ラボ神部です。

なんだか昨日は知らないうちに GINZA TECH LOUNGE feat. OpenID というとても興味惹かれるイベントがあったらしいのですが、参加出来ず残念です。

こちらにあるレポート やListPod での OpenID 利用について LT してきたを読んで会場の模様を思い浮かべながらいろいろ考えていたのですが、その中で続報的に上がっていた次の記事

-増えすぎた OpenID をどう管理するか - まちゅダイアリー (2008-09-11)

に書かれていることがちょっと気になりました。

希望

* 信頼できるサイトが「OpenIDおまとめサービス」とかで提供してほしい。URLも短く

これはしかにそうだと思います。OpenID 対応アプリケーションを作ってみると感じるのですが、ユーザからはいろいろなサービスがひとつの ID で利用出来て便利なのですが、アプリケーション側からは同じ人でも別の OpenID プロバイダ経由で認証に来た場合は別のユーザ扱いになっちゃうんですよね。

たとえばはてなみたいに一人一ID（サブアカウントを除く）のを基本にしているサービスがありますが、そういうポリシーのもとに一IDあたりの重みを強く持たせたいときは OpenID は少し採用しにくくなってくるのです。

OpenID の仕組みはお店とポイントカードに仕組みに似ていて、お客さんが例えばDVDレンタル店舗 T 社のポイントカードを持っていたとしたら、まず T 社のお店に行けば特典サービスが得られるとします。次に T 社のポイントカードがコンビニ F 社のポイントカードシステムと提携し、T 社のポイントカードを持って行くと F 社でも特典サービスが得られるようになったとします。

このとき、ユーザは T 社のポイントカードを使っても F 社のポイントカードを使っても特典サービスが得られますが、お店側からすればそれは別々のお客さんに見えるわけです。カードを持っている人は同一人物なのに、持っているカードによって ID が変わってしまい、見ようによっては同一人物を複数のお客さんとして取り扱わなければ鳴りません。これではお店側も利用者の実情がつかみにくくなってしまい、実際に有効な利用者母数がわかりにくくなってしまうだけではなく、ユーザから預かるデータの管理もより複雑になってしまいます（もちろん現状ではユーザデータは ID ごとに別々に管理するよ、という軽さを持たざるを得ないわけですが）。

当面の対処方法としては、例えば手元の Open ID のアプリケーション側で複数の Open ID の「おまとめサービス」を提供することです。こうすると、いち利用者が複数の ID でログインしてくるという複雑なことは多少解決に向けられるような気がします。しかし同時に元エントリでも指摘されているような、アプリケーション運営者側による利用者の ID 統合情報掌握につながり、これはユーザにとって嬉しいことではありません。だからこそ、元エントリで述べられているような「OpenID おまとめサービス」が必要になってくるのではないかと思います。

この問題は OpenID が普及するにつれ、将来必ずぶち当たる壁なのではないでしょうか。本当はこういうのは保険証番号とか住基ネットIDとかがインフラになってくれればいいのかもしれませんが、国のIT施策に期待するのも難しいところなので、どこか意表をついたところがこういう認証サービスをはじめたら面白いかなーと思います。以前 IIJ4u とかをやっていた IIJ とかがやりはじめたら、ブランド面も含め結構面白いんじゃないでしょうか？