「信頼フレームワーク最新動向」～Open Government, Open Economy, Open Identity～ 2011年7月28日（木） http://www.openid.or.jp/modules/news/details.php?bid=41 http://www.ustream.tv/recorded/16287210

1. US政府のID戦略に関するワークショップ
NSTIC Privacy Workshop
参加報告
July 28, 2011
慶應義塾大学 政策・メディア研究科 特任講師
折田 明子
ako@sfc.keio.ac.jp
Twitter: oritako

2. 内容
• NSTIC概要
• Privacy Workshop at MIT, Boston 参加報告

3. National Strategy for Trusted Identities in
Cyberspace (NSTIC)
• NIST (National Institute of Standards and Technology)
によって提示された戦略文書
• 2010年6月ドラフト版 → 2011年4月 本文
– PDF 52ページ 公開されている
• “Enhancing Online Choice, Efficiency, Security and
Privacy”
「選択・効率性・安全性とプライバシ」
http://www.whitehouse.gov/sites/default/files/rss_view
er/NSTICstrategy_041511.pdf

4. NSTIC Animation Video
• http://www.youtube.com/watch?v=ATbQnT0MSlM

5. いくつものパスワードを
あたりまえになってしまった 管理するコスト
ID盗難
大きな被害額、不便さ
そもそも意味ない
パスワード。。
Ex. 123456
ますます精巧に、
そして増えるフィッシング
いくつもいくつも
アカウントを管理する。。
強いクレデンシャルの導入で
侵入を46%減（国防総省）
シングルサインオン導入で
年間50時間/人 減

6. なぜ必要か？ - Why we need it-
• ID盗難と不正利用
• 日常のオンライン行動：買い物、銀行、SNS、職場の
イントラネットなど
1. パスワードは不便だし安全ではない
2. 個人は、重大な取引の歳に自分の真のアイデンティティ
を証明できない
「個人と組織に、安全で、効率的で、使いやすいフレーム
ワークを提供する。そして、信頼とプライバシ、選択とイノ
ベーションを以てオンラインサービスにアクセスするために、
相互運用性のあるアイデンティティ・ソリューションを提供す
る。」
“The National Strategy for Trusted Identities in Cyberspace: Why We Need It ”
http://www.nist.gov/nstic/NSTIC-Why-We-Need-It.pdf より

7. NSTICの原則
アイデンティティソリューションの要件
1. Privacy-Enhancing and Voluntary
– プライバシー保護と主体的な参加
2. Secure and Resilient
– 安全で回復力がある
3. Interoperable
– 相互運用性がある
4. Cost-Effective and Easy to Use
– 安価で簡単に使える

8. NSTICのビジョン
個人や組織が、安全で、効率的で、簡単で相互
運用性がある アイデンティティソリューションを
利用して、
信頼性、プライバシー、選択、イノベーション を
促進する形で、オンラインサービスにアクセスで
きる
ユーザを中心とした、Identity Ecosystem

9. Identity Ecosystem
個人や組織が、安心・簡単にオンラインサービスを利用するためのユーザ中心のエコシ
ステム

11. NSTICのゴールと目標
1. 包括的なIdentity Ecosystemフレームワークの開発
1. 強化されプライバシ保護機構の確立
2. 定義されたリスクモデルを前提とした包括的な
identification&autentication標準の確立
3. Identity Ecosystemへの参加者の責任(responsibility)の定義と
責務(accountability)を提供する機構の確立
4. 標準化の運営委員会の設立とプロセスの加速
2. Identity Ecosystemの構築と実行
3. Identity Ecosystemに対する信任と参入しやすさの促進
4. Identity Ecosystemの長期的な成功と持続性の確保

12. NSTIC Workshop
• 第1回
– Governance
– 2011年6月9日〜10日, ワシントンD.C.
• Identity Ecosystemにおけるガバナンスの理解を深める
• 得られる利益や期待に対して理解するための基礎をつくる
• フォーカスする分野を特定し、NPOと運営側のガバナンスモデル・構造に基づ
いて協働する
• 政府の立場から運営委員会の要件を述べる／参加者の立場から要望を聞く
• 運営主体の立ち上げにおける政府の役割について理解する
• 第2回
– Privacy
– 2011年6月27日〜28日, MITメディアラボ（ボストン）
• 第3回（予定）
– Technology
– おそらく西海岸

13. NSTIC Privacy Workshop (2011/6/27-28)
• MIT メディアラボにて2日間にわたって開催
– 参加費20ドル
– 参加者およそ140人（政策、産業、学界など）
– ネット中継あり。Twitterの書き込みも推奨される
• プログラム構成
1日目 基調講演 2日目 2日目のゴールについて
(6/27) (6/28)
NSTICの背景とWS概要 パネル：プライバシ強化技
術、ユーザビリティ、エンド
ユーザエクスペリエンス
パネル：実践的プライバシ
事例紹介と議論
グループ討議
(Breakout Session)
グループ討議
(Breakout Session) まとめ
まとめ

14. NSTIC Privacy Workshopがめざすもの
• NSTICの実行にあたり、関係者からプライバシに関連する
フィードバックを得るのが目的
• 全体予算は$ 24.5million、ここからパイロットプロジェクトを
始める
• 議論のトピック：プライバシ保護について
– 制度
– プライバシ保護のガイドライン
Identity Ecosystemを前提に、きちんと動くものにするにはど
うするか
• 前面では、明確でわかりやすく、使いやすいもの
• バックエンドでは、責任(accountability)を持ち、効果を測定し
てIdentity Ecosystemを評価できるように

15. Workshopから
• 個人情報保護からプライバシ保護へ
– 既存の規制は、データの種類に対するもの
– プライバシの定義が国ごとに異なる
– 規制のつじつまがあわない？！
• NSTICの原則
– 必要な属性だけを供給し、個人の同意無しに属性を連携させ
ない
– 匿名性(anonymity)と仮名性(pseudonymity)をサポートする
• ビジネスに利益がないと動かないのでは？（指摘）
• 国民ID制度を実施した国が、NSTICに関心を持ってコン
タクトしてきている
– 相互運用性をデザインする早期から関わりたい

16. 誰でも参加できる
• 質問・コメントは誰でもOK
– マイクが一本、その前に並ぶ (IETF方式？）
– 中継＆Tweetあり
• 車座になって Breakout Session（複数会場）
– 明確な結論を出すことが目的ではない
– 何を議論したか、報告はする
• アクティブな休憩エリア
– 別のSessionが走っていたり
– その場でデモをしたり
– 関連組織の名前を紙に書いて、壁に
貼っていく

17. 参加して
• 必ず名前が挙がるのは、GoogleとFacebook
• 匿名性 (anonymity)と仮名性(pseudonymity)の区別
– 識別ができないこと(unlinkability)と、Legal Nameの秘匿は
違うもの
– プライバシ保護とは何を守るものか
• プライバシの定義が共有しきれていない
– 確認せずに議論を始めると混乱
• Facebookで写真やプロフィールを公開することが「嫌だ」という話
なのか？
• 多少的外れであっても発言する！