それゆえ国民からの人気が高いのが、e-IDとSIMカードを連携させた「Mobile ID」や、モバイルアプリを連携させたデジタルIDアプリ「Smart-ID」だ。
双方ともスマートフォン上で認証を完結されられるため、カードリーダーが不要となりユーザービリティが高い。一方で、登録時にはe-IDカードによる本人確認が必至となっている上、毎回暗証番号を入力することも求められるため、セキュリティと本人性も担保できる。
つまりエストニアでは、e-IDカードやデジタルIDアプリを活用することで、ユーザービリティとセキュリティの双方を保証する認証システムを実現しているのだ。
不足する人材問題にも有効な一打に
7Payの不正アクセス事件の遠因とも言えるのが、認証プロセスを組み込んだサービスの開発をリードできる高レベル人材が不足している点だろう。
フィンテックに代表されるようなミッションクリティカルなサービスが乱立している昨今、サービスの設計やユーザー体験、ビジネスモデル、レギュレーション、技術のすべてを総括的に理解してプロジェクトをリードできる人材自体が求められているが圧倒的に少ない。
特に不正アクセスへの対応は開発者も頭を悩ませるところで、利用者の「利用方法」のシナリオを網羅的に想定し、一つひとつ対応策を打たなければならない点で負担は大きい。「変な使い方する人はいないだろう」という性善説が通用しないのは、今回の一件が物語っている。
この点、実はエストニアも状況は似ている。ただでさえ人口約132万人と慢性的に人材が不足している同国でも、最近はITスタートアップが毎日のように勃興し、エンジニアの獲得競争が起きている。
似通った状況下だが、日本とエストニアで唯一違いがある。それはエストニアの事業者たちが「自前主義」を捨てた点だ。
同国の事業者は、サービスの開発時に自社だけで認証プロセスを開発しようとせず、e-IDと連携した認証システムを採用し始めた。
例えば、オンラインバンクなどの金融サービスもe-IDによるログインを実装しており、ユーザーはe-IDカードやSmart-IDを用いてログインをすることができる。 そのためサービス事業者は「パスワードをお忘れの方はこちら」といった機能の設計や実装、そもそもログインIDとパスワードやパスワード保管のセキュリティ対策など行う必要がなくなった。
上述したSmart−IDも、公開されているだけで80を超えるサービスと連携している。