ITソリューションフロンティア2009年8月号

08

2009

Vol.26 No.8

（通巻308号）

08

／

2009

視 点

特 集 「IDビジネスの新たなステージ」

海外便り トピックス

2150年のカラマーゾフ

滝本雅樹

4

ネット社会におけるIDの意味

―ID連携が変えるサービスとシステム―

八木晃二

₆

─────────────────────────────────────────────

IDビジネスの可能性

―ID連携が新たなビジネス機会を拡大―

安岡寛道

₁₀

─────────────────────────────────────────────

アイデンティティ関連技術の潮流

―ID連携の標準化技術OpenIDとSAML―

崎村夏彦

₁₄

─────────────────────────────────────────────

DI基盤の重要な役割

―ユーザー主導のサービス連携を実現するために―

工藤達雄

₁₆

─────────────────────────────────────────────

ID連携によるサービス拡充の実例

―「Uni-ID」を活用したJALの新予約システム―

池田泰徳

18

─────────────────────────────────────────────

IT全般統制における企業内ID管理のポイント

森 哲也

20

OpenIDとSAMLの相互運用の試み

―“Project Concordia”によるデモンストレーション―

作島立樹

₂₄

改正貸金業法・改正割賦販売法へのシステム対応

―「Daybreak/PL」の新サービス―

鈴木智之

₂₂

NRIグループと関連団体のWebサイト

₂₆

2150年のカラマーゾフ

何年か前、社内の雑談で、19世紀ロシアの 文豪ドストエフスキーの『カラマーゾフの兄 弟』が話題になった。いつか読もうと思って いたが、最近ようやく読みはじめた。名作と されるだけあってさすがに面白い。毎朝、通 勤電車で何十ページか読み進めるという状態 がもう 2 ∼ 3 カ月続いている。会社に着く頃 には、私もカラマーゾフ兄弟の一員になった 気分である。 会社に着いて机の前に座り、いつものよう にPCの電源を入れる。PCは「お前は誰だ？ それを証明せよ」と要求する。「そろそろご 主人様のことを覚えたらどうだ」と思いなが らも、仕方なくIDとパスワードを入力する。 机の上には『2015年のIDビジネス』（2009年 5月、東洋経済新報社刊）という本がある。 2015年には私のPCも、もっと簡単に私のこ とを認識してくれそうだ。 さて、2015年の近未来予想は専門家に任せ ておくとして、私は少し数字を並べ替えた 2150年の未来予想で遊んでみたい。 2150年、人類は気象を操作する技術を手に 入れる。水不足は解消され、緑地化も進んで いる。自然エネルギー・宇宙エネルギーの利 用が中心になり、地球温暖化も止まる。移動 手段は大きく変わり移動時間は短縮される。 通勤中に『カラマーゾフの兄弟』を読む時間 などない。 生体認証技術が発達する。機械に手をかざ すと電車に乗れ、買い物もできる。もはや紙 幣も硬貨も存在しない。紙とペンを使う習慣 はなくなり、ディスプレイさえあれば情報の 蓄積・伝達が可能になる。 音声認識技術の発達により、老人も子供も 外国人も声だけで簡単に機械を操作できる。 自動翻訳の技術も進歩し、やがて言語の壁も 国家の壁も消滅する。 ハードウェアの体内内蔵化と脳科学の発達 が、仮想空間を限りなく現実に近いものにす る。電話では相手と実際に会っている感覚で 話ができる。通販でも、実際に品物を触り匂 いを嗅ぐのと同じことを仮想的に体験でき る。ディスプレイは頭の中でイメージするだ けで浮かび上がり、装置としてのディスプレ イは不要になる。脳の働きがシステムのメモ リーとCPUで補助されるようになる。人間 は見たい夢を見ることが可能になり、夢の内 容を媒体に記録することもできる。 医療は究極的な発達を遂げ、内臓生成技術 も完成する。健康管理システムが体内を常時 管理し、人間の寿命は格段に延びる。2009年 に生まれた赤ん坊は2150年もまだ生きてい る。介護ロボットが超高齢社会を支える。人 間と見分けがつかないロボットも完成し、異 性ロボットとのデートも可能になる。 以上は、2150年に世の中や情報システムは どうなっているか、という質問を何人かの若

視 点

野村総合研究所 執行役員 基盤ソリューション事業本部長

滝本雅樹

（たきもとまさき） 手社員にして、その回答を私なりに整理した ものである。科学的根拠はない。 2150年というと、今から 1 世紀半後の未来 である。それでは 1 世紀半前はというと、日 本は篤姫の時代であった。ドストエフスキー が生きたのもこの時代である。この 1 世紀半 の変化を考えると、上に書いた話もまったく あり得なくはないだろう。しかし、この未来 は素晴らしいと言えるであろうか？ 筆者は 努めて明るい未来を描こうとしたつもりだ が、整理している途中で恐怖さえ覚えた。見 たい夢を見られるとしたら、人は現実の世界 へ戻る理由があるだろうか。ロボットとデー トする人間は、人を愛することができるだろ うか。 未来予測をもう 1 つ。フランスの思想家で あり経済学者でもあるジャック・アタリは、 その著書『21世紀の歴史』（林昌宏訳、作品 社刊。原著は2006年刊行）のなかで、3 つの 波が21世紀に起こると説く。3 つの波とは 「超帝国」「超紛争」「超民主主義」である。 市場（資本主義市場）の力はますます強大 化し国家は弱体化する。世界の唯一の法と化 した市場は「超帝国」を形成する。「超帝国」 では市場原理により軍隊・警察・裁判所も含 め公的サービスはすべて民営化される。 やがて世界秩序の破たんからさまざまな形 の紛争が頻発する。人類は、今日では考えら れない武器を使用し対立しあう「超紛争」に 突入する。 しかし「超紛争」が人類を滅亡させる前に 愛他主義者が勢力を持ちはじめ、市場に対抗 する新たな民主主義が生まれる。これが「超 民主主義」である。そこでは“調和”を重視 した新たな経済の仕組みが市場と競合しなが ら発展していく。こうして個人は“心地よい 時間”を手に入れる。 ドストエフスキーは、ロシア社会が崩壊の 道をたどりつつあるという絶望感のなか、 人々が十分な相互理解を保ちながら自らの個 性を失うことのない調和的な共同体を理想と して描いた。いま世界が大きく変わろうとし ているなかで、アタリも愛他主義と調和の重 要性を説く。 21世紀の技術進歩と22世紀の“心地よい時 間”をつなぐ鍵が“調和”であるとするなら ば、日本の伝統的価値観が世界に果たす役割 は大きいと思うのは私だけだろうか。 『カラマーゾフの兄弟』の末尾、末弟アリ ョーシャは亡くなった少年の埋葬に集まった 友たちに語りかける。「きっとぼくらはよみ がえりますよ。きっとたがいに会って、昔の ことを愉快に、楽しく語り合うことでしょう ね」（亀山郁夫訳、光文社刊）。 2150年、カラマーゾフと少年たちの約束は 果たされる。 ■ 【参考図書】 野村総合研究所 IDビジネス プロジェクトチーム 著 『2015年のIDビジネス』 （東洋経済新報社刊）

IDとはそもそも何であろうか？ ID（Identification）の意味をWikiなどで調 べると、「個体識別、利用者識別、およびそ のための符号」とある。 本特集では、基本的にIDを「個人を識別・ 把握する情報（個人情報）」という広い意味 でとらえる。「ID・パスワード」と言うとき のIDは「IDコード（識別子）」という意味で あり、そのような個人情報の一部であると位 置づける。 インターネットの本質は“多対多” 人は誰でも、他の誰とも違う特性を持って いる。この誰とも違う“個人”を基本単位と して、個人の集合体としての家族や企業など さまざまな規模の集団が形成される。個人は その集団を通じてコミュニケーションを行 い、市民生活を営んでいる。 これを社会生活と呼ぶとすれば、人間の活 動を空間的・時間的に加速度的に拡大して社 会生活に大きなイノベーション（革新）をも たらしたのがインターネットであったことは 間違いない。そしていまや、「ネット社会」 といわれるように、インターネットはわれわ れの生活に不可欠なものにまでなっている。 インターネットがこれほど広く普及したの は、その情報ネットワークの形態が人間のコ ミュニケーションのあり方とよく似ていて、 人間にとって非常に使いやすいものだったか らである。このコミュニケーションの本質は “多対多”というところにある。 とはいえ、現在までのところ、インターネ ットの可能性をまだ十分に引き出していると は言えない。なぜなら、インターネットの世 界では「サーバー集約・クライアントアクセ ス型」の“ 1 対多”型のネットワークがいま だに中心的な役割を果たしているからであ る。人間本来のコミュニケーション形態に近

ネット社会におけるIDの意味

―ID連携が変えるサービスとシステム―

近年、ネットワーク社会におけるIDの重要性への注目度が高まっている。IDの統合・連携が 進むにつれ、ユーザーの利便性向上はもちろん、ビジネスにおいても大きな変革が起きること が期待されている。本稿では、IDをめぐる現状を整理し、成熟した次世代のID社会に向けて今 後予想される動向について考察する。

特 集 ［ IDビジネスの新たなステージ］

図１ ネットワーク社会のコミュニケーション …… …… 本質は“多対多”型のコミュニケーション …… 現状の“１対多”型のコミュニケーション

づくためには、ネット ワークとの接点を持つ 各ノードが、時に応じ てクライアントにもサ ーバーにもなるメッシ ュ構造、すなわち“多 対多”型のネットワー クを実現する必要があ る。（図 1 参照） “多対多”型のネッ トワークをこれまで実 現できなかったのは、 それを支えるための技 術の開発、法律の整備、 ビジネスモデルの確立 が十分でなかったから である。そこに、IDの扱いという問題が横 たわっている。 なぜいまIDの議論が盛んなのか 現在、インターネットでサービスを提供す る仕組みの多くは、サービス提供者がそれぞ れ独自にユーザーにIDを発行することを前 提に構築されている。 そして、縦割りサービスや顧客囲い込み戦 略などを背景に自前主義が過度に進められた 結果、ユーザーは好むと好まざるとにかかわ らず、非常に多くのIDを持つこととなった。 とりあえず個人を特定するものとして仮置き したIDを基にして、民間企業や公的機関が 各個人にさまざまなサービスを提供してい る、というのがいまのインターネットの現状 なのである。 野村総合研究所（以下、NRI）が2009年 3 月 に実施した「個人情報に関する調査」（http:// www.nri.co.jp/news/2009/090611.html）によ ると、1 人のユーザーがログインするサイト 数は、たまに使うものとほとんど使わないも のも含めれば平均で約19サイトにのぼってい る（図 2 参照）。これにポイントカードなど のリアルのサービスを加えると、1 人のユー ザーが持っているIDはさらに増えることに なる。この数は世界でも非常に多く、日本は 世界に類を見ないIDはん濫国なのである。 野村総合研究所 基盤ソリューション事業本部 基盤ソリューション事業一部長

八木晃二

（やぎこうじ） 専門は企業のシステム基盤全体に関する コンサルテーション 図２ はん濫するIDの現状 ■自分のIDでログインするサイトの数（N=1,000） ■記憶可能なID・パスワードの数（N=1,000） ほぼ毎日使う サイト たまに使うサイト 出所）NRI「個人情報に関する調査」（2009年3月） ほとんど使わない サイト 0 20 40 60 80 100% 平均（数） 6.72 6.68 5.78 合計19.18 0∼4 5∼9 10∼19 20∼29 30以上 把握できていない 1組でも自信がない 1組 2∼3組 4∼5組 6∼9組 10組以上でも記憶できる自信がある 43.0% 36.1% 14.6% 2.0% 2.5% 2.5% 1.9% 1.5% 1.7% 2.4% 4.8% 42.2% 35.3% 13.7% 54.4% 17.4% 11.2% 12.8% 4.7% 4.8% 5.5% 8.8% 54.5% 21.7%

もちろん、個々のサービスを提供する側か らすれば、相手の属性に合ったサービスを提 供することは当然であるが、サービスを受け る側からは、サービスごとにIDを別々に登 録し、内容を記憶し管理していくことの負荷 は非常に大きい。実際、図 2 に示してあるよ うに、確実に記憶できるID・パスワードの 組の数は平均して3.1組でしかなかった。 このことから考えても、サービス提供企業 のみならず社内のIT部署においても、「管理 しているIDは現時点のユーザーの状態を正 しく反映できているのか」「管理しているID に無駄がないのか」という悩みを生んでいる ことは容易に推察できる。 また将来はSaaS（Sofrware as a Service： 必要なソフトウェア機能を必要に応じてサー ビスとして利用する仕組み）や、クラウドコ ンピューティング（インターネットを介して コンピュータリソースを利用するサービスの 仕組み）といった「サービスの時代」が到来 すると思われる。 そのため、コンプライアンス（法令順守） や内部統制を強化しながら、同時に利用しや すいサービスを可能にする、統合的なID管 理のあり方が求められる。 このような背景から、いま「IDの統合・ 連携」が注目されているのである。一方では これを実現する技術の標準化も進み、IDの 統合や連携の議論はいよいよ具体的かつ本格 的になってきている。 IDの統合・連携がもたらすもの 「IDの統合・連携」は、特に新しいテーマ ではない。それは、シングルサインオン（一 度の認証で複数のサービスを利用する仕組 み）という切り口でこれまでも進められてき た。しかし、いま議論されている「IDの統 合・連携」は、シングルサインオンを含めて、 単なる「ID・パスワード」にとどまらない 高度な情報も含んだID全般の連携、流通を 可能とするものである。 ここでは、このようなIDの統合・連携が さまざまな場面で何をもたらすかについて簡 単に整理しておく。 ①一般消費者向けビジネスの変化 複数のサービスをワンストップ（一度の認 証）で利用できるようになれば、利便性は飛 躍的に向上する。そのようなサービスはユー ザーから支持され、継続的なビジネスが期待 できるはずである。この考えに立ち、これま での顧客囲い込みによるサービス提供という 発想とは異なる、ID連携に基づいた新しい サービスモデルが生まれると考えられる。 実際、多くの顧客IDを保有している事業 者や、顧客の良質な（成約に結び付きやすい 有益な）情報を保有している事業者から、そ のIDを受け入れてサービスを提供する事例 が出てきている。単純なアフィリエイト（リ ンクが張られた他のサイトからの訪問で成約 があった場合に報酬が支払われる仕組み）以 特 集

上の成約率が期待できることから、IDを提 供するビジネス（送客ビジネス）が本格化す ると思われる。また、外部からサービスを調 達して多様なサービスを自社の顧客に提供す ることにより、顧客の定着・拡大に努めてい るサービス事業者も誕生している。 ②事業者間取引・ワークスタイルの変化 シングルサインオンの範囲が、1 つの企業 もしくはグループ内のサービスやシステムを 超えて、企業間や社外のサービスとの連携に も適用されることが期待できる。このような 連携は、これまでもSOA（サービス指向ア ーキテクチャ。「サービス」の集合としてシ ステムを構成することまたはその考え方）や Webサービス（ソフトウェアの機能をネッ トワークを介して利用する仕組み）といった 切り口で検討されてはきたが、実現に至った ケースは少なかった。 しかし、最近の標準技術を活用して、既存 のシステムやSaaSなどの外部サービスを流 用しつつ、安価で容易に企業システムを構築 する取り組みも始まっている。こうしたシス テムは、システムの組み換えも容易で、事業 提携や雇用契約などへの対応も柔軟であるこ とから、利用者も企業の正社員だけでなく期 間限定の契約社員や、代理店やパートナーな どへと範囲を拡大することもできる。このよ うな有機的な連携が進んでいけば、中長期的 には企業におけるワークスタイルにも変化が もたらされるであろう。 ③社会基盤整備の検討への影響 日本には、現在のところ全国民を対象とし た統一形式のIDは事実上、存在しないと言 える。唯一の公的個人認証の仕組みとして住 民基本台帳カード（住基カード）は存在する が、全国民が持っているわけではなく、発行 枚数は2009年 1 月末時点で303万枚（普及率 2.4%程度）にすぎない（http://juki-card.com/ about/card-h2101.pdf）。 しかし、e-Japan戦略や電子政府構築計画 といった国家的な構想のなかでは、国民にと っての IDのあるべき姿が議論されている。 生活者にとって利便性の高い社会基盤を作っ ていくという意味では、たとえば住基カード と民間企業・公共機関に登録されている既存 のIDとの連携も重要な課題となるであろう。 おわりに これまで述べたとおり、IDを統合したり連 携したりすることは、サービス利用側と提供 側の双方にとって、サービスの質の向上や利 便性の向上、新たなサービスやビジネスの創 造につながるという点で重要な意味を持つ。 本特集ではNRIのこれまでの調査の結果や 技術の知見に基づき、IDに関わるビジネス のあり方や課題、OpenIDやSAMLといった ID連携の標準技術の最新動向、その技術を 活用したプラットフォームなどについて解説 する。本特集が来るべき真のネット社会への 準備の一助になることを期待したい。 ■

IDビジネスとは 世の中にID（Identification）と呼べるもの は非常に数多く存在する。人に付与された顧 客番号や会員番号だけでなく、法人にも企業 コードなどが付与されている。また、“モノ” や“カネ”にも、製造番号や紙幣番号などが 付与されている。ここでは個人のIDに注目し、 これに基づいてサービスを提供するビジネス （以下、IDビジネス）について見ていく。ID ビジネスには、単にIDコード（名前や番号） を使うだけのものから、IDコードに付加され た情報（属性情報など）や媒体（情報が格納 されたカードなど）を使って収益を上げるも のなどが存在する。 そこで、IDビジネスを目的に応じて表 1 の ように 3 つに分けてみる。 IDを持つ個人に直接アプローチするもの、 もしくはそのIDを他社に渡す（送客する）こ とでビジネスを行うものは①となる。免許証 を発行する公安委員会や、キャッシュカード を発行する銀行などは、ID自体で収益を上げ ていない事業者であり、②となる。IDを扱う システムを裏側で構築する事業者は③となる。 IDに関わる提携 図 1 は、IDに含まれる情報、その情報がビ ジネスのなかでどう扱われるかを示している。 IDコードの上に属性情報や、ポイント・電子 マネー・実際のマネーのような各種の価値情 報が乗る。IDビジネスとは、これらの情報を 必要に応じて活用するものである。 特に会員制ビジネス（②）は、ポイント・電 子マネーや、クレジットカードにも関連し、 IDビジネスの中心と言える。 IDビジネスでは、会員数すなわちID数を増

IDビジネスの可能性

―ID連携が新たなビジネス機会を拡大―

IDビジネスは、ポイントや電子マネーなどの企業通貨ビジネス、金融ビジネス、広告ビジネ ス、情報連携ビジネスなど幅広い広がりを持つ。しかし日本ではリアルのポイントカードやイ ンターネットサービスにすでに多くのIDがはん濫している。今後は多くのIDを持つ事業者を中 心に企業間でIDを連携させる取り組みが重要になると考えられる。

特 集 ［ IDビジネスの新たなステージ］

表１ IDビジネスの分類 目 的 事業者の例 ①収益を目的としたIDの活用 ポータルサイト（Yahoo!など）、EC事業者（楽天など）、ポイント交換事業者 （Gプランなど）、信用情報機関（CICなど）、アンケート実施・ダイレクトメ ール発送事業者 公共団体（住基カードを発行する自治体など）、交通機関（Suica発行のJR東日 本など）、金融機関、従業員情報を管理する企業 システム開発事業者（NRI、NTTデータなど）、ASP事業者・アウトソーシン グサービス提供者 ②管理を目的としたIDの活用 ③IDを活用するための仕組みの提供

やす試みがなされる。IDに紐付く情報の質に よってIDの価値も異なるが、ID数を増やし、 その情報の質を上げ、情報分析の確度が高ま ると、経営の意思決定の成功率が高まる。そ うすると、企業の成長の可能性が高まり、企 業価値を上げることにつながる。そこでIDを 取り合う競争が生まれ、IDを他社に渡す（送 客する）ことで収益を上げるビジネスも成り 立つ。 過去の事例に基づけば、ID数が1,000万程度 に達すると、世間に広く認知されたと言える ようである。そこで他社にとって提携先とし ての魅力が高まり、会員組織のマーケティン グツールとしての効果も高くなるため、会員 である顧客を送客してもらうことを目的に、 他社が提携を申し込むようになる。 たとえば、ビデオ（DVD）レンタルなどの TSUTAYA（株式会社CCC）によるTポイン ト、JAL（日本航空）やANA（全日本空輸） などのマイレージプログラムも、会員数が 1,000万人を超えたあたりから急激に提携先が 増えている。 IDがはん濫する日本 日本のIDをめぐる状況はどのようなもので あろうか。 野村総合研究所（以下、NRI）の2008 年 8 月の調査によれば、インターネットサービス の場合、1 人 のユーザーが保有しているIDの 種類（業種）は、年代別で最も多い30歳代で、 男性が8.5、女性が7.9となっている（表 2 参 照）。これは 1 業種を 1 種類としており、同一 業種内の多くの企業が IDを発行していること 野村総合研究所 コンサルティング事業本部 金融戦略コンサルティング一部 上級コンサルタント

安岡寛道

（やすおかひろみち） 専門はCRMやマーケティング、ポイントや 電子マネー、ID関連ビジネスの戦略立案など 表２ インターネットサービスにおける平均保有ID種類 年齢 男 女 20代 （n=214） 30代 （n=253） 40代 （n=216） 50代 （n=260） 60代以上 （n=467） 7.40 8.47 7.87 7.41 6.45 6.76 7.85 7.16 6.06 4.94 出所）NRIによるインターネットアンケート調査（n=1,410。    2008年8月実施） 図１ IDに関わる各種情報とビジネス ③企業通貨ビジネス ⑧媒体ビジネス ターゲット価値 属性情報 ポイント バリュー価値 ID（コード） ②会員制ビジネス 広 告 ・ 販 促 ビ ジ ネ ス 決 済 ・ 送 金 ビ ジ ネ ス ④金融ビジネス 電子マネー利用で ポイント付与 電子マネー マネー情報 （預貯金・貸金） ＋口座 ＋与信 入 交換 出 … … ⑦認証・送客ビジネス ⑥情報連携ビジネス ① ⑤

から、総数はもっと多くなる。 同じ調査によると、現在保有しているポイ ントカードなどのリアルなカード（リアルな ID）は平均で7.1種類であった。インターネッ トサービスのIDとは逆に、こちらは女性の方 が多く、30歳代女性で9.2種類に及んでいる。 海外の状況と比較すると、日本ではポイン トカードなどリアルなカードのID数が非常に 多い。たとえば、ドイツではポイントカード の保有数は4.5枚程度である。英国でも、一般 的によく利用されているポイントプログラム は共通化されており、流通系の数種類と、石 油系・航空系の 4 ∼ 5 種類である。一方、日 本では10業種以上でポイントカードが発行さ れており、かつその業種に属する企業がそれ ぞれ独自に発行している場合が多い。さらに 日本では公共のカードも数多く、IDがはん濫 していると言えるであろう。 新たなステージに入ったIDビジネス IDビジネスは図 1 に示したように多種多様 である。企業通貨といわれるポイントや電子 マネーもIDビジネスの 1 つである。企業通貨 は、単なる会員サービスや決済サービスだけ でなく、ポイントの交換や相互付与により、 企業提携のツールにまで発展している。 また、IDを活用したビジネスとして、ター ゲティング広告（対象を絞った広告）やレコ メンデーション（対象の属性に合わせた勧誘） を行うものだけでなく、ID同士を連携させる ビジネスも広まりつつある。ID連携のビジネ スには、認証や送客のビジネスがある。 さらに最近では、各社が発行したユーザー のIDを連携させることも可能になっている。 これは、自社に登録されたユーザーの情報だ けでなく、他社に登録されているユーザーの 情報もユーザーの許可さえ取れれば活用でき るということである。 これを実現する規格としてSAML（Security Assertion Markup Language）やOpenIDが ある。これは、ユーザーにIDを発行する側の サーバーから、送り先（受け入れ先）である 利用側（ECサイトなど）に、そのIDでのログ イン（認証）や付加情報（決済情報を含む） の提供を可能にする規格である。NRIでは、 OpenIDを活用したインターネット決済の市場 規模を年間で約3,400億円と試算している。な お、OpenIDではID発行側をOP（OpenID Provider）、IDの送り先である利用側をRP （Relying Party）と呼んでいる。 多くの顧客IDを持つ事業者を中心に、ID連 携はすでに広まりつつある。ただし、IDを活 用してビジネスを行うには、IDの信用レベル の管理が重要である。たとえば、IDを活用し て別の金融口座を作る場合、信用度の高い情 報を使用する必要がある。そうでないと、マ ネーロンダリングなどに悪用されるおそれが ある。従って、信用度「高」のIDを持つ企業 から「中」や「低」のIDを持つ企業には連携 させやすいが、信用度「低」のIDを「高」に 特 集 特 集

連携させることには問題があろう。ただし、 「Yahoo !」のようなメジャーなポータルサイ トの場合、誰でもIDが作れることからIDの信 用度は「低」であるが、そこからOpenIDを活 用してECサイト（信用度「中」）と連携させ ることはあり得る。（図 2 参照） 今後の展望 もし、個人の持つIDの数が 1 つだけになれ ば、個人や企業にとって利便性が高まること は間違いない。1 つにすることによって社会 的なコストも抑えられる。 すでに述べたように日本ではIDが非常に多 い。このような場合、民間企業や公共機関が 発行している既存のIDを無理やり統合するこ とは現実的ではない。いまの状態を認めた上 で、多くのIDを連携させていく方法を考えて いくことの方が有益であろう。IDの連携には OpenIDやSAMLといった標準技術を活用する ことができる。これによっていまあるIDが連 携されれば、ユーザーが既存のサービスをよ り便利に利用することや、欲しい情報の精度 を向上させること、IDの登録・更新手続きを 自動化することなどが可能になる。 その際、ユーザーが最もよく使う“メイン ID”はいくつかに集約されていくはずである。 サービスの入り口に位置すればビジネスチャ ンスが大きいので、今後は“メインID”の獲 得競争が始まるであろう。“メインID”を獲 得できなかった企業は、他社が獲得した“メ インID”を有効に活用していく必要がある。 これらを成し得た企業が、今後はより成長し ていくと考えられる。 消費者側から見ると、今後は個人が自ら “メインID”を選び、それをうまく使い分け、 連携させていく時代になるだろう。 ■ 図２ IDの信用レベルと認証・情報提供・送客のビジネス連携 認証提供（OP）：ID発行側 認証依存（RP）：ID利用側 信用度（高） 高 中 低 厳密なIDを持つ企業 例：銀行、証券会社、カード会社 ある程度の信頼度のIDを持つ 企業 例：EC、インフラ会社 誰でも作れるIDを持つ企業 例：ポータルサイト   （フリーメールなど） _送客 送客と同時に、氏名・住所 ・決済情報など詳細な情報 が欲しい企業 送客と同時に、氏名・住所 などある程度の情報が欲し い企業 情報は必要としていないが 送客を希望する企業 顧客基盤・IDを持つ少数の企業 顧客基盤・IDを持たない（持ちたくない）多数の企業 送客・情報提供

注目されるID連携技術 最近、Webサイト間でのサービス連携を実 現するためのID連携技術が注目されている。 この要因としては、昨今のネットサービスが 多岐にわたり、IDの数が分散しつつ爆発的に 増加したため、IDの管理や活用に限界が来て おり、これを解決するためにはIDの連携が重 要と考えられていることがあげられる。 現在、特に注目されているID連携の標準化 技術がSAML（Security Assertion Markup Language）とOpenIDである（表 1 参照）。 SAMLは2003年に標準化された技術で、一 部の大企業や政府機関での採用が多い。一方 OpenIDは2007年12月に策定された新しい技 術で、インターネット上の消費者向けサービ スのニーズから生まれた。ユーザーの同意に 基づいて、「どのように本人確認がなされたか （認証結果）」「どのようなプロファイル（ユー ザー属性）が交換されたか」などの情報をWeb サイト間で交換するための仕様である。 OpenIDもSAMLも、ともに「認証」という 側面から語られることが多いが、本来は「認 証」を含めた「アサーション」と呼ばれる一 種の「確認書」の手順を定めた仕様である。 「アサーション」は、あることを確認したとい うことであり、その内容は認証に限らない。 「認証」とは、カードやパスワードなどによっ て本人であることを確認することにすぎない が、支払い能力まで確認できれば、それは 「与信」や「決済」となる。 SAMLとOpenIDの最も大きな違いは、認証 プロバイダとWebサイトが最初に接続する前 の設定の有無である。SAMLは事前に手動で 設定する必要があるのに対して、OpenIDはそ の必要がない。そのため、インターネットの ようなオープンなネットワークにはOpenIDの 方が親和性が高いとされている。そのほか、 仕様が比較的単純であることもOpenIDの利点 とされる。 認証ポリシーも交換する

OpenID

OpenIDは、重要情報を交換するためのID 連携の基盤プロトコルという面からの拡張も 行われている。その代表的なものに「PAPE （Provider Authentication Policy Extension）」

と呼ばれる拡張仕様がある。PAPEに準拠す ると、ID提供側と利用側の間で認証ポリシー （どのような方法によってユーザー認証を行う か、どの保証フレームワークに準拠するかな

アイデンティティ関連技術の潮流

―ID連携の標準化技術OpenIDとSAML―

IDの適切な管理・活用を行う際に重要な役割を果たす、ID連携の標準化技術が著しく発展し 続けている。本稿では、ID連携技術の代表的な仕様であるOpenIDおよびSAMLの特徴を比較し、 OpenIDに付随する新規仕様を紹介するとともに、OpenIDとSAMLの相互運用を含めた今後の ID管理のあり方について考察する。

特 集 ［ IDビジネスの新たなステージ］

ど）を要求・表明することが可能となる。た とえば、IDの提供を受けるサイトが、OpenID を提供するサイトに対して「多要素認証によ る本人確認をしてください」といったリクエ ストができるようになる。 また、ID提供側と利用側の間でのデータ交 換に、改ざんや否認（自分の署名を否定する こと）の防止、暗号化などの要素を拡張する 「Contract Exchange（CX）Extension」と呼 ばれる仕様の策定も進められている。このCX 仕様は、NRIが日本航空（JAL）でのOpenID 適用に際して独自に拡張した仕様をベースに、 より汎用性の高い「契約に基づくデータ交換」 の実現を目指して策定されたものである。 相互運用性を高める取り組み 消費者向けのサービスの技術がユーザーに 支持され、最終的にはその技術が企業内のシ ステムにも浸透していくという昨今の動向や、 前述したOpenIDの拡張仕様から考えると、今 後は企業内や企業間でもOpenIDの採用が進ん でいくと思われる。しかし、一気にOpenIDが 採用されるようになるわけではなく、SAML も使われ続けると思われる。そうなると、仕 様の違いによってサービスが分断されてしま い、ユーザーの利便性が損なわれる事態も予 想される。 そこでいま議論されているのは、どちらか の仕様に統一するのではなく、両方の仕様の 相互運用性を高めようということであり、実 際にいくつかのプロジェクトも始まっている （信頼性のレベルに着目したOpenIDとSAML の相互運用の取り組みについては本号24∼25 ページを参照願いたい）。 ■ 野村総合研究所 情報技術本部 技術調査部 上級研究員

崎村夏彦

（さきむらなつひこ） 専門はデジタルアイデンティティ 表１ OpenIDとSAMLの比較 主な推進団体 認証サーバー間連携 主な対象 著名な事例 最近の動向 アサーション形式 IDの形式 サーバーの発見 SAML

Liberty Alliance（NTT, Oracle, Sun Microsystems, British Telecom, France Télécomほか）、Shibboleth 政府、大企業、 大規模SaaS（B2E） デンマーク政府、Google Apps、 Boeing、Salesforce.comなど Salesforce.comが採用 XML メタデータの事前交換 規定なし 許可ホップ数明示（仕様で規定） OpenID Foundation（Google, Yahoo, Microsoft, IBM,

Verisignほか）、OpenIDファウンデーション・ジャパ ン（NRIなど計48社）、OpenID EU Yahoo!、Microsoft、Google、Verisign、AOL、mixi、 JAL、楽天、France Télécomなど（オバマ米大統領の 選挙活動中におけるサイトChange.govでも採用された） 2008年から爆発的に普及。同年10月にOpenIDファウン デーション・ジャパン発足（ネット系企業のほか幅広い 業種から参加）。SAMLに加えてOpenIDも採用する傾向 あり。各国政府も市民向けサイトで採用しはじめている。 インターネットコマース（B2C）、電子政府（G2C）、 Web2.0 OpenID Tag-Value Cool URI / XRI XRDベースの動的発見 運用で規定

ID管理からID情報交換へ IDは、サービスにログインするユーザーの 識別と、ユーザーに応じたアクセス制御に利 用されるが、IDには識別情報のほかにユーザ ーの属性情報や信用情報などの個人情報も含 まれる。従来ID管理は、各サービスを提供す るサーバーがそれぞれ個別に実装・運用して いたが、今日では、ID管理機能だけを「アイ デンティティ管理」（Identity Management。 以下、IdM）と呼ばれる独立したサービスと して運用することが一般的になりつつある。 IdMは、各サービス内のIDのライフサイクル を集中管理するものである。 IdMは、企業内や事業者内など閉じた環境 では導入が進んでいるものの、取引企業間の 協業や事業者間の連携による複合的なユーザ ーサービスに対してはまだあまり導入されて いない。 そこにはいくつかの課題がある。まず、ユ ーザーのIDを事業者間で流通させることは実 際には難しい。IDに登録されている情報はユ ーザーのものであり、サービス提供者が勝手 に外部に流出させてはならないからである。 また、これまでの IdMは個々のサービスと 1 対 1 で連携してIDの交換・同期を行うように 考えられており、このアーキテクチャを事業 者間でのID交換に適用することは技術的にも 現実的ではない。 さらに、IDを交換する事業者間での信頼性 の担保も課題となる。企業内のIdMであれば、 管理の徹底や運用の取り決めなどは比較的容 易であったが、外部の事業者とのID交換にお いては、ID情報の正確性や、ID提供先の事業 者としての信用度などを、なんらかの方法で 確認できるようにしなくてはならない。 加えて、IDの扱いが不適切であった場合の 対応や、ID提供事業者の事業継続性の担保を どうするかなど、技術的な要件を越えた、事 業者同士をつなぐための「プラットフォーム」 とも言うべき機能も求められる。 これらの要件を満たし、さらにユーザー主 導のサービス連携を実現するシステム機能が 「デジタルアイデンティティ（DI）基盤」であ る。IDを利用してサービスを提供するには、 このDI基盤を構築する必要がある。 DI基盤に求められる機能 DI基盤には、以下の要件を満たした機能を 提供することが求められる。

DI基盤の重要な役割

―ユーザー主導のサービス連携を実現するために―

ユーザーにとって利用価値の高いサービス連携を実現するためには、これまで各サービスが 個別に管理していたユーザーのIDを、属性情報も含めてサービス間で安全に流通させるための 仕組みが必要となる。本稿ではこれを「デジタルアイデンティティ（DI）基盤」と位置づけ、DI 基盤に期待される役割や、求められる機能などについて考察する。

特 集 ［ IDビジネスの新たなステージ］

①セキュリティ ID情報のなかでも、たとえば利用者の氏名 や住所、クレジットカード番号といった重要 な属性情報をサービス間で流通させるために は、セキュリティの確保が最優先となる。そ のためDI基盤は、属性情報を暗号化して外部 に提供すること、かつ一連の処理について監 査可能な仕組みを備えることが必須となる。 ②統合の柔軟性 既存サービスを「デジタルアイデンティテ ィ対応」にするための方法は個々のサービス によって異なる。たとえば、サービス自身が 直接 IDの流通を制御することが必要なケース もあれば、サービスの前段にDI基盤とのゲー トウェイを配置して、改修を最小限にとどめ た方がよいケースもある。そのためDI基盤に はいずれの方法にも対応できる柔軟性が求め られる。すなわち、既存サービスへDI基盤を 組み込むための「DIコンポーネント」と、既存 サービスをラッピングする「DIサービス」と いう二通りの利用形態を提供するべきである。 ③標準規格への準拠 事業者間でのID情報の連携では、標準仕様 を採用することが望ましい。各事業者が共通 の標準仕様に準拠することで、別の事業者と の連携への障壁をなくし、また連携に要する コストを低減することができる。ID連携のフ レームワークには、現在、OpenIDとSAML （Security Assertion Markup Language）とい う 2 つの主要な仕様が存在するが、それぞれ の仕様の差異をDI基盤が吸収する必要がある。 ④ユーザーの同意に基づくIDの流通 DI基盤では、ユーザーの意思をシステムに 取り込むことが肝要となる。たとえば、どの 事業者にどのようなID情報を提供してよいの か、提供期限はいつまでか、事業者が提示し た利用目的に同意するのかについてユーザー に確認・同意を求める仕組みを備える必要が ある。これによりユーザーは自身のIDの流通 をコントロールできるようになり、またサー ビスの提供側は、ユーザーの利用許可を得た 上でIDを活用することが可能となる。 DI基盤の今後 現在、DI基盤はサービス間でIDを交換する 手段としての役割に注目が集まっているが、 将来的には、事業者が時に応じて動的に連携 するための高度なサービスを提供する基盤と して期待される。その一例が、事業者に対す る格付けサービスである。これは、ID提供先 の事業者がどの程度信頼できるか、逆にID提 供元が情報源としてどの程度信頼できるかを、 ユーザーと事業者の双方が知ることを可能に するものである。これによりユーザー自身が IDの流通をコントロールしやすくなり、また 事業者間の迅速なサービス連携も可能になる。 このように、ユーザーもその仕組みの中に 取り込みながらサービスを連携させていく上 で、DI基盤は今後さらにその重要性を増して いくことになるであろう。 ■ 野村総合研究所 基盤ソリューション事業本部 基盤ソリューション事業一部 上級システムコンサルタント

工藤達雄

（くどうたつお） 専門はデジタルアイデンティティを活用す るサービスやソリューションの企画など

JAL

のネットビジネスへの取り組み 日本航空（以下、JAL）は、早くからインタ ーネット上のユーザーサービスに力を入れて きた企業の 1 つである。そのサービスは、航 空券の予約はもちろん、ホテル予約や興行の チケット販売から旅に関わるさまざまな情報 提供までと幅広い。2008年 5 月には、提携す るホテル予約サイトへの操作プロセスをスム ーズにする新サービスを開始した。 それまでのJALのWebサイト上のホテル予 約サービスは、提携する複数の外部サイトか らホテル一括検索により条件に合った候補を 抽出・一覧表示するが、それ以降の予約作業 は外部サイトで行うというものだった。リン ク先で成約すればJAL側で報酬が得られるア フィリエイトプログラムとなっていたが、リ ンク先の予約サイトで個人情報を新たに入力 する必要があるためユーザーの途中離脱率が 高く、JALにとっては機会損失となっていた。 そこで新サービスでは、JALマイレージバ ンク（以下、JMB）会員のIDをOpenID化し、 JMBの会員であれば、「μ.［みゅう］」（https:// www.myuworld.net/miki/init_hotel_search.do） など提携しているホテル予約サイトに個人情 報を登録しなくても簡便に予約を行えるよう にした。具体的には、氏名、住所、電話番号、 メールアドレス、クレジットカード番号とい ったJMB会員情報がJAL側からホテル予約サ イト側に引き継がれる。ホテル予約サイトの 予約画面でも必要情報が自動的にフィルイン され、ワンクリックで予約が成立する。 予約に際しては、OpenIDの規格に従って、 サイト間の情報連携が行われる前に、情報連 携を承認するか否かを会員が確認する画面が 表示され、会員が許諾した条件に応じて必要 情報が引き継がれる。 「

Uni-ID

」による安全な情報連携 JALの新しいホテル予約サービスを可能に しているのが、OpenIDをベースにしたNRIの ID連携・活用ソリューション「Uni-ID」であ る（図 1 参照）。 「Uni-ID」は、サイト内、システム内で閉じ ていたIDを、OpenIDを活用して安全に外部へ 提供したり、外部から受け入れたりするため の各種機能をASP（アプリケーションサービ スプロバイダ）形式で提供する。既存のID管 理システムやWebアプリケーションと柔軟に 連携できる上、企業レベルで活用するために

ID連携によるサービス拡充の実例

―

「Uni-ID」を活用したJALの新予約システム―

日本航空は2008年 5 月、JALマイレージバンク会員のID情報をOpenID化し、ホテル予約サイ トとID情報を連携させることにより、航空券予約とホテル予約のワンストップサービスを実現 させた。本稿では、野村総合研究所（以下、NRI）のID連携・活用ソリューション「Uni-ID（ユ ニアイディー）」を活用したJALの先進的な取り組みを紹介する。

特 集 ［ IDビジネスの新たなステージ］

必要な各種機能を搭載しているため、OpenID の実装に伴う追加開発を極力抑えられる。た とえば、ユーザーの許諾を得てID提供側と受 け入れ側で情報の授受が行われた証跡を残す 機能など、企業間での送客や資産情報の連携、 決済の執行のように、高度なID連携を行う際 には欠かせない機能を提供している。 JALのホテル予約システムでは、ホテル一 括検索システムと「Uni-ID」の認証提供サー ビスの間でセッション（ログインからログア ウトまでの一連の操作）情報を連携させると ともに、JMB会員データベースを管理する基 幹システムを「Uni-ID MPA（Multi Protocol Adapter）」というモジュールを介して連携さ せ、認証に関する問い合わせや属性情報の取 得に関するやりとりを行っている。 情報を受け取るホテル予約サイト側のシス テムには、予約エンジンに「Uni-ID認証依存 サーバーモジュール」が組み込まれ、このモ ジュールが「Uni-ID」認証サーバーとOpenID プロトコルによって連携することで、JALサ イトが保有する会員IDと紐付けながら、会員 の属性情報を取得できるようになっている。 幅広いID連携によるサービスの拡充 JALは2009年 1 月に、国際線の航空券とホ テルを一括予約・購入できるサービスの提供 も開始した。ここでは、航空券の予約終了直 後にホテル予約が簡単に行えるようにし、予 約フローのさらなる省力化を実現した。 JALは今後もレンタカー、旅行保険、観光 など旅行に関する幅広いサイト間での連携を 深めていくことにしており、ID連携の効果は ますます高まっていくであろう。 ■ 野村総合研究所 基盤ソリューション事業本部 基盤ソリューション事業一部 上級コンサルタント

池田泰徳

（いけだやすのり） 専門はアグリゲーションサービス・ID連 携サービスなどASP事業の企画・運営 図１ JALの予約システムの概要 JAL ID提供側 （OP） ID利用側 （RP） ［NRIデータセンター］ ［JALデータセンター］ 国際線予約システム ホテル一括検索システム Uni-ID OPサーバー ＋ 認証プラグイン ログイン状態同期 検索 ユーザー JMB会員管理基幹システム ユーザー認証 属性情報取得 OpenID連携（認証＋属性情報） ホテル予約サイト Uni-ID RP モジュール ログイン JMB番号でログイン ログイン 個人情報入力完了 予約を確定します 戻る

内部統制評価で発見されるID管理の不備 内部統制においてID管理が重要だというこ とを認識していても、十分な統制を確立でき ていない企業は多い。IT全般統制の評価で発 見される企業内のID管理の不備は、以下のよ うなケースが典型的である。 まず、①開発担当者が本番環境にアクセス できるケースがある。この場合、実行プログ ラムを不正に書き換えられるリスクがある。 また、②ユーザーに必要以上に特権IDを与え ているケースや、退職者や異動者のIDが残っ ているケースがある。不要なIDやアクセス権 が残っていると、非権限者によりIDが不正利 用されるリスクがある。③特権IDが、申請に よる貸し出しという形で運用され、恒常的に は使用されていないものの、貸し出された特 権IDとパスワードが固定化され、パスワード の変更が実施されていないケースもある。こ の場合、特権IDは実質的に申請なしに継続的 に利用でき、不正に利用されるリスクがある。 このほか、④実行プログラムまたはデータ に対する不正アクセスの有無をモニタリング していないケースもある。予防的統制がある 場合でも、承認された作業の範囲を超えて、 不正に実行プログラムまたはデータを書き換 えられるリスクがある。 ID管理不備の背景にある根本課題 ID管理に不備がある場合、以下のような状 況が問題の真因となっていることが多い。 1つ目は、データや実行プログラムへのア クセスに関する明確なルールが定められてい ないことである。そのため、セキュリティポ リシーのような方針はあっても、アクセスの 実務的な手続きが定められていないこと、手 続きがあってもシステムごとに異なり、全社 的に整合性がとれていないことがある。さら に、ルールは存在してもそれに基づくシステ ム設定がなされていないケースもある。 2つ目は、開発担当者や運用担当者がシス テム稼働率の維持に主眼を置き過ぎることで ある。リリース作業において受け付けからリ リースまでの時間を最小にしようとするあま り、統制活動を二の次にしてしまうケースが ある。この場合、必要以上に権限を付与した り、共有IDや未使用IDを発生させやすい。 3つ目は、ID管理の作業負荷に見合った要 員が割り当てられていないことである。これ まで、現場に対してはつねに運用管理コスト

IT全般統制における企業内ID管理の

ポイント

OpenIDなどを用いたユーザー向けのID連携サービスを提供するには、まず企業内システムの ID管理を徹底させる必要がある。企業内でのID管理はIT全般統制における重要な課題であり、 高いレベルの統制が求められる。しかし、実際に内部統制評価を行うと、十分な統制を確立で きていないケースは多い。本稿では、企業内システムの開発を中心にID管理のポイントを示す。

特 集 ［ IDビジネスの新たなステージ］

の圧縮という要請があった。そのようななか で内部統制強化という新たな要請が出現した ために、運用担当者が過負荷状態になってい ることがある。特にID管理については、IDの 貸し出し管理・払い出し管理、IDの棚卸し、 不正アクセスの有無のモニタリングに関して 高いレベルの統制が求められ、運用担当者の 負担が大きくなっている。 適切なID管理を行うための３つのポイント ID管理の不備については、目の前の不備の 改善に走る前に、先に述べたような根本課題 を解決することが、結果として高いレベルの 統制の確立および内部統制コストの削減につ ながる。それには 3 つのポイントがある。 1つ目のポイントは、漠然としているアク セスに関する要件をルールとして体系化し、 それを社内で共有することである。アクセス 管理を行うための具体的な施策（IDと参照・ 更新できる情報との関連づけ、不正アクセス の有無を監視する範囲の決定など）が明確に なるとともに、全社視点で整合のとれたアク セス管理を実現することができるようになる。 2つ目のポイントは、内部統制の重要性に ついての教育・啓蒙活動をさまざまな機会を 通じて継続的に実施することである。ID管理 に限ったことではないが、監査部門やリスク 管理部門の指示によって職務分掌や相互けん 制の統制を導入しても、内部統制の本来の趣 旨を理解していなければ、十分な統制が確立 できているとは言えない。 3つ目のポイントは、統制活動の負荷を考 え、必要な数の運用担当者を配置することで ある。それが難しい場合は、内部統制支援ツ ールを活用することで、手作業の負荷を軽減 し、作業ミスを排除することもできるように なる。また外部委託も有効である。外部委託 にあたっては、たとえば日本公認会計士協会 の「監査基準委員会報告書18号（監査報告18 号）」に記された「委託業務に係る内部統制の 有効性の評価報告書」を入手できる委託先を 選定することも有効である。

PDCA

サイクルを通じ恒常的な取り組みを 内部統制報告制度（いわゆるJ-SOX）の初年 度は、システムレベルの特権IDの扱いが注目 される傾向にあったが、今後はデータ更新を 伴うアプリケーションレベルのIDについても、 同様に高いレベルの統制が求められることが 予想される。また、リスクは外部環境、内部 環境によって変化し、ID管理のリスクは技術 革新による影響を受けやすい。今後、企業 内・企業間システムでもOpenIDのような技術 を利用したID連携が進んでいくと思われるが、 技術進歩に合わせて定期的にリスク評価を行 うことも、ID管理の重要なポイントとなる。 内部統制は一過性の取り組みではなく、恒 常的に有効であることが求められる。内部統 制のPDCAサイクルを通じて、組織としてID 管理を行うことが必要である。 ■ 野村総合研究所 システムコンサルティング事業本部 ERMプロジェクト部 副主任システムコンサルタント

森 哲也

（もりてつや） 専門は内部統制評価、システム監査など

検討が進む新制度へのシステム対応 貸金業法改正の柱の 1 つに、借り手の総借 入残高を把握できるようにすることを目的と する指定信用情報機関制度の導入がある。こ の対応について、野村総合研究所（以下、 NRI）では、幅広い金融機関や信用情報機関、 当局と情報交換を行っている。 そのなかで浮かび上がってきたのは、その 対応が想定した以上に大掛かりで、各金融機 関はもとより日本信用情報機構（以下、JIC） やシーシービー（以下、CCB）などの信用情 報機関でも業務・システム対応に苦心してい るという実態である。事実、当初は2009年 5 月中に過半の会員を改正貸金業法に対応した 新システムに移行するとしていた信用情報機 関も、移行スケジュールを見直している状況 である。当局も加盟金融機関のシステム対応 状況を信用情報機関からヒアリングし、進捗 状況の把握に努めている模様である。 また、2008年12月11日には経済産業省の消 費経済審議会・割賦販売部会の第 4 回会合で 「返済能力調査義務及び過剰与信防止義務」 「クレジット関連の信用情報保護」について の考え方が示された。これらを踏まえ、主要 信販会社 9 社による割賦販売協議会と社団法 人全国信販協会（現在、社団法人日本クレジ ット協会）などは共同で、基礎特定信用情報 の登録実務における具体的要件を整理した。 特定信用情報の登録要件 割賦販売協議会などによる信用情報機関登 録要件のポイントは以下のとおりと考える。 ①登録運用 個別クレジットは月 3 回、包括クレジット は月 1 回の登録・更新とする。 ②登録方法（ファイル） 日次運用される改正貸金業法対応のファイ ルに月次、週次などの処理を追加すると、同 法にいう「遅滞のない報告」への影響が予想 されることから、月次運用している既存のフ ァイルをベースとして構築する。 ③登録項目の定義 改正貸金業法ですでに定義されている項目 要件（本人確認資料、名寄せ項目など）につ いては、同一項目に対する二重基準とならな いよう、改正貸金業法の要件を踏襲する。 ④追加登録項目 追加項目となるのは、基礎特定信用情報の うち、既存項目として存在せず、改正貸金業

改正貸金業法・改正割賦販売法へのシステム対応

―

「Daybreak/PL」の新サービス―

貸金業の適正化や過剰貸付の抑制などを目的とした改正貸金業法が2006年12月に公布され て以来、段階的施行が決められた同法も次第に最終局面に入ろうとしている。あわせて2008 年 6 月には過剰与信防止などを柱とした改正割賦販売法も成立しており、関連業界では新制度 への対応を求められている。本稿では、これら法制度への対応の考え方について整理する。

トピックス

法で定義されていない項目と考えられる。た とえば、クレジット債務残高（包括・個別）、 年間請求予定額、重複区分（複数機関加盟時）、 契約商品・権利・役務、上記数量・回数・期 間などが想定される。 NRIではこれらの内容に加え、経済産業省 が募集したパブリックコメントの内容、さら に当局へのヒアリングなどに基づいて、シス テム対応の具体化を進めている。 想定される信用情報機関の統合 改正割賦販売法への対応を検討する上での 最大の不確定要素は、いま検討されている JICとCCBの経営統合の行方であろう。現時 点で経営統合は発表されていないが、貸金情 報の精度を強みとしているJICにとっては、 多数のクレジット会社・信販会社を会員とし て持つCCBの既存システムを活用することが できれば、限られた時間で効率的にシステム 対応を行えると考えられる。また加盟する会 員会社（ノンバンクの金融機関）側にとって は、JICとCCBのどちらのシステムで改正割 賦販売法へ対応するのかにより、対応の内容 や規模はまったく異なってくる。そのため、 経営統合の具体的な内容の発表、およびJIC の改正割賦販売法対応方針について早めの発 表が待たれる。 NRIは、指定信用情報機関接続ソリューシ ョン「Daybreak/PL」において、CCBの既 存会員をJICへ円滑に接続するインターフェ ースを備えた「貸金対応版」を2009年 8 月に リリース予定である。さらに次のフェーズと して、銀行や保証会社のように、改正貸金業 法や改正割賦販売法への対応を必要としない CCBの会員会社が 2 社の経営統合に円滑に対 応できるようにするサービスも予定している。 信用情報管理の将来 個人に貸し付ける金額を総量で規制するな ど貸金業法改正の動きが始まるまで、信用情 報機関は債務者の延滞・事故情報を管理す る、いわば業界内のクローズドな交流機関で あった。しかし、国による認可機関となるこ とで信用情報機関は公的な性格を持つように なる。JICとCCBの経営統合にはこうした背 景もある。銀行業界はこうした流れの外にあ ったが、全国銀行協会が運営する全国銀行個 人信用情報センターも、他機関との統廃合を 含めた見直しが検討されているという。また、 今後は消費者庁の創設に伴い、信用情報機関 のさらなる再編や、貸金業法と割賦販売法に またがっている個人信用情報の位置づけの明 確化も進んでいくと考えられる。 このような情勢に対応するため、NRIでは 「Daybreak/PL」の改正割賦販売法への対応 と並行して、監督官庁との連携、業界・信用 情報機関・関係団体との横断的なスキームの 立ち上げ準備を進めている。その目的は、消 費者信用業界だけでなく国全体の社会コスト の低減を支援していくことにある。 ■ 野村総合研究所 金融システム事業本部 金融システム開発四部 営業主任

鈴木智之

（すずきともゆき） 専門はコンシューマーファイナンス 部門のシステム企画・開発

認証プロトコルの相互運用の取り組み

“Project Concordia”はID認証技術を開発 するベンダーやユーザー企業から成るワーキ ンググループで、SAML（Security Assertion Markup Language）、WS-

_*

（スター）、OpenID といった異なる認証プロトコル間の相互運用 を目指して活動している。 ID認証技術に携わる技術者が達成すべき 目標は、フェデレーション認証を通じてイン ターネット全体に広く通用するIDを提供す ることにある。フェデレーション認証とは、 異なる組織が 1 対 1 の直接契約は結んでいな いが互いに信用しあえる環境で、IDとその属 性情報を共有する仕組みである。 これが実現すれば、現在アプリケーション ごとに管理されている認証用のIDを、信頼 性と利便性を提供できる少数の認証サービス 事業者のサービスに集約できるようになり、 IDの新規作成や管理にかかる手間は大幅に 削減される。 しかし、企業のイントラネットや特定企業 間のエクストラネットを超えて、インターネ ット上で広くこの機能を提供する仕組みは、 いまのところまだ実現していない。過去に認 証プロトコルの主導権争いがベンダー間で長 年行われ、複数のプロトコルが並立してきた からである。これらのプロトコルは互いに競 争関係にあったため、ユーザー企業はいずれ か 1 つのプロトコルを選択しなければなら ず、相互運用のための仕組みづくりは進まな かった。 Project Concordiaはこうした過去を教訓に して、SAML、WS-

_*

、OpenIDの推進者が一 堂に集うコミュニティを形成し、すべての認 証プロトコルが互いに情報を交換できるフェ デレーション認証の実現を目標として活動し ている。

OpenID

と

SAML2.0

の相互運用をデモ

Project Concordiaは2008年 3 月にSAMLと

WS-

_*

間の相互認証の実装例のデモを行った が、2009年 4 月にサンフランシスコで開催さ れた「RSAカンファレンス2009」ではOpenID 認証とSAML2.0認証を活用した利用シーン と相互運用のデモを行った。 具体的には、すでにSAMLにより社内向け にシングルサインオンやID管理を実施してい る企業が、そこで管理されるIDをOpenIDに しか対応していない外部のサービス（SNSや

OpenIDとSAMLの相互運用の試み

―“Project Concordia”によるデモンストレーション―

2009年 4 月に米国サンフランシスコで開催された「RSAカンファレンス2009」で、認証プ ロトコルの相互運用を推進する“Project Concordia”の成果発表として、ID認証仕様である OpenIDとSAMLの相互運用の実装例がデモンストレーションされた。今後、異なるID認証プ ロトコルを用いたフェデレーション（連携）認証の実現に向け弾みがつくことが期待される。

海外便り

Eコマース）での認証に使うというケースで ある（http://projectconcordia.org/index.php/ Planned_Scenarios_for_RSA_2009）。 デモのケースでは、OpenID対応サービス が認証を要求してくると、OpenIDサーバー がその要求の内容を判断し、ワンタイムパス ワードのような強度認証が要求されていれ ば、その条件を満たすSAML認証サーバーへ 要求を転送する（図 1 参照）。 認証プロトコルの発展の鍵は、もはや各プ ロトコルの優位性の競争にあるのではない。 それぞれが適材適所で使われるべきであり、 個々の特長を活かして実装されている既存の 認証インフラを利用し、機能的に相互補完し あうことが必然となってくる。 技術や立場を超えた連携が重要 今回のデモで用いたシナリオは、野村総合 研究所（NRI）とNTT情報流通プラットフォ ーム研究所が共同で提出したものである。推 進する技術や業界での立場も異なる企業の技 術者同士が、同じ目標に向けて協力できる環 境を作っていくことは、認証技術の将来を展 望する上で重要な意味を持つと考えている。 2009年 4 月には、ID認証技術の調和を目 的に新組織「カンターラ・イニシアティブ」 （理事はNRIの崎村夏彦）がスタートした。今 後、Project Concordiaはカンターラ・イニシ アティブのディスカッショングループの 1 つ として引き継がれる予定である。 ■ NRIパシフィック リサーチャー

作島立樹

（さくしまたつき） 専門は米国の技術とサービスに関する調査・研究 図１ OpenIDとSAMLの相互運用 ■OpenIDサーバーがSAMLサーバーから  IDを受け入れる場合 OpenID RP OpenID ユーザー OpenID プロバイダ （Uni-ID） SAML ID プロバイダ （OpenSSO） OpenIDサーバー上で強度 認証先としてSAML IDプロ バイダのアカウントを事前 に登録しておく。 SAML要求 SAML RP Authentication Context PAPE メッセージ SAML Assertion w/Authentication Context SAML応答 変換 “Circle of Trust” ・証明書 ・電子署名 強度認証 モジュール （SecuSURF） PAPE応答 PAPE要求 ユーザー 認証 ワンタイム パスワード 認可や表示 ログイン要求 RP：Relying Party（ID受け入れ側）

PAPE：Provider Authentication Policy Extention Circle of Trust：認証情報を共有するグループ

SecuSURF：NRIの高度認証ソリューション