去る7月10日に、デジタル庁から「DS-500 本人確認ガイドライン」に関する有識者会議1による改定方針の令和5年度中間取りまとめが発表されました。全体として非常によくまとまった資料になっています。
中間取りまとめの概要は以下のようになっています。
中間取りまとめの概要
はじめに
- 本資料は令和5年度時点のガイドライン改定方針(案段階のものを含む)について今後の検討事項とともに中間的にとりまとめたものであり、改定方針として確定されたものではない。
- 最終的な改定方針については今後有識者意見を踏まえた見直しを行ったうえで、関係各所と調整の経て最終化することを予定している。
用語・表記について
- 本資料中の用語・表記は本資料内の定義であり、改定後の本人確認ガイドラインにおける用語を定義するものではない。
今後の検討事項
用語定義について
- “Validation”に対応する訳語の再検討
- “Federation”に対応する訳語の再検討
- “Biometric Comparison”に対応する訳語の再検討
- 現行ガイドラインの用語定義全般の見直し・最新化
本人確認ガイドライン改定方針(案)の全体像
主要な改定ポイント
- ガイドラインの適用対象と名称を変更
- ミッション遂行などの基本的な考え方を解説
- 本人確認の枠組みを定義・解説
- 保証レベルと対策基準の一部を見直し
- リスク評価プロセスを全面的に見直し
ガイドライン改定案の目次
- はじめに
- 本人確認の枠組み
- 本人確認手法の検討方法
- 3.1 デジタル化を念頭に入れた対象手続の業務改革(BPR)
- 3.2 本人確認に係るリスクの特定
- 3.3 保証レベルの判定
- 3.4 本人確認手法の選択
- 3.5 検討結果の文書化
- 3.6 継続的な評価と改善
- 本人確認ガイドライン参考資料
- 参考資料1 本人確認に係るリスク評価ワークシート
- 参考資料2 保証レベルに対応する本人確認手法例等
本人確認ガイドラインの主要な改定ポイント
① ガイドラインの適用対象と名称を変更
- 「オンラインによる本人確認」から対面等も含める
- 「個人又は法人等の」から個人向け/法人向けで分冊化
- 「行政手続」から内部事務への将来的な拡大を検討
② ミッション遂行などの基本的な考え方を解説
- 「1.5 基本的な考え方」を新設し、ミッション遂行、公平性、プライバシー、ユーザビリティなどを解説
③ 本人確認の枠組みを定義・解説
- 身元確認、当人認証、認証連携の定義と解説を追加
- 認証連携を用いる場合の一般的なモデルの解説を追加
④ 保証レベルと対策基準の一部を見直し
- NIST SP 800-63-4 におけるxALの改定を参考に、身元確認保証レベルと当人認証保証レベルの見直し
⑤ リスク評価プロセスを全面的に見直し
- 公平性やプライバシー等の観点も考慮した手法選択が行われるよう、リスク評価プロセス全体を見直し
- リスク評価を補助する参考資料を拡充
感想・講評
ご存知の方も多いと思いますが、わたしも有識者会議の末席を汚させていただいております。なので、これをまとめていただいた事務局の方々には本当に感謝しております。一方で、この会議で指摘した点の多くは資料中随時提示されている「今後の検討事項」に含まれています。読者の皆様におかれましては、これらのページをしっかりと読み込んでいただければと思います。
例えばP.19の「ウォレットモデル」ですが、「レジストリ」というものが入ってきて、その後ろにIDプロバイダがいる形になっています。このレジストリですが、よく分かりませんよね。実際には運用主体がいるものとなり、EUデジタルアイデンティティフレームワークでは、ウォレットプロバイダと呼ばれるもになります。ここに運用者がいることを意識することは非常に重要であり、ウォレットプロバイダはIDプロバイダであるという指摘も欧州でもなされるところです。そう考えると、IDプロバイダがウォレットプロバイダの後ろにあるような書き方は問題があることになります。ここでいう「IDプロバイダ」はEUデジタルアイデンティティフレームワークでは「属性アテステーションプロバイダ」(OpenID用語で言うとクレイムズ・プロバイダ)この辺りのことがP.23の「ウォレットモデル(仮称)に関する継続検討」に書いてあります。
Youtube Live 配信
前回Youtube Live配信を行ってから1月が経ってしまいました。やり方を忘れてしまいそうなので、この文書を飲みながら読む会を今週金曜23時あたりからやりたいと思います。
脚注
@_Nat Zoneをもっと見る
購読すると最新の投稿がメールで送信されます。