匿名認証

memo.md

• what's 匿名認証
  • userがservice providerに個人情報を提供しなくても、service provider側でユーザーを識別してサービスを提供すること
• usecase
  • register/authN前のユーザーがECで商品をカートに入れる。その後、register/authNを実施した際、実施前のカートの内容が保持される。
    • authN前のユーザーを個人情報がない状態で識別し、その状態での行動をauthNされたユーザーと紐づけている
    • UX向上の文脈
  • 例
    • firebase(https://firebase.google.com/docs/auth/web/anonymous-auth?hl=ja)
    • nifcloud(https://mbaas.nifcloud.com/doc/current/user/authorize_anonymous_ios.html)
    • microsoft(https://msdn.microsoft.com/ja-jp/library/cc338017.aspx#Anonymous)
  • 各サービスがuserの個人情報を保持せず、IdPによって提供されるuserのサービスアクセス権限など最低限の情報に基づいてデータ提供orユーザー識別を行う
    • 個人情報・プライバシー保護
    • 個人情報管理コストの低減(for RP, IdP)
    • AnthNに伴うuserの入力操作の削減(id/pass入力の手間がなくなる)
    • セキュリティの文脈
  • 例
    • 東芝 論文(https://www.toshiba.co.jp/tech/review/2005/06/60_06pdf/a07.pdf)
• 参考
  • OECD8原則
    • 「プライバシー保護と個人データの国際流通についてのガイドライン」
    • OECD(経済協力開発機構)が1980年に定めた、個人情報保護の基本となるガイドライン
    • 日本の個人情報保護法のベース
    • 項目
      • 目的明確化の原則　(Purpose Specification Principle)
      • 利用制限の原則　(Use Limitation Principle)
      • 収集制限の原則　(Collection Limitation Principle)
      • データ内容の原則　(Data Quality Principle)
      • 安全保護の原則　(Security Safeguards Principle)
      • 公開の原則　(Openness Principle)
      • 個人参加の原則　(Individual Participation Principle)
      • 責任の原則　(Accountability Principle)
    • ref: http://privacymark.co.jp/privacymark_system/
  • PII
    • Personally Identifiable Information
    • 個人を識別可能なプライバシー情報