「DID/VCって共通の規格だから、御社のウォレットも他社のウォレットも一緒だよね?」について
こんにちは。
当社はビジネスとしてproovyを開発・提供しているため、当然DID/VCに興味がある事業者を発見したら「それproovyでやりませんか」と営業することになります。
この時たまに掲題のセリフを言われます。
この質問はごもっともな側面もあり、ごもっとでもない側面もあります。
今日はこのあたりを書いていきます。
DID/VCにおける互換性とは
DID/VCはW3CやISOといった国際団体によって標準化が進められています。
そもそもDID/VCが誕生し発展した背景には「国やサービスといった境を超えて流通せなあかんデータがあるでしょ」という考えがあります。
ワクチン接種証明書の例
分かりやすいのが「新型コロナのワクチン接種証明書」だと思います。日本でもワクチン接種アプリがリリースされ、インストールされた方も多かったと思います。新型コロナのワクチン接種証明書は「Smart Health Card」というVCの規格で発行されていました。
ではなぜワクチン接種証明書がVCで発行されたかというと、各国独自の仕組みでつくってしまうと各国内の利用に閉じてしまうからです。
日本政府がデータの規格やアプリのインターフェースを決めると、基本的には日本政府の威厳が及ぶ範囲(=日本国内)でしか利用できないことになります。コロナが猛威を振るっていた頃は、渡航時等にも接種証明書が利用されていたので、日本でしか使えない接種証明書だといざ海外で見せた時に「日本人がこのデータはワクチン接種証明書だと主張しているが、確かめようがない」となってしまう訳です。
ここで、もし各国が共通の仕様でワクチン接種証明書を発行していれば「確かにこの日本人が持ってるワクチン接種証明書は日本政府が発行したもので、モデルナ製のワクチンを接種したようだ」と海外でも認証できるわけです。
Smart Health Cardという共通の仕様を決め、それに各サービスや国家が準拠したことで高い互換性が生まれたのです。
ウォレットはどれも同じ?
では、DID/VCに対応するデジタルウォレットはどれも同じなのでしょうか。
答えは冒頭でも言った通り「ごもっともな側面もあり、ごもっとでもない側面もあり」となります。
ではどのような点で違いが出るのでしょうか。
①対応している標準機能
DID/VCは基本的な事項を定めた技術仕様なので、その下にはmdoc/mDLやSmart Health Card、個別規格のVCなど複数の形式のVCが存在します。
「DID/VCに対応したウォレット」といっても、例えばmDLに対応しているウォレットは全体の半分以下、Smart Health Cardに至ってはもっと少ないのではないかと思います。
個別の規格への対応有無は一つ差異が出るポイントです。
②発行者による認定
仮に技術的にウォレットに入れられたとしても、VCによっては発行者が指定するウォレットによる管理しか認められていないケースもあります。
例えばmDLでいうと、アメリカの各州が個別に「mDLを格納できる認定ウォレット」を指定しています。
Apple WalletやGoogle Walletといったデバイスウォレットでの管理を認めている州もあれば、州独自のウォレットでしか管理ができないウォレット、サムスンウォレットでの管理も認める州など様々です。
当社が提供するデジタル学生証でも同じことが言えて、proovyに学生証VCを入れる前提で学校は当社と契約しています。
これを急に外部サービスが「proovyさんに入る学生証VCは当社のウォレットでも管理できますよ!」と言い出したら、学校とトラブルになると思います。(そもそも当社が教育機関様に提供する業務用ポータルが現状proovyとしかつながっていないので、他社ウォレットを利用する生徒が出てくるとその辺の不整合も生まれますが。)
今後日本でもマイナンバーカードやそこに統合される運転免許証がmdoc/mDL形式でスマホに入ると思いますが、今のところApple WalletやGoogle Walletにしか入らない予定です。仮に民間のウォレットがこれらを取り扱うとなると、事前に発行者である国(警視庁も?)からの認証が必要になると思います。当然その認証には、ウォレットのセキュリティや安定性などが事前検査されて、セキュリティや運用に懸念があるウォレットでは扱わせないはずです。
③統合アプリが対応しているか
特定の領域でサービスが乱立すると、乱立するサービスをバインディングして接続インターフェースを提供するサービスが出現します。
例えば決済領域で言うと、クレジットカードや〇〇Pay、交通系IC、デビットカードなど、顧客によって支払い方法は多数存在します。
事業者側は本来、クレジットカードの決済端末や〇〇PayのQRコード、交通系ICの読み取り機などをすべて用意する必要がありますが、Stripeやステラ端末などを導入すると一気に多様な決済方式に対応することができます。
Web3ウォレットでも、Wallet Connectというサービスが似たような立ち位置になったことがありました。
バインディングしたサービスが一定普及すると、そこに含まれていないサービスの魅力がしぼむ要因になってしまいます。
例えばStripeの決済方式に含まれていないサービスを使っているユーザーは、使える店舗が少ないように感じて他サービスに乗り換えてしまうかもしれないからです。
DID/VCウォレットにおいても、(より広く認証という概念で)同様の取り組みが進む可能性はあります。
本人確認の方式が
- 証明書の画像データを用いた方式
- マイナンバーカードなど公的証明書のICチップを使った方式
- ウォレット型で提供される方式
- 銀行IDを用いた方式
と増えた場合に、本人確認を自社サービスに導入したい事業者は本来すべての方式に対応する必要があります。
ただそれには開発工数やメンテナンス工数も大きくかかるため、決済サービスと同様に「どこか一つのサービスを導入することで多くの方式とつながればいいのに」と考えるようになります。
実際に海外では、このように複数の認証方式を束ねたサービスを提供するスタートアップが出現しています。
例えば、先日記事でもご紹介した「Authologic」社はこのようなサービスを提供しており、自らを「認証界のStripe」と形容しています。
またTrinsicというDID/VC会社も最近「Trinsic Connect」という似たようなサービスをリリースしています。
▼Authologic社について調査した記事はこちら
https://recept.earth/didvc_media/research-authologic/
④周辺機能の差異
最後が機能です。
デジタルウォレットの最低限の機能は「VCの受取・管理・提示」だと思いますが、
これ以外に、導入領域の事業者が求める機能などを追加することになります。
実際に当社のproovyも、提携先が増えると機能が豊富になっていきます。
例えば今は学生証の受取り専用ボタンがありますし、12月にはメガバンク三行を含む銀行IDをもとにしたVCを発行できる機能も追加されます。
コアの部分は横並びであっても、機能や細かいユーザー体験に差異が出るとそれが「ウォレットの魅力」を決める大きな要因となっていきます。
まとめ
ということで、本日はDID/VCにおける互換性の話しでした。
DID/VCが取り扱う情報はセンシティブなモノも多いので、単に技術的にいけるから取り扱ってもいいという世界ではありません。
またこれらをバインディングする事業者が力をもったり、DID/VCとは全く関係がない業務的な機能が受けたりする可能性もあります。
当社は「DID/VCの技術力を武器に着実に成長する企業」を目指しています。(どれだけ技術的に優れていたり強いビジョンをもっていても、事業が成長しないとどこかで諦めることになったり、社会にインパクトを与えられずに時間だけが過ぎてしまうため)
互換性があることはDID/VCのいいところなので尊重しつつ、ビジネスとしてどこを抑えていくべきなのか?ということを考えています。