デジタル身元情報の断片化は、インターネット時代の静かな危機だ。あらゆるサービス、アプリ、ウェブサイトが独自の「ユーザー像」を作り出す。それぞれの企業のデータベースに断片的な姿が保管され、誰も読まないけれど全員が同意した利用規約に支配されている。その結果、ネット上には「ひとつの自分」ではなく、企業のサーバーにバラバラに散らばった「数十個の自分」が存在し、どれも不完全で、どれも攻撃に弱く、どれも本当の意味では自分のものではない。
平均的なインターネットユーザーが持つアカウントは100以上あるという。それぞれが異なる側面を捉えている。LinkedInは職歴を、Spotifyは音楽の好みを、Amazonは買い物の傾向を、Stravaは運動の記録を、病院のポータルは健康状態を知っている。全体像を持つシステムはどこにもないが、ひとつひとつが漏えいや悪用されれば被害を生むのに十分な情報を抱えている。
断片化の三つの層
デジタル身元情報の断片化は、複数の層で作用している。
認証情報の層では、数百ものユーザー名とパスワードの組み合わせを管理しなければならない。パスワード管理ツールは記憶の負担を軽くしてくれるが、「サービスごとに別々の認証が必要」という構造的な問題は解決しない。
データの層では、個人情報が複製され、食い違いが生じる。あるサービスでは住所が最新なのに、別のサービスでは古いまま。結婚や改姓で名前を変えたければ、それぞれ独自の手続きを持つ数十のアカウントをひとつずつ更新しなければならない。情報を一元管理する場所がないから、「どれが正しいか」の基準もない。
評判の層では、断片化の弊害がもっとも深刻になる。eBayでの五つ星評価はEtsyではまったく通用しない。GitHubでの開発貢献の実績はUpworkからは見えない。あるプラットフォームで何年もかけて築いた仕事上の信頼は、別のプラットフォームに移った瞬間にゼロになる。苦労して積み上げた評判は、持ち運ぶことができないのだ。
安全面への影響
バラバラに存在する身元情報のひとつひとつが、攻撃の入り口になる。あるサービスが情報漏えいを起こすと、攻撃者は他の漏えい事件で流出した断片と組み合わせて、包括的な個人プロファイルを組み立てることができる。この手口は「クレデンシャルスタッフィング」や「アイデンティティの合成」と呼ばれ、まさに断片化を直接的に悪用するものだ。
皮肉な話がある。「サービスごとに違うパスワードを使いなさい」と言われるが、それは断片をさらに増やす行為だ。つまり、断片が多いことで生じるリスクから身を守るために、さらに多くの断片を作ることになる。現在の安全対策は、断片化の症状を手当てしながら、断片化そのものを強化しているのだ。
GoogleやAppleは、フェデレーションログイン(「Googleでサインイン」「Appleでサインイン」)で断片化を解消しようとした。認証情報の数は減るが、特定の事業者への依存は深まる。Googleアカウントがロックされると、メールだけでなく、そのアカウントを通じてログインしていたすべてのサービスへの接続が断たれる。認証情報の層の断片化は軽減されるが、リスクがひとつの事業者に集中するだけだ。
ビジネスモデルとしての断片化
デジタル身元情報の断片化は偶然の産物ではない。ビジネスモデルそのものだ。身元情報の断片を握っているプラットフォームは、そこからターゲット広告、データのライセンス販売、行動分析、あるいは単純な囲い込みによって価値を引き出す。もし身元情報が統一されて持ち運び可能であれば、ユーザーはデータも履歴も評判も失わずにプラットフォームを乗り換えられる。断片化こそが、プラットフォームにとっての「堀」なのだ。
この構造はプラットフォームの振る舞いに如実に表れる。SNSはデータのエクスポートを意図的に面倒にする。配車アプリはドライバーの評価を競合他社と共有しない。ECサイトは他のサービスで貯めたポイントを認めない。身元情報の断片を囲う壁のすべてが、競争に対する壁になっている。
ユーザーが支払っているコストは目に見えにくいが確実に存在する。アカウント管理、情報漏えいからの復旧、新しいプラットフォームでの評判の再構築、サービスごとに異なる手続きへの対応に費やされる時間と手間。これはデジタル社会に参加するための「見えない税金」であり、しかもその負担はデジタルに不慣れな人ほど重くなる。
Web3が変えるもの
ブロックチェーンにもとづく身元情報の仕組みは、デジタル身元情報の断片化に対する構造的な代替案を提供する。身元情報がプラットフォームのアカウントではなく暗号鍵のペアに紐づけば、個人が情報の統合点になる。
これは理論だけの話ではない。Ethereumのアドレスは、すでにWeb3の世界ではサービスをまたぐ身元情報として機能している。取引履歴、保有トークン、DAOでの投票記録、NFTコレクション。ブロックチェーン上に刻まれたこれらの記録が、どのプラットフォームにも属さない持ち運び可能な身元情報を構成する。ENSが人が読める名前を提供し、POAPやGitcoin Passportが実績の証明を加える。
ただし限界もある。ブロックチェーン上の身元情報は金融活動や投票活動を記録できるが、人間のアイデンティティの全体をカバーするわけではない。健康記録、職業資格、学歴、個人的な人間関係はブロックチェーンの外にあり、分散化の利点を損なわずにそのギャップを埋めることは、まだ解決されていない設計上の課題だ。
統合のジレンマとこれから
断片化の明らかな解決策――すべてをひとつの身元情報にまとめること――は、それ自体が別のリスクを生む。統一された身元情報は単一障害点であり、包括的な監視の道具にもなりうる。政府や企業が完全なデジタルプロファイルを握るディストピア的な未来は、断片化の不便さよりもおそらく悪い。
より繊細な解決策は、「場面ごとの身元情報」だ。ひとつのルート(根っこ)から、場面に応じた見せ方に枝分かれする仕組み。雇用主には職業資格を、銀行には金融実績を、店には年齢確認だけを提示できる。すべて同じ根っこから生まれるが、それぞれの場面の情報が他に漏れることはない。これがまさに「選択的な開示」と「検証可能な証明書」が可能にする世界だ。持ち主のレベルでは統一され、確認する側のレベルでは必要な分だけが見える。偶然ではなく、設計によって。
デジタル身元情報の断片化を解決するには、標準規格、インフラ、動機づけの三つが同時に進む必要がある。W3Cの検証可能な証明書やDID(分散型識別子)といった標準規格が技術的な基盤を提供する。身元情報ウォレット、証明書の発行サービス、検証ネットワークといったインフラが、規格を使いやすい製品に変える。2026年までにすべてのEU市民にデジタル身元情報ウォレットを義務づけるEUのeIDAS 2.0は、再統合に向けたもっとも重要な制度面の推進力だ。ただし、これが本当の意味での自己管理を実現するのか、それとも管理者が民間企業から政府に移るだけなのかは、まだ答えの出ていない問いだ。
まとめ
- デジタル身元情報の断片化は個人データを数百ものサービス固有の区画に分散させ、それぞれが不完全で、それぞれが独立して攻撃に弱い
- 断片化は認証情報、データ、評判の三つの層で作用し、評判の持ち運びができない点がもっとも見過ごされている
- 断片化の仕組みは、身元情報の囲い込みを競争上の堀として使うプラットフォームによって経済的に維持されている
- フェデレーションログイン(Googleでサインイン等)は認証情報の断片化を減らすが、ひとつの事業者にリスクを集中させる
- Web3はウォレットにもとづく暗号学的な身元情報によって、サービス間で持ち運び可能な構造的な代替案を提供する
- 「場面ごとの身元情報」――持ち主のレベルでは統一し、確認する側には選択的に開示する――が、統合とプライバシーのあいだの緊張を解く
デジタル身元情報の断片化は、より良いパスワード管理ツールや便利なログイン画面で修正できるような不具合ではない。プラットフォーム中心ではなくユーザー中心の構造の上にインターネットを再構築するために向き合うべき課題だ。それに取り組むには、身元情報の保管方法だけでなく、「自分が自分であることを証明する」という行為そのものを誰がコントロールするのかを問い直す必要がある。