1. 序論

本論文は自己主権型アイデンティティ（SSI）、検証可能なクレデンシャル（VC）、そしてゼロ知識証明（ZKP）を核とする新たな都市OSアーキテクチャ「AMATELUS」の監査メカニズムに存在する潜在的な脆弱性を特定し、より堅牢な代替案を提案する。具体的には、従来の監査用DIDの課題を解決し、政府による国民情報の一元管理を回避しつつ、必要に応じた監査と責任追及を可能にする 「匿名ハッシュ識別子」を用いた識別子管理メカニズムを導入する。さらに、この匿名ハッシュ識別子の概念が民間企業における多重会員登録防止に応用可能であり、SNSでの誹謗中傷やデマ、チケット等の不正転売といった現代社会の課題解決に貢献し、不正行為でアカウントを停止されると作り直しができない社会を構築することでデジタル社会の信頼性向上に寄与する可能性を示す。

2. AMATELUSアーキテクチャの概要と前提

AMATELUSは、市民中心のデジタル体験と、政府の効率的かつ透明なサービス提供を両立させるため、自己主権型アイデンティティ（SSI）の原則に基づいている。その核となる要素は以下の通りである。

• 分散型識別子（DID）: did:amatelus メソッドは、DIDドキュメントの「不変性」を徹底し、その耐量子計算機（PQC）ハッシュ値がDIDのmethod-specific-idとなる。公開鍵の更新は新しいDIDの作成を意味し、市民はプライバシー保護のため、サービスやユースケースごとにDIDを使い分け、異なる公開鍵を用いることで、活動の関連付けによるプロファイリング（名寄せ）を防止する。
• 検証可能なクレデンシャル（VC）: 個人の変動的または機微な属性情報は、自治体等の信頼できる発行者によって署名されたVCとして表現される。DIDが新規作成されるたびに、その新しいDIDに紐づくVCは全て再発行されるモデルを採用する。
• ゼロ知識証明（ZKP）: 市民はウォレットに保管されたVCからZKPを生成し、必要な属性情報をその具体的な値や市民のDID、氏名といった個人情報を開示することなく証明する。ZKPはPQC対応を想定し事前生成によりUXを向上させる。
• 行政サービスの提供モデル: ZKPとエンド・ツー・エンド検証可能性（E2E-V）を活用し、行政が「信頼できない」サービス提供者（匿名エンジニア/ベンダー）を活用してサービスを提供することを可能にする。

本論文は上記AMATELUSの基本的な設計要素が確立されていることを前提とし、特に監査・追跡メカニズムの強化に焦点を当てる。

3. 信頼性・監査性・責任追及のメカニズムの強化

AMATELUSの高い匿名性と分散性を追求しつつも、システム全体の信頼性と説明責任を担保するためのメカニズムを設計する。

• 従来の監査用DIDの脆弱性: AMATELUSの初期構想における「監査用DID」は、不正調査が必要な場合に市民が提示することで追跡を可能にするものであった。しかし、これは市民が監査用DIDの秘密鍵を意図的に紛失したり、廃棄したりすることでそのDIDに紐づく過去の活動の追跡が困難になるというプロトコル上の脆弱性を抱えていた。また、単一の監査用DIDを用いると、異なる行政サービス間での名寄せの懸念が生じる可能性もあった。
• 匿名ハッシュ識別子による解決: この脆弱性を解消するため、監査用DIDの代わりに、各監査区分（納税、給付、特定の申請など）ごとに政府が発行する「監査区分識別子」と、対象者のマイナンバーから生成される匿名化されたハッシュ識別子（例：Hash(監査区分識別子 || マイナンバー)） を、システム内部で管理する。
  • このハッシュ識別子は、特定の監査目的の範囲内（例：ある個人の税務記録の時系列での追跡）でのみ名寄せを可能にするが、異なる監査目的間（例：税務と給付）での名寄せは技術的に防止する。
  • 市民は自身が保有する世帯情報VCからマイナンバーを取得し、政府が公開する監査区分識別子と組み合わせて、ウォレット内で匿名ハッシュ識別子を生成する。この際、ウォレットは生成されたハッシュ識別子が正規の世帯情報VCに含まれるマイナンバーと、公開された識別子から正しく生成されたものであることをZKPで証明する。
  • 普段の行政サービス利用時は匿名性の高いZKPを利用する。しかし、不正調査など社会的な合意形成に基づき監査が必要な場合に限り、裁判所の令状など既存の法的手続きに基づき、自治体に対し特定の匿名ハッシュ識別子に対応するマイナンバーの開示を命じることができる。
  • 自治体は令状に基づき、そのマイナンバーからハッシュを逆引きすることで個人を特定し、関係機関（例：税務署、警察）にマイナンバーを提出する。これにより不正容疑者が意図的に追跡を回避することを不可能にし、かつプライバシーを最大化しつつ必要時に責任追及を可能にする。

4. 匿名ハッシュ識別子の応用と社会実装の強化

本論文で提案する匿名ハッシュ識別子の概念は、マイナンバーの社会実装において、従来の懸念を払拭しつつ、そのメリットを最大化する新しいモデルを提示する。

• プライバシー保護と効率化の両立:

  • 自治体と監査機関以外はマイナンバーを一切知ることなく、社会全体でマイナンバーのメリットを享受できる。
  • 納税、給付、各種申請など行政サービスごとに「監査区分識別子」とマイナンバーから生成される匿名ハッシュ識別子を用いることで名寄せを困難にし、個人のプライバシーを強力に保護する。
  • これにより、政府や民間企業がマイナンバーをキーにして国民の個人情報を一元的に収集・利用する懸念を払拭しつつ、行政サービスの効率性向上、多重給付防止、不正追跡といったマイナンバーの本来のメリットを実現できる。

• 民間企業における多重会員登録防止への応用:

  • この匿名ハッシュ識別子の概念は、民間サービス、特にオンラインプラットフォームにおける同一人物による複数アカウント作成の防止に極めて有効である。
  • 例えば、SNS、オンラインゲーム、チケット販売サイトなどにおいて企業はアカウント登録時に、自社が発行する「サービス固有識別子」をユーザーに提示する。ユーザーは自身のウォレットが保有する世帯情報VCからマイナンバーを取得し、このサービス固有識別子と自身のマイナンバーから匿名ハッシュ識別子を生成する。この際、ウォレットは生成されたハッシュ識別子が正規の世帯情報VCに含まれるマイナンバーと、公開された識別子から正しく生成されたものであることをZKPで証明する。
  • 企業は提示された匿名ハッシュ識別子とZKPを検証し、自社のユーザーデータベースでこのハッシュ識別子が登録済みかどうかチェックする。これにより同一人物が複数のアカウントを作成することを技術的に防止できる。
  • この仕組みが広く普及すれば、不正行為（誹謗中傷、デマの拡散、アカウント詐称、チケットや限定品の不正転売など）によってアカウントが停止された場合、同一人物が新たなアカウントを作り直すことが極めて困難な社会が実現する。これによりオンラインサービスの信頼性と健全性が大幅に向上し、プラットフォーム運営者の監視負担も軽減される。

• 金融機関等の業務における応用:

  • 金融機関など、市民からマイナンバー提出を必要とする業務において、手続き前に金融機関から利用目的ごとの識別子を市民に配布する。
  • 市民は、自身のウォレットが保有する世帯情報VCからマイナンバーを取得し、この識別子と自身のマイナンバーから匿名ハッシュ識別子を生成する。この際、ウォレットは、生成されたハッシュ識別子が正規の世帯情報VCに含まれるマイナンバーと、公開された識別子から正しく生成されたものであることをZKPで証明する。
  • 金融機関は、提示された匿名ハッシュ識別子とZKPを検証し、このハッシュ識別子を自社の顧客情報に紐付けて管理する。マイナンバーを直接保管する必要はない。
  • これにより、全銀システム全体でこの匿名ハッシュ識別子を用いたトレースが可能になり、金融機関がマイナンバーを直接管理・保管するリスクを低減しつつ、不正取引の追跡やマネーロンダリング対策といった金融システムの信頼性を向上させることができる。

5. 結論と今後の展望

本論文で提案した監査用DIDに代わる匿名ハッシュ識別子の導入は、AMATELUSのセキュリティとプライバシー保護をさらに堅牢化し、不正行為者の再アカウント作成を困難にする社会インフラとしての可能性を明確にする。このアプローチは政府による国民情報の一元管理を回避しつつ、マイナンバー制度が本来目指すべき行政の効率化と社会全体の信頼性向上を両立させる、実用的な道筋を提示する。

この設計の実現には、以下のような継続的な研究と社会的な努力が不可欠である。

• PQC ZKP技術のさらなる成熟と最適化。
• ユーザー体験の徹底的な追求。特に、ウォレットを通じたハッシュ生成の操作性とセキュリティの両立。
• 社会合意形成と法的・制度的枠組みの整備。特に、マイナンバーの匿名ハッシュ識別子の利用に関する法的解釈と社会受容性の確立。
• AMATELUSプロトコルの詳細な仕様策定と標準化。