Zenn
📮

デジタルアドレスの問題点と将来像 〜日本郵便のサービスをビジネス視点で考える〜

に公開
API
Security
プライバシー
デジタルアドレス
住所管理
idea

3秒まとめ

  • 日本郵便が2025年5月26日にデジタルアドレスサービスを開始
  • 全ステークホルダーにとってデメリットが利便性を上回る
  • 技術的なセキュリティ対策が不十分で利用規約頼み

どんな人向けの記事?

  • 住所管理システムを開発しているエンジニア
  • プライバシー技術に興味がある
  • 新しいAPIの導入を検討している開発者
  • セキュリティリスクを評価する必要がある方

日本郵便が住所を7桁の英数字で表現する新サービス「デジタルアドレス」の提供を2025年5月26日に開始しました。

10年以上前から郵便番号検索のAPIサービスを運営している身として、また大学時代に位置情報、GIS、プライバシーなどの研究をしていたドメイン知識を活かして、このサービスを技術的に分析した結果、現状では課題が多く、サービス内容を見直さないと運用が微妙という結論に至りました。

課題と改善提案を各ステークホルダーごとにブレイクダウンして説明します。

ステークホルダーの整理

このサービスには以下のステークホルダーが存在します。

  1. デジタルアドレスを発行・管理する個人・法人(ゆうID利用者)
  2. デジタルアドレスを入力する個人・法人(エンドユーザー)
  3. デジタルアドレスの入力を受け付け保管・管理する者(ユーザー)
  4. 自社のユーザや取引先の住所を管理する事業者(ユーザー)
  5. デジタルアドレスと住所の関連付けを管理主体(郵便局・提供者)

上記に加えて、セキュリティの観点で以下のアクターが存在します

  • 不正に住所情報を取得しようとする悪意のある人(第三者)

各ステークホルダーに対してのデメリット

メリットに関しては郵便局が発信しているのでここではその逆であるデメリットについて述べます。

デジタルアドレスを発行・管理する個人・法人(ゆうID利用者)

利便性の問題

  • 住所を伝達する際に、デジタルアドレスの7桁だけを伝えればすむから良いが、長いので覚えづらい
  • 普通に自分の住所も覚えておく必要があるので使う頻度は少ない
  • わざわざ利用するときに記録したメモなどを参照するほうが面倒になる

Webフォームでの必要性の低さ

  • Webのフォームで入力する場合はコピペで済むかもしれないが、そもそもWebのフォームであればブラウザのオートコンプリートで住所が入力されるからそもそも問題がない
  • わざわざデジタルアドレスを使う必要性が無い

深刻なプライバシーリスク

  • デジタルアドレスを自分以外の人や組織に伝えることによって、最新の住所がトラッキングできる状態になる
  • そのデジタルアドレスが住所以外の情報と結びつくことによって個人情報となる
  • デジタルアドレスを使わなければ、もし住所情報が漏洩したら最悪の場合は引っ越せば良いが、デジタルアドレスが漏洩した場合はデジタルアドレスを作り直したうえで引っ越す必要がある
  • 古いデジタルアドレスを共有されている人や事業者にとっては最新の住所を参照できるキーであるデジタルアドレスの意味がなくなってしまう

名寄せリスク

  • インターネット上で複数の事業者からデジタルアドレスを含むアカウント情報が漏洩した場合、デジタルアドレスをキーとして名寄せをされてしまう
  • 今までであればメールアドレスや電話番号によって名寄せできていたが同じようにID性の高いキーによって名寄せを促進させる状態になってしまう

監視・管理の不可能性

  • 自分のデジタルアドレスの管理のために、誰がどのようにして自分のデジタルアドレスを検索しているのかを知りたいが、知るすべがない
  • もし、不正に利用されそうだったら即座にそのデジタルアドレスを止めたいのに、知るすべがない
  • デジタルアドレスが漏洩したとしても把握できない
  • 本来ならば、管理画面上で自分のデジタルアドレスを参照したユーザのエンティティを知れる状態を作るべき
  • 例えば、Amazonにデジタルアドレスに登録したのに、知らないDMを送りつける会社が自分のデジタルアドレスを検索していたら止めたいので

デジタルアドレスを入力する個人・法人(エンドユーザー)

記憶・使用の困難さ

  • 使用頻度が低いから覚えるのがちょっと難しい
  • 住所を使う機会のほうが圧倒的に多いのでわざわざ同じ情報を表現するために2つのことを覚えるのは難しい
  • しかもランダムだから覚えづらい

ブラウザ対応の問題

  • ブラウザがオートコンプリートに対応してくれればよいが、日本の独自仕様なので対応する可能性が低い
  • ブラウザから見たら、郵便番号の1つとして見られると思う

既存機能との競合

  • そもそも、ブラウザにオートコンプリートが付いているのでデジタルアドレスを入力しないでもオートコンプリートを使うので入力の手間は低いのでデジタルアドレスを使うベネフィットが低い

個人間共有での問題

  • 普段の生活において個人間での荷物のやり取りなどで住所を共有するケースがある
  • ここでデジタルアドレスを利用すれば簡単に住所が共有できることになる
  • しかしながら、デジタルアドレスは恒久的にその人の住所を表現するアドレスになるので誰にどのデジタルアドレスを共有しておいたかを覚えておかないと引っ越した時とかにリセットできなくなる

デジタルアドレスの入力を受け付け保管・管理する者(ユーザー)

認証の複雑化

  • デジタルアドレスの入力を受け付けるために、デジタルアドレスから住所を検索するAPIを使う
  • しかしながら、第三者によってブルートフォースなどによるアタックを防ぐために誰でもアクセスできる状態にあるところにデジタルアドレスから住所を求めるサービスを置けない
  • ユーザ認証を行った後でないとデジタルアドレスの入力を受け付けることができない
  • その際のユーザ認証はそこそこ重要度が高くて個人が特定できるような電話番号が検証できているユーザや、捨てアドではないメールアドレスで到達性が確認できているメールアドレスを使って認証されたユーザの必要がある
  • そもそもデジタルアドレスはECといった場面で使うことが想定されているが、住所入力は個人認証に近いユーザ認証が終わってから出ないといけない

離脱リスクの増加

  • 例えば事業者にとっては最低限、配送先と決済がおわればよいのに個人認証に近いことをやらなければいけないので離脱リスクが増えてしまう

監視負担の増加

  • デジタルアドレスから住所を検索するAPIが不正に利用されるのを防ぐために、事業者がエンドユーザに提供しているサービスの不正利用を細かく監視する必要がある
  • デジタルアドレスを検索しようとするアタッカーから常に守らなければならない
  • もし、不正に利用されると自社のアカウントの信頼性が低くなるリスクがある

データ管理の複雑化

  • エンドユーザからデジタルアドレスを取得した場合、上記のような事項があるからデジタルアドレスだけではなくて現住所の情報も保管するのが一般的なユースケースかと考える
  • その場合、同じ住所情報が2つあるので短期的には問題が無いが、引っ越したりしてどちらかが異なるような状態になったときに事業者はどちらを正として扱うか困惑する
  • あらかじめルールを決めたうえで運用し、エンドユーザにも認知させる必要がある
  • 例えば、デジタルアドレスを入力している場合はデジタルアドレスが主となると言った具合に
  • しかし、デジタルアドレスはエンドユーザによって消去できたりもするので文字の住所情報が正しくてデジタルアドレスが検索できない状態になる状態も存在する
  • よって、住所情報を利用する際には毎回API検索が発生してしまって使い勝手が悪い

個人情報管理負担の増加

  • デジタルアドレスはエンドユーザのかなり重要な情報であるので、取り扱う個人情報が追加で増えてしまう
  • また、漏洩したときのリスクとエンドユーザに強いる操作が多くなる
  • もし、デジタルアドレスと同時に氏名や電話番号が漏洩した場合はリスクを低くするためにデジタルアドレスを消去してもらうことをエンドユーザに依頼することとなる
  • そうなると、エンドユーザにとって他の場所でも使っているデジタルアドレスがすべて無効になってしまうのでエンドユーザはデジタルアドレスのベネフィットを享受できなくなるばかりかリスク軽減のための運用を強いられてしまう

自社のユーザや取引先の住所を管理する事業者(ユーザー)

  • 3に似ているが、ここでは社内利用。エンドユーザには提供しないケース
  • 初めてこのケースでメリットのほうが大きくなりそうではある
  • デジタルアドレスの関連付けがpublicになっても問題ないケースではメリットのほうが大きいと考える
  • 法人は、高頻度で引っ越すのでデジタルアドレスを取引先マスタの情報として持っておくと利便性は高い
  • 荷物を配送する前にデジタルアドレスの検証を行えば不着になるリスクも抑えられる

デジタルアドレスと住所の関連付けを管理主体(郵便局・提供者)

セキュリティリスク

  • ブルートフォースによる不正アクセスから守らなければいけない
  • また関連付けのマスタ情報は機密性が高いので狙われやすいので厳重に管理されていなければならない
  • 一度でも流出したら全個人ユーザに発行し直しとそのデジタルアドレスを登録しているサービスに対してすべて登録しなおしてもらう依頼をだすことになる

認証の脆弱性

  • 現時点で、ゆうIDはメアドとパスワードだけでログインできてしまう
  • エンドユーザはパスワードを使いまわしているケースが多いので別のサイトで漏洩したメアドとパスワードでログインされてしまうリスクがあるのでMFAを実装しなければリスクが高い
  • KYCを実装しないと、悪意のあるものが大量のアカウントを発行し、デジタルアドレスのブルートフォースに利用できてしまう。

運用負担

  • デジタルアドレスの管理システムを長期的に運用し続けなければいけない
  • 止めたくても止められない
  • 公共性が高いという理由で運用していても良いが、デジタルアドレスが存在することによって利用者の利便性が上がればよいが、デメリットのほうが上回る

あえてメリットがあるケース

公共性の高い住所の運用では利便性がありそうです。

  • 法人住所行政機関の住所といったエンティティと住所が公に広く知れ渡ったほうが便益があるようなケース

これらの場合、プライバシーリスクよりも利便性が上回る可能性があります。これにより秘匿する情報がなくなるのでセキュリティリスクは無くなります。

関連技術

住所とIDを紐づける既存の方法は存在していますが、どちらも利用方法が限定的です。プライバシーの問題を含まないスコープで運用するか、プライバシーの問題より利便性が上回る場合です。

大口事業所個別番号

大口事業所個別番号は、日本国内の大口事業所のみに発行されます。

例えば、〒104-8325は、東京都中央区京橋2丁目9−2第一ぬり彦ビル 株式会社 読売新聞社 事業局 を示します。

この情報は基本的には法人なので情報はパブリックであり、ステークホルダー全てにメリットがあります。
大口事業所番号を割り当てる者(郵便局)、 荷物をおくる者(エンドユーザ)にとって住所入力の手間が減ります。もし、移転が発生したとしても同じ管轄であれば、大口事業所番号は変わりません。

Plus Codes

関連情報として住所表記にランダムな文字列を使うPlus Address(Plus Codes)があります。

Plus Codesの特徴は以下です。

  • オープンソースのデジタルアドレッシングシステム
  • 緯度経度ベースで場所を示す
  • 住所がない場所でも利用可能
  • オフライン対応
  • 言語非依存

Plus Codesは2つのユースケースで実運用されています。
1つは、住所表記が困難なスラム街での運用です。前提として、区画の表現が困難な地域において住所を識別する必要があるためです。こちらはデジタルアドレスと同様に匿名性という観点では問題にはなるのですが、匿名性より利便性のほうがまさるので運用されています。

2つ目は公共性の高い場所を示す場合や一時的に位置情報を共有する場合です。

1つ目のケースは、プライバシーの問題を含んでいますがそれを超える利便性があるから運用されており、2つ目のケースはプライバシーの問題が起きないスコープで運用されています。

私の主張:「サービス内容の見直しが必要」

以上の点から、現状のデジタルアドレスサービスは課題が多く、サービス内容の見直しが必要と考えます。

主な課題

  1. 利便性が微小なのに漏洩時のリスクが甚大
  2. 全ステークホルダー(社内利用以外)にデメリットが存在
  3. 技術的なセキュリティ対策が不十分
  4. 既存技術(ブラウザオートコンプリート)で十分

改善提案

もしデジタルアドレスサービスを継続するなら、以下の改善が必要と考えます。

  • 文字列長の拡張: 7桁ではなく、少なくとも16桁以上に変更してセキュリティを強化
  • 技術的セキュリティ対策: レート制限、IP制限、異常検知などの実装
  • MFA必須化: ゆうIDの取得にはKYCを実施する。
  • 透明性の向上: 利用統計の開示、不正利用の通知機能
  • 利用範囲の限定: まずは法人・行政機関など公共性の高い住所に限定する

現状のサービス内容ではすべてを満たすことは不可能なので、何かしら機能強化をするかスコープを限定するべきと考えます。

Discussion