Wikipediaでは、アイデンティティを同一性、身分証明書、デジタルアイデンティティと列挙している。デジタルアイデンティティは、ISOで定義されていて「実体に関する属性情報の集合(set of attributes related to an entity)」となっている。ISOの情報に当たると以下のようになっている
identity
partial identityset of attributes (3.1.3) related to an entity (3.1.1)
Note 1 to entry: An entity can have more than one identity.
Note 2 to entry: Several entities can have the same identity.
Note 3 to entry: ITU-T X1252[13] specifies the distinguishing use of an identity. In this document, the term identifier implies this aspect.
人も実体(entity)のひとつなので、複数のアイデンティティをもつ可能性も、ある人のもつアイデンティティと同一のものを他の人も持つ可能性があると注記されている。例えば、氏名「萩原高行」は私というentityの属性(attributes)の一つで、私のアイデンティティの一つである。しかし、氏名「萩原高行」というアイデンティティは同姓同名の人がいるので私を一意に特定しない(Note 2)。氏名と生年月日の組み合わせもアイデンティティの一つであって、私の知る限りではこのアイデンティティは私を一意に特定できるものとなる。同時に私には、氏名というアイデンティティもあれば氏名と生年月日の組み合わせによるアイデンティティもあるということだ。性別という属性もあれば国籍という属性もある。
冒頭の画像は、2022年4月18日に開催された『JST-RISTEX「人と情報のエコシステム(HITE)」柴崎PJ・橋田PJ 合同成果報告会』でのパネリスト、一般社団法人MyDataJapan理事長の崎村 夏彦氏による発表の一部である。
コンパクトで非常にわかりやすい資料、発表だと思ったので引用させていただいた。
冒頭の画像は人間の多面性を良く表現していると思う。上半分が個人としてのアイデンティティで属性として呼び名を用いていて下側の職業人としての本名をアイデンティティに含めていない。友人からは若い女性として意識されたいという自観と他人から若いと見られない(他観)のずれがあるケースもあるし、本人は性別も年齢も意識されたくないかも知れない。自観も揺れるし他観とのずれはなくなることはない。雇用の年齢差別を禁止する社会では、企業内で管理される従業員のアイデンティティに生年月日が含まれていてはいけないことになる。
全ての属性情報は本人に全ての権利があると考えると、許可を得なければ名前すら呼ぶことはできなくなる。個人であれ、企業であれ、あるいは国であれ、管理している個人情報を厳格に管理しなくてはいけない。もちろん、私が何かを購入したとしたら、その取引情報は私のアイデンティティの一部となる。ianak!(パン屋)でクロワッサンを買った人というのは私のアイデンティティの一つで、ianak!は私に勝手に萩原さんは2022年4月17日に当店でクロワッサンを買ったと公言してはいけない。私がどこにいるか、どこにいたかといった情報をGoogleが収集しているのは許しているので、Googleはその開示範囲に対して約束を守らなければいけない。2021年の12月1日にタリンにいた人というのも私のアイデンティティの一つである。Chromeを通じてパスワード情報を預けていれば、それも私の属性情報の一つであり守れなければ大きな被害を生む危険がある。
デジタル化された情報は、瞬時にコピーが可能で一度漏れると回収は難しい。
一方で、デジタル化された記録があることの利便性は高い。不良品や汚染された食べ物への対応ができるようになるし、窓口に行かなくてもATMで現金ができるようになるし、日本にいても欧州の口座から送金を行うことも可能になる。あらっぽく言えば、記録の粒度を高められれば自分のアイデンティティの部分開示に基づく権利行使が容易になるのだ。
「約束を守る人」という評判もアイデンティティの一つとなる。かつて企業は「約束を守る人」という属性の代替指標として無遅刻無欠勤という秤を使っていた。無遅刻無欠勤の人が不正に手を染めて企業や顧客に被害を与えた例は山ほどある。デジタル化で粒度を上げれば時間と場所の約束の達成実績は定量的に観測可能になる。その属性情報をプライバシーと考えるか考えないかは個人によって意見は分かれるだろう。個別の行動や実績を非開示にできる権利は保証されるべきと考える人は多いかも知れないが、1,000回の約束の中で何回くらい約束を守れなかったのかといった指標は採用時に企業が開示を求めることのできる属性と考える人もいるかも知れない。
ここでやはりGDPRに触れないわけにはいかない。私はGDPRの目的に共感している。それは「第一の目的は、個人が自分の個人データをコントロールする権利を取り戻すこと、および欧州連合域内の規則を統合することによって、国際的なビジネスのための規制環境を簡潔にすることである」である。私は、一番最初に気になる自分の個人データは「住所」である。自分が住んでいるところでは安全に過ごしたいから、個人の住所は本来機密情報だと思っている。なのに、公共機関、私企業に関わらず山のように記入が求められる。考えてみると、この情報収集は郵便時代の流れで、住所がなければ情報伝達手段がなかったことによる。運転免許だって、本当は住所など収集しなければいけないわけではない。その人が運転を許可するのに適切な人かどうかが問題なのであって、その人が本人であることを証明する手段と通信路があればそれ以上は不要なはずだ。GDPRの規制環境を簡潔にすることという目標に向かって既存の規制が改定される過程で免許発行機関は住所を管理しなくなるはずだ。「個人データをコントロールする権利」は不要な属性情報を渡さない、もしそれが不要な属性情報であれば消去を求められる権利を意味する。ビジネス遂行上管理を許容するかどうかを決めるのが規制ということになる。
製品やサービスを提供する側に立つと、顧客のことは知りたい。知りたいのと同時に、属性情報を収集すれば収集するほどリスクも大きくなる。漏れてしまった場合の顧客のダメージが大きければ、それは企業にもダメージが及ぶ。
デジタルアイデンティティの表現は良く電子メールアドレスの形式が用いられる。例えば、amazonだと電子メールアドレスでログインするが、amazonがその電子メールそのものを管理しているわけではない。アマゾンが管理しているデジタルアイデンティティを代表する文字列と考えたほうが良い。配送先情報やクレジットカード情報、購入履歴や検索履歴も私のpartial Identityである。私はamazonがどれだけの私の属性情報をもっているか知らない。とりあえず、知られていることに不利益を感じていないので、そのままにしてあるし、購買履歴は自分で取ってあるので、それを参照したい場合は自分の手の届く情報を使って分析している。GDPR時代が進んで確実に自分のデータが自分でコントロールできると思えるようになったらバックアップはともかく手元データの保管は自分では行わなくなるだろう。
改めて考え直すとアイデンティティは自分史そのものである。科学が進めば、自分が不埒が事を考えことすらデジタルアイデンティティの一部として記録されることになるかも知れない。それが事実であれば、それはそれで良いと思うのだ。逆に、管理可能な属性情報がどんどん拡大していくのは間違いないのだから、デジタルアイデンティティに関する知識と管理フレームワークのありたい姿を考えないわけにはいかないと思うのだ。
その蓄積から逃げて回っていれば、自分のアイデンティティに基づいた権利の主張が困難になり後悔することになるだろう。学歴やクレジットヒストリーと同じで、良くも悪くも自分が積み上げたアイデンティティが自分の将来を左右する。時代が変わるとかつて有力に思われたアイデンティティが紙くずになることもある。多分、ずっと積み続けるしか選択肢はないのだ。