2024年8月14日水曜日

デジタルクレデンシャルによる「本人確認」と「身元確認」

こんにちは、富士榮です。

「クレデンシャル」という言葉も色々と定義がブレブレだという大きな課題はあるものの、さまざまな証明書をデジタル化(クレデンシャル化)するムーブメントの中では更にわけがわからないことになってきていますので、そろそろ定義をちゃんとしていかないといけない時期にきているわけです。

OpenArtに「Digital Credential, National ID」と入れたら生成された画像


例えば、マイナンバーカードをスマホ搭載した場合のmDocは本人確認書類として利用できるデジタルクレデンシャル、という位置付けとされていますが、マイナンバーカードを使って本人確認された情報をVerifiable Credentialとして発行したものも同じように本人確認書類として利用できるかのように表現されてしまっているのは本当に大丈夫なのか?という話はその典型だと思います。また、学修歴や資格試験の合格証のデジタル化のように本来は「資格を有していることを証明するもの」を使って「認証」をしてしまうようなケースまで出てきてしまっているのも気になるところです。まるでアクセストークンを使って認証を行う「OAuth認証」の悪夢が再び繰り返されているかのようです。

ということで、今日は
  • いわゆる”本人確認VC”などを本人確認に利用することはできるのか?
  • デジタルクレデンシャルを本人確認に用いるための要件は何か?
を見ていきましょう。


そもそも「本人確認」とは?

経済産業省「オンラインサービスにおける身元確認に関する研究会」並びに、その後OpenIDファウンデーションジャパンが公開した「民間事業者向けの業界横断的なデジタル本人確認のガイドライン」において、本人確認は「身元確認」と「当人認証」の2つの要素で構成されるという整理をしています。つまり当該のエンティティについて「実在していること」と「当人性」が確認できることを指しているわけです。

身元確認

先のガイドラインでは身元確認の目的を「実在性を確認すること」である、と定義しています。
  • 本⼈確認書類を確認する等により、「実在性」を確認することであり、⼀般的にはユーザー登録等が該当します。
  • ここでの実在性は、1) 集められた属性によって当該⺟集団の中でそれぞれの要素を区別することができ、2) 申請者が実在し、3) 申請された属性の値が正しく、4) その属性が申請者に関するものであること、によって確認される。

当人認証

同じくガイドラインでは当人認証の目的を「当人性を確認すること」である、と定義しています。要するにログイン時の認証ですね。
  • あらかじめ登録されているパスワードや⽣体情報等と⼿続を⾏う際に⼊⼒されたパスワードや⽣体情報等を照合する等により、「当⼈性」を確認することであり、⼀般的にはログインが該当します。

デジタル化されたクレデンシャルによる「身元確認」

さてさて、ここまで見てきたところによると、「本人確認書類」を使って本人確認を構成する要素の一つである「身元確認」を行って「実在性」を確認するということでした。
ということはデジタル化されたクレデンシャル(mDocやVC)を本人確認書類として使って「実在性」の確認ができれば良い、というのがミニマムな要件になりそうです。
ここで言う「実在性」とは住民基本台帳など権威あるデータベースに当人に関する情報が確かに記録されていることを指しています。こうなるとクレデンシャルに記載されている情報と住民基本台帳に記載されている情報を一意にマッチングできることが必要となります。
最低限、このくらいの要件がありそうです。
  • 偽造されていないこと
  • 同姓同名を含め一意に識別できること
  • 住民基本台帳側の情報更新に追従できていること
こうなると、マイナンバーカードを使って身元確認した結果を使った”本人確認VC”では身元確認はできなくなってきそうです。少なくとも民間事業者が管理するIDでしかない場合においては住民基本台帳上の情報とのマッチングを確実に実施することは不可能ですし、有効性確認APIを使ったとしても住民基本台帳側の更新と完全に同期を取るのは難しいはずです。
(結局、マイナンバーカードのコピーを使って身元確認はできないですよね、という話だと思います)
つまり、結局はマイナンバーカードと同列で政府がデジタルクレデンシャルを発行し、管理している状態でないと日本国民という「身元」を確認するための「身元確認」に使う「本人確認書類」としての要件を満たすことはできない、ということになりそうです。

同様に、実在性確認のスコープが企業内や学校内に「実在」することを確認する、という話であったとしても、当該の企業や学校などの組織が発行した(委託先が発行するケースはもちろんあり得る)デジタルクレデンシャルでないと「本人確認書類」としては使えない、という話になります。

デジタル化されたクレデンシャルによる「本人確認」

一方で、デジタル化されたクレデンシャル(mDocやVC)を使って「本人確認」つまり「実在性」+「当人性」の確認を行う、ということを考えるとどうでしょうか?実は世の中で言われている”本人確認VC”などのワードを見る限りで言うと、先に述べたような身元確認以上のことをデジタルクレデンシャルを使ってやってしまえる、というイメージを植え付けてしまっている(言っている側が正しく理解できていない、もしくは敢えて混ぜで話している)ケースが多いのではないか?と感じています。

さきに見てきたように、本人確認書類として利用できる状態のクレデンシャルであれば「実在性確認」ができる、つまり「身元確認」はできることはわかりました。追加で考えなければいけないのは「当人性の確認」が当該のクレデンシャルで実施できるかどうか?という点です。

つまり、当該のクレデンシャルを行使しているのが、当該クレデンシャルのサブジェクトと一致している「当人」であることを確認する必要となります。
そのためには、
  • クレデンシャルを当人以外行使できない仕掛けが存在している
  • 検証者が客観的に見てクレデンシャルのサブジェクトと行使者が一致していることを検証できるだけの情報がクレデンシャルに含まれている
などの要件が出てきます。

一般にクレデンシャルを当人以外が行使できないようにするためにはウォレットに認証の仕組みを入れたりすることが多いと思いますが、検証者はクレデンシャルの発行先がサブジェクトと一致していることを暗黙的に「信頼」する必要がある点が大きな課題です。何を言っているかと言うと、クレデンシャル発行者がクレデンシャルのサブジェクトが指し示す主体とHolderが一致していることを検証した上でクレデンシャルを発行していることを「期待」するわけです。(簡単に言うと、Aさんの運転免許証をBさんのウォレットに発行していないですよね?ってことです)

これはなかなかハードな話だと思います。そうなると検証者が自身でクレデンシャルのサブジェクトと提示者となるHolderが一致していることを確認する(もしくはできる)ことが大切になります。
具体的には現実世界で行われている、
  • クレデンシャルに埋め込まれた顔写真と提示者の顔が一致していることを確認する(免許証の目視確認)
  • クレデンシャルを使うためのPINを使って認証しないと提示ができないという状態を作る(マイナンバーカードの公的個人認証など)
といった必要が出てきます。

こうなると券面入力補助APを使っている限りは4情報のみしか取得できない(顔情報は取得できない)ので券面APを使うか、公的個人認証APを使わないとダメって話になります。
ますます民間の”本人確認VC”では無理ゲーな話になってきました。

とはいえ

なんだかイノベーションのかけらもない話になってきましたが、結局のところ検証者がどのレベルで本人確認や身元確認をしたいのか次第という話ではあります。
つまり、現実世界のユースケースでも住民票のコピーを使って身元確認をしたり、顔写真のない身分証明書を2つ用意すればコンサート会場に入れたりするわけで、検証者たる事業者はリスクとベネフィットの天秤の世界の中で生きているわけです。
ですので、これを言うと元も子もないのですが「全ては検証する側のビジネス事情次第」ということになってしまうのかと思います。(もちろん法規制がある場合は事業者が勝手に決めるわけにはいきませんが)

結論はなんだ?

ここまでの話で、民間の”本人確認VC”などマイナンバーカードを使って生成・発行したクレデンシャルを本人確認書類として実在性確認をしたり、当人認証をするのは難しい、というテイストになってしまいましたが、結局最後に書いた通り「事業者の事情による」ところが大きいので、デジタルクレデンシャルを使おうとする事業者の皆さんは「どこまでのレベルで」、「何(身元確認、本人確認)」を求めるのか、をしっかりと定義することが重要ってことです。

0 件のコメント: