W3C（World Wide Web Consortium）では、セキュリティ、プライバシー、人権が相互に深く結びついていると考えている。これは特にデジタル・アイデンティティ技術において顕著であり、技術が変化すれば、脅威を理解し対処する方法も変えていく必要がある。

近年、W3C コミュニティは、テクニカルな脅威や個人への被害にどのように対処するか、そして新しい標準（デジタル・アイデンティティを含む）がシステムだけでなく人々をも守れるようにするために、さまざまなアプローチを脅威モデリングを通じて模索してきた。

2025年10月14日、この取り組みは Threat Modeling Connect と協力して開催された特別なワークショップ 「Threat Modeling with LEGO© SERIOUS PLAY© - Build Your Digital Identity Threat」によって形になった。

このワークショップでは、脅威モデリングのプロセスに、W3C が開発した創造的かつ実践的な手法を組み合わせ、参加者が被害を可視化し、それを脅威へと変換し、デジタル・アイデンティティ領域におけるさまざまな側面のつながりを構築できるよう支援した。

被害から脅威へ

従来の脅威モデリング手法では、STRIDE や LINDDUN といった脅威分類フレームワークに依存し、W3C もセキュリティやプライバシーの脅威を特定するためにこれらを使用している。しかし、Web がもつ社会的・倫理的影響を考えると、より広い視点が必要になる。人間性や社会への影響をどのように脅威として認識するか？

W3C は、脅威モデリングとハーム（被害）モデリングを組み合わせたデジタル・アイデンティティの新しい分析レベルに取り組み始めている。これは Microsoft が初期に行った責任あるイノベーション研究に触発され、学術研究を通じて拡張された手法であり、さまざまなステークホルダー（例：個人やコミュニティ）が技術によってどのように負の影響を受けうるかを特定し、その影響の技術的原因（＝脅威）を追跡するという、ハームモデリングと脅威モデリングを融合したアプローチである。

高レベルな脅威は、特にデジタル・アイデンティティ分野で重要となる。政府が発行する身分証明（国民IDカード、パスポート、学歴証明書など）は、包摂にも排除にもつながりうる。政府や組織が検証可能な資格情報（VC）やデジタルウォレットを導入する中で、関連する脅威は単なる技術的な不具合にとどまらず、プロファイリング、差別、人権侵害にまで及ぶ。

なぜ LEGO© SERIOUS PLAY© なのか？

このギャップを埋めるために、ワークショップでは LEGO© SERIOUS PLAY©（LSP）を活用した。これはレゴ社が1990年代に戦略的思考や問題解決のために開発したファシリテーション手法であり、「手を動かすことで理解が深まる」という“manual knowledge”の概念に基づいている。

セッションでは、参加者それぞれにレゴブロックのセットが配られ、「被害から脅威を構築せよ」という課題が与えられた。この触覚的・比喩的なプロセスにより、複雑で抽象的になりがちな倫理的・社会的考察を、手に取って操作し、変更し、接続できる具体的な形へと変換できた。

セッション中、Simone は、彼が The Association of Master Trainers による LEGO® SERIOUS PLAY® 認定ファシリテーターであることを踏まえつつ、 「遊びを通じて思考を外化することで、技術設計の背後にある “見えない前提” を誰もが見て、問い直すことができる」 と説明した。

脅威を構築する

ワークショップでは、LSP の基本的な4フェーズ ― Listen（聞く）、Build（作る）、Share（共有する）、Reflect（振り返る）― に沿い、被害から脅威を生成するという脅威モデリング構造に合わせた課題が提示された。 Threat Modeling Community Group と Security Interest Group が脅威と被害の分類作業を進める中で、 Corti ら（2025）による “Enhancing National Digital Identity Systems” において、 デジタル・アイデンティティ固有の被害として、個人的特徴に基づく差別、同意を超えた違法なデータ利用、家庭内暴力の助長、迫害、取引コスト増による経済的排除などが指摘されている。

「被害について考えることは、自然と脅威の枠組みを作ることにつながり、さらにその脅威に関するストーリーを生み出し、自分たちのプロジェクトがどのように侵害されうるかを考えることへとつながる。」