2011年7月12日7:40
海外におけるID連携の最新動向は?
米国政府では、「NSTIC」という国家プロジェクトを実施
一般社団法人OpenIDファウンデーション・ジャパンは、国内におけるOpenID技術の普及・啓蒙活動を行っており、2011年7月現在、48社の会員が参加している。今回は事務局長の山中進吾氏に、海外の状況も踏まえ、ID連携がもたらす決済分野でのビジネスの可能性について説明してもらった。
Open IDファウンデーション・ジャパン
PayPalはAPIを一新し、
細かい属性を加盟店に提供へ
ID連携は、eコマースサイトなどに対し、ユーザーの同意に基づいてID情報をサービス間で交換することです。自社のIDを外部に提供し決済できるサービスとして、楽天の「楽天あんしん支払いサービス」、ヤフーの「Yahoo!ウォレット」、PayPal、KDDIの「auかんたん決済」、NTTグループの「NTTネット決済」、ソフトバンクモバイルの「ソフトバンクまとめて支払い」、PayPalなど挙げられます。
例えば、楽天、KDDI、PayPalは、外部サイトと連携する場合は決済を行うことが基本となります。一方、ヤフーやNTTグループ、ソフトバンクに関しては、決済だけではなくID情報のみの連携も行っています。
また、CCCが「TログインID」という外部のサービスにも利用できる共通のログインIDをスタートしました。これにより、Tポイントのオンラインでの流通もしやすくなるのではないかと思います。また今後、ポイントサービスの分野では、CCCのような大手事業者がプラットフォームにならなくても、数百万人程度の顧客ベースを抱える事業者たちが相互に1つのIDでつながり、ポイント連携で顧客を囲い込んでいこうとする動きはあると思います。
属性連携の分野で注目すべきはPayPalで、最近、OpenIDを使って踏み込んだサービスを展開しようとしています。これまでもPaypalは、米OpenIDファウンデーションのメンバーとして活動していましたが、OpenIDを自らのビジネスに積極的に盛り込むような活動はしていませんでした。最近になり、OpenIDプロバイダーとしてのAPIを一新し、細かい属性を加盟店に提供できるようになりました。例えば、PayPalユーザーのファーストネーム、ラストネーム、電子メール、ポストコード、国籍、言語、住所などの属性です。これが可能になるとECサイト側に、標準的な仕様に基づいた顧客情報を提供できるようになり、サイト側のシステム改修に関する負担も軽減できます。
また、レベル1、レベル2といったように、認証についてもレベル分けして提供できるようになりました。レベル1は単にPayPalのアカウントを登録した人、レベル2は高いレベルで本人確認を行っている人になります。米国ではすでに、「オープン・アイデンティティ・トラスト・フレームワーク(Open Identity Trust Framework)」と呼ばれる事業者認定の標準化がスタートしており、高いレベルで本人確認が取れた情報については、ユーザーの同意に基づいていろいろなところで使いまわせる仕組みを構築しようとしています。この活動には、Google、PayPal、ベライゾンなどが賛同し、推進しています。
NSTICでは行政や民間などのサービスを
よく利用する1つのIDで利用可能に
米国政府では、「NSTIC(National Strategy for Trusted Identities in Cyberspace)」という国家レベルのプロジェクトが行われています。これは、米国政府が信頼できるID情報のポリシーを決め、それに基づいたトラスト・フレームワークをつくり、「個人を認証する事業者(IDプロバイダー)」、「ID情報を取得してサービスを提供する事業者(リライング・パーティ)」、「個人の属性情報を保管し提供する事業者(属性プロバイダー」を認定します。
オバマ政権では、インターネットを1つの空間、国土(サイバースペース)として戦略的に捉えています。しかし、インターネット上では誰が利用しているか、誰が企業にとっての正しい契約相手なのか分からないところもあり、サイバースペース上のセキュリティや信頼(トラスト)は個人消費や企業の経済活動にとって欠かせないものとなっています。NSTICが実現すれば、ユーザーは行政や民間などのサービスに自身がよく利用するIDを用いて安全にアクセスできるようになります。また、取り扱う情報の機微性に応じて認証手段のセキュリティレベルも設けています。
従来、米国では政府が国民に対し、行政自らIDを発行していましたが、なかなか普及しませんでした。これは他国の電子政府でも同じです。同フレームワークが整備され、個人の信頼できる身元確認レベルでデータ流通が行われれば、将来的には1つのIDを複数のeコマースサイトで利用することも可能です。すでに米国では、行政サイトでのオンラインでの支払いにも同フレームワークを活用する動きがあります。
このフレームワーク自体は米国以外にも英国でも採用が決定しており、オランダ、オーストリア、カナダ、ニュージーランドなどの政府でも検討が始まっています。今まではIDプロバイダーとID利用企業(リライング・パーティ)側が1対1で都度契約を結ぶ必要がありましたが、政府が認定したプロバイダー(トラスト・フレームワーク・プロバイダー)が間に入ることで、各種契約や認定にまつわる煩雑さをなくすことが可能になります。
その他、海外ではWeb Identity技術をペイメントに当てはめる動きが活発です。例えば、MasterCardやVisaの国際ブランドも「OAuth」の仕様を用いてペイメントカード情報のトランザクション処理を行う取り組みをスタートしました。すでにTwitterやFacebookなどのソーシャルメディアは、OAuth APIを公開することにより成功していますが、今後はPayPal以外の決済ブランドに関してもこの流れはくるのではないでしょうか。
2011年秋に「OpenID Connect」がリリース
複数の仕様を統一できるプロトコルを公開
OpenIDファウンデーションでは、2011年秋に「OpenID Connect」という新しい仕様をリリース予定です。ここには、OAuth 2.0で実現できるような簡単なID連携の仕組みだけでなく、政府のトラスト・フレームワークの技術要件に応えるようなプロファイルもまとめられています。これまで各社が別々に行っていたIDやパスワードなどの認証を標準化し、機微情報を安全に流通させ利活用を促進する技術が盛り込まれています。OpenID Connectは「保証レベル」という考えをサポートしており、例えば、twitterやFacebookのようなソーシャルネットワークはレベル1、決済を行うのであればレベル2、というように、本人確認レベルの高低をマーチャント側に渡すようなサービスが簡単に実装可能になるでしょう(関連セミナー)。
