SSI(自己主権型ID)と個人情報保護規則

目次

  • 前提
  • GDPR(欧州一般データ保護規則)とSSIベースの分散モデル
  • 分散モデルにおけるデータ管理者および処理者の考慮事項
  • 総論

前提

本レポートではブロックチェーン(または分散台帳技術)を基盤とするSSI(自己主権型ID)に基づいたエコシステムとそれを取り巻く規制環境、主にGDPRをはじめとするデータ保護規則への適応可能性について概観、および一部考察を行います。
国内におけるマイナンバーカードの累計交付数は2021年2月1日時点で3,198万枚、人口に対する交付枚数率は25.2%と4人に1人がカードを取得しており、昨年3月1日時点の1,973万枚(交付率15.5%)を踏まえると、マイナンバー制度導入からの過去5年間で大きく普及が進んだ年であったことを実感できます。
政府がマイナンバーカードを推し進める背景にはコロナ禍で切望されたデジタル社会のインフラ整備のためと言え、時代の潮流が後押ししていると考えられます。その一方でまた別の潮流である「デジタル社会における個人情報保護」の観点からの懸念がマイナンバーカード普及を妨げている一因と言えます。トラストバンクによるマイナンバーカードの世論調査結果を参照すると、マイナンバーカードを保有しない理由として「個人情報やプライバシーが心配だから」を挙げた人が「持っていない」と返答した人の内の34.6%に上り、あくまでアンケート対象者の範囲であるとは言え、その懸念の大きさを暗示しています。
このような背景はありつつも、今後のデジタル社会においてデジタルIDは不可欠な要素の一つであるともいえ、どのように個人を特定する情報をオンライン上で取り扱うべきか、その管理モデルそのものの革新も期待されます。本レポートでは個人情報管理の新たなモデルとして注目されつつあるSSI(自己主権型アイデンティティ)という概念に基づくDID(分散型識別子)を取り上げ、既存の個人情報保護に関連する規制との兼ね合いについて概説し、現時点でどのような懸念があるのかを考察します。
なお、筆者は法律に関する専門家ではないことを改めて免責しておきます。事業者の方が本レポートを元に意思決定を行った場合の不利益の一切を弊社は責任を持たないとともに、規制や会計基準の専門家の方々におかれましては本レポートの内容が事実と異なるものであった場合にはぜひご指摘をお願い致します。
※個人を特定できる情報(以下PII/Personal Identifiable Information)を取り扱う際には、それに関係する利害関係者はPIIの使用法を規定する一連の法律を遵守する必要があります。本レポートではSSIの概念が比較的進んでいる欧州をその例として取り上げますので、GDPR(一般データ保護規則)を中心に取り扱います。ただし、本レポートでの記載内容はその他CCPA(カリフォルニア州消費者プライバシー法)、DPA(インドデータ保護法)、国内の個人情報保護法などの類似の法律でも参考になる箇所もあります。

このレポートはProプラン、法人会員限定のレポートです。

Proプランのユーザとして登録するか、法人契約を行うことでレポートの続きをお読みいただけます。