パネルの準備とかもあったので、聞けた講演だけメモ。
自分的な感覚で意訳している部分、スペルミスありそうだけどそのまま貼ります。

＜OpenID Summit Tokyo 2011＞

■崎村さん
まずは実体（Entity）があり、人、iPhone、建物などの実体がある。
それらは属性（Attribute）によって認識されている。
サイバー空間（CyberSpace）の重要性が増して来ている。
BtoC のEC市場規模が年率15%成長して来ている。
他の領域は軒並み下降を続けているのに、サイバー空間上は成長を続けている。
アメリカの西部開拓時代と同じように、我々は西に向かわないと行けない。
ID詐欺の被害が増加している1兆ドルの規模。

■Andrew Nash（Google）
Identityに苦悩している米政府。
それには身元確認が必要、そのためにアシュアランスレベルが出て来た。
どれくらいの信頼度があるかアイデンティティを確認することができる。
以前Paypalで働いていたが、政府が求める身元確認と商業的な身元確認、または金融業界で要求されるレベルは異なっている。またソーシャルネットワーク上での身元確認ということも必要になってきている。
政府での身元確認レベル策定で苦労しているのは、必ずしも商取引とは一致しないところにある。
政府が困っているのは、身元確認を正しくやるにはコストがかかりすぎる、ユーザーエクスペリエンス的に難しすぎるという問題がある。
Email、ソーシャルネットワークなど既存のサービスで利用しているアイデンティティをそのまま使えれば良い。
どうやって認証するか、どうやってアクセスするかではなく、どうやって相手に関して分かっている情報を取り出すか、というコンテキストが問題。
携帯電話番号が確認されたものなのか。
クレジットカードのプレイヤーを見ると面白い。
各当事者の役割が定義されており、利用料金が参加の度合いによって転嫁されるか、を見ると分かることがある。
Merchant, Acquirer, CardNetwork、xxx,xxx,xxx
ME?自分とは何か？
アメリカでは市民であり、納税もしており、プライバシーも法的に守られている。インターネット上ではその自分の情報のデジタルバージョンがあることになるが、実体とは異なっている。識別子もあり、クレジットカードの利用履歴もあり、自分の行動履歴の情報がインターネット上にはある。ただし、現実の自分とインターネット上の自分をうまく結びつけられないと、良いサービスを教授できない。
STIGのアイデンティティは、謎であることに価値がある。
ただし、我々は自分のアイデンティティ情報を提供することにより、1ユーザーあたり10ドルをかけてこの情報を活用するのであれば、あまり意味がない（高すぎる）
ウォルマートでのアイデンティティ活用事例。
3ミリ秒でリスク分析をするのではなく、最初の時間で良い顧客であるかを判断できれば、何が相手の興味あるものかを判断し、その情報を提供すればより良いサービス、エクスペリエンスが提供できる。
Paypalでは、Steady State of The Identity Universe
Big Bang Theory。
パスワードによる認証には限界がある。
その解決に、Googleアカウント、FacebookアカウントでYahooにログインできるような事例があるが、NASCAR問題が残った。
そのNASCAR問題を解決するために、PCへのログオンのインターフェイスをヒントにAccount Chooserを考えた。PCへのログオンのUIをWebの世界に持ってくる。
Street Identity
現実のIdentityとどうやってひもづけるか。
HBO GOのケース、身元確認が求められる。
オリンピックコンテンツで問題があった、誰も認証でできなくなってしまい サービスの質が下がってしまった。それをGoogleが代替して、身元確認をとってあげるしくみ。
自らある場所に行って、本人であることを証明する方法があるが、コストがかかりすぎる。PKIでやられていたがうまく行かなかった。
最後の手段として、Post Cardを使うことにした。
あるサービスを開始する時に、ユーザーが確かな住所を持っているかどうかを確認する（ユニークコードを送る）手法を使う。
あるサービスを使う時に、Service ProviderはGoogleやFacebookのIDPの持っている身元確認情報を利用する。IDPは郵便局や、公益事業、携帯キャリアを利用して身元確認情報をためる？
実用性のあるしくみをまず導入してみるのはどうか。
一連のパイロットを、来年第一四半期に参加する予定。
Trust Frameworkもある。興味深いものなので、興味のある企業はぜひ参加してほしい。

■楽天 和田さん（常務執行役員）
楽天のユースケースと課題を紹介。
日本国内では現在、ユニークメールアドレスで7300万を保有している。
最近はユニーク購入者数、四半期で1000万人の方が買い物をしている。
サービスをグローバルに提供しており、マルチデバイスの環境、サービスレベルが異なる環境で利用する必要がある。安心安全に利用できること、インターオペラビリティが重要である。シンプル、イージーであることも大切。
2008年から開始している、楽天安心支払いサービス。Google Checkoutと同じ
すでに700サイト以上で利用され、年間で10億円が流通している。
OpenIDのあと、OAuthも採用している。
OpenID Connectにより、サイトの必要性に応じた属性にアクセスできるようになる、積極的に新しい仕様を取り入れることで、楽天のサービスを向上させていきたい。
Q:モバイルについてはどうやってアプローチしていこうと考えられているか？
A:フィーチャーフォンにあるような、機器認証がスマートフォンではないので、それにあたるものにOpenIDを利用していく
Koboを買収したが、そのサービスとの連携にOpenIDを利用していく。
NFCを利用したO2Oにはどう取り組んでいくか？楽天はすでにEdyを持っている。このようなNFCのようなもので、オンライン上で実現しているオンラインショッピングの利便利をオフラインにも提供していこうと考えている

■日経新聞 渡辺局次長
日経サービスの利便性向上を日々図っている。
Nikkei IDが新しいサービスを拡大していくことのきっかけになる。
あくまで日経の強みはコンテンツ。このコンテンツをどう展開していくかが、OpenIDなどのしくみ。Contentsからソーシャルグラフ、ビジネスグラフを使って広めていく。
直接日経電子版に来なくても、日経のコンテンツが提供できるようなサービスを提供していきたい。それをどうやって実現させるかというと、Nikkei IDにオープン性を持たせることが重要。
年内にOpenIDの実装を終える

■国立情報学研究所　中村先生
学術認証フェデレーション「学認」
SAMLを元々利用しており、OpenIDとプロトコルゲートウェイをつないでいる
OpenID Connectを日本初、学術で世界初でサポートする

■Ken Klingenstein
米国のフェデレーションのしくみ
InCommon
NIHの事例、Research.gov、
InCommonを選べる
Killer Apps Wikis, Netmeeting, Chats, Commandline
人間でなくても認証が必要

■Policy Track
OMB
3年以内に政府のサイトは、外部のIDPを受け入れることを要求した。初めは緩いところから受け入れはじめる
なぜTrust Frameworkが必要なのか？
オンラインで、パーソナルデータを認定を受けた上で送受信できるようにするためのしくみ
NSTICが出しているユースケース、サービスに応じたクレデンシャルの使い分け
ユースケース
年齢だけの情報をとってきて、子供限定サービスにアクセスする
ユースケース
資格証明と非常時のアクセス、震災など災害の際に役に立つ
IDPの許可によって第三者から属性を提供
金融機関が欲しいのは住所情報
マイナンバーを使って政府の持っているアイデンティティ情報が欲しい
Trust Frameworkは街に街灯を整備するようなもの

■Don Thibeau
OIXの話
Policy Makerがルールを作る、Trust Frameworkはそのルールを守るための審判になる
構成要素
ユーザーに対しての目に見えるメリットが必要
ルールの透明性が必要
コンシューマ
プライバシー保護、利便性
IDP
アイデンティティ、属性の保証
RP
ベストプラクティスを利用できる
Trust Frameworkの事例
VISAの事例が、Familier Trust Frameworkである。Bank, Dept Store, で使っている
米国では大統領がデジタルアイデンティティが重要であると言っている。これを数年前に想像できたか？

■John Bradly
National ID Cardを発行することを明確にNoと言っている。過去に失敗してきた。
Commercial Providerを利用するという結論になった。
OMB M04-4
NIST 800-63
Trast Framework Adoption TFAP
そこでは、IDPではActivity Trackingは行ってはならない、という取り決めがある
がん患者にがんの広告がでるということが起きてはならない
Adopted Trust Framework Provider
Approved ProviderにはGoogle, Paypal, Microsoftが名前を連ねている

■Account Chooser
ID/PW以外の認証の答えがOpenID。
OSのログオンをWebに持ってこれるようにしよう、という試み。
サーバサイドで情報が生成され、表示されるしくみ
まずは鍵マークのボタンを押すようにする
ボタンを押すと画面を表示せずに、即座に既にログインしているIDPにアクセスする
そのIDPのなかに無ければ、メールアドレスを入力してログインする
アカウントスイッチングに対応する
OpenID Foundationのサイトにコードがある
セキュリティは？
共有PCであればどうするか？
私たちはパスワードを無くすということが可能だと思っている
Account ChooserのWGがある
OpenIDがどのように普及して来たのか？ソーシャル、エンターテインメントの分野で広まってきた
One Person Many Digital Identity
Trust, Awareness, Clitical Mass
Web Fraud Detection
Behavior detection
Context-aware Computing
今後はrecognisionが重要
ID/PWでなくても認識できる
ただ、匿名にしたい時には逆にどうなるのか？
OpenID Providerが無意味な数列を識別子として渡せば良い？
Biometrics Secure OpenID Privacy