4-1-アイデンティティとパーソナリティ

4-1アイデンティティとパーソナリティ

急速に動く列の中で、希望と明白な不安が入り混じっていた。頭上の大型スクリーンには、避難証明書の重要性が繰り返し表示されていた。崩れゆく共同体で尊敬される人物であるムルは、重要な局面に差し掛かっていた。気候変動によって故郷は荒廃し、彼女は新しい土地で娘たちのために安らぎと澄んだ空を見つけたいと願っていた。

ムルが前に進むと、豊かで活力に満ちた彼女の過去が走馬灯のように駆け巡った。彼女は不確かな未来を恐れており、それは主に停滞の危険にさらされる娘たちのためだった。温かくフレンドリーな政府職員は、共通の欧州庇護制度の手続きのためのコードをスキャンするように彼女に求めた。

彼女のほぼ機能していない携帯電話は、いくつかの簡単な質問が表示されたページを読み込んだ。

"あなたは、共通の庇護システムが…の是非を尋ねることを許可しますか？…

1. …私たちの支援プログラムへのあなたの適格性について？

2. …あなたが私たちの共同体にとって潜在的な脅威となるかどうかについて？

3. …あなたの過去の経験が、私たちの社会における生産的な役割に貢献できるかどうかについて？

彼女は素早く画面に署名した。すると、彼女の携帯電話は、質問に正確に答えるために役立つ関連情報を表示し始めた。

• 紛争の絶えない村で、あなたは仮設校舎を建て、子供たちの顔に笑顔をもたらした。この希望の灯台は、76の信頼できる情報源によって裏付けられており、彼らの称賛はEUが認める機関によって承認された複数のデジタル資格に含まれている。

• 記者会見で、あなたの共同体への有害な個人との関係に対する断固とした姿勢は、41のデジタル署名された証言によって強力に裏付けられ、揺るぎない社会の保護者としての姿を映し出していた。

• 共同体と34の政府機関間の対話を架橋するためのあなたの努力は、あなた自身の周りに信頼と安全の盾を作り上げており、それぞれの承認はあなたの献身の証であり、デジタル認識の盾に永遠に刻み込まれている。

• あなたのイノベーションは人生を変えるプロジェクトに火をつけ、78％の同僚が活気に満ちたデジタルナラティブを通じて称賛し、エンジニアリング分野へのあなたの重要な貢献を織りなすダイナミックなタペストリーを織りなしている。

• あなたの…への支援…

リストは続く。彼女は、校庭で楽しそうに遊ぶ子供たちの活気のある光景、自信を持って舞台に立つよう彼女を励ました指導者たち、そして献身的な同僚たちと夜遅くまで協力して過ごした無数の夜を思い出した。

職員の机は緑色の光で照らされ、収集された肯定と彼女のこれまでの実績に基づいて彼女の申請を承認した。

同じ受容が彼女の娘たちにも向けられ、彼女たちを新しい始まりに歓迎した。心温まる温かさで、職員は彼女たちを、真に知り、感謝する準備ができているように見える有望な世界に迎え入れ、ムルと彼女の娘たちが再び繁栄するための新鮮な出発点を与えた。

最も基本的な人権は生命権、人格権、市民権であるのと同様に、⿻社会のための最も基本的なプロトコルは、参加者のアイデンティティを確立し保護するものである。誰が、あるいは何がこれらの権利を有し、これらのサービスを受ける権利を有するかを定義しなければ、いかなる権利も保護し、いかなるサービスも提供することは不可能である。合理的に安全なアイデンティティ基盤がなければ、たとえば投票システムは、最も多くの偽の資格を生成できる者に掌握され、富豪支配に堕してしまうだろう。1993年の『ニューヨーカー』の有名な漫画「インターネット上では、誰もあなたが犬であるとは知らない」は、Wikipediaのページを持つほど有名だが、それが真実である限り、オンライン民主主義の試みは文字通り犬に渡ってしまうと予想すべきである。[^dog]これは、匿名性または匿名性に大きく依存してきた多くの「Web3」コミュニティで劇的に示されており、それゆえしばしば物理的および財政的資源へのアクセスを持つ者の利益によって掌握されてきた。[^Buterin]

[^dog]: ピーター・スタイナー、『インターネット上では、誰もあなたが犬であるとは知らない』、『ニューヨーカー』、1993年7月5日。[^Buterin]: ヴィタリック・ブテリン、『ナサン・シュナイダーによる暗号経済学の限界に関する意見について』、2021年9月26日、https://vitalik.eth.limo/general/2021/09/26/limits.html

したがって、アイデンティティシステムはデジタルライフの中心にあり、ほとんどのオンライン活動へのアクセスを制御している。ソーシャルメディアアカウント、電子商取引、政府サービス、雇用、サブスクリプションなどである。これらのシステムそれぞれが提供できるものは、ユーザーのアイデンティティをどの程度豊かに確立できるかに密接に依存している。ユーザーが個人であることしか判断できないシステムは、たとえば、その人がすでにこのオファーに登録していないことを確認せずに、無料の特典を提供することはできない。ユーザーがユニークであることしか判断できないシステムは、地球上のすべての人に法的かつ実際的に提供できるサービスしか提供できない。[^Idena]オンライン攻撃の容易さを考えると、個人について確立できることだけが安全に存在できる。

[^Idena]: プージャ・オールハーバー、ミハイル・ニクリン、パウラ・バーマン、『圧縮された0：パーソナリティ証明の沈黙の文字列』、2024年、https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4749892

同時に、アイデンティティを確立する最も簡単な方法の多くは、特にオンラインでは、逆説的にアイデンティティを同時に損なう。パスワードはしばしばアイデンティティを確立するために使用されるが、そのような認証が細心の注意を払って行われない限り、パスワードをより広く明らかにし、攻撃者がなりすますことができるようになるため、将来の認証には役に立たなくなる。「プライバシー」はしばしば「あれば便利なもの」として片付けられ、「隠すべきものを持っている」人にとって特に便利であるとされている。しかし、アイデンティティシステムにおいて、個人情報の保護はユーティリティのまさに核心である。あらゆる有用なアイデンティティシステムは、アイデンティティを同時に確立し保護する能力によって判断されなければならない。

この課題がどのように展開されるかを見るには、アイデンティティシステムのいくつかの相互に関連する要素を念頭に置くことが重要である。

• 作成：アイデンティティシステムへの登録には、アカウントを作成し、識別子が割り当てられることが含まれる。さまざまなタイプのシステムには、システム所有者が個人が提示した識別情報にどの程度確信を持っているか（保証レベルと呼ばれる）に関連する、さまざまな登録要件がある。[^ICAO]

• アクセス：アカウントに継続的にアクセスするために、参加者は、パスワード、キー、多要素認証などのより簡単なプロセスを使用する。

• リンク：参加者がアカウントがアクセス権限を与えるシステムとやり取りするにつれて、その相互作用の多くが記録され、システムが彼らについて理解している記録の一部を形成し、後で他のアカウント機能に使用できる情報になる。

• グラフ：ユーザーについて蓄積されるこれらのデータの中には、他のアカウントと対話的に作用するものも多い。たとえば、2人のユーザーはシステムを利用してメッセージを交換したり、イベントに一緒に参加したりすることができる。これにより、複数のアカウントに属するデータ、つまり接続の「ソーシャルグラフ」が作成される。

• 復旧：パスワードやキーは紛失したり盗まれたりし、多要素認証システムは故障する。ほとんどのアイデンティティシステムには、秘密情報、外部アイデンティティトークンへのアクセス、または社会的関係を使用して、紛失または盗難された資格情報を回復する方法がある。

• フェデレーション：参加者がアカウントを作成する際に、外部ソースから（しばしば検証された）彼らに関する情報を参照するのと同じように、ほとんどのアカウントもそうであり、アカウントに含まれる情報が他のシステムのアカウントを作成するために少なくとも部分的に使用されることを許可している。[^OAuth]

[^ICAO]: たとえば、国際商業航空旅行を監督する国際民間航空機関は、『身分証明の証拠』に関するガイドを作成した。https://www.icao.int/Security/FAL/TRIP/Documents/ICAO%20Guidance%20on%20Evidence%20of%20Identity.pdf[^OAuth]: これを行う主要なオープンスタンダードはOAuth（オープンオーソリゼーション）であり、インターネットエンジニアリングタスクフォースのオープンスタンダードで、2010年にRFC 5849として最初に公開され、その後2012年にRFC 6749としてOAuth 2.0に更新された。

本章では、既存のデジタルアイデンティティシステムの運用と、確立と保護の二重の命令をどのようにナビゲートするかについての限界について説明する。次に、これらの問題に対処するための世界中で進行中の重要なが限られたイニシアチブについていくつか説明する。次に、この重要な仕事をより意欲的に発展させ、より⿻未来を促進する方法を示す。最後に、アイデンティティの基本的な役割のために、それが他の基本的なプロトコルと権利、特に次の章で重点的に取り上げる結社の権利にどのように関連し、絡み合っているかを強調する。

今日のデジタルアイデンティティ

ほとんどの人が正式な「アイデンティティ」について考えるとき、通常は政府発行の書類を指している。これらは国によって異なるが、一般的な例としては以下のようなものがある。

• 出生証明書。

• 公共プログラムへの登録証明書。多くの場合、関連する識別番号（米国の年金と税金のための社会保障番号、または台湾の国民健康保険プログラムなど）が付けられる。

• 自動車や銃器など、潜在的に危険な道具を使用するための免許。

• 一部の国における統一された国民識別カード/番号/データベース。

• 国際旅行のための旅券。これは、暗黙の国際連盟を考慮すると、おそらく最も広範な識別システムである。

これらのシステムは国によって異なるが、一般的にいくつかの注目すべき特徴を共有している。

1. それらは標準的で、さまざまな設定で非常に信頼されており、多くの場合「法的」または「真実の」アイデンティティと呼ばれ、他のすべての形式のアイデンティティは「仮名」であるか、それらを参照することで正当性が得られる。

2. 1）の理由から、これらは様々な状況下（例：バーでの年齢確認、銀行口座開設、税金支払い）で他のシステムへの登録に使用されます。これは、本来特定の目的またはプログラムに特化したものであったとしても当てはまります。悪名高い例として、アメリカ合衆国の社会保障番号（SSN）があります。これは1930年代に新しい年金制度の管理を支援するために作成されました。[^SSNHistory] 1960年代までに、多くの異なる政府機関や民間企業から定期的に要求されるようになりました。この広範な使用は、多くの異なる文脈にわたる人々の活動をプロファイリングすることを意味しました。1960年代後半から1970年代初頭にかけて、これらの慣行に対する懸念が提起され[^RightsOfCitizens]、一連の法律が制定されて、連邦政府内の機関間のデータ共有能力が制限され、民間部門でのSSNの使用が制限されました。[^SSNUsageRestrictions]それ以来、連邦政府はSSNの使用を削減するために努力しており、代替案を積極的に検討しています。[^SSNAlternatives]

3. これらは通常、他の政府発行書類（最終的には、1人の医師の署名だけに依存する出生証明書）に遡る、狭い身元を示す信号に基づいて発行されます。まれに、直接の本人確認が補足的に行われることもあります。しかし、身元に関する永続的な紛争がある場合は、困難な法的手続きによって裏付けられることがよくあります。

これらの特徴は、不安定な混合物をもたらします。一方で、政府発行の身分証明書は現代社会の基礎であり、プライバシー侵害を避けるために意図されていることがよくあります。他方で、これらは非常に多くの文脈で使用されているため、秘密に保つことができず、薄い信号に基づいているため、身元を保護する上で不十分です。さらに、後述するように、これらの問題は、コンテンツを容易に模倣および変更し、公開された信号から高度な推論を行うことができる、生成型基礎モデル（GFM）などの技術の進歩によって、現在悪化しています。さらに、これらのIDのデジタル化のプロセスは、管轄区域全体で遅く、一貫性に欠けています。これらの理由から、既存の物理的な（紙またはプラスチックの）政府発行のIDは、ますます不安定な立場にあり、確立と保護の間で非常に魅力的ではないトレードオフを提供しています。

広く使用されている身元システムの2番目のグループは、Meta、Amazon、Microsoft（Microsoftアカウント、LinkedIn、GitHub）、Alphabet、Appleなどの主要なテクノロジー・プラットフォームのアカウント管理です。これらのプラットフォームは、OAuth[^OAuth2]やOpenID Connect[^OpenID]などのオープン標準を活用して、ユーザーが自分のプラットフォームのアカウントを使用して他のシステムにログインできるようにしています（「シングルサインオン」（SSO）と呼ばれることもあります）。これらのサービスは、オンラインの認証インターフェースによく表示される「〜でサインイン」ボタンの基礎となっています。このシングルサインオンのプロセスを通じて、識別子の発行者（別名「アイデンティティプロバイダー」）、つまり大規模なプラットフォームは、アカウントを持っている個人がどこへ行ったかを把握します。

政府発行の身元には様々なものがありますが共通の特徴を持つように、SSOシステムも多様ですが、共通の重要な特徴があります。

1. これらは主に、営利目的の民間企業によって管理されています。それらが提供する利便性と、それらが依存するデータ（これについてはすぐに詳しく説明します）は、顧客維持と価値を最大化するための機能として使用されています。

2. ユーザーの身元の整合性を維持し、その価値を活用するために、ユーザーの幅広い信号と特性を利用しています。データの種類（例：購入履歴、ソーシャルネットワーク接続、電子メールのやり取り、GPSの位置情報）はケースバイケースで異なりますが、いずれの場合も、管理者は対象者の行動に関する包括的で詳細な、広範で、時には親密なプロファイルを、多くの場合複数のドメインにわたって把握しています。[^Zuboff]

3. 2）のために、これらのネットワークエンドポイント識別子は広く連合されており、SSOプロバイダーとの関係が限られているサービスを含む、さまざまなオンライン認証サービスで受け入れられています。

人々に関する多くの身元情報または属性を収集する、他の2つの重要なエンティティのクラスがあります。これらは多くの特徴を共有していますが、デジタルプラットフォームのSSOシステムではなく、情報収集対象の人々とは直接の関係がありません。広告、データブローカー、信用格付け、国家安全保障機関（一般監視と、クリアランスを取得するためにスクリーニングに同意した従業員の独自のスクリーニングの両方で、人々のカルテを作成します）です。

これらは同様に、高い整合性と幅広い使用を備えた豊富な信号に依存しますが、より標準的な政府の身元証明書のような公的な正当性はありません。したがって、これらのデータ収集システムは、政府の身元証明書とはトレードオフのスペクトルの反対側に位置しています。人々に関する豊富なプロファイルをはるかに効果的に提供しますが、「全能」の性質が社会的に正当化されておらず、少数の手に多大な権力を与えるため、大部分が影の中で活動しています。

ほとんどの国では、銀行口座や携帯電話などの重要な/基本的なサービスのアカウントが、これらの極端な間のちょうど中間点に位置しています。銀行業務は通常、政府によって規制されており、登録する前に政府発行の身分証明書が必要です（「顧客を知る」またはKYCとして知られるプロセス）。通信事業者は、効果的なアカウント管理（請求書を送付する場所）と復旧（携帯電話を紛失しました。私です）を支援するために、政府発行の身分証明書を要求することが多く、国によっては、電話番号を取得する前に顧客を認識する必要があります。銀行と電話会社は両方とも民間で管理されており、セキュリティに活用できる豊富なユーザーデータにリンクされています。そのため、多くの場合、他のIDシステム（SSOシステムなど）の重要な入力になりますが、SSOシステムよりもはるかに厳しく規制されているため、通常はより高い正当性と民間プロバイダー間での移植性を備えています。多くの状況では、これらのシステムはセキュリティと正当性の有用な組み合わせと見なされ、多要素認証を通じて多くのサービスの究極のセキュリティを支えています。しかし、同時に、企業の監視とセキュリティの欠陥の多くを被っており、どちらも比較的簡単に盗まれ、盗まれた場合の回復が困難であり、政府発行のIDのような強力な法的根拠を欠いています。

このスペクトルとはまったく異なる方向には、より伝統的な文脈とデジタルネイティブな文脈の両方において、より小さく、より多様で、よりローカルなIDシステムがあります。これらについては、カリヤ・ヤングの著書「Domains of Identity」[^Young]で詳しく説明されています。

• 教育資格、専門家協会や労働組合、政党、宗教組織などの市民社会への登録と取引。

• 仕事に関連する資格やアクセスなどの雇用登録と取引。

• ロイヤルティカードや民間保険への加入などの商業登録と取引。

• 「ダークウェブ」フォーラム（例：4chanまたはReddit）からビデオゲームや仮想世界のインタラクション（例：Steam）まで、さまざまなオンラインの社会的および政治的インタラクションで使用される仮名ID。

• 金融取引、「Web3」で使用されるアカウント、分散型自律組織（DAO、これについては後述）、Discordなどのサーバー上での関連する議論。

• 機械または生物学的（すなわち精神的な）基質に記録された、共有された個人的および関係的な履歴、交換されたコミュニケーションなどを記録する、個人的なデジタルおよび現実世界のつながり。

[^Young]：Kaliya "Identity Woman" Young, Domains of Identity: A Framework for Understanding Identity Systems in Contemporary Society (London: Anthem Press, 2020).

これらのIDは、私たちがこれまで議論してきた中で最も⿻であり、最も共通の特徴が少ないものです。これらは、それらの断片化と異質性に正確に関連するいくつかの特徴を共有しています。

1. これらのシステムは非常に断片化されており、現在相互運用性が限られており、めったに連合または接続されておらず、したがって適用範囲が非常に限られています。検証可能な資格情報[^VC]などの新しい標準は、この課題に対処しようとしています。

2. 同時に、これらの身元確認のソースは、多くの場合、最も自然で、適切で、非侵襲的なものとして経験されています。これらは、トップダウンの命令や権力構造ではなく、人間の相互作用の自然な過程から生じるように見えます。これらは非常に正当なものと見なされますが、決定的なものではなく、「法的」身元の外部のソースではなく、多くの場合、仮名またはその他のプライベートなものと見なされます。

3. これらは豊富で詳細な個人情報を狭いコンテキストまたは人生のスライスに記録しますが、他のコンテキストから明確に分離されています。その結果、個人的な関係に基づいた強力な回復方法があります。

4. これらは、デジタルユーザーエクスペリエンスが不十分な傾向があります。デジタル化されていないか、デジタルインターフェースの管理プロセスが技術に不慣れなユーザーにとって使いにくい場合があります。これらの例は、おそらくデジタルIDに最も周辺的なものですが、そのシステムの状態を最もよく表している可能性もあります。デジタルIDシステムは異質であり、一般的に非常に安全ではなく、相互運用性が弱く、機能が限られている一方で、集中した権力を持つエンティティが、広範な監視と、多くの場合、それらが保護するために確立されたプライバシーの規範の破壊を行うことを可能にしています。この問題はますます広く認識されており、多くのテクノロジー・プロジェクトがこれを克服することに重点を置いています。

公共および分散型デジタルID

技術におけるほとんどの顕著なトレンドとは対照的に、アイデンティティツールにおける最も影響力のある開発は、開発途上国を市場として対象としたものであり、多くの場合、「デジタル公共インフラ」の旗印の下で行われています。これは部分的に、これらの国々ではアイデンティティシステムが特に未発達であり、そのようなシステムに対する強いニーズが存在するという事実から生じています。しかし、おそらくその結果として、これらのシステムは、通常はバイオメトリクスに基づく、非常に単一で中央集権的な構造に従うことを選択しており、デジタルネイティブのアイデンティティインフラが達成できることを印象的に示している一方で、アイデンティティを豊かに確立し、強力に保護するのに役立つという点では不十分です。

最も顕著な例は、インド政府がIndia Stackプログラムの一環として支援するAadhaarアイデンティティシステムです。Aadhaar登録には、当初、住民が既存のさまざまな機関（既存の州政府、配給カードなど、リストは広範囲にわたっていました）から既存の身分証明書を提示する必要がありました。[^Aadharinfo] 各登録者は写真を撮影され、虹彩スキャンを行い、10本の指紋すべてを共有しました。新しい登録者の情報は、データベースに対して照合され、既に登録されているかどうかが確認されました。一意であれば、Aadhaar番号が発行され、カードに記載されて郵送されました。インド固有識別機関（UIDAI）。[^UIDAI] データベースに対して認証を行う機能を持つ特別な機関を通じて認証サービスを提供します。政府サービスとやり取りする人々は、Aadhaar番号を主張し、次にシステムに送信された指紋を提示し、認証に関するyes/noの回答が返されました。

[^Aadharinfo]: 彼らは、氏名、生年月日、性別、物理的な郵送先住所という4つのデモグラフィック情報のみを求められました（電話番号やメールアドレスも要求されましたが、必須ではありませんでした）。これらは登録代理人によって収集され、新しい登録者の情報はバッチでインド固有識別機関が管理する中央データベースに送信されます。

その後、インド最高裁判所は、民間部門がシステムを使用できる範囲を制限しました。[^SCR] それにもかかわらず、Aadhaarは登録代理人が全国で登録を最大化するために報酬を受け取ったため、インド人口の99％以上を登録しました。政府はまた、Aadhaarを8億人以上が毎月受け取る月額配給を含む社会サービスの提供の中核的な部分にし、税務ID番号（PANと呼ばれる）とのリンクも推進しました。Aadhaarは、世界中のどのアイデンティティスキームの中でも、規模、周辺地域の包含、セキュリティの最も印象的な組み合わせを実現したと考えられています。Aadhaarモデルは、モジュラーオープンソースアイデンティティプラットフォーム（MOSIP）[^MOSIP]の開発と、アジア（例：フィリピン、スリランカ）およびアフリカ（例：ウガンダ、モロッコ、エチオピア）での採用に影響を与えました。現在までに、彼らは1億人を登録しています。MOSIPプラットフォームは、分散型アイデンティティモジュールInji[^Inji]を作成しており、これを使用する人々は、特定の国民システムに登録された住民/市民のウォレットに検証可能な資格情報を発行する機能を提供します。

この成功に部分的に触発されて、OpenAIの共同創設者Sam Altman氏と協力者を含む技術者グループが、2019年に世界初のグローバルな普遍的なバイオメトリックアイデンティティとなることを目指してWorldcoinを立ち上げました。[^Altman] 独自の「オーブ」を使用して、現在までに数百万人の人々の虹彩をスキャンしており、ほとんどが開発途上国です。暗号化を利用して、これらのスキャンを「ハッシュ」するため、表示または回復できませんが、将来のスキャンはそれらに対してチェックして一意性を確認できます。これを使用して、暗号通貨の単位を入金するアカウントを初期化します。彼らの使命は、GFMsが人間を模倣する能力がますます高まるにつれて、地球上のすべての人々に平等な「普遍的な基本所得」を配布したり、投票やその他の普遍的な権利への参加を許可したりするために使用できる、安全なアイデンティティの基盤が残ることを保証することです。

これらの広範なバイオメトリックシステムに対する強い関心にもかかわらず、それらには、アイデンティティを確立および保護する能力に重要な限界があります。登録時（または登録時）に収集された個人からのバイオメトリクスのセットに関連付けられた単一の識別子に、非常に多様なインタラクションをリンクすることは、厳しいトレードオフを強制します。一方、（Aadhaarの場合のように）プログラムの管理者が常にバイオメトリクスを認証に使用している場合、彼らは活動と識別子が指し示す人物によって行われた活動とのリンクまたは表示が可能になり、広範なドメイン全体での市民活動を監視し、潜在的に脆弱な集団のアイデンティティを損なうまたは標的にする前例のない能力を得ます。[^ZKAadhar] 活動家は、この問題に関する懸念をインドのイスラム教徒少数派の状況に関して繰り返し提起してきました。

[^ZKAadhar]: ただし、ゼロ知識証明（ZKP）などの暗号化でそのようなシステムを拡張すれば、ユーザーのプライバシーを部分的に保護できることに注意する価値があります。Anon-Aadhaarなどのプロジェクトでは、Aadhaarユーザーは、証明可能な方法で、特定のエンティティに情報のサブセットのみを選択的に公開できます。「Advancing Anon Aadhaar: What’s New in V1.0.0」、Mirror、2024年2月14日、https://mirror.xyz/privacy-scaling-explorations.eth/YnqHAxpjoWl4e_K2opKPN4OAy5EU4sIJYYYHFCjkNOE。

一方、Worldcoinのように、バイオメトリクスを使用してアカウントを初期化する場合のみプライバシーが保護されている場合、システムはアカウントの盗難または販売に対して脆弱になり、関連サービスの運用を壊滅させている問題が発生します。[^Idena2] 人々がアクセスしようとするほとんどのサービスは、彼らが一意の人間であることを証明する以上のもの（例：特定の名前、認識された政府によって発行された何らかの種類のID番号、ある国の市民であること、そしておそらく教育や雇用の資格証明書など、いくつかの属性など）を要求するため、この極端なプライバシーの保護は、システムのユーティリティの大部分を損ないます。さらに、そのようなシステムは、バイオメトリックシステムの技術的なパフォーマンスに大きな負担をかけます。将来、眼球が人工知能システムと高度な印刷技術を組み合わせることでなりすまされる可能性がある場合、そのようなシステムは極端な「単一障害点」の影響を受ける可能性があります。[^Buterincritique] 要するに、包含と簡素化の重要な能力にもかかわらず、バイオメトリックシステムは、⿻をサポートするために必要な豊かさおよびセキュリティでアイデンティティを確立および保護するには、あまりにも還元的です。

[^Idena2]: Ohlhaver et al., op. cit. [^Buterincritique]: Vitalik Buterin、「バイオメトリックによる人格証明についてどう思いますか？」、2023年7月24日、https://vitalik.eth.limo/general/2023/07/24/biometric.html。

まったく異なる場所から出発して、アイデンティティに関する別の仕事のセットが、同様の課題のトレードオフに達しました。「分散型アイデンティティ」に関する作業は、上記で強調したデジタルアイデンティティに関する多くの懸念事項（断片化、自然なデジタルインフラストラクチャの不足、プライバシー、監視、企業による管理の問題）から生まれました。重要な創設文書は、MicrosoftのアイデンティティアーキテクトであるKim Cameron氏の「アイデンティティの法則」[^LawsOfIdentities]であり、ユーザーコントロール/同意、適切な当事者への最小限の情報開示、複数のユースケース、参加の多元主義、人間のユーザーとの統合、コンテキスト全体でのエクスペリエンスの一貫性の重要性を強調していました。Kim Cameron氏は、MSFT在籍中にcardspace[^CS]システムの開発に携わり、これがInformationCard[^icard]標準になりました。これらは、一部は時期尚早であったため市場で採用されませんでした。スマートフォンはまだ広く普及しておらず、さらに、このデバイスが人々の財布を保持できるとの考えは、アプリケーション開発者によって採用されませんでした。

ブロックチェーン分散型台帳の出現により、単一の問題に過度に結びつくのではなく、識別子に対する個々の制御を達成することに対する分散型アイデンティティコミュニティの関心が再び高まりました。これにより、グローバルに解決可能な分散型エンドポイントと関連付けられた公開鍵を定義するW3Cでの分散型識別子（DID）標準の作成が促進されました。[^DID] これにより、ブロックチェーンなどの「公開」データリポジトリに根ざしたアイデンティティに対する個人の「所有権」を付与し、さまざまなエンティティがこれらの識別子を参照するデジタル資格情報を発行するための標準化された形式を作成する方法が作成されます。

これらのシステムは、個人が複数のアカウント/匿名を使用できるようにする柔軟性を備えています。また、個人が自分のアイデンティティを真に「所有」するには、アクセス権を与える究極のキーを制御するか、または何らかの上位の管理機関に頼ることなくそのキーを確実に回復できる必要があるという共通の実用的な課題を共有しています。バイオメトリクス（上記で説明した問題）以外に、信頼できる権限なしに回復を許可する広く合意された方法はなく、大規模で多様な社会において個人が確実に自己管理できるキーの例はありません。

これらの共通の課題にもかかわらず、これらのスキームの詳細は劇的に異なります。一方の極端な例として、「検証可能な資格情報」（VC）の支持者は、プライバシーと、ユーザーがいつどのような主張を提示するかを制御できる能力を優先します。他方の極端な例として、「ソウルバウンドトークン」（SBT）やその他のブロックチェーン中心のアイデンティティシステムの支持者は、例えば、融資の返済や芸術作品の複製をしないことなど、公開された約束である資格情報の重要性を強調し、そのため、主張が公開的にアイデンティティに結び付けられる必要があります。ここで、回復に関する課題とDID/VC-SBTに関する議論の両方において、アイデンティティの確立と保護のバランスという、魅力的ではないトレードオフが見られます。

アイデンティティとしての交差点

この一見して両立不可能な対立を超えて、中央集権的な監視なしに、アイデンティティの安全な確立と強力な保護を確保する方法はあるのでしょうか？自然な答えは、『つながる社会』と『失われた道』で説明した⿻の伝統に基づいています。アイデンティティの⿻的性質とネットワークアーキテクチャの可能性を活用することです。パケットスイッチングが分散化とパフォーマンスを統合し、実際に接続したように、ハイパーテキストが速度とテキストを通る多様な経路を統合したように、適切な実験と標準化の組み合わせがあれば、アイデンティティに対する⿻のアプローチが、アイデンティティの確立と保護の目標を統合できることがますます現実味を帯びています。

基本的な考え方は、おそらく生体認証と対比することで最も容易に理解できます。生体認証（例：虹彩スキャン、指紋、遺伝情報）は、個人を一意に識別する詳細な物理情報であり、原則として、その人物にアクセスできる適切な技術を持つ人であれば誰でも確認できます。しかし、人間は生物学的であるだけでなく、社会学的でもあります。生体認証プロファイルよりもはるかに豊かなのは、彼らが他の個人や社会集団と共有する歴史と相互作用の集合です。これらには生体認証が含まれる可能性があります。結局のところ、私たちは誰かと直接会うたびに、少なくとも部分的には彼らの生体認証を認識し、彼らは他の人々の痕跡を残す可能性があります。しかし、それらに限定されるわけではありません。代わりに、場所の共同知識を意味する、場所にいるという行為自体を暗示する場所、そしてほとんどの人が他の人の検出可能な近隣でほとんどの時間を使う場所など、社会的な相互作用の中で自然に共同で観察されるすべての行動と特性を含みます。

• 場所。一緒にいるという行為自体が、他者の場所に関する共通の知識を意味する（これは法医学におけるアリバイの基礎となる）ため、そしてほとんどの人がほとんどの時間を他の人の検出可能な範囲内で過ごします。

• コミュニケーション。常に少なくとも2人の参加者がいます。

• 行動。仕事中、遊び中、ワークショップ中など、行動は通常、何らかの聴衆のために、またはその存在下で行われます。私たちが『⿻とは何か？』の章で引用したように、これがハンナ・アーレントが「行動」を定義する方法です。

• パーソナリティ特性。通常は他の人とのやり取りの中で現れます。実際、私たちが他者のアイデンティティを考える方法は、通常、そのような「社会測定法」つまり、その人と行ったこと、一緒に訪れた場所、彼らがしたこと、そして彼らの行動方法など、主に彼らの外見や生物学ではなく、主にそのようなものです。

オンラインアイデンティティへのこのような社会的な、⿻的アプローチは、20年以上前にダナ・ボイドが「多面的なアイデンティティ」に関する驚くほど先見性のある修士論文で先駆けてきました。[^boyd] 彼女は主にそのようなシステムの個人的な主体性（ジンメル精神で）に対するメリットに焦点を当てていましたが、アイデンティティの確立と保護のバランスに対する潜在的なメリットはさらに驚くべきものです。

• 包括性と冗長性：これらのデータは共同で、人について知るべきほぼすべてのこと、私たちの大部分は他人と共有するさまざまな相互作用と経験によって決まります。見知らぬ人に証明したいことがほぼ何でもあれば、何らかの専用の監視戦略なしに、この情報を「保証」できる人や機関（通常は多数）の組み合わせがあります。たとえば、特定の年齢以上であることを証明したい人は、長年知っている友人、通った学校、さまざまな時期に年齢を確認した医師、もちろん年齢を確認した政府に頼ることができます。このような⿻属性検証システムは非常に一般的です。多くの管轄区域では、政府発行の身分証明書の申請時に、銀行明細書、公共料金の請求書、賃貸契約書など、住所の属性証明方法を多様化して認めています。

• プライバシー：さらに興味深いことに、属性のすべての「発行者」は、私たちの大部分が「プライバシー」と一致していると感じる相互作用からこの情報を知っています。私たちは、企業や政府による監視のように、これらの社会的事実の共同知識を心配するわけではありません。しかし、次の章では、これらの（すべき/できる）アプローチがプライバシーに関する懸念をどのように軽減するかについて、より正確に説明します。

• 段階的な認証：単一要素による標準的な検証では、ユーザーは検証パーティ/システムに対する信頼と同等の信頼で、証明された事実/属性に自信を持つことができますが、このような⿻システムでは、より多くの信頼できる属性発行者を利用することで、幅広い信頼レベルを実現できます。これにより、必要なセキュリティに基づいて、さまざまなユースケースに適応できます。

• セキュリティ：⿻はまた、「単一障害点」の多くの問題を回避します。数人の個人や機関が腐敗しても、それらに依存する人にしか影響せず、社会のごく一部である可能性があり、それらの人にとっても、上記の冗長性により、達成できる検証が部分的にしか減少しない可能性があります。これは、AIと印刷技術の進歩による生体認証システムへの潜在的なリスク（上記参照）を考えると特に重要です。上記の他の検証方法の基礎ははるかに多様であるため（さまざまなコミュニケーション行為、物理的な遭遇など）、特定の技術的進歩に基づいてすべてが失敗する可能性ははるかに低くなります。

[^boyd]：ダナ・ボイド、「多面的なアイデンティティ：デジタル世界における表現の管理」、2002年、マサチューセッツ工科大学メディア芸術科学プログラムの修士論文、https://www.media.mit.edu/publications/faceted-identity-managing-representation-in-a-digital-world/で入手可能。

[^socialrecovery]：ヴィタリック・ブテリン、「なぜソーシャルリカバリウォレットの幅広い採用が必要なのか」、2021年1月11日、https://vitalik.eth.limo/general/2021/01/11/recovery.html。[^DecentSociety]：プージャ・オエルハーバー、E.グレン・ウェイル、ヴィタリック・ブテリン、「分散型社会：Web3の魂を見つける」、2022年、https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4105763。

上記のメリットは、上記のトレードオフと比較すると注目に値します。しかし、本質的に、それらは『失われた道』で論じた、⿻構造がより中央集権的な構造よりも一般的に持つメリット、つまりコミュニケーションネットワークのためにパケットスイッチングアーキテクチャへの移行を促したメリットの非常に単純な拡張です。これが、Trust over IP Foundationなどの、このような未来を実現しようとする主要な組織の一部が、インターネットプロトコルの作成の歴史との緊密な類似点を引いている理由です。このような⿻システムを機能させるには、もちろん多くの技術的および社会的課題があります。

• 相互運用性：このようなシステムを機能させるには、明らかに、現在存在する幅広いアイデンティティシステムと情報システムが、独立性と整合性を維持しながら相互運用する必要があります。これは明らかに途方もない調整作業ですが、インターネットそのものの基礎を支えるものと根本的に同じものです。

• 複雑性：非常に多様な個人や機関との信頼関係と検証関係の管理と処理は、ほとんどの人、さらには機関にとっても能力を超えています。しかし、この複雑さに対処するためのいくつかの自然なアプローチがあります。1つは、モデルを使用する個人や機関の関係と状況に適応するようにトレーニングされたGFMsの増大する能力を活用して、そのような多様な信号から意味を抽出することです。適応管理に関する後の章で、この可能性について詳しく説明します。もう1つのアプローチは、個々の機関が管理する必要がある関係の数を制限し、中規模の機関（中規模企業、教会など）を仲介役とする（Jaron Lanierと私たちの一人が「個人のデータの仲介者またはMID」と呼んでいます）、または地球上のほぼ2人の人を少ないリンク数（約6つ）で接続することが知られている「友達の友達」の関係（「推移的信頼」と呼んでいます）のいずれかに依存することです。[^MIDs] これら2つのアプローチの魅力、トレードオフ、互換性については、以下で説明します。

• 遠隔地の信頼：密接に関連する別の問題は、私たちが出会う見知らぬ人の自然な検証者の多くが、私たち自身は知らない人々である可能性があることです。ここでも、トランジティブトラストとMIDの組み合わせを使用することが自然です（すぐに説明します）。通貨は、本書のこの部分の後の章で説明するように、ここで役割を果たす可能性もあります。

• プライバシー：最後に、ほとんどの人は上記の社会的イベントの自然な流れからの情報の記録に快適さを感じる一方で、検証のためにそれを共有することは重要なプライバシーの問題を引き起こす可能性があります。そのような情報は、社会生活の自然な流れの中に留まることを意図しており、アイデンティティ検証のためにそれを利用する際には、これらの「文脈的整合性」の規範に違反しないように、細心の注意が必要です。この課題への対処は、次の章の焦点であり、この章の最後に説明します。

[^MIDs]: Jaron Lanier and E. Glen Weyl, "A Blueprint for a Better Digital Society" Harvard Business Review: Big Idea Series (Tracked) September 28, 2018: Article 5 available at https://hbr.org/2018/09/a-blueprint-for-a-better-digital-society. Duncan J. Watts and Steven H. Strogatz, "The Collective Dynamics of 'Small World' Networks" Nature 393 (1998): 440-442.

⿻アイデンティティ

⿻アイデンティティシステムに関わる複雑さと社会的距離をどのように管理できるでしょうか？将来の章で、GFMsの可能性のある役割に戻ります。堅固なネットワークベースのアプローチに焦点を当てると、2つの自然な戦略は、『失われたダオ』でインターネットの先駆者ポール・バランが想像していた2種類のネットワークに対応します。「分散化」（「ポリセントリズム」とも呼ばれ、私たちが使用します）では、かなりの規模の検証者が多く存在しますが、圧倒的な複雑さを生み出すほど多くはありません。または「分散」では、大規模な検証者が少なく、代わりに推移的信頼を使用して社会的距離をカバーします。[^poly] これらの可能性すべてを考慮する際に役立つ基本的なヒューリスティックは、「ダンバー数」です。これは、人類学者ロビン・ダンバーが、重要な情報技術がない状態で人々が安定した関係を維持できる人数（通常は約150人）です。[^Dunbar] 正確な数字が何であれ、ほとんどの人が重要な技術支援なしに数百を超える関係、評判の評価などを管理することはできないことは明らかです。

[^poly]: Cameron, op. cit. [^Dunbar]:R.I.M. Dunbar, "Neocortex Size as a Constraint on Group Size in Primates", Journal of Human Evolution 22, no. 6 (1992): 469-493.

ポリセントリックアプローチは、プレーヤーの数を制限することでこの問題に対処しようとします。これは明らかに⿻を制限しますが、参加者が妥当な多様性の所属を維持している限り、大きな問題ではありません。たとえば、人口が100億人で、それぞれの人が潜在的に検証機関（政府、教会、雇用主など）との100の関係を維持しているとします。検証が機能する可能性を高めるために、2人の人が会うには、少なくとも5つの重複するメンバーシップを共有する必要があるとします。メンバーシップがランダムに分布している場合、300の検証者が共存し、それでも任意の2人の個人の検証が失敗する可能性を数百万分の1にすることができます。もちろん、出会う人はめったにランダムではなく、所属をランダムに形成するわけでもなく、特にランダムに出会う人々の間では、ほとんどのやり取りに5つの重複するメンバーシップが絶対に必要であるとは限りません。これらはすべて、はるかに多くの検証者がそのような⿻メンバーシップの環境で繁栄できることを示唆しています。

しかし、この数は明らかに人口規模よりもはるかに小さく、おそらく10万前後でしょう。これは100億を10万倍する特性を持つ数です。これは、現在のアイデンティティの状況よりもはるかに多くの⿻であり、自律性/制御と機能性/セキュリティの間にるかに優れたトレードオフを可能にします。しかし、さらに可能でしょうか？

量的社会学における最も重要な発見の1つは、ダンバーのような制限にもかかわらず、数度の分離をたどることで、ほとんどの人が互いにつながっているということです。これがどのように可能であるかを確認するために、私たちそれぞれが100の関係しか維持できないと仮定します。これは、私たちが100^2 = 10,000の2次関係、100^3 = 1,000,000の3次関係、100^4 = 100,000,000の4次関係、そして100^5 = 10,000,000,000の5次関係を持つ可能性があることを意味し、これは世界人口よりも大きくなります。したがって、私たちそれぞれが地球上の他のすべての人から5度の分離以内にあることは十分に可能です。これらの関係の一部は、どのレベルでも重複するため、分離の程度はいくらか大きくなるはずです。ほとんどの社会学的研究では、ランダムに選ばれた2人の人の間で約6度の分離が見つかっています。[^Sep]さらに、少なくとも7つの鎖に行く場合、通常は2人の人の間に多くのほとんど独立した社会的なつながりの鎖があります。

[^Sep]:Watts and Strogatz, op. cit.

さらに、推移的な鎖を通して関係、情報、有効性を確立するという考え方は古くから一般的です。それは紹介の概念、電話ゲーム（その制限のいくつかを強調しています）、そして人気の高いプロフェッショナルソーシャルネットワークLinkedInの背後にあるものです。社会的距離のある人々の間の多くの可能な紹介の鎖を見つけて管理するには、明らかに何らかの技術的なサポートが必要ですが、コンピュータサイエンスの研究によってすでに可能であることが示されているものよりもはるかに大きなものではありません。これは古典的な「最大フロー」問題として知られています。この問題は、インターネットを動かすパケットスイッチングを基礎とする問題と非常に似ています。

さらに、分散型戦略と分散型戦略を組み合わせることで、互いに大きく増幅することができます。簡単な例として、上記で属性発行者が10万存在する可能性があると示唆したことを検討してください。100億の世界では、それぞれが平均して10万人の参加者との関係を管理する必要があります。彼らが他の発行者と同様数の関係を管理することもできれば、すべての発行者は他のすべての発行者と直接的な関係を持つことになります。2度の分離ははるかに多くのことができるため、他の発行者からの属性を活用して検証を行うことができるという同じ論理の下で、何百万もの発行組織が繁栄することができます。したがって、推移的信頼とポリセントリズムの混合は、以下で説明するGFMsの魔法なしでも、非常に⿻、したがって機能的でプライベートなアイデンティティの状況を容易に許容することができます。

アイデンティティと関連付け

したがって残る重要な問題は、そのような⿻社会的検証のプロセスが最終的にアイデンティティの保護を損なうかどうかです。結局のところ、私たちがこのような機能不全なアイデンティティの状況を持っている理由の中核となる部分には、自由民主主義政治体がアイデンティティシステムの作成に抵抗してきたことがまさにこの恐れであるということです。より良い代替案を構築するためには、この次元で最も優れたものになるようにする必要があります。しかし、そうするためには、⿻の観点から「プライバシー」と「コントロール」が正確に何を意味するのかを深く掘り下げる必要があります。

前述のように、私たちに関するほぼすべての関連情報は他の人々に知られており、通常は私たち自身に関することと同じくらい彼らに関することでもあります。私たちの中の誰も、この明白な事実をプライバシーの侵害と感じていません。実際、最初のキスに関する記憶をそのキスのパートナーの心から消すことは、私たちの一人がその情報を不適切に共有することと同じくらいプライバシーの侵害になります。したがって、私たちが求めているのは、「プライバシー」という言葉ではうまく説明できません。それは、情報が意図された社会的設定に残ること、つまり主要なプライバシー学者ヘレン・ニッセンバウムが「文脈的整合性」と呼ぶことです。[^Nissenbaum] 実際、それはある種の公開性を必要とします。情報が意図された者と共有および理解されない場合、情報が共有されすぎる場合と同じくらい有害となる可能性があります。これらが本質的に社会的設定であることを考えると、さらに、それらは主に個人の選択や保護に関するものではなく、むしろ情報に関する集団の規範の侵害に対する人々のグループの保護に関するものです。要約すると、中心的な問題は別の基本的な権利、つまり結社の自由に関するものです。本質的に、パーソナリティの権利をサポートおよび実施するシステムは、同時に結社の自由と、関連付けの確立と保護という二重の課題を強化する必要があります。これは、アイデンティティの状況と同様です。

[^Nissenbaum]: Helen Nissenbaum, "Privacy as Contextual Integrity", Washington Law Review 119 (2004): 101-139.

[^SCR]: Read: Full Text of the Supreme Court's Verdict in the Aadhaar Case. Of the five judge-bench that delivered the verdict, three justices delivered separate opinions. https://thewire.in/law/aadhaar-judgment-supreme-court-full-text [^OAuth2]:OAuth 2.0 is the industry-standard protocol for authorization and provides specific authorization flows for web applications, desktop applications, mobile phones, and living room devices. https://oauth.net/2/ IETF Working Group https://datatracker.ietf.org/wg/oauth/about/ [^OpenID]: OpenID Connect enables application and website developers to launch sign-in flows and receive verifiable assertions about users across Web-based, mobile, and JavaScript clients. https://openid.net/developers/how-connect-works/ [^Zuboff]: https://en.wikipedia.org/wiki/Surveillance_capitalism [^UIDAI]: The official UIDAI site https://uidai.gov.in/en/ [^Inji]: Inji is a user-centric digital credential stack in MOSIP for all types of credentials and identification solutions. https://docs.mosip.io/inji/