Elisa社はTelia社、Tele2社と並ぶエストニアのメジャーな通信キャリアである。Wappalyzeで見ると、Drupal9がCMSとして利用されているのがわかる。この画面は、ログイン画面でログインの方法は、Mobile-ID、エストニアのIDカード+カードリーダー、Smart-ID、銀行認証が提供されていて電子メール✕パスワードといった入力方法は提供されていない。銀行認証を除くと、残りの方法はすべてエストニアのPersonal code(日本のマイナンバーに相当)に結び付けられている。銀行認証もその裏側ではPersonal codeに結び付けられているので、(法人契約の回線は別として)すべての認証方法が国家が管理するeIDに紐付けられていることになる。ちなみに、Elisa社のサイトにはエストニア語と、ロシア語しか無いが、自動翻訳で十分実用に足りる。
Drupalのコントリビューションモジュールには、Estonian ID-Card, Mobile ID and Smart-ID authentication(https://www.drupal.org/project/eid_auth)があり、これを利用することで簡単にeIDに紐付けたログイン機能が実現できるようになっている。私は居住者ではないので、Mobile-IDを使うことはできないが、エストニアのE-residentなのでIDカード、Smart-IDの世話になっている。とても便利で安心感がある。私が聞いた話では、エストニアのDrupalサイトでも必ずしもこのモジュールを使っているとは限らず独自実装もあるようだが、基本的に公共機関や大手企業の認証サービスはeIDを用いるのが一般的なのだそうだ。emailを利用した認証は、しばしばアカウントがなくなったりすることがあるがeIDなら確実だし、何より信頼性が高い。Smart-ID認証の場合、スマホにアプリを入れておくと、公共機関のサイトであれ、ElisaであれPersonal codeを入れて、Smart-IDログインを求めると、Smart-IDアプリが立ち上がる。そこで自分のログイン行為であることを確認の上、PIN相当の番号を入れればログインできる。ちゃんとしたサイトでは2要素認証でないログインは基本的に許されていない。オープンソースでもしっかりとしたサービスが提供できる証拠と言ってもよいだろう。
エストニアのPersonal codeが日本のマイナンバーと異なるのは、民間企業にも利用が認められていることだ。もちろん、その分、企業側にはGDPRによる厳しい個人情報の保護が必要になる。逆に見ると、欧州の企業はできるだけ個人情報を集めないやり方で商売をしようと考えているように見える。エストニアの場合、契約書はeIDで電子署名で行うのが一般的で、Personal codeと電子署名の契約があればそれだけで有効となるから、Personal code以外は必要最低限の情報以外は集めない。連絡用に電子メールのアドレスを求めることは一般的だが、それをIDとしては用いないほうがイケているのである。
徐々にエストニア方式は普及が進んでいて、欧州では数カ国、南米や新興国でもそのシステムが使われ始めている。
Drupalを使えば、ごく簡単に対応できるというのは中々魅力的な話だと思う。
日本のマイナンバーは民間開放されていないし、Smart-IDのようなサービスもないから、まだまだ先の話になるだろうが、恐らく未来はエストニアで見るようなものに近づいていくだろう。Drupalは当地エストニアではかなり高く評価されている。日本でも本格的なサイトだったらDrupalでしょうという見解が常識になる日が来るのを待っている。