パスワードレス・アライアンス韓国地域フォーラム
海外に委ねられたログイン、デジタル主権が揺らぐ!
最近、韓国をはじめ世界中がソブリンAI(Sovereign AI)に注目している。外国のビッグテック企業に依存せず、独自に人工知能(AI)を開発しデータを活用するという国家戦略は、デジタル主権のための重要な方向性として推進されている。しかし筆者は、ソブリンAIと同様に緊急性を帯び、共に検討すべき分野が「ソブリンログイン」であると考えている。
ほとんどのユーザーはオンラインサービスを利用する際に、ウェブブラウザにIDとパスワードを保存し、後で自動的に入力してくれるパスワード自動入力機能を使用するか、Google、Facebook、Microsoft、Appleなどの外国企業のソーシャルログインを通じて他のオンラインサービスにログインする。また、海外の有名オンラインサービスでは生体認証ベースのパスキーログインを強調し、パスワードレスを積極的に推進している。
しかし、ログインの利便性のために使用するブラウザ内の自動入力、ソーシャルログイン、生体認証パスキーなどは、ユーザーだけが知るべきデジタル鍵が海外で管理されているのである。
ブラウザの自動入力機能は、ブラウザメーカーのパスワードマネージャー機能を利用しており、海外サーバーにユーザーの全IDとパスワードが同期される方式である。ソーシャルログインは、外国事業者がサービス利用者と提供者の間で認証を代行できるよう権限を委任された構造であり、 最後に生体認証パスキーも、スマートフォンやPCに保存された秘密鍵がオペレーティングシステムを開発した外国プラットフォーム事業者に同期され、生体認証用秘密鍵が外国企業によって管理される構造である。
つまり、プライバシーを含むオンライン上のあらゆるデータと活動履歴にアクセスできる鍵が海外に保管されていることになる。国内のユーザーが国内のサービスを利用する場合でも、デジタル鍵が海外に委託されている状態であれば、すべてのデータと活動履歴に自分だけがアクセスできるとは限らない。
利便性を理由にデジタル鍵を第三者に無思慮に預け続けるならば、ユーザーのデジタル主権は既に失われている。これは単なる技術選択の問題ではなく、オンライン上のアイデンティティと情報主権全体を海外に委任する構造という点で本質的な問題と捉えるべきである。「ソブリン」という言葉がAIを通じて話題となるこの時点で、デジタル主権確保のための「ソブリンログイン」についてより根本的に考え、実践すべき時である。
ソブリンログインを解決するための国際標準とフリーテクノロジー
ユーザーが利便性を維持しつつ第三者に依存しないソブリンログイン技術が次々と登場している。代表的なものがソブリンパスワードレス技術である「Passwordless X1280」とソブリンパスワードマネージャー技術である「QR Password Manager」である。
ソブリン パスワードレス技術 **Passwordless X1280**
**パスワードレスX1280**は、オンラインサービスにログインする際にユーザーがパスワードを入力せず、オンラインサービスが自動生成したパスワードをユーザーに提示し、ユーザーがスマートフォンで生成した値と比較して一致した場合に承認する方式である。従来の方式ではユーザーがパスワードを入力し、オンラインサービスが一致の可否を承認していたが、この技術ではオンラインサービスが自動パスワードを提示し、ユーザーが一致の可否をスマートフォンで承認するため、ユーザーのパスワード記憶や変更に関する責任がなくなる。
特にアカウントの不正利用やフィッシング被害が発生しても、オンラインサービスは一切責任を負わず、管理不行き届きを理由にユーザーのみに責任を問う不合理なユーザー立証責任方式を改善するサービス立証責任方式である。ユーザーを騙すAIベースのフィッシング攻撃が増加する状況において、ユーザーのみに責任を転嫁する方式ではなく、フィッシング耐性に対する根本的な代替案を備えたサービス立証責任方式である。さらに、サービスにアクセスするたびにサービスが自動パスワードを提示するため、ユーザーはサービスごとにパスワードを記憶・管理する必要がなく、便利に複数のサービスを利用できる。既存のソーシャルログインのように、第三者に自分がどこを訪問したかも露出する必要がない。
この技術は国連傘下の国際技術標準化機関であるITUにおいて国際標準X.1280として制定され、その活用が推奨されている。国内の銀行や国家機関などでは既に採用されている。また、スイス・ジュネーブに設立された非営利団体パスワードレス・アライアンス(www.passwordlessalliance.org)を通じて、世界中にソフトウェアと教育を無償で提供している。
ソブリンパスワードマネージャー技術 **QRパスワードマネージャー**
**QR Password Manager**(www.qrpasswordmanager.com)は、すべてのユーザーIDとパスワードをサーバーに同期する従来のパスワードマネージャーとは異なり、中央の同期サーバーを持たない分散型構造のパスワードマネージャーである。すべてのユーザーのIDとパスワードはスマートフォンに暗号化されて保存され、ログイン情報が必要な状況ではQRコードベースの通信を通じて、スマートフォンに保存されていたIDとパスワードが他のデバイスに自動入力される。スマートフォンに保存されたアカウント情報はスマートフォンの安全領域に保管され、モバイル生体認証を通じてのみ送信される。
QRパスワードマネージャーは個人用ソフトウェアであり、スマートフォンにQRパスワードマネージャーアプリとPCブラウザにQRパスワードマネージャー拡張機能をインストールすれば、誰でもすぐに使用できる。
ソブリンログインが先行されてこそ、ソブリンAIも守ることができる
ソブリンAIという巨大な議論以前に、デジタルの起点であるログインを海外依存型構造から自立させなければ、真のデジタル主権を確保することはできない。既存のパスワード自動入力、ソーシャルログイン、生体認証方式は、第三者中心の従属的なログイン構造に留まらせ、この構造の中では、どのようなAIを使用しても、私たちのデータが依然として第三者によってアクセスされることを避けられない。
したがって政府と企業、そしてユーザー全員が今からでも自らのデジタル主権を強化できるソブリンログイン技術を積極的に導入し活用する努力を傾けるべきである。外国企業によって配布された慣れ親しんだログイン方式に留まっている限り、真のデジタル主権を回復することはできない。
ソブリンログインに関連する無料技術と国際標準が既に開発された状況において、政府は国際標準として制定されたソブリンログイン体系の拡散と配布を政策的に支援し、海外依存的なログイン構造をユーザー自立型ログインへ転換できるよう、認識改善と制度整備を急ぐべきである。
また、オンラインサービスにおいても、ログインに関するユーザーの証明責任を転嫁するソーシャルログイン構造から脱却し、オンラインサービスがログインに関する証明責任を負い、ユーザーに利便性と安全性を同時に提供する無料の国際標準技術の活用に参加されることをお願いいたします。
最後に、一般ユーザーの皆様にも、パスワードや生体認証用秘密鍵をブラウザやOS開発会社を含むいかなる者とも共有しないという秘密保持原則に忠実なソブリンパスワードマネージャー技術を活用し、パスワード管理方法を自立されることをお願い申し上げます。
ソブリンAIが話題になる中、デジタル主権について考え始める今こそ、誰もが知っていながら語らなかったソブリンログインを共に考え、実践すべき時だと考える。政府、企業、国民すべてが「ソブリンログイン」という小さな原則を実践していくとき、デジタル主権の基盤が確立されるだろう。