GビズIDの大幅アップデートとOpenID Connect for Identity Assuranceへの対応

こんにちは、富士榮です。

いわゆる法人共通認証基盤と呼ばれる、デジタル庁が提供しているGビズIDの大幅アップデートが公開されましたね。

出典）デジタル庁 - GビズID https://gbiz-id.go.jp/top/

GビズIDについてはこれまでもOpenIDファウンデーションジャパンのイベント等に古くは経産省、デジタル庁へ移管されてからはデジタル庁の方々にお越しいただき技術仕様やトラストフレームワークについてご発表いただいてきました。

OpenID Summit Tokyo 2020 - 2020/1/24

https://www.openid.or.jp/summit/2020/

OpenID BizDay #14 - 2021/1/27

https://openid.connpass.com/event/200742/presentation/

OpenID BizDay #15 - 2023/1/10

https://openid.connpass.com/event/266730/

OpenID BizDay #17 - 2025/2/19

https://openid.connpass.com/event/341152/

GビズIDについて

簡単に言うと、GビズIDは企業の代表や従業員などが当該の企業に所属していることを表し、例えば補助金の申請などの行政手続きをオンラインで実施することを可能にするためのID基盤ですね。

そのためには当然、当該の企業が実在していること、そしてGビズIDを利用する代表者や従業員が当該企業と適切に関係しており所属していることを保証していくことが重要です。

ここは非常に重要な一方でまだまだ課題も多く、例えば現状は法人の実在性について法務局の発行する印鑑証明書や個人事業主の場合は市町村の発行する印鑑登録証明書を使うことで確認することになりますが、アカウントライフサイクルは各利用企業側に任せるしかないという状況があったりします。

法人共通認証基盤の必要性

この考え方は何も日本だけで必要とされているわけではなく、海外においても同様の要求はあるわけです。OpenID FoundationのeKYC and Identity Assurance Working Groupでは個人の本人確認がどのようにIdentity Providerで実施されたかという情報をRelying Partyへ伝達するためのOpenID Connect for Identity Assurance（最近正式化されましたね！）に加えて、個人が法人とどのような関係性にあるのかを表現するためのAuthority Claims Extensionの開発を進めています。この辺りは日本のOpenIDファウンデーションジャパンのKYC WGの参加メンバーの方々とも協力して国際標準への道筋をうまく作っていきたいところです。

参考）eKYC and Identity Assurance Working Group

https://openid.net/wg/ekyc-ida/

GビズIDのアップデート概要

こう言うのは更新履歴を見ていくのが重要ですね。

デジタル庁が公開しているシステム連携ガイドを見ると技術仕様を含め確認ができるので、こちらの更新履歴を見てみましょう。なお、現在「行政サービス向け」のシステム連携ガイドが公開されていますが、そもそも現状のGビズIDは民間サービスとの連携を許可していません。それにもかかわらず行政サービス向け、と明記されているのは今後の民間サービスへの展開を見据えてのことなのかな、、と期待が膨らみますね。

早速更新履歴を見ていきましょう。すでにバージョン2.3なんですね。

結構更新が多いです。さすが大型アップデートです。

個人的に関心が高かったのは、以下の２点です。

• アカウント種別に管理者（GビズIDメンバー（管理者））が増えた
• GビズIDトラストフレームワークが策定され、IAL/AALが明記された

アカウント種別はこれまでプライム、メンバー、エントリーの３種類で、原則プライムは法人代表者のためのアカウントでした。そして、メンバーアカウントの作成や管理はプライムの権限者が実施するしかなかったわけですが、いちいち代表者がログインしてアカウント管理をするのか！！という課題も大きかったのだと思います。GビズIDメンバー（管理者）というアカウント管理権限を持ったアカウントを作成することができるようになりました。

ちなみにGビズIDプライムのアカウントはマイナンバーカードを使ったオンライン申請もできるようになってますね。

トラストフレームワークについても別文書で定義されています。

法人共通認証基盤におけるトラストフレームワーク

https://gbiz-id.go.jp/top/trust_framework/trust_framework.pdf

システム連携ガイドにもざっくりとしたレベル感は記載されていますので、Relying Partyは扱う情報の機密レベルやリスク度合いに応じてどのアカウント種別を要求するか決めていく必要があります。

OpenID Connect for Identity Assuranceへの対応

タイトルにも書いた通り、今回のGビズIDのアップデートの目玉はOpenID Connect for Identity Assurance（OIDC4IDA）への対応です。といっても結論フルスペック対応ではなく、スキーマについてある程度対応した、という程度ではありますが国が提供するサービスに新しい技術仕様が採用されていくのは非常に嬉しいことですね。

具体的にはscopeにjp_gbizid_v1_idaを指定することでOIDC4IDAに対応した属性情報を取得できるようになるようです。

実際に返却される属性（verified_claims）は下記の通りです。

要するにGビズIDのトラストフレームワークに従い、どのような審査・確認が行われたアカウントなのか、という情報がRelying Partyに対して送出されるようになるわけです。

よく見るとauthorityに関する属性も返していますね。この辺りは現在eKYC and Identity Assurance Working Groupで開発を進めているAuthority Claims Extensionを先取りした感じです。

サンプルレスポンスも書いてあります。

組織情報の詳細についても返却できるようになっていますね。

こんな感じで当該組織でそのアカウントがどのような役割を持っているのかが表現できるようになっています。

これはちゃんとこのドキュメントを英訳してグローバルで発信していかないといけませんね。結構先進的なことをやっているので海外の実装者や政府機関にとっても非常に参考になると思います。＞デジタル庁さん、がんばってください！