特許ウォッチ

公開番号2025095844
公報種別公開特許公報(A)
公開日2025-06-26
出願番号2023212171
出願日2023-12-15
発明の名称情報処理方法、サーバ装置、及びプログラム
出願人大日本印刷株式会社
代理人弁理士法人インテクト国際特許事務所,個人
主分類H04L 9/08 20060101AFI20250619BHJP(電気通信技術)
要約【課題】VCのHolderがVC Issuerの管理下から外れた場合であっても、VCを継続的に維持するためのコストの発生を低減することが可能な情報処理方法、サーバ装置、及びプログラムを提供する。
【解決手段】ID wallet APPは、Holderの指示に応じて、HolderのDID及び本人確認情報を取得し、Holderに固有の秘密鍵と公開鍵との鍵ペアを生成し、当該DID、当該本人確認情報及び当該公開鍵を含むDIDドキュメント更新要求をDID Issuerサーバ3に向けて送信し、当該DIDドキュメント更新要求に応じてDIDドキュメント更新応答を受信すると、VC再発行要求をVC Issuerサーバ4に向けて送信し、当該VC再発行要求に応じてVC再発行通知を受信すると、当該再発行されたVCを取得する。
【選択図】図8
特許請求の範囲【請求項１】
ユーザを識別可能なDID（Decentralized Identifier）及び当該ユーザの公開鍵情報を含むDIDドキュメントを登録する第１レジストリと、前記ユーザの属性を証明するためのVC（Verifiable credential）であって、前記DID、当該ユーザの属性情報、及び当該VCの発行者の第１デジタル署名を含む当該VCを登録する第２レジストリと、前記DIDの発行者により管理され前記第１レジストリにアクセス可能な第１情報処理装置と、前記VCの発行者により管理され前記第２レジストリにアクセス可能な第２情報処理装置と、前記第１情報処理装置、及び前記第２情報処理装置との間で通信可能な第３情報処理装置とを備える通信システムにおいて実施される情報処理方法であって、
前記第３情報処理装置が、前記ユーザの指示に応じて、前記DID及び当該ユーザの本人確認情報を外部から取得する本人確認情報取得ステップと、
前記第３情報処理装置が、前記ユーザに固有の秘密鍵と公開鍵との鍵ペアを生成するステップと、
前記第３情報処理装置が、前記取得されたDID、前記取得された本人確認情報、及び前記生成された鍵ペアにおける公開鍵を含むDIDドキュメント更新要求を前記第１情報処理装置へ送信するステップと、
前記第３情報処理装置が、前記DIDドキュメント更新要求に応じて前記第１情報処理装置により前記DIDドキュメントが更新されたことを示すDIDドキュメント更新応答を受信するステップと、
前記第３情報処理装置が、前記VCの所在情報を含むVC更新要求を前記第２情報処理装置へ送信するステップと、
前記第３情報処理装置が、前記VC更新要求に応じて前記第２情報処理装置により前記VCが更新されたことを示すVC更新応答を受信するステップと、
前記第３情報処理装置が、前記更新されたVCを前記第２レジストリから取得するステップと、
を含むことを特徴とする情報処理方法。
続きを表示（約 3,100 文字）【請求項２】
前記更新されたVCに含まれる前記属性情報中の複数の要素データの全部または一部を含む入力データと、前記生成された鍵ペアにおける秘密鍵とを用いて前記ユーザの第２デジタル署名を生成するステップと、
前記DID、前記第１デジタル署名、及び前記第２デジタル署名を含むVP（Verifiable Presentation）を前記更新されたVCから生成するステップと、
前記生成されたVPを検証者に対して開示するステップと、
を更に含むことを特徴とする請求項１に記載の情報処理方法。
【請求項３】
前記更新されたVCに含まれる前記属性情報中の複数の要素データを前記ユーザに対して選択可能に提示する提示ステップと、
前記提示された複数の要素データのうちから検証者への開示対象として前記ユーザにより選択された要素データを含む前記入力データと、前記生成された鍵ペアにおける秘密鍵とを用いて前記ユーザの第２デジタル署名を生成するステップと、
前記ユーザにより選択された要素データ、前記DID、前記第１デジタル署名、前記第２デジタル署名を含むVPを前記更新されたVCから生成するステップと、
前記生成されたVPを前記検証者に対して開示するステップと、
を更に含むことを特徴とする請求項２に記載の情報処理方法。
【請求項４】
前記入力データは、前記ユーザにより選択された要素データと当該ユーザにより選択されなかった要素データを開示不能に隠蔽したデータとを含むことを特徴とする請求項３に記載の情報処理方法。
【請求項５】
前記情報処理方法は、前記第３情報処理装置が、前記VCに基づいて前記第１デジタル署名の検証用の公開鍵を取得し、前記第２レジストリから取得された前記更新されたVCに含まれる前記第１デジタル署名を前記検証用の公開鍵を用いて検証するステップを更に含み、
前記提示ステップにおいては、前記第１デジタル署名の検証結果が正当である場合に、前記更新されたVCに含まれる前記属性情報中の複数の要素データを前記ユーザに対して選択可能に提示することを特徴とする請求項３に記載の情報処理方法。
【請求項６】
前記第１情報処理装置は、前記ユーザの個人登録情報を管理しており、前記DIDドキュメント更新要求を受信すると、前記個人登録情報と前記本人確認情報とを照合し、両者が一致している場合に、前記第１レジストリに登録されている前記DIDドキュメントを更新し、前記DIDドキュメント更新応答を前記第３情報処理装置へ送信することを特徴とする請求項１乃至５の何れか一項に記載の情報処理方法。
【請求項７】
前記第２情報処理装置は、前記VC更新要求を受信すると、前記第２レジストリに登録されている前記VCを更新し、前記VC更新応答を前記第３情報処理装置へ送信することを特徴とする請求項１乃至５の何れか一項に記載の情報処理方法。
【請求項８】
前記第３情報処理装置が、前記第１情報処理装置から送信された、１または複数の本人確認手段の候補を示す本人確認手段情報を受信するステップと、
前記第３情報処理装置が、前記受信された本人確認手段情報に基づいて前記第３情報処理装置により取り扱い可能な本人確認手段を１または複数選定し、当該選定された本人確認手段を前記ユーザに対して選択可能に提示するステップと、
を更に含み、
前記本人確認情報取得ステップにおいては、前記ユーザに対して選択可能に提示された本人確認手段のうち、当該ユーザの指示に応じて選択された本人確認手段に応じた処理を実行することにより、当該ユーザの本人確認情報を取得することを特徴とする請求項１乃至５の何れか一項に記載の情報処理方法。
【請求項９】
ユーザを識別可能なDID及び当該ユーザの公開鍵情報を含むDIDドキュメントを登録する第１レジストリと、前記ユーザの属性を証明するためのVCであって、前記DID、当該ユーザの属性情報、及び当該VCの発行者の第１デジタル署名を含む当該VCを登録する第２レジストリと、前記DIDの発行者により管理され前記第１レジストリにアクセス可能な第１情報処理装置と、前記VCの発行者により管理され前記第２レジストリにアクセス可能な第２情報処理装置と、前記ユーザにより使用される端末とを備える通信システムにおいて前記第１情報処理装置、前記第２情報処理装置、及び前記端末との間で通信可能なサーバ装置であって、
前記DID及び前記ユーザの本人確認情報を前記端末から取得する第１取得手段と、
前記端末により生成された鍵ペアであって前記ユーザに固有の秘密鍵と公開鍵との鍵ペアのうち当該公開鍵を前記端末から取得する第２取得手段と、
前記取得されたDID、前記取得された本人確認情報、及び前記取得された公開鍵を含むDIDドキュメント更新要求を前記第１情報処理装置へ送信する第１送信手段と、
前記DIDドキュメント更新要求に応じて前記第１情報処理装置により前記DIDドキュメントが更新されたことを示すDIDドキュメント更新応答を受信する第１受信手段と、
前記VCの所在情報を含むVC更新要求を前記第２情報処理装置へ送信する第２送信手段と、
前記VC更新要求に応じて前記第２情報処理装置により前記VCが更新されたことを示すVC更新応答を受信する第２受信手段と、
前記更新されたVCを前記第２レジストリから取得する第３取得手段と、
前記第２レジストリから取得された前記更新されたVCを前記端末へ送信する第３送信手段と、
を備えることを特徴とするサーバ装置。
【請求項１０】
ユーザを識別可能なDID及び当該ユーザの公開鍵情報を含むDIDドキュメントを登録する第１レジストリと、前記ユーザの属性を証明するためのVCであって、前記DID、当該ユーザの属性情報、及び当該VCの発行者の第１デジタル署名を含む前記VCを登録する第２レジストリと、前記DIDの発行者により管理され、前記第１レジストリにアクセス可能な第１情報処理装置と、前記VCの発行者により管理され、前記第２レジストリにアクセス可能な第２情報処理装置とを備える通信システムにおいて前記ユーザにより使用される端末に含まれるコンピュータに、
前記ユーザの指示に応じて、前記DID及び当該ユーザの本人確認情報を外部から取得するステップと、
前記ユーザに固有の秘密鍵と公開鍵との鍵ペアを生成するステップと、
前記取得されたDID、前記取得された本人確認情報、及び前記生成された鍵ペアに含まれる公開鍵を含むDIDドキュメント更新要求を前記第１情報処理装置に向けて送信するステップと、
前記DIDドキュメント更新要求に応じて前記第１情報処理装置により前記DIDドキュメント中の前記公開鍵情報が更新されたことを示すDIDドキュメント更新応答を受信するステップと、
前記VCの所在情報を含むVC更新要求を前記第２情報処理装置に向けて送信するステップと、
前記VC更新要求に応じて前記第２情報処理装置により前記VCが更新されたことを示すVC更新応答を受信するステップと、
前記更新されたVCを前記第２レジストリから取得するステップと、
を実行させることを特徴とするプログラム。

発明の詳細な説明【技術分野】
【０００１】
本発明は、分散型アイデンティティ基盤を利用して検証可能なデジタル証明書を発行可能なシステム等の技術分野に関する。
続きを表示（約 3,800 文字）【背景技術】
【０００２】
近年、エンティティ（人、組織、または機器等）を特定し、それに付随する属性を証明する手段として分散型アイデンティティ（以下、DID（Decentralized Identifier）という）基盤が普及しつつある。DID基盤は、W3C(World Wide Web Consortium)が主導して仕様を定義しており、様々な業界において応用されている。DIDは、SchemeとDID MethodとDID Method-Specific Identifierとから構成される。DID Methodには、DIDが登録（格納）されるレジストリの識別名が記載され、DID Method-Specific Identifierには、レジストリにおいて付番された個々の人、組織、または機器等に対する固有の識別子が記載される。なお、エンティティが人である場合、DIDの所有者（ユーザ）を「Holder」という。DIDの発行者（以下、「DID Issuer」という）は、HolderからDIDの発行を依頼されると、新たなDIDを作成し、さらにDIDドキュメントを作成する。DIDドキュメントは、HolderのDID、当該DIDに紐付く公開鍵、及びDID Issuerの情報を含み、レジストリに登録される。
【０００３】
DIDによって識別されるHolderの属性は、例えば特許文献１に開示されるように、検証可能なデジタル証明書（検証可能な資格情報ともいい、以下、VC(Verifiable credential)という）として表現することが可能になっている。VCは、Holderの属性を証明するためのデジタルデータであり、例えば、身分証、免許、学歴、職歴、試験のスコア等に応用される。HolderのVCには、HolderのDID、Holderの属性情報、当該VCの発行者（以下、「VC Issuer」という）のDID、及びVC Issuerのデジタル署名（電子署名）等が含まれる。これにより、Holder（DID及びVCのHolder）が自身の属性を示したい相手である検証者（以下、「Verifier」という）に対してVCを開示すると、Verifierは、VCを解釈してVC Issuerの公開鍵を取得することができるようになる。そして、Verifierは、VC Issuerの公開鍵を用いてVCを検証（つまり、デジタル署名を検証）し、Holderの属性の確からしさを評価したうえで、その属性に応じたアクションをHolderに提供する。
【０００４】
ところで、HolderのDIDに紐付く秘密鍵（つまり、非対称暗号方式の秘密鍵）は、DIDドキュメントがレジストリに登録される際に実行されるHolder認証のためのデジタル署名（つまり、Holderのデジタル署名）を生成したり、HolderがVCから特定の要素を選択して開示するVP（Verifiable presentation）のデジタル署名を生成したりするために使用される。Holderの秘密鍵が流出すると、本来のHolderであると偽って属性情報を開示し、不当にサービスを享受するインシデントにつながるため、当該秘密鍵の保存には高度なセキュリティを施さなければならない。そのため、Holderの秘密鍵の格納にはセキュリティ対策が施されたハードウェアとソフトウェアを実装したID walletと呼ばれる装置が必要となり、これには、例えばIC（Integrated Circuit）カードやスマートフォンのセキュアエレメントが使用される。
【０００５】
例えば、DIDとVCを学生の在学証明に適用する場合、すべての学生が特定のセキュリティ基準を満たしたスマートフォンを常時帯同できるとは限らないため、学生のDIDに紐付く秘密鍵を格納するID walletにはスマートフォンよりも安価なICカードを選択し、それをすべての学生に対して配布し、学生証として利用する形態が適切である。例えば、学校の図書館の入退室管理や学割等、当該学校の学生であることを条件にサービスを提供する場合、当該サービスを提供する施設側にVCを検証する機能が備わっていれば、当該学生は、学生証のセキュアエレメントにVCを格納しておき、当該VCを施設側に開示することによって、当該学校の学生であることを証明し、当該サービスを適正に享受することができるようになる。さらに、学生が在学期間中に就職活動をする際には、当該学生は、在学証明及び卒業見込み証明のためのVCを生成し、そのVCをID walletである学生証のセキュアエレメントに格納して、Verifierである採用企業に開示することもできる。かかる学生証にはDIDに紐付く秘密鍵が保管されているので、学生は、VC開示時に当該秘密鍵を用いてHolder認証を実行すれば、Verifierに対してVC被発行者であることを示すことができるし、或いはVPによって必要な属性情報のみを開示することもできる。
【０００６】
その後、学生が卒業する際には、通常、学校により学生証が回収され、無効化、廃棄されることになるが、当該学校が卒業生に対して卒業証明のためのVCを提供する場合、そのVCを格納するためのID wallet、さらにはそれらの起点となるDIDドキュメントをどのようにメンテナンスするかが課題となる。先ず、ID walletに関し、学校が卒業生に対して学生証に代わる新たなID walletを配布するとなると、スマートフォンを配布するコストは膨大になるため、ICカードが選択されることが想定されるが、一般的なICカードに採用される不揮発性半導体メモリのデータ保持能力は10年程度であり、ICカードを10年毎に更新する必要が生じる。このようなカード発行コストのみならず、卒業生の居住先の追跡及び存命確認に係るコストが伴うことから、学校が新たなID walletを学生に配布する方針は適切とは言えない。したがって、卒業生は自分自身でID walletを用意する必要があるものの、卒業証明のためだけに専用のICカードを発行し入手することは、大量生産を前提としたICカードの製造コストの観点から現実的ではないため、卒業生が自分自身でセキュリティが具備されているスマートフォンを用意し、当該スマートフォンのセキュアエレメントにVCを格納することが望ましい。
【０００７】
次に、DIDドキュメントに関し、生成された暗号鍵は恒久的に使われるものでなく、例えばNIST SP800-57では署名用秘密鍵の使用期間を1～3年に定めている。この基準に従うならば、在学中に発行したDIDに紐付く鍵ペアは、在学期間が長ければ在学中に更新され、DIDに紐付く公開鍵を含むDIDドキュメントも併せて更新されることになる。さらに、卒業後に卒業証明等のVCを利用させようとするならば、DIDドキュメントを継続して更新し続ける必要がある。DIDに紐付く鍵ペアの生成、及び公開鍵証明書の発行は専用の装置を使用して実施されるため、その装置の使用に係るコストが継続的に発生することになる。最後に、VCに関し、前述のNIST SP800-57ではデジタル署名を検証する際に使用する公開鍵の利用期間を数年として推奨している。例えばマイナンバーカードに書き込まれた電子証明書には5年の有効期限が設定されており、一般的な利用期間であると言える。卒業生に対してVCを継続的に利用させようとすると、実際のVCの利用頻度は低いにも関わらず（例えば、10年に1回、転職の際に）、VCを数年ごとに（例えば5年ごとに）更新する必要が生じる。デジタル署名は専用の装置を使って実施されるため、その装置の使用に係るコストが継続的に発生することになる。
【先行技術文献】
【特許文献】
【０００８】
特開2023-121536号公報
【発明の概要】
【発明が解決しようとする課題】
【０００９】
以上のように、学校が卒業生に対してVCを使用した卒業証明を継続的に提供する際には実際の使用頻度の高低にかかわらず多大なコストが必要となり、それを学校側と卒業生側とのいずれが負担するにしてもコストに見合った価値を提供できない課題がある。ここでは学校と学生の関係を例に挙げたが、同様にVCのHolderがVC Issuerの管理下から外れてしまい、VCを継続的に維持するためにVC Issuerが負担するコストがVCの利用価値にそぐわないユースケースには同様の課題が存在する。
【００１０】
そこで、本発明は、上記課題等に鑑みてなされたものであり、VCのHolderがVC Issuerの管理下から外れた場合であっても、VCを継続的に維持するためのコストの発生を低減することが可能な情報処理方法、サーバ装置、及びプログラムを提供することを目的とする。
【課題を解決するための手段】
（【００１１】以降は省略されています）

関連特許