最後に、配送業者内部での動きを考えてみましょう。 配送業者は、実住所 にアクセスできることから、特に注意が必要です。
配送を依頼された業者です。
配送業者 の営業所です。
Aが送信側の担当エリア Bが受信側の担当エリアです。
営業所B の配送スタッフです。
配送業者は、荷物を実際の住所に届けるために、実住所を読み取る権限 を持っています。 しかし、配送業者内のほとんどの社員は実住所にアクセスする必要性はないはずで、できるべきではありません。 具体的に、配達を担うメンバーが自分の配達担当の荷物のみ、住所トークンを実住所に変換できるべきです。
また、遠方への荷物を営業所間で転送するため、完全な実住所だけでなく、住所の一部だけ 1が読み取れる権限を用意し、不必要な実住所読み取りを制限する必要があります。 以下では、完全な実住所が読める権限を 完全読み取りスコープ、一部のみ読める権限を 限定読み取りスコープ と称します。
住所トークンの読み取りは、個別のアクセストークンを持った端末で行い、アクセストークンには 配送業者 の関連付けと、上記の スコープ が設定されています。
営業所Aは配送を依頼され、荷物を集荷します。営業所Aは 限定読み取りスコープ で住所の一部を読み、転送先の営業所Bを特定します。配送業者は営業所Aから営業所Bに荷物を転送します。2営業所Bは配送員に荷物の配送をアサインします。配送員は 完全読み取りスコープ で完全な実住所を読み、荷物を配送します。
住所トークンには、読み取れる 配送業者 が指定されているので、他社が荷物を奪ったとしても実住所を取得することは不可能です。
住所トークンはただの文字列なので、再利用を防ぐ仕組みが必要です。 配送にどれくらい時間がかかるか限定はできないので、トークンに有効期限3を入れるのは難しいでしょう。 一度完全読み取りスコープで読み取ったらトークンを無効化することもできますが、再配達を考えるとそれも難しそうです。4 配達が完了したら無効化のリクエストをするのも、確実に実行されるとは限らないので、有効な手立てではありません。
実際、住所トークンの再利用が問題になるのは、集荷業者 が不正に荷物を紛れ込ます事例か、
ワンタイム発行権しか持たない人や永続的トークン発行権をRevokeされた人が過去のトークンを使いまわす事例くらいでしょう。
そのため、シーケンス1の集荷のタイミングで、配送業者 はトークンの生成日時をチェックし、古すぎるトークンは読み取れないようにすればいいでしょう。