プライヴァシーとセキュリティの擁護者たちは数十年にわたり、社会保障番号（ソーシャル・セキュリティ・ナンバー）に対して米国社会が過度に依存していることの危険性について、警鐘を鳴らしてきた。だが、社会保障番号に代わるものについての真剣な議論が具体化したのは、米信用調査会社エキファックスへの大規模ハッキング攻撃により、1億4,500万人のナンバーが個人情報とともに漏洩してしまった可能性があると同社が発表［日本語版記事］してからのことだ。

だが、社会保障番号に代わるものが何なのかという問題は、問うのは簡単だが答えるのは難しい。現システムのワンストップ（1カ所で済む）の利便性に対し、シンプルで明確な代替手段はない。社会保障番号に代わる物が何であれ、それは、拡張可能でより精密なアプローチが必要になるだろう。

これまで一部の政府機関によって、最新のID管理ソリューションに関する調査は行われてきたが、現実世界での使用までを見据えた動機や政治的意図は存在していなかった。さらに、社会保障番号を徹底的に見直そうという動きも、これまで大きくなってはいなかった。プライヴァシーへの懸念や政府の権力拡大に対する不安から、国による政府中心のIDに反対する政治的抵抗勢力が存在するなかで、そうした運動が埋没してきた経緯があったからだ。

だがついに、エキファックスによる信じ難いほど大規模な情報漏洩のおかげで、一般市民を保護するための代替手段への関心が高まっている。

米国政府のサイバーセキュリティ・コーディネーターを務めるロイ・ジョイスは、17年10月初頭に開催されたセキュリティ関連イヴェント「Cambridge Cyber Summit」において、「変える必要があることは非常に明白だと思います。現行のシステムには欠陥があります。考えてみれば、社会保障番号を使用するたびに自らを危険にさらしているのです」と述べた。同氏によると、連邦政府の特別作業班が、可能性のある代替手段について調査を行っているという。

本来の機能から逸脱して普及

多くの欠点があるわりには社会保障番号は、本来想定されていた役割については、そこそこうまく果たしている。米社会保障局によって1930年代に作成された社会保障番号は、もともとは米国労働者の身分確認の手段として想定されていた。同局が彼らの生涯賃金を把握できるようにするためだ。社会保障番号が今日導入されていたら、そのデータだけでも二要素認証による保護に相当するだろう。

社会保障番号はもともと、企業の従業員IDや水道管工事企業の顧客記録番号と同じように、1種類のデータを追跡することを目的につくられている。社会保障局のウェブサイトには、「（社会保障番号の）カードは個人識別の資料として使用するためのものではありません」と記載されている。しかし社会保障番号の使用はこれまで、本来の目的から逸脱してきた。社会保障番号は数え切れないほど多くの業界や行政機関に使用され、多様な情報と結び付けられている。

人々とデータを結びつけるID、そして申請者本人であることを証明するための認証システムの両方の役割を果たしている社会保障番号の機能は、すべて9桁からなる社会保障番号を完全に機密とすることを前提としている。だが、9桁の数字は推測が非常に容易だ。機密性についてはこれまでも疑問視されていたが、エキファックスの一件により機密を保つことは不可能であろうことが確実になった。

オバマ政権は数年前から、国立標準技術研究所（NIST）などに対し、「National Strategies for Trusted Identities in Cyberspace（NSTIC：サイバー空間における信頼できるIDのための国家戦略）」というプログラムを通じて、安全なデジタルIDの可能性を調査するよう求めていた。

NSTICのプロジェクトは、医療記録の取り扱いや税の申告など、機密性の高いデジタル処理に関わる個人、組織、サーヴィス、デヴァイスの間で、信頼性を向上させるIDや認証システムを開発することを目的としていた。このプロジェクトが米国のIDシステムを念頭に置いていたことは明らかだが、社会保障番号の代替手段に対する取り組みとして明確に位置づけられていたわけではなかった。また、NISTは非監督（non-regulatory）機関であり、NISTが作成する技術的な標準は義務づけられるものではなく、推奨されるものだ。

NSTICに取り組んだNIST、そして現在はその後継団体にあたる「Trusted Identities Group」の標準・技術上級アドヴァイザーを務めるポール・グラッシは、「わたしたちは、新しいシステムへの移行を促す立場にはありません」と述べる。

「この問題が解消されるまでにしばらくかかるでしょうが、人々のデータは彼らの意図にかかわらず世の中に出回っているという想定に基づいて、最新のガイドラインを作成しました。そうした個人データは提示するだけでなく、データベースと照合させなければなりません。示された証拠を実証する必要があり、次に生体的、身体的、その他のものであれ、該当の人物に対して何らかの一致が必要となります」

財務省や保健福祉省などの政府機関はこれまで、パイロットプログラムのなかで、デジタルIDに関するNISTの提言を取り入れるよう取り組んできた。だが専門家らによると、大きな影響をもたらすには、さらに抜本的な対策が必要になるという。

様々なID手段

社会保障番号を置き換える方法は、理論上では多数ある。だが専門家たちは、現実を鑑みて、いくつかの主要なコンセプトに集中してきた。

ひとつのアプローチは、単一のメカニズムやソリューションを求めるのではなく、多数のIDや認証システムの余地を設けることが含まれる。このシナリオでは、例えば医療情報と個人を結びつけるには、ユーザー名、パスワード、物理的な認証トークン（セキュリティカードやYubiKey［日本語版記事］など）を使用。金融機関に対する個人の識別と認証のためには、異なるツールを組み合わせる。ケーブルテレビ会社に対する本人確認には、第3のセットを使用する。

このような認証要素は相互運用可能で、「自治」システムを可能にするような政府の標準を基盤に構築される。このようにして消費者は、社会保障番号だけに依存するのはなく、個人のセキュリティに関してより制御できるようになる。

この種のフレームワークは、プライヴァシー擁護者たちが懸念する個人情報の集中化を回避するのに役立つだろう。例えば米国自由人権協会（ACLU）は現行の社会保障番号のシステムについて、多数の異なる行為や相互作用が追跡可能な単一のIDに結び付けられているため、機能の範囲が過度に広がっていることが問題だとみている。

ACLUのジェイ・スタンリーはこうした状況を、「あらゆる活動を見張る鷲（米国政府の象徴）の目」と表現する。よりサイロ化させることと市場の多様性は、セキュリティを向上させると同時に、こうした状況を変えていくだろう。だが、エキファックスの情報漏洩で明らかになったとおり、実際にクレジットカードの記録などを追跡したり、行政機関とやりとりを行ったりするには、一部のID属性は互いに結びつける必要がある。

多くの専門家たちは、IDシステムが確実に安全でありながら、最大限に個人情報のプライヴァシーが保護されるようにするために、暗号化ツールや公開鍵プロトコルのようなコンセプトを採り入れることを提唱している。IDや認証のやりとりに関わる当事者たちは、それぞれが公開鍵と秘密鍵を持つ。それらをアルゴリズムを使用して、個人との間で使用する共通鍵を生成するという仕組みだ。

このようなシステムにおいては、銀行での本人確認のために、生体認証、または行政機関が発行する鍵に依存することになるだろう。次に銀行は、認証を必要とするデジタルのやりとりや決済を対象に、暗号化証明（パスワードまたは生体認証など）を発行することができる。

このような技術は実行不可能に思えるかもしれないが、エストニアやオランダのような国々には、この種のシステムがすでに存在する。こうした国では、消費者が決済を許可したり、自分自身を認証したりするために、認証済みコードやトークンを使用しているのだ。

セキュリティ会社アノマリのエンジニアリング担当ディレクターで、米空軍（USAF）のサイバー戦争将校も務めるニコラス・ハイデンは、「このアイデアは個人のIDを確認するために、『本人を示すもの』または『本人が所有するもの』と、行政機関が本人に与えるものを組み合わせて使用するものです。この場合、特定の個人や本人であれ行政機関であれ、単独では該当の情報を入手できません」と述べる。「これは100パーセント米国政府に依存するのではない、相互に個人を確認できる方法なのです」

プライヴァシーを保護し、実際に堅固なシステムを作成するために、社会保障番号の置き換えは「ゼロ知識証明」という暗号化コンセプトに基づく必要があるの主張もある。ゼロ知識証明とは、主張そのものや内容に関する情報なしで、命題が真であることを証明する数学的なプロセスだ。システムでは、本人のIDを知ることなく人物を認証するために、ゼロ知識証明を使用することになる。

実際に機能させるためのハードル

これまでに説明してきた方法は、どれも複雑に感じるかもしれない。それこそが、社会保障番号の代替手段が数十年にわたって普及してこなかった理由だ。行政機関、民間の組織、業界（特に金融や医療など、社会保障番号への依存が固定化している分野）の全域にわたる新しいデジタルID、または認証フレームワークを開始することは、大量のリソースを必要とし、必然的に多くの困難がある。

米国に3億人以上いる社会保障番号の保持者にとっては、初期負担も問題になる。彼らのなかには、安定的なインターネット接続やコンピューターを利用できない人たちも存在するだろう。新しいシステムへの移行には時間を費やさなければならない。

また、米人口の半数の社会保障番号が危険にさらされた可能性のあるエキファックスの情報漏洩が明らかになっても、あらゆる新しいシステムには独自の危険性があると警告している暗号技術研究者たちもいる。なぜなら、それほど大規模に新しいIDスキームを作成することは、必然的に実装上の問題をもたらし、おそらくはこれまでになかった新しい脆弱性を生み出す可能性があるからだ。

だが、エキファックスの情報漏洩によって米国の消費者が直面しているセキュリティリスクを考慮すると、これらの可能性のマイナス面よりも、IDおよび認証システムとして社会保障番号を置き換える差し迫ったニーズのほうが重要性が高いだろう。政府による取り組みは動きが遅く、予期せぬハプニングに遭遇しがちだが（社会保障局でも5月にウェブサイトで二要素認証を追加したばかりだ）、民間企業はある程度の迅速な手段と能力を有している。

民間企業であれば、より簡単に社会保障番号を段階的に廃止できるかもしれない。まずは、収集される社会保障番号を可能な限り縮小させ、クリエイティヴな（よりセキュアな）ID代替手段を実装していくのだ。例えば、企業がデジタルポータルを設立し、新しい機関に社会保障番号を提示することなく、消費者が簡単に信用調査書を請求したり提出したりできるようにするなど、いまでも簡単に実行可能なやり方はたくさんある。あるいは企業が、社会保障番号を長期的に保有するのではなく、特定の目的のために一時的に集めるシステムも実現可能だ。

「確かに多くの制約があります」と、コーネル大学で配信システムと暗号化を研究するエミーン・ガン・サーラーは言う。「IDは難しい問題です。しかし、決して不可能な問題ではありません。それに現行のシステムは完全に破損している状態なのですから」

IDシステムの全面見直しに関する主張に懐疑的なプライヴァシー擁護者であっても、社会保障番号を早急に置き換えなければならないという差し迫った必要性については認めている。NSTIC内でプライヴァシーの促進に関わったACLUのスタンリーは、「個人を確認し認証する方法が必要であるのは明白です。そして、プライヴァシーを保護しながらそうしたことを行う方法は存在します」と述べる。「人々が社会保障番号を使用しているのは、ほかに手段がないからです。それは、ばかばかしいことです」