カテゴリー
Events

Citi Client Advisory Board and Treasury Leadership Forum Day 3 に出演します

ご縁があって、来る7/16(日本時間深夜)に、Citi のイベント「Citi Client Adivisory Board and Treasury Leadership Forum」に出演します。

イベントは、米国東部時間の午前10時(日本時間午後11時)からで、わたしの出番は午前0時からのパネルディスカッションです。タイトルは、「Digital Identity: foundational or elective?」です。

Digital Identity: foundational or elective?

日時:2020年7月17日 0:00 – 1:00
場所:バーチャル

  • Tony McLaughlin, Global Head, Emerging Payments and Business Development, Citi (moderator)
  • Bianca Lopes, Co-Founder, Talle
  • Greg Wolfond, Founder, SecureKey
  • Nat Sakimura, Chairman, OpenID Foundation
画像に alt 属性が指定されていません。ファイル名: 254897_McLaughlin_Tony.jpg
Tony McLaughlin

Tony McLaughlin
Global Head, Emerging Payments and Business Development

Tony McLaughlin is the Managing Director responsible for Emerging Payments and Business Development in Citi’s Treasury and Trade Solutions (TTS) business. Tony is responsible for the TTS Ecommerce proposition and is deeply involved in new methods of payment, Distributed Ledger and Fintech engagements. He joined Citi in 2004 and has been Core Cash Head for Asia Pacific based in Hong Kong and the Global Transaction Services Head for the United Kingdom, spearheading Citi’s engagement with large public sector clients and payment aggregators. Tony was responsible for the design and development of ABN AMRO’s Third Party Continuous Linked Settlement (CLS) offering, electronic banking platform and transactional FX solution. At HSBC Holdings, he fulfilled a global strategy role for the Payments and Cash Management business. Before that he was a Senior Product Manager for Barclays Bank with responsibility for electronic collections products including International Direct Debits.

画像に alt 属性が指定されていません。ファイル名: 254899_Lopes_Bianca.jpg
Bianca Lopes

Bianca Lopes
Co-Founder, Talle

Bianca is an economist, mathematician and serial entrepreneur. Naturally curious and fascinated by humans, she has been a banker, has been a CIO of a biometrics company, and has worked with over 40 financial institutions and eight governments to help reshape their human approach to technology by rethinking identity. Bianca is an experienced speaker in data, identity and fintech, with a passion for digital and financial literacy.

Bianca co-founded Talle, a global collective of futurists, strategists, technologists and creatives who take a multidisciplinary approach to helping organizations navigate the complexities of an increasingly digital world. Talle enables businesses to envision the future, create strategy and execute against tangible KPIs, transforming business and messaging by connecting trust and true empathy to make people think, expand perspectives and connect ecosystems.

画像に alt 属性が指定されていません。ファイル名: 254898_Wolfond_Greg.jpg
Greg Wolfond

Greg Wolfond
Founder, SecureKey

Greg is the founder of SecureKey and brings more than 30 years of experience in fintech, security and mobile solutions to his role as Chief Executive Officer. Greg is a serial entrepreneurial whose earlier ventures include Footprint Software Inc., a financial software company he sold to IBM, and 724 Solutions Inc., a wireless infrastructure software provider he took public. He sits on several boards and has been recognized as one of Canada’s Top 40 Under 40, Entrepreneur of the Year and one of the 100 Top Leaders in Identity. Greg holds a Bachelor of Arts in Computer Science from the University of Western Ontario and a Bachelor of Science in Biochemistry and Life Sciences from the University of Toronto.

画像に alt 属性が指定されていません。ファイル名: 256383_Sakimura_Nat.jpg
Nat Sakimura

Nat Sakimura
Chairman, OpenID Foundation

Nat Sakimura is a well-known identity and privacy standardization architect at NAT Consulting and the Chairman of the Board of the OpenID Foundation and MyData Japan. Besides being an author/editor of such widely used standards as OpenID Connect, JWT (RFC7519), JWS (RFC7515), OAuth PKCE (RFC7636) ISO/IEC 29100 Amd.2, and ISO/IEC 29184, he helps communities to organize themselves to realize the ideas around identity and privacy.

As the chairman of the board of the OpenID Foundation, he streamlined the process, bolstered the IPR management, and greatly expanded the breadth of the foundation spanning over 10 working groups whose members include large internet services, mobile operators, financial institutions, governments, etc.

He is also active in public policy space. He has been serving in numerous committees in the Japanese government and also advising OECD’s Working Party on Data Governance and Privacy in Digital Economy as a member of the Internet Technical Advisory Committee (OECD/ITAC).

He is currently the head of delegates of the Japanese National Body to ISO/PC 317 Consumer Protection: Privacy by design for consumer goods and ISO/IEC JTC 1/SC 27/WG 5 that standardizes Identity management and privacy technologies and is a founding board member of Kantara Initiative.

Personally, he was a flautist and still deeply loves (both western and Japanese) ‘classical’ music especially the 20th century and later. (Well, is that ‘classical’?) He spent six years in Kenya while he was in junior and senior high school, where he learnt how to horse ride to go after giraffe, and still loves the life there.

カテゴリー
Security

情報処理学会誌小特集「さようなら,意味のない暗号化ZIP添付メール」

昨年末より取り組んでいた情報処理学会誌『情報処理』の小特集「さようなら,意味のない暗号化ZIP添付メール」が発刊されました。

意味のない暗号化ZIP添付メールは、通称PPAPといわれる、日本独特の風習を指します。いまや官庁を始め様々な企業が採用している方式です。

全体構成は、産総研の江渡浩一郎さんと相談した結果、以下のようになっています。

本当は、第2章として文化人類学的見地からの寄稿も得たかったのですが、今回は残念ながら得られませんでした。もしわれこそはという文化人類学者の方がおられましたら、ご連絡をいただきたく存じます。

なお、第4章は噂の座談会「社会からPPAPをなくすには」です。なぜ現代において紙にハンコが意味がないのかとか,PPAPについてISMSもプライバシーマークも元凶ではないとか,PPAPソリューション売ってる会社に殺されるかと思ったら別にそんなこともなかったとか,単なる受け狙いではない話が沢山なので,ぜひ皆様お読み下さい。

Zoom での対談ならではの記念写真も載っております。約一名バ美肉になっておりますところが見どころとのことです。

みなさま、もそPPAPでお悩みでしたら、ぜひともこれを引用して突破していただければ幸いです。

カテゴリー
Announcement プライバシー

[フィンテック協会]アフターコロナの世界へ向けて

明日5月1日午後2時より、Fintech協会主催で、「アフターコロナの世界へ向けて」というオンライン・イベントがあります。NATコンサルティング代表の崎村も出演します。

まずはじめに慶応大学の宮田教授より社会像の変化、医療のあり方について、続いて崎村より、世界大戦とヘゲモニーの移り変わりから考えるコロナ後の世界、InternetBar.orgディレクターの安田氏からコンタクト・トレーシングについて、内閣官房シェアリングエコノミー伝道師の石山氏からリモートワーク、クラウドベースについてそれぞれ10分〜15分ほどのプレゼンをおこない、その後全員でディスカッションを行う予定です。

申込みは、Peatix から可能です。月曜の段階で300名を超えるお申込みを頂いているとのことです。

奮ってご参加ください。

開催日時は2020/05/01 (金)14:00 – 16:00 JST

出演

  • 石山 アンジュ
    一般社団法人シェアリングエコノミー協会事務局長 / 一般社団法人Public Meets Innovation代表 / 内閣官房シェアリングエコノミー伝道師
  • 崎村 夏彦
    一般社団法人Fintech協会アドバイザー / OpenID Foundation 理事長
  • 宮田 裕章
    慶応義塾大学医学部 医療政策・管理学教授
  • 安田 クリスチーナ
    米NGO InternetBar.orgディレクター
  • 木村 康宏
    一般社団法人Fintech協会代表理事副会長 / freee株式会社執行役員社会インフラ企画部長
  • 落合 孝文
    一般社団法人Fintech協会 理事 / 渥美坂井法律事務所・外国法共同事業パートナー
  • 野中 瑛里子
    一般社団法人Fintech協会 事務局長
カテゴリー
プライバシー

プライバシーを考慮する上での重要な観点

新型コロナ関連でのトラッキングの話関連で、緊急事態で人命がかかるという思いのせいか、プライバシーに思い至らずシステム開発されるかたも多いと聞いたので、参考までにプライバシーを考える上での重要な観点をまとめておきました。同時に、アイデンティティ管理も当然絡んでくるので、それもちょっとだけ。ご参考になれば幸いです。

プライバシーを考慮する上での重要な観点

  • 目的: そのシステムの目的はなにか?
    • きちんと整理してドキュメント化すること。これがないと始まらない。現状聞くところによると、次の2つが少なくともあるようだ。
      1. 行動変容を促すアプリ:接触を8割減らす(7割ではあまり意味がない?)← 統計的に処理できるので、普及率はそこまでクリティカルではない。
      2. 感染対策:トラッキング ← アプリの普及率がクリティカル ⇢ アプリでは多分意味がない。プラットフォームがやる必要あり。
  • ステークホルダー:そのシステムのステークホルダーは誰か、システムを直接使わない人まで考えて洗い出す。
  • 攻撃者:攻撃者としてだれが考えられるか?
    • システム提供者
    • 観測者
    • 侵入者
    • 知人・家族:人間の幸福度に最も大きなインパクト
    • 地域の人:差別問題に直結
  • データの最小化:最低限取得しなければならないデータはなにか。それぞれの処理で対象にしなければならないデータはなにか。
  • プライバシー・リスクマネジメントに影響を及ぼす要因(JIS X 9250 より)
    • 法令及び規制要因
    • 契約要因
    • ビジネス要因
      • 想定される活用法、利用の背景・状況の具体的特性
      • 業界ガイドライン、行動規範他
    • 他の要因
      • 本人のプライバシー選好
      • 内部統制制度
      • 技術標準
  • 本人の権利確保 etc => ISO/IEC 29100 (JIS X 9250)プライバシー原則
    • 同意及び選択(Consent and choice)
    • 目的の正当性及び明確化(Purpose legitimacy and specification)
    • 収集制限(Collection limitation)
      • 目的を達するために必要最低限のデータしかあつめてはいけない。
    • データの最小化(Data minimization)
      • それぞれの処理において必要最低限のデータしか触ってはいけない。必要に応じてマスキングなど行う。
    • 利用,保持,及び開示の制限(Use, retention and disclosure limitation)
      • 開示先のアクセスコントロールがきちんとできているか。そのポリシーは適切か。
    • 正確性及び品質(Accuracy and quality)
      • 攻撃者がある人をターゲットにデータを入れてくるようなことが考えられる。これは重篤なプライバシーリスクを生むので対処する必要がある。
    • 公開性,透明性,及び通知(Openness, transparency and notice)
      • 信頼性の獲得に重要。
    • 個人参加及びアクセス(Individual participation and access)
      • どのようなデータが保存されているかを本人が見ることができなければならない=>本人が認証してログインしてアクセスできなければならない。(ソーシャルログインなどでも良い。)
    • 責任(Accountability)
      • 何が起きているかを説明し
      • それを第三者が検証するための証拠を提出し
      • 検証の結果説明が間違っていたら責任を取る。
    • 情報セキュリティ(Information security)
    • プライバシーコンプライアンス(Privacy compliance)
  • 対象とすべきデータ≠個人情報
    • 将来的に個人に結びつけ可能になるかも知れない情報まで管理対象にしておかないと、あとではまる。
      • 電話番号とか機器に結びついたUUIDは保護対象ではないというのは無理。
  • これらを鑑みた上でのPIA (ISO/IEC 29134 (JIS X 9251)) ステークホルダーの洗い出しと彼らによるリスクの承認

上記に鑑みたアイデンティティ管理上の観点

  • 電話番号など、変更されたり再利用されるものは一時的な識別子としては良いが、継続的な識別子としては向かない。利用はユーザー主張識別子に留めるべきで、内部識別子は別に採番し、そちらを使って管理すること。
  • 上記本人の権利確保には、本人によるデータアクセスなどがあるから、本人に認証手段を渡さなければならない。
    • 例:アプリで鍵ペアを生成して、サーバに初回データを送るときに一緒に送って登録するなど。

その他、思いつき次第順次書き足していきます。

カテゴリー
Announcement

NAT.Consulting始動

野村総合研究所での31年間の業務、特にここ20年間のデジタル・アイデンティティ、プライバシー、APIアクセス管理に関する国際標準化などで培ったノウハウを使い、御社のデジタル・トランスフォーメーションを支援するための会社、NATコンサルティング合同会社が、2020年4月1日、始動します。

守りのお手伝い

ID管理、認証、認可、プライバシー保護というのは、多くの方がもっておられる印象よりもかなり深いものです。この深さを理解しないことによって、数百億というような多額の損害を被る例もあとを絶ちません。NATコンサルティングは、設計段階からアイデンティティ管理とプライバシー保護の思想を導入することにより、こうした被害を未然に防ぐお手伝いをいたします。

攻めのお手伝い

一方、急速にビジネスを進化させていくためにもアイデンティティ管理とAPIアクセス管理は欠かすことができません。多くのレガシーなアプリケーションがそうであるように、アプリケーション内部にユーザー管理を入れてしまうと、機能拡張がとても難しくなります。

この問題を解決するのが、アイデンティティ管理を通してAPIアクセス管理を行い、他社の提供するAPIも組み合わせてあらたなビジネスを作るというものです。

NATコンサルティングでは、こうした場合の攻めについても、豊富なイマジネーションとアイディアでお手伝いいたします。