identity

2026年3月ID技術関連動向

Nat 2026-03-31 No Comments
1 SHARES
Pinterest LinkedIn LINE

2026年3月は、わたしのまわりだけでも標準関連の会議がJTC 1/SC44, SC27, IETF とあり、大忙しの月でした。

ISO/IEC JTC 1

ISO関連は書いてはいけないことも色々あるのでざっくりです。

SC27(情報セキュリティ・サイバーセキュリティおよびプライバシー)国際会議

  • a) 総会:2026年3月16日/17日 b) WG会議: 2026年3月9日/13日
  • 場所: ドイツ・ニュルンベルグ

SC27はISMS、暗号、コモンクライテリア、サイバーセキュリティ、アイデンティティとプライバシー、生体認証評価など、現代のITの根幹を成す標準を作成・維持している専門委員会です。

デジタルアイデンティティ関連では、

  • ISO/IEC 29115 Entity authentication assurance framework の審議中です。これは、人間および非人間アイデンティティに関する脅威と管理策をまとめたもの
  • ISO/IEC 27566-1 Age assurance systems Part 1:Frameworkが無償発行
  • ISO/IEC 29184 Online privacy notices and consent のSystematic review

などが検討されています。ちなみに、デジタルアイデンティティを扱っている SC 27/WG 5 だけで現在 53もの規格/作業項目があります。

SC44(消費者保護ー消費者向け製品・サービスにおけるプライバシー・バイ・デザイン)国際会議

  • 日程:2026年3月4日/5日
  • 場所:バーチャル

SC 44は、既に発行済みの「ISO/IEC 31700-1(高レベル要件)」および「ISO/TR 31700-2(ユースケース)」を基盤とし、現在は特定分野向けなどの作業項目が4つほど進められています。ですが、内容はまだ公開できないので…9月になったらもう少し公開できるようになるかもしれません。

OpenID Foundation

仕様・標準化関連の進展

  • 3/16 OpenID Connect Advanced Syntax for Claims (ASC) 1.0 のパブリックレビュー開始
  • 3/22 International Government Assurance (iGov) Profile for OAuth 2.0 implementer’s draft 投票開始
  • 3/26 OpenID Connect Relying Party Metadata Choices 1.0 Final Specification 承認

その他

  • 3/11 NISTのAI agent securityのRFIにAIIMの脅威モデリングサブグループが情報提供
  • 3/18 OpenID Conformance testing provider 第一陣として、 BixeLab, FIDO Alliance, Inc., Fime, Raidiam が TrustID Solutions が発表

Open Wallet Foundation

昨今のOWFの動きは、状況が公開されなくなったので見えにくくなっていますが、外から観測できるところで以下のようなものがありました。

EUDIPLO

EUDIPLO は、既存の業務システムやバックエンドと EUDI Wallet(EUデジタルIDウォレット)をつなぐためのオープンソースのミドルウェア

  • 3/23 v4.0.0 リリース。管理APIの /api プレフィックス化、OpenAPIの管理系/プロトコル系分離、AWS KMSアダプタ、永続セッションログ、鍵と証明書の統合管理モデル などを含む。

identity-credential / Multipaz

  • 3/19 0.98.0リリース。翻訳基盤の追加と21言語対応

Credo

  • 3/12 Migration Guideに「Credo 0.5.x to 0.6.x」を追加。9/1〜3のGDC紹介。
  • 3/26 DIDComm ext repo をOWFに移管

IETF 125

  • 日程: 2026-03-14/20
  • 場所: 中国・深圳

今回はSC27と重なってしまったのでわたしは出れませんでしたが、とにかくAI Agent関連の提案が多かったようです。ただし、思いつきレベルのもの多く「で、他に同じことをやろうとしている実装はあるの?」で撃墜されるものも多かったようです。

わたしの興味があるWG の主要ポイントは以下のような感じかな、と。

  • OAuth WG — AIエージェント向けの認可拡張が急増。Multi-AI Agent Collaboration、A2A Profile for OAuth Transaction Tokens、Agent Operation Authorization など複数のドラフトが提案された。OAuth 2.1 は v15 まで更新が続いている。
  • JOSE WG — ポスト量子暗号(PQC)への移行が中心。PQ/T Hybrid Composite Signatures、PQ KEMs、HPKE の JWE 統合などが議論され、JSON Web Proof(JWP)の進捗報告も行われた。「none」アルゴリズムと RSA1_5 の廃止に向けた議論も継続中。
  • WIMSE WG — 設立 2 年を経て仕様完成フェーズへ。HTTP Signatures における WIMSE-Audience ヘッダーの導入、wimse:// URI スキームの定義、Workload Identity Practices の WGLC が進行中。
  • WebBotAuth WG — IETF 125 でのセッションはなし。IETF 124 では、ボット認証義務化によるエコシステムへの悪影響(匿名ブラウジングの阻害、大規模事業者優遇リスク)について活発な議論があり、方向性の再考が示唆された。
  • CFRG — 2 セッション開催。「Two-Lane Publication Model」による暗号標準化プロセス改革の提案、Longfellow ZK(PQ 安全なゼロ知識証明)の進捗、FHE の IETF での標準化可能性、ARKG の進捗などが議論された。

2026年3月のDigital Identity関連動向・ニュースまとめ

2026年3月のDigital Identity(デジタルアイデンティティ)分野では、各国の法整備や実証実験の進展、パスキーの普及、そしてAIエージェントの台頭に伴う新たなアイデンティティ管理の課題が顕著になりました。以下に主要な動向を分野別にまとめます。

1. 各国のデジタルID政策と法整備の進展

  • 欧州(EU)のeIDAS 2.0とEUDIウォレットの進捗
    • 2026年12月のEUDI(欧州デジタルアイデンティティ)ウォレットの本格導入期限に向け、3月17日〜18日にルーマニアで加盟国間の相互運用性テストが実施されました [1]。
    • 金融機関やフィンテック企業にとって、EUDIウォレットへの対応は「導入されるかどうか」ではなく「準備ができているか」という段階に移行しています [1]。
  • 米国の動向:ユタ州で全米初の「デジタルアイデンティティ権利章典」法案が可決
    • ユタ州議会で、州が承認するデジタルIDプログラムに関する法案(SB 275)が可決されました(2026年5月6日施行予定)[2]。
    • この法案は、利用者の明示的な同意、必要最小限の属性情報の提供(選択的開示)、データ保持や共有の目的制限などを参加企業に義務付ける画期的な内容となっています [2]。
  • 英国のデジタルIDトラストフレームワークの更新
    • 英国政府は「UK digital verification services trust framework」のバージョン1.0のプレリリース版を公開し、国家デジタルIDスキームに関するパブリックコンサルテーションを開始しました [3]。
    • これにより、デジタル検証サービス(DVS)プロバイダーの認定基準が更新され、新たなトラストマークの導入やオーケストレーションサービスプロバイダー向けのルールが追加されました [3]。
  • スペインの「MiDNI」アプリの本格稼働
    • スペインでは、国家デジタルIDのモバイル版である「MiDNI」アプリが2026年4月2日から本格稼働することが発表されました [4]。
    • これにより、スマートフォン上のデジタルDNI(身分証明書)が物理的なIDと同等の法的効力を持ち、ホテルでのチェックインや年齢確認などに利用可能になります [4]。

2. 日本国内の動向:マイナンバーとVerifiable Credentials

  • 金融庁によるVerifiable Credentials(VC)を活用した本人確認の実証実験結果の公表
    • 金融庁は、金融機関による本人確認(KYC)において、Verifiable Credentials(検証可能な属性証明)を活用する実証実験の結果を公表しました [5]。
    • 一度行った本人確認の結果をVCとしてユーザーに発行し、別の金融機関で再利用する可能性が検証され、デジタル社会におけるアイデンティティ証明の新たな方向性が示されました [5]。
    • 日本銀行も同月にVCの概要と規格開発の動向に関するレポートを発表し、改ざん防止機能や選択的開示機能を持つVCの金融実務への応用可能性を議論しています [6]。
  • マイナンバーカードを活用した本人確認(eKYC)の拡大
    • LINEヤフーは、Yahoo! JAPAN IDのアカウント復旧などにおいて、デジタル庁が提供する「デジタル認証アプリ」を用いたマイナンバーカードでの本人確認を導入しました [7]。
    • PayPayなどの民間サービスでも、マイナンバーカードの公的個人認証(JPKI)を活用した本人確認が急速に普及しています [8]。

3. パスキーの普及とパスワードレス認証の加速

  • Microsoftによるパスキーの自動有効化
    • Microsoftは2026年3月より、Microsoft Entra IDの全テナントにおいてパスキープロファイルの自動有効化を開始しました [9]。
    • これにより、数百万のエンタープライズユーザーがパスワードレス認証へと強制的に移行することになり、パスキー普及の大きな転換点(ティッピングポイント)となりました [9]。
  • Redditによる「Proof of Humanness(人間の証明)」としてのパスキー活用
    • Redditは、ボット対策としてパスキー(Face IDやTouch IDなどの生体認証)を活用し、ユーザーが「本物の人間」であることを確認する仕組みを導入すると発表しました [9]。
    • これは、個人を特定することなく(匿名性を保ちながら)人間の存在を証明する、パスキーの新たなユースケースとして注目されています [9]。

4. AIエージェントと非人間アイデンティティ(NHI)の管理

  • Agentic AI(自律型AIエージェント)のアイデンティティ管理の課題
    • AIが自律的にタスクを実行する「Agentic AI」の普及に伴い、AIエージェントに対するアイデンティティ管理とアクセス制御(IAM)が急務となっています [10]。
    • Cloud Security Alliance(CSA)の調査では、多くの組織がAIエージェントの行動と人間の行動を明確に区別できていないことが判明しました [11]。
    • Ping IdentityやSaviyntなどのセキュリティ企業は、AIエージェントのアイデンティティを管理・監視するための新製品を相次いで発表しています [12]。

5. 年齢確認とプライバシーの保護

  • オンライン年齢確認ツールの普及と課題
    • 米国や英国などで子どものオンライン安全を目的とした年齢確認法が相次いで導入される中、生体認証やAIを用いた年齢推定技術の利用が拡大しています [13]。
    • 一方で、これらの技術が成人のプライバシーを侵害し、監視社会化を招くとの懸念も専門家から強く指摘されています [13]。

参考文献

[1] Zyphe. “eIDAS 2.0 & EU Digital Identity Wallet: KYC Guide 2026”. https://www.zyphe.com/resources/blog/eidas-2-eu-digital-identity-wallet-kyc-compliance-guide

[2] Byte Back. “Utah SB 275’s “Digital Identity Bill of Rights”: What It Could Mean for Businesses”. https://www.bytebacklaw.com/2026/03/utah-sb-275s-digital-identity-bill-of-rights-what-it-could-mean-for-businesses/

[3] Bird & Bird. “UK Digital IDs Early Updates for 2026”. https://www.twobirds.com/en/insights/2026/uk/uk-digital-ids-early-updates-for-2026

[4] Biometric Update. “Spain’s national digital ID going live with full legal status”. https://www.biometricupdate.com/202603/spains-national-digital-id-going-live-with-full-legal-status

[5] VESS Labs. “金融庁がVerifiable Credentialsを活用した本人確認の実証実験結果を公表”. https://note.com/vesslabs/n/n0fd0ff625e97

[6] 日本銀行. “デジタル社会におけるアイデンティティ証明を支えるVerifiable Credentialsの概要と規格開発の動向”. https://www.boj.or.jp/research/wps_rev/rev_2026/rev26j02.htm

[7] 日本経済新聞. “LINEヤフー、本人確認にマイナカードの「デジタル認証アプリ」”. https://www.nikkei.com/article/DGXZQOUC108FL0Q6A310C2000000/

[8] PayPay. “「PayPay」の本人確認(eKYC)済みユーザーが4000万を突破!”. https://about.paypay.ne.jp/pr/20260318/02/

[9] Security Boulevard. “Passkeys Hit Critical Mass: Microsoft Auto-Enables for Millions, 87% of Companies Deploy as Passwords Near End-of-Life”. https://securityboulevard.com/2026/03/passkeys-hit-critical-mass-microsoft-auto-enables-for-millions-87-of-companies-deploy-as-passwords-near-end-of-life/

[10] Security Boulevard. “Agentic AI Governance: How to Approach It”. https://securityboulevard.com/2026/04/agentic-ai-governance-how-to-approach-it/

[11] Cloud Security Alliance. “More Than Two-Thirds of Organizations Cannot Clearly Distinguish AI Agent from Human Actions”. https://cloudsecurityalliance.org/press-releases/2026/03/24/more-than-two-thirds-of-organizations-cannot-clearly-distinguish-ai-agent-from-human-actions

[12] THINK Digital Partners. “Digital Identity: Global Roundup”. https://www.thinkdigitalpartners.com/news/2026/03/30/digital-identity-global-roundup-261/

[13] CNBC. “Online age-verification tools for child safety are surveilling adults”. https://www.cnbc.com/2026/03/08/social-media-child-safety-internet-ai-surveillance.html

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください