強力に示しました。
このような機密データを扱い、600万人の市民にサービスを提供するシステムでは、侵害の可能性と影響のわずかな減少でさえ、実世界での大きな利益に還元されます。
標準化の戦略的価値
独自セキュリティプロファイルは初期の利益をもたらすことができますが、規模が大きくなるとエコシステムを断片化しコストを増大させます。FAPI 2.0を基盤とすることで、NHNは実装コミュニティが既存のオープンソースや商用のクライアント/サーバーライブラリを活用できるようにし、新しい展開ごとに特別なコードを構築する必要性を回避しました。
さらに重要なことに、HelseIDはグローバルなOpenID Foundationコミュニティが共有しているセキュリティに関する情報を得られるという恩恵を受けています。これは、セクターに関係なく類似の実装で発見された脆弱性が開示され修正されることを意味し、危機が公になる前に潜在的なリスクについてNHNに警告します。責任ある開示プロセスに支えられたこの共有責任の仕組みにより、HelseIDのレジリエンスを強化し、あらゆる脅威の可能性を自前で発見しなければならなかったNHNの負担を軽減します。
コミュニティと能力の構築
セキュリティは一度きりのプロジェクトではなく、人、プロセス、テクノロジーを必要とする継続的な取り組みです。NHNはHelseIDを中心に活気あるコミュニティを育ててきました。専用のSlackチャンネルではリアルタイムサポートを提供し、ベンダーが質問をしたり、解決策を共有したり、互いに学び合うことを可能にしています。
学術的なパートナーシップにより、新しい才能と研究が取り入れられ、2人の修士課程の学生がライブラリ開発とドキュメンテーションに貢献し、NHNの能力を強化しています。特に女性のプロダクトオーナーや実装者など、多様な声を取り入れる協調的な取り組みにより、意思決定における幅広い代表性が確保されています。
さらに、NHNはすでにブラジルの銀行エコシステムと経験を共有するための会議を開催しており、ノルウェーの他の公共機関とも緊密に協力しています。これらの交流により、特にOpenID ConnectとOAuth2の使用など、セキュリティが統一された方法でアプローチされ、国境を越えてベストプラクティスが交換されることが保証されています。
NHNがOpenID Foundationに参加する決定は、コミュニティと能力を構築する取り組みのさらなる発展であり、ノルウェーのヘルスケアコミュニティにOpenID Foundationの国際コミュニティへのより大きなアクセスを提供します。これにより、NHNチームはそこから恩恵を受け、自らの経験の恩恵をOpenID Foundationのメンバーや貢献者に還元することができます - 本質的にはより大きなチームを構築することになります。
次の脆弱性への準備
2024年後半、OpenID Foundationに関わるセキュリティ研究者は、HelseIDのDPoP実装における潜在的リスクを示す理論的な脆弱性を発見しました。実際の悪用は発生しませんでしたが、NHNはこの機会を活用してプロセスを改善しました。問題を透明に伝え、クライアントと緩和策の変更を調整し、学んだ教訓を文書化することで、NHNはより緊急な将来の修正に必要な手順を実践しました。
このプロアクティブな姿勢は重要な真実を強調しています:エコシステムは迅速に対応する準備ができていなければなりません。HelseIDが標準化されたプロファイルに準拠しているため、協調的なアップグレードは可能なだけでなく、日常的な作業となります。
HelseIDから他のエコシステムへ - 教訓
HelseIDによるFAPI 2.0の全面的な採用は、堅牢でスケーラブルなAPIセキュリティを求めるあらゆるセクターにロードマップを提供します。成功の鍵には、成熟したコミュニティ支援のプロファイルの選択、明確で強制力のある指令を伴った段階的な移行計画、自動化された適合性テストへの投資、そしてステークホルダーの支持を確保するための具体的なセキュリティ向上の測定が含まれます。
サポートチャネル、学術パートナーシップ、セクター間の対話を通じて協力的なコミュニティを育成することも、継続的な改善に必要な能力と回復力を構築します。
この長い取り組みにおける最後の教訓は、潜在的な危機を集団学習の機会に変えるために、脆弱性と対応準備に関する透明性を受け入れることでした。
HelseIDの先駆者としての旅の結果は、熟考された計画、共有ツール、そしてオープンスタンダードへの揺るぎない取り組みにより、あらゆる規模のエコシステムが顕著なセキュリティ改善を達成できることを示しています。NHNによるFAPI 2.0の採用は、FAPI 2.0プロファイルが患者記録、緊急サービス、そして全国的な健康システムの隅々まで保護する準備ができていることを証明しています。
OpenID Foundationは、この功績に対してNHNを祝福し、他のエコシステムがどのセクターであれ、HelseIDの足跡に続いて、より強力で相互運用可能なAPIセキュリティに向かう道をサポートすることを楽しみにしています。
アイデンティティのデジタル・コモンズを構築する - SIDIHub
OpenID FoundationとSIDI Hubは、今年のIdentiverseカンファレンスにおいて「Building a Digital Commons for Identity」というテーマで発表を行いました。このセッションでは、 Sustainable and Interoperable Digital Identity Hub project(SIDI Hub)によってこれまでに達成された成果を紹介しました。このプロジェクトは、安全で相互運用可能なデジタルIDシステムを推進するためのグローバルな取り組みです。
SIDI Hubの共同主催者および共同資金提供者として、OpenID Foundationは、電話、メール、パスポートが国際的にシームレスに機能するのと同じように、デジタルIDの国境を越えた相互運用性を実現するための中心的な役割を果たしてきました。
Identiverseのステージでは、OIDFのエグゼクティブディレクターであるGail Hodges氏が、OIDFの戦略・マーケティングディレクターでありSIDI HubのプログラムリードでもあるElizabeth Garber氏と共に登壇し、SIDI Hubがわずか18か月で45か国以上、25以上の組織にまたがる動きへと成長した経緯を共有しました。
デジタルIDはグローバルの世界で「ただ役割を全うする」べき
セッション中にGail Hodges氏が説明したように、主要な課題は、すでに30以上の国が国家デジタルIDシステムを導入しており、Judge School of Businessによるとさらに30の国が導入を計画していることです。しかし、電話ネットワーク、メール、パスポートといったグローバルな通信技術とは異なり、これらのデジタルIDは本質的に相互運用性を持っていません。
この点を問題視し、相互運用性を戦略的優先事項として扱うべきだというコンセンサスが、グローバルで広がっています。
しかし、これを実現するには政策の調整だけでは不十分です。国際協調的な動きと共有インフラを通じて具体的な技術的およびガバナンスの成果物が必要です。SIDI Hubはこの行動を促進するために存在しています。
これまでに、SIDI Hubは非営利団体、学術機関、国際政府機関(IGO)、開発組織、政府、民間企業を含む公共および民間部門の組織からの関与を促進してきました。
また、2023年以降、SIDI Hubは4大陸で6回の主要な会議を開催しており、次世代のデジタルアイデンティティシステムの信頼と相互運用性を構築するための真にグローバルな取り組みとなっています。
国際的な政策や目標を達成の支援
SIDI Hubの取り組みは、確立された原則に沿って構築され、安全で相互運用可能なデジタルアイデンティティシステムの必要性を推進するいくつかの国際的なイニシアチブ(先導的な取り組み)を支援するよう構築されています。これには以下が含まれます:
- 国連Global Digital Compact:オープンで安全かつ公平なデジタル未来のための原則を示すもの
- 国連Digital Public Infrastructure (DPI) Safeguards:アイデンティティを含む基盤的なデジタルシステムが責任を持って、包括的に、そして公共の利益を念頭に置いて構築されることを目指すもの
- 世界銀行ID4D:持続可能な開発目標(SDGs)を支援するために、IDシステムの利点を各国が実現できるよう支援することを目的とする
- OECD Digital Identity Recommendations:国境を越えた整合性と信頼を求める
- アフリカ連合 相互運用性フレームワーク:特に国境を越えた貿易や旅行における地域統合とデジタル協力を促進する
- EU デジタルアイデンティティウォレット:ヨーロッパのすべての人々が自分自身を安全かつ信頼できる方法で識別し、自分のデータを管理できるようにすることを目的とする欧州委員会の取り組み
これらの主要な国際的優先事項と整合性がとれているということは、早急な対応が必要であることの共通認識を生み出す助けとなっています。
成果 - SIDI Hubが達成してきたこと
Elizabeth Garberは、SIDI Hubの設立以来の重要な成果を強調しました。主な成果の一つは、様々な国際的なガイドラインや推奨事項からのオーバーレイを組み込んだ、10の国内信頼フレームワークの詳細なマッピングです。これらの国際政府機関(IGO)からのオーバーレイには、FATFデジタルアイデンティティガイドライン、OECDデジタルアイデンティティ推奨事項、UNDPの法的デジタルID Frameworkが含まれます。
このマッピングは、異なる管轄区域にわたるアイデンティティシステムの包括的な理解の確立に役立ち、管轄区域がどのように政策ごとに信頼フレームワークを階層化し、それらの政策が管轄区域内および管轄区域間で実装者によって「翻訳」可能となることを確保できるかについての洞察を提供しています。SIDI Hubはすでに、以下の「5 Things We're Learning」のような多くの優れた洞察を達成しています。
さらに、SIDI Hubは35以上の潜在的な国境を越えたユースケースの評価を実施し、「チャンピオン」イニシアチブとして特定された3つの重要分野に重点を置いています。これらには以下が含まれます:
- 難民のアイデンティティのポータビリティ:個人が国境を越えても自分のアイデンティティ記録へのアクセスを維持できることを確保することを目的としている
- 国際的な銀行口座開設:金融包摂の取り組みを効率化することを目指す
- 国境を越えた教育資格検証:個人が異なる国で自分の資格を検証できるようにする
SIDI Hubコミュニティは、政府代表者と開発組織の強力な支援を受けて、3つの新しいチャンピオンユースケースの詳細化を進めています:
- オンラインでの年齢確認と子どもの保護
- Agentic AIとアイデンティティ
- オリンピック(2028-32年)とアフリカカップ(2027年および2029年)
さらに、SIDI HubはOpenID財団のGAIN POCコミュニティグループの優れた取り組みを基盤として、技術システムがどのように管轄区域を超えて連携できるかを実証するための参照アーキテクチャと概念実証の範囲設定を開発しています。
ボランティアによって支えられる世界的な取り組み
この取り組みの規模にもかかわらず、この活動は驚くほど小さな予算で実施されてきました。これが可能になったのは、ボランティア貢献者の情熱と専門知識、そしてOpenID Foundationを含む資金提供者とパートナーの連合からの支援のおかげです。その他には以下が含まれます:
ドイツ政府、日本政府、ID4Africa、Better Identity Coalitionなどの政府や連合からの現物支援(サービスや施設などの提供による支援)。
参加しよう
SIDI Hubの勢いはますます高まっています。デジタルアイデンティティに取り組む政策立案者、技術者、研究者、または提唱者であれば、SIDI Hubはあなたの声を歓迎します。
Identiverseのプレゼンテーション全体はこちらでご覧いただけます。または、詳細についてはSIDI Hubのサイトをご覧ください:
- チャンピオンユースケースの詳細報告書
- 国内信頼フレームワークのマッピング
- 各サミットの報告者メモ
- 2024年の成果ハイライト
新しいレポートやイベントの通知を受け取るには、SIDI Hubのニュースレターにサインアップしてください。
他にもいろいろな情報がありますよ!
OpenID FoundationがIdentiverse 2025で登壇
相互運用性の拡大、権限委譲への取り組み、そしてグローバル展開の推進
OpenID Foundationの理事会は、2025年6月2日にIdentiverseで「Take on the Landscape」というセッションに登壇したことを誇りに思います。
本セッションは、エグゼクティブディレクターであるGail Hodges氏が進行役を務め、相互運用性テストの拡大からAgentic AI、年齢保障、そしてデジタル資産計画のようなユースケースを支える重要な新規仕様に至るまで、アイデンティティエコシステム全体に対して急拡大するOpenID Foundationの影響に焦点を当てました。
相互運用性の拡大 - 8か月で15回のハッカソン開催
セッションは、相互運用性イベントのモメンタムと、いくつかのOIDF仕様ファミリーの有効性を証明することに焦点を当てて始まりました。この8か月間で、OIDFは世界中で15回の相互運用イベントとハッカソンをサポートしました。現実の実装におけるOpenID仕様の採用とテストが加速されています。
理事会メンバーはその目に見える利益を強調しました。Atul Tulshibagwale氏(SGNL)は、1年あまりで3回のShared Signals相互運用イベントを主導し、これらのイベントが実装者に明確な目標と実展開のプレッシャーテスト(新しい技術や仕様を現実の環境で実際に試し、その効果や安定性を確認する)の場を提供することを述べました。同イベントでは、AuthZen仕様の最初の相互運用イベントも開催されました。その2つの相互運用イベントの結果は4月2日に公開され、Gartner IAMサミット来場者が仕様を直接観察するために列をなす熱気を帯びた様子が報告されました。
OIDFの財務担当であるNancy Cam-Winget氏は、先日、OIDFが共催したカリフォルニアDMVハッカソンに彼女のCiscoチームが参加したことを話しました。このイベントでは、複数のベンダーがDigital Credentials Protocols(DCP)ワーキンググループ内で仕様の成熟度を向上させ、さらに非集中型クレデンシャルをさまざまな業界の使用可能であることを示しました。
副理事長のDima Postnikov氏は、最近あったスウェーデンでの相互運用イベントでの活気とコラボレーションを強調しました。このイベントでは、OpenID Federationの専門家が集まった信頼できる環境で、残っていた仕様のギャップを特定し、解消することができました。
Gailは、5月5日に行われた最新のOpenID for Verifiable Credentialsテストイベントについても言及し、実装者が90%以上の合格率(ペアごとの集計結果と単一のVerifierを使ったマルチウォレットテストの両方で)を達成したことを述べ、仕様が厳密かつ相互運用可能であることを強力に裏付ける結果を示しました。
権限委譲 - 横断的な仕様の優先課題
パネルセッションで目立ったテーマのひとつに、「権限委譲」に対応するOIDF仕様に対する需要の高まりがありました。これは、複数の新たなユースケースを支える基盤的な要件となります。オンライン上での子どもの保護(年齢確認を通じて)から、安全なAgentic AIとの相互作用の実現や、死後のデジタル資産管理に至るまで、このテーマは今後最も重要な仕様ニーズのひとつとして強く認識されています。この仕様は、OIDFのeKYCおよびIDAワーキンググループによって進行中です。
理事長の崎村夏彦氏は、OIDFの仕様開発モデルの柔軟さを強調しました。この仕様を最終化に向けて進めるためには、相互運用可能な2つの実装と60日間の公開レビューが必要ですが、アプローチの合意を含め、その他全てのプロセスが順守されていることが条件です。この柔軟でありながら堅固なプロセスは、アイデンティティとAIが交差する進化する需要に非常に適しています。
26のエコシステムを支援し、さらに拡大中
Gail氏は、OIDFが現在、仕様の入念な審査、認定、戦略的取り組みを通じてサポートしている26のエコシステムを紹介しました。この中には、オープンバンキング、医療、データ、アイデンティティ分野での取り組みが含まれ、多くが新興市場に焦点を当てたものです。Gail氏は、これらの取り組みがグローバルサウスやグローバルノースの国々にまたがり、一部の地域では複数のエコシステムが存在していることを述べました。
Ali Adnan氏は、Authleteが世界中の多様なエコシステムで直接的な経験を持っていることと、これらのエコシステムで実装が市場に広がるためにOIDFが果たす重要な役割を強調しました。また、OIDFがどのように一貫した仕様の展開、自己認証プログラム、継続的な関係管理を通じて彼らの目標を支援しているかを説明しました。
崎村氏は、世界人口の大部分が居住する国々のニーズを優先する重要性を強調しました。これらの市場の声に耳を傾けることで、OIDFの仕様は本当の意味でグローバルな連携を実現するものとなります。
Dima氏は、新しいエコシステムコミュニティグループの取り組みを拡大し、政府や実装者がセクター全体での採用を加速するためのリファレンスアーキテクチャを開発していることを共有しました。また、Gail氏は、デジタルアイデンティティの国境を越えた相互運用性を可能にすることに焦点を当てた、SIDI Hubのような複数の関係者による取り組みの共同主催者としてのOIDFの役割の重要性についても言及しました。
テーマの収斂
このテーマのコンテキストを説明する一環として、理事会はFaster Payments、オープンデータ (Open Data)、およびデジタルアイデンティティ (Digital Identity) の収斂について検討しました。これらのユースケースを一緒に結びつけた形で始める国もあれば、個別に取り組みを開始する国もあります。
また、理事会は、これらの3つのユースケースが、いくつかの他の要素と統合されながら、新しいパッケージとして、「デジタル公共インフラ(Digital Public Infrastructure: DPI)」と名付けられていること注視しました。この用語「DPI」は、グローバルサウス(発展途上国)の参加者たちの間では一般的ですが、グローバルノース(先進国)の間ではあまり使用されていません。また、OIDFは、DPIが電子署名 (eSignatures)、デジタルガバメント (Digital Government)、および戸籍 (Civil Registries) に関するいくつかの追加領域も含む傾向があることを指摘しました。しかしながら理事会は、DPIを単一の包括的な枠組みの下に結びつけることは、ガバナンスを複雑にする可能性があると指摘しました。特にFaster Paymentやデジタルアイデンティティのような分野では、特定の国や地域の枠を超えた複数の組織や企業が関与しており、1つの管轄組織だけで統制することが難しくなる傾向があるためです。
しかし、これらのユースケースをどの視点で捉えたとしても、理事会は、これらのユースケースを支える下層のレイヤーが存在し、それがセキュアで相互運用可能な実装とエコシステムを実現するために必要不可欠であると強調しました。これらのユースケースを支える仕様の専門的な団体として、またスケーラブルな認証サービスの提供者として、OIDFの理事会は、セキュリティ、相互運用性、グローバル規模、そして運用効率という目標を達成するため、現存する、そして新たに生まれるエコシステムパートナー(公共および民間部門が主導するパートナー)を支援する中心的な役割を果たし続けたいと考えています。
コミュニティへの感謝
OIDFの理事会は、パネルディスカッションや貢献をしてくださったすべての方々に深く感謝の意を表します:崎村夏彦氏、Dima Postnikov氏、Nancy Cam-Winget氏、Atul Tulshibagwale氏、Ali Adnan氏、そして議論を進行してくださったGail Hodges氏です。そして、この重要なテーマを取り上げてくださった Andi Hindle 氏とIdentiverseのコンテンツ開発チームにも特別な感謝を申し上げます。