イオンモバイルひろば

ひろばスタッフから

占い師のあたらない占いシリーズ014 ~ IDってそもそも何?

ひろとものみなさまこんにちは。
2週続けて音信不通のままお休みを頂戴してしまい、たいへん申し訳ございませんでした。
風邪をこじらせてしまったうえに、復帰後は「大切なお知らせ」でもご案内しておりました「イオンモバイルID」の準備に奔走しておりましたので、すっかりご無沙汰してしまいました。
猛暑や不安定な天候が続きますので、みなさまもお身体や災害には十分お気をつけください。

さて本日は、そんな「イオンモバイルID」のスタート、ということで、近年さまざまなサービスでも話題の「ID統合」や「ID連携」についてお話したいと思います。
というのも、このたび「イオンモバイルID」に関する整理やお知らせの検討にあたって、社内のメンバーにもいろいろ意見をもらったのですが、ふだんから「ID」に触れている私たちでさえ、そもそも「ID」のしくみ自体がわかっていない、との声が多く補足説明の必要性を強く感じたからです。
どうしてもお知らせはシンプルにならざるをえませんので、こちらでお話しできればと思いました。

いまではすっかりあたりまえとなった「ID」ですが、「identification」という英語の略語です。
英和辞典を引くとさまざまな説明がありますが、難しいことばで正確に表現すると「本人性の確認」ということになります。
よく「本人性の確認」を「はじめの契約に必要なもの」と理解されるかたも多く、それも誤りではないのですが、より正確には「いままさにその行為をしているかたが本人であること」を確認する行為のことをいいます。
平たく言えば、はじめの契約や会員登録のさいにいくら本人であっても、次の契約変更やログインをされる際にも本人であることを毎回確認しなければ意味がない、ということですね。

とはいえ、とくにインターネットが発達した現在では、毎回毎回本人性を証明する書類を確認したり、本人の顔写真と照合したりするしくみをつくることはたいへんです。
そこでさまざまなサービスが、それぞれのお客さまに「ID」という識別番号(=開く扉の番号)を提供し、お客さまご自身が設定された「パスワード」(=扉の鍵)をつかうことで、「本人しか知らない情報」として本人性の確認を行っています。
スマホやATMなどでは「静脈認証」や「指紋認証」をつかっていらっしゃるかたも多いと思いますが、これらはまさにお客さまのみが保有される生体情報を認証に使用することで、IDやパスワードの入力を省略するもので、基本的な考え方はおなじです。

しかしながら、この方法では「100のサービス」があれば、「100のID」が存在することになり、お客さまにとってはサービスごとに異なるIDを覚えておく必要があります。
パソコンやスマホ、ブラウザなどにIDを保存しておく方法もあるとはいえ、だいたいこれらが必要になるのはトラブルがあってパソコンやスマホ、ブラウザを初期化するときですので、面倒なことに変わりはありません(私も先日初期化しましたのでたいへんでした…)。

そこで、とある「サービスA」のIDを利用して、別の「サービスB」や「サービスC」のIDとしても利用できるようにすることで、お客さまが「ひとつのID」だけで複数のサービスを利用できるようにするしくみが広がっています。これが「シングルサインオン」(SSO)と呼ばれるしくみなのですが、「SSO」などといってもシステムに詳しいかた以外には伝わりませんので、さまざまなサービスが表現方法に四苦八苦した結果、「ログイン連携」や「ID連携」、「○○連携」「○○でログインする」(○○はサービス名)といったさまざまな表現があふれています。

このとき、お客さまから見れば、「サービスA」のIDでログインしているように見えますが、実際にはシステム側で、「サービスA」のIDを「サービスB」や「サービスC」のIDに読み換えてログインしていることになります。
具体的には、たとえばイオンモバイルのマイページに、「iAEON」のIDでログインできるように設定されているお客さまの場合、設定後は「iAEON」でログインしているように見えますが、実際には「iAEON」のIDと「イオンモバイルID」(2024年7月10日までは「お客さまID」)を結びつけて読み換えることで、「iAEON」IDを入れながら「イオンモバイルID」でログインしていることになります。
これがいわゆる「紐付け」という作業になり、「紐付け」をしていないIDのあいだでは、(お客さまの許可を得ておらず、かつ本人性の確認もできていないので)当然情報のやりとりをできない、ということになります。
お客さまのなかにも、「○○と紐付けていないお客さまは…」「…を利用するためには○○と紐付けてください」といった案内をいろいろなサービスで目にされて、「???」となられた経験があるかたもお見えではないかな、と思います。

これに対して、そもそも「サービスB」や「サービスC」には独自のIDを用意せずに、すべての情報を「サービスA」のIDだけでやりとりするのが、「ID統合」といわれるものです。
一見すると、お客さまからすれば「ID連携」よりも「ID統合」のほうがつかいやすいように見えるのですが、サービスAとサービスBでは、サービス提供に必要とするお客さま情報が異なることや、そもそもサービス提供開始当初は別々のサービスであったことなどから、完全な「ID統合」には法的にも技術的にも極めて高いハードルがあります。
また、最近では「ID連携」できるメリットの一方で、万一の情報流出の際には、サービスAの情報流出だけで、サービスBやサービスCまで不正に利用できてしまうといったデメリットも注目されています。
このあたりは長くなりましたので、次回以降にもう詳しくお話しできればと思います。

なお、今回はなるべく難しいお話にならないよう、ざっくりとした説明を優先しておりますので、システム的な理解に少し正確性が欠ける点は、どうかご容赦いただければ幸いです。