概要
近年、デジタル社会の急速な進展に伴い、オンラインでの本人確認や認証の重要性が高まっています。この度、米国国立標準技術研究所(NIST)が、デジタルアイデンティティに関するガイドライン「SP 800-63-4」の更新案(2nd Public Draft)を発表しました。この更新は、セキュリティの強化と、誰もが公平にデジタルサービスにアクセスできる環境の整備を目指しています。
今回の更新の特筆すべき点は、最新のデジタル技術への対応です。例えば、「同期可能な認証器」(パスキー)や「ユーザー管理型ウォレット」といった新しい概念が導入されています。パスキーは従来のパスワードよりも高度なセキュリティを提供し、ユーザー管理型ウォレットは各種デジタル証明書を安全に保管することができます。
一方で、NISTは従来の本人確認方法も重視しています。スマートフォンを持たない人や、デジタル証明書を持たない人々も、必要なサービスにアクセスできるよう配慮がなされています。例えば、対面での本人確認や、通常の身分証明書を持たない人のための例外処理などが詳細に規定されています。さらに、「申請者照会」という概念も導入され、身分証明書を持たない人でも、信頼できる第三者の保証があれば本人確認が可能になります。
生体認証に関しても、ガイドラインは重要な指針を示しています。生体認証の精度と個人情報保護の重要性を強調しつつ、特に公共サービスにおいては代替手段の提供を推奨しています。また、生体認証システムにエラーが発生した場合に備えて、手動での対応プロセスの整備も求めています。
このガイドライン更新案は、民間企業や advocacy グループなど、様々なステークホルダーからのフィードバックを反映しています。NISTは、不正利用防止策と公平なサービスアクセスのバランスを取ることに注力しており、今後のデジタル社会の発展に大きな影響を与えると考えられます。
デジタルアイデンティティの管理は、今後ますます重要になってくるでしょう。NISTのこの取り組みは、セキュリティと利便性、そして公平性を両立させる先進的な試みとして、世界中から注目されています。私たちも、この動向に注目しつつ、自身のデジタルアイデンティティ管理について考えを深めていく必要があるでしょう。
本文書は、10月7日までコメントを募集しています。詳細は、こちらのページからアクセス可能です。
【付録】元リリースよりのピックアップポイント
NISTのデジタルアイデンティティガイドライン更新の概要
- NISTは、セキュリティとアクセシビリティを向上させるため、デジタルアイデンティティに関するガイダンス草案を更新しました。
- この更新は、民間企業や advocacy グループを含む様々な関係者からのフィードバックを反映しています。
- このガイドラインは、不正対策とデジタルサービスへの公平なアクセスのバランスを取ることを目指しています。
更新されたガイドラインの主な特徴
- この草案には、同期可能な認証子やユーザー管理型ウォレットなど、最新のデジタル経路に関するガイダンスが含まれています。
- 同期可能な認証子(パスキー)は、従来のパスワードと比較してセキュリティが向上しています。これについては附属書Bに記載しています。
- ユーザー管理型ウォレットは、身分証明書を含む様々なデジタル証明書を保存できます。これについては附属書Cに記載しています。
アクセシビリティと従来の本人確認方法
- このガイドラインは、スマートフォンやデジタル証明書を持たない個人でもサービスにアクセスできることを保証しています。
- 拡張されたガイダンスには、対面での本人確認や、従来の身分証明書を持たない人のための例外処理が含まれています。
- 「申請者照会 (“applicant reference”)」の概念により、身分証明書を持たない人のために信頼できる個人が保証することが可能になります。
生体認証とプライバシーへの配慮
- 更新されたガイダンスでは、本人確認のための生体認証の使用を維持しつつ、精度とプライバシーを強調しています。
- 特に公共サービスシステムにおいて、生体認証方法の代替手段が推奨されています。
- NISTは、生体認証システムに潜在的なエラーに対処するための手動プロセスを含めることを目指しています。