パスキーと検証可能なデジタル資格情報: 安全なデジタル ID への調和のとれた道

エディター

クリスティン・オーウェン、1コスモス
Teresa Wu、IDEMIA公安

要約

現在、世界中の政府機関が、国民への検証可能なデジタル資格情報 (VDC) の発行を含むデジタル ID 戦略の作成と実装に取り組んでいます。これらの取り組みの結果、組織は VDC を主要な認証形式として使用することについても議論し始めています。VDCは、FIDOのパスキーと一緒に使用できるユーザーの身元を確認する上で重要な部分であり、高速で安全、信頼性の高いプライマリ認証メカニズムを提供します。パスキーは、本人確認のために市民の VDC が提示された後に発行する必要があります。このホワイトペーパーでは、市民の認証を実装する際に、VDC とパスキーをどのように共存させるべきかについて説明します。

オンラインユースケースのデジタルID標準( ISO/IEC 18013-7、 W3C、 IETF、 SD-JWTなど)に従ったソリューションが導入される中、ID属性を確認するためのデジタルIDの使用と、ユーザーがオンラインで自分自身を認証できるようにすることの違いを認識することにおいて、混乱が増大することが予想されます。

この論文は、パスキーとデジタル ID/VDC の共存について議論し、これらのテクノロジーを使用するためのベスト プラクティスを含めて、誤解を明確にし、混乱を避けることを目的としています。

聴衆

政府機関、政策立案者、証明書利用者

1. 検証可能なデジタル資格情報 (VDC) とパスキー

新しいテクノロジーが次々と登場するにつれて、専門家はこれらのソリューションを一緒に使用する新しい方法を見つけています。このホワイトペーパーでは、市民の認証を実装する際に、検証可能なデジタル資格情報(VDC)とパスキーをどのように共存させる必要があるかについて説明します。VDC とパスキーはどちらも、デジタル世界で ID を保護するために開発されました。ただし、エンドユーザーの役割は異なりますが、交差します。次のセクションでは、VDC とパスキーについて説明します。

1.1 VDCの

VDC には、ID 属性の電子バージョンを含めることも、暗号で検証できる物理的な資格情報(運転免許証、パスポート、その他の識別可能な情報など)のデジタル表現を含めることもできます。通常、VDC は、 W3C Verifiable Credentials Data Model、 Internet Engineering Task Force (IETF) Selective Disclosure for JWT (SD-JWT)、または ISO/IEC 18013-5/7 (モバイル運転免許証) 標準に従っており、真正性を証明するために暗号化署名が必要です。これらの標準モデルはデジタルウォレットを使用するため、機密情報を開示する前にユーザーの承認を要求することでプライバシーを保護できる、安全でポータブルな即時検証メカニズムが作成されます。

VDC の導入は現在、世界中の複数の地域で多発しています。たとえば、アジア太平洋諸国は VDC のアイデアを採用しています。日本、韓国、オーストラリアなどの国々は、VDC 間の相互運用性を確保するために協力しています。オーストラリアの 2024 年デジタル ID 法により、デジタル ID の認定要件が設けられ、異なるプロバイダー間の信頼フレームワークが強化されました。米国では、モバイル運転免許証 (mDL) 運動が勢いを増しており、いくつかの州がすでに mDL プログラムを導入しているか、試験的に実施しています。政府機関が VDC をどのように展開しているかの詳細については、 付録を参照してください。

VDC は、物理的な人物を表す個人 ID(PID)または、運転免許証、特定の範囲の年齢、学歴などの個人のプロパティを示すドキュメントである証明属性のいずれかです。VDC の有効性は、ID 保証レベル (IAL) または保証レベル (LOA) (国のデジタル ID 標準によって異なります) で表すことができます。PID が使用される場合、政府機関は、個人の身元を確立するために必要な検証済み情報の種類を決定する場合があります。ほとんどの場合、個人の名前、住所、生年月日、出生地、政府の公式文書番号、電話番号、および両親の名前などのその他の属性に関する情報は、組織に代わって検証を実行する政府または民間団体が利用できるコントロールを通じて、個人を適切に識別するための強力な基盤となります。最新のテクノロジーでは、身元保証をさらに強化するために、指紋や顔のキャプチャなどの生体認証の記録が追加される場合があります。欧州デジタル ID ウォレット (EUDI ウォレット) では、加盟国が市民登録プロセスに使用する原則に従って、PID が高レベルの保証 (LoA) であることが義務付けられています。EUDIウォレットの詳細については、セクション 5.3 EU VDCの取り組み を参照してください。同様に、 米国のデジタル ID ガイドライン ^[1] では、政府で使用するために IAL2 でリモート ID 審査を実行することが義務付けられています。

VDC は、発行者の URL の構文、ドキュメントのカテゴリ、および信頼リスト (政府機関が URL が主張するものであることを保証する証明書を発行する) などのその他の標準化された構文を定義し、証明書利用者 (検証者とも呼ばれます) に提示されたときにドキュメントの信頼性を保証する暗号化 シール を作成することにより、ドキュメントのデジタル表現を保持します。この W3C 検証済み資格情報データ モデルでは、URL は信頼モデルとして機能します。

政府機関も、異なる管轄区域間で明確なID基準と相互認識メカニズムに基づいてデジタルIDウォレットスキームを構築しているため、デジタルIDウォレットを国際的に採用することで、交通警察が他国の運転免許証を検証したり、銀行が適切なチェックとバランスを提供したりするためにVDCを受け入れることが容易になります(たとえば、 顧客を知る)取引中。

---

^[1] https://www.nist.gov/identity-access-management/projects/nist-special-publication-800-63-digital-identity-guidelines

1.2 パスキー

パスワードレスでフィッシングに強い認証メカニズムであるパスキーは、プライバシー保護認証の大幅な進歩を表しており、従来のパスワードをより安全でユーザーフレンドリーな代替手段に置き換えるように設計されています。

パスキーには、同期されたパスキーとデバイスバインドされたパスキーの 2 種類があります。同期されたパスキーはクラウドに保存され、複数のデバイスからアクセスできるため、利便性と簡単な回復が可能です。一方、デバイスバインドされたパスキーは、特定のデバイスまたはセキュリティキーにローカルに保存されるため、セキュリティが強化されます。パスキーとその実装方法の詳細については、「 パスキー セントラル」を参照してください。

パスキーは、その基本的な設計原則により、フィッシング攻撃に対して強力な耐性を示します。各パスキーは、証明書利用者 ID によって識別されるサービスの特定のオリジンに本質的に関連付けられているため、認証は正当で意図されたサービス プロバイダーでのみ実行できます。このオリジン固有のチャレンジ/レスポンス メカニズムは、本質的にフィッシング サイトによる複製に耐性があり、そのような攻撃は効果を示さなくなります。

同様に重要なのは、ユーザーの機密性を維持し、追跡を防ぐように設計されたパスキーのプライバシー保護アーキテクチャです。認証中、個人データや生体認証データが外部に送信または共有されることはありません。指紋や顔認識チェックなどの生体認証プロセスはユーザーのデバイス上でローカルに実行され、機密データがユーザーの管理下に置かれることを保証します。

パスキーはサービスごとに一意の暗号化キーを生成し、プラットフォーム間で再利用できないため、クロスプラットフォーム追跡が排除され、プロバイダーが複数のサービスにわたるユーザーアクティビティを監視できるようにするソーシャルログインに関連するプライバシーの問題が回避されます。従来の認証方法 (パスワードや 2 要素認証など) とは異なり、一意の暗号化キーを使用すると、単一の侵害されたアカウントから生じる可能性のある連鎖侵害のリスクが効果的に軽減されます。パスキーは、共有シークレットをデバイスバインドされた暗号鍵に置き換えることで、実行可能な攻撃ベクトルとしてのフィッシングを根本的に無力化します。パスキーがクラウドベースのメカニズムを介してデバイス間で同期されると、エンドツーエンドの暗号化によって保護されます。

このプライバシー中心の設計により、ユーザーの間に安心感と信頼感が育まれ、自分の個人情報が政府機関やサービスプロバイダーによって追跡されたり悪用されたりしていないことをユーザーに安心させます。フィッシング耐性認証とプライバシー保護の原則を組み合わせることで、パスキーは安全でユーザー中心のデジタル ID 管理への大きな進歩を表します。

1.3 VDCとパスキーの共通点

VDC とパスキーはどちらもセキュリティを強化し、デジタル インタラクション中の摩擦を軽減します。VDC は資格と属性 (実際のユーザーとの関連付け) を安全に表現することに重点を置いていますが、パスキーは特にフィッシング耐性のある認証 (ユーザーが持っているもの) を対象としています。これら 2 つのテクノロジーを一緒に使用すると、相互に補完し合い、デジタル世界内のセキュリティが強化されます。

2. デジタル ID のコア概念

このセクションでは、デジタル ID、認証、および承認の違いについて説明します。また、検証可能なデジタル資格情報の使用を強化する方法についても検討します。

2.1 検証済み ID と認証と承認

デジタル ID は、オンライン取引を促進する上で重要な役割を果たします。通常、VDC には、VDC 所有者の ID を検証するための証拠として提示できる ID 属性が含まれています。たとえば、個人が VDC を使用して名前、生年月日、住所などの属性をアサートし、身元を確認し、銀行に金融口座を開設する場合があります。銀行はこれらの属性を使用して、 顧客確認 (KYC) や マネーロンダリング防止 (AML) などの規制に準拠できます。

本人確認は、多くの場合、オンボーディング中に、身元証明として信頼できる文書を使用して、本人が本人であることを確認するプロセスです。確認済みの ID が確立されると、認証は再訪問時に個人を確認するのに役立ちます。パスワードまたは 2 要素認証は従来、認証に使用されてきましたが、パスキーは従来の認証方法よりも安全であるだけでなく、生体認証を使用して暗号化キーのロックを解除し、認証に使用できる利便性をユーザーに提供します。パスキーは、提示されるたびにユーザーに関する情報をアサートするVDCとは異なり、プライバシーが保護され、認証中にユーザー属性を提供しません。

VDC を使用して、承認要求中に要求された ID 属性を証明書利用者に送信できます。 ^[1] この方法は、検証された一連の属性を通じてエンドユーザーのより包括的なビューを提供するため、証明書利用者のリスクへのエクスポージャーを減らすことができます。証明書利用者は、アクセスのルールと提示された属性に基づいて、そのユーザーのアクセスに関する情報に基づいた決定を行うことができます。

---

^[1] 承認とは、ID が認証された後、ユーザーに適切なレベルのアクセスを付与するプロセスです。Identity and Access Management (IAM) システム内の特定の機能として、許可は、システム管理者がシステムリソースにアクセスできるユーザーを制御し、クライアント権限を設定するのに役立ちます。アクセス制御は、ユーザーIDに事前に決定された一連のアクセス権を割り当てるために使用され、認証要求の決定に役立つ属性交換の使用がサイバーセキュリティ業界で注目を集めています。

検証可能なデジタル資格情報の使用の強化

VDC は、個人が直接認証メカニズムとして機能することなく、ID 属性または資格について検証可能な主張を行うことができるように設計されています。特定のサービスに対してユーザーを認証する認証方法とは異なり、VDC は、発行者、保有者、検証者が関与する分散型 の信頼の三角形 を通じて、証明されたクレーム (生年月日や住所など) を共有することに重点を置いています。 SD-JWT や ISO mdoc などの標準では、ユーザーが資格情報から特定の主張 (運転免許証の年齢など) を共有する場合、元のドキュメントの整合性を暗号で証明する必要があるため、VDC はプライバシーを念頭に置いて設計されています。ユーザーは VDC の所有権を保持するため、中央集権的な権限に依存せずにプラットフォーム間で資格情報を提示できます。この柔軟性により、VDC は ID の証明が必要なシナリオに最適です。

パスキーは、オーセンティケーターを特定のドメインにバインドするフィッシング耐性のある認証方法を提供します。パスキーは、認証時に個人を特定できる情報(PII)や同様の情報を渡さないため、ユーザーのプライバシーが保護されます。ただし、VDC は、証明書利用者によって要求され、所有者によって合意された場合、不要な PII を渡すことができます。たとえば、悪意のある攻撃者は銀行の本人確認ポータルになりすまし、VDC からユーザーの PII を取得し、ユーザーの PII を悪用する可能性があります。暗号化署名は資格情報の整合性を保証しますが、文脈上の誤用には対処しておらず、現在の標準のギャップを浮き彫りにしています。したがって、ユーザーの資格情報と属性には VDC を利用することをお勧めします。

これらのリスクにもかかわらず、VDC は高保証プロセスに採用されることが増えています。

• 大学は VDC を使用して、学業成績や課外活動への参加を確認することで登録を合理化できます。
• 銀行は、文書検証(パスポートなど)、生体認証の生存チェック、AMLおよび政治的露出者(PEP)のスクリーニングを組み合わせて、eKYC(電子顧客確認)にVDCを採用して、顧客をリモートでオンボーディングできます。
• VDC は、国境を越えた金融送金や医療ライセンスなど、厳格な身元保証を必要とする取引における不正行為を軽減します。たとえば、自撮り検証とドキュメント中心のチェックにより、価値の高い契約中にユーザーが物理的に存在することを保証します。
• 国境を越えた教育では、VDC を使用すると留学生の資格を即座に検証できるため、管理上の遅延や詐欺のリスクが軽減されます。

ただし、これらのアプリケーションでは、VDC の PII フィッシングの影響を受けやすいことを補正するために、補足的な保護手段 (多要素認証、ライブネス検出など) が必要になることがよくあります。

VDC は、特に登録や高保証トランザクションにおいて、分散型 ID 管理に変革の可能性をもたらします。VDC をフィッシング耐性認証メカニズムと統合し、相互運用性標準を進歩させることで、政府機関や組織はリスクを軽減しながらその利点を活用できます。エコシステムが進化するにつれて、イノベーションとセキュリティのバランスをとるためには、政府機関、標準化団体、業界関係者間の協力が不可欠になります。

3. 主な考慮事項

VDC とパスキーは広く受け入れられている標準に従って構築されているため、相互運用性が促進され、さまざまなプラットフォームやサービス間でのシームレスな統合が実現します。この標準化は、広く採用され、真に相互接続されたデジタル ID エコシステムを構築するために非常に重要です。

3.1 プライバシーへの配慮

プライバシー保護は、VDC とパスキーの両方に存在する必要がある重要な機能です。VDC とパスキーを組み合わせることで、エンド ユーザーと証明書利用者の両方にメリットがあります。このエコシステムでは、ユーザーは自分の資格情報を制御し、証明書利用者にユーザーとして登録する場合など、必要に応じて属性を選択的に共有できます。依存する当事者は、VDC の背後にいる人物が、おそらく彼らが言うとおりの人物であると確信できます。

しかし、今後、ID業界全体は、デジタル時代におけるデータのプライバシーと制御に関する懸念の高まりに対処する必要があります。VDC は、検証済みの資格情報を保持および共有するプライバシー保護メカニズムですが、証明書利用者は、エンド ユーザーをアプリケーションに登録するために必要な最小限の属性のみを要求する必要があります。アプリケーションの種類と法的および規制上の要件に応じて、属性は電子メールアドレスと名前だけで、確認済みの自宅住所と国民ID番号も含まれる場合があります。

3.2 eIDAS 2.0規制

欧州デジタル ID 規則 2.0 (eIDAS 2.0) 規制は、EUDI ウォレット内でパスキーを暗黙的または明示的に使用できる場所を説明しています。EUDIウォレットのPIDは、証明書利用者への初期認証に高いeIDAS LoAとともに使用する必要があります。この要件を満たすために、FIDOパスキーをユーザーのEUDIウォレットに登録できます。パスキーは、証明書利用者に対して仮名を使用した繰り返しの認証に使用できます。このようにして、パスキーは EUDI ウォレット エコシステムで VDC を共存または補完することができます。

eIDAS 2.0規制のセクション 5f.3 ^[1] には、非常に大規模なオンラインプラットフォームは、認証のためにEUDIウォレットの使用を受け入れ、促進しなければならないが、「認証が要求される特定のオンラインサービスに必要な最小限のデータに関して」使用しなければならないと書かれています。したがって、eIDAS 2.0 では、オンライン プラットフォームが政府発行のクレデンシャルによって発行され、政府発行のクレデンシャルに関連付けられた VDC も受け入れることを要求するのではなく、仮名 PID 認証をサポートできるようになります。

したがって、パスキープロバイダーはパスキーを発行して復元する必要があります。パスキー・プロバイダー・サービスは、EUDIウォレット・エコシステム内のさまざまなエンティティー(クラウドベースのEUDIウォレット・バックエンド、PIDプロバイダー、または(適格)属性電子認証((Q)EAA)を発行する適格トラスト・サービス・プロバイダー(QTSP))によって運用できます。

---

^[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401183

クラウドベースのEUDIウォレットとパスキープロバイダーには、興味深い相乗効果があります。PIDと(Q)EAAは、FIDOパスキーを使用してユーザーのデバイスからアクセスされるクラウドベースのEUDIウォレットバックエンドでホストされます。ユーザーのデバイスを紛失または交換した場合、ユーザーはFIDOパスキーを復元するだけで、ユーザーはPIDと(Q)EAAにアクセスできるようになります。これにより、ユーザーは最初にFIDOパスキーをデバイスにダウンロードし、次にFIDOパスキーを使用してクラウドベースのEUDIウォレットに即座にアクセスできるため、EUDIウォレットの迅速な回復が可能になります。

3.3 VDCとパスキーの統合アプローチのユースケース

パスキーとデジタル ID ウォレットは競合するテクノロジーではなく、堅牢でポータブルな ID エコシステムを構築する補完的なソリューションです。パスキーはデジタル ID ウォレットへの安全なゲートウェイとして機能し、不正アクセスに対する強力な防御を提供し、ウォレットはリスクの高い取引中に貴重なデータを提供する役割を果たします。この組み合わせにより、検証済み ID (EUDI ウォレット) と簡単な認証 (パスキー) を統合することで、セキュリティが強化され、ユーザー エクスペリエンスが合理化されます。

おそらく最も重要なことは、この組み合わせにより、再利用可能な ID を作成できることです。ユーザーは自分の身元を一度証明し、複数のサービスで同じVDCを再利用できるため、高いセキュリティ基準を維持しながら、デジタルインタラクションの摩擦を大幅に軽減できます。デジタル ID と認証に対するこの統合アプローチの潜在的な用途は広大であり、複数の分野にまたがっています。

• オンライン検証: 電子商取引 (国が支援する酒屋など) では、制限された製品を購入するための年齢確認は、デジタル ウォレットに保存され、パスキーを使用して安全にアクセスできる検証済みの資格情報を使用して合理化できます。
• 政府サービス: この組み合わせたアプローチにより、納税申告システムやその他の政府特典への安全なアクセスが促進され、ユーザー エクスペリエンスを向上させながらセキュリティが強化されます。
• ヘルスケア: 複数の病院にわたる処方医師の資格情報の検証がより効率的になり、医療提供者間の患者記録の安全な転送が合理化されます。
• 教育: 高等教育システムはアカウントの乗っ取りをより効果的に防ぐことができ、学生は学業を通じて、そしてそれ以降も記録を持ち続ける再利用可能な ID を作成できます。
• 金融サービス: 顧客確認 (KYC) プロセスを大幅に合理化し、リスクの高い取引のセキュリティを強化することがより効果的に実装されます。

ほとんどのユースケースでは、証明書利用者は VDC を使用して、対話の開始時に構成要素を登録し、構成要素とのさらなる対話のためにパスキーを受け入れる必要があります。構成要素がリスクの高いトランザクションを実行している場合、証明書利用者は認証時に VDC に追加の属性を要求する必要があります。さらに、パスキーの回復には VDC を使用し、VDC へのアクセスにはパスキーを使用する必要があります。

4. 推奨事項

有権者の主要な認証形式としてパスキーを採用する政府機関や組織は、強化されたセキュリティと使いやすさを活用できます。信頼性と使いやすさを確保するには、特にパスキーの発行やアカウントの回復に検証済みの ID が必要なシナリオでは、パスキーを検証済みデジタル資格情報 (VDC) によってサポートする必要があります。VDC は、高レベルの保証を維持しながら、パスキーを安全に回復するための堅牢なメカニズムを提供します。

これを効果的に実装するには、ID 保証レベル (IAL) 要件と、サービス内で保護されるデータのリスク許容度に基づく階層型アプローチをお勧めします。中程度の IAL 要件を持つサービスの場合、証明書利用者 (RP) は次のことを行う必要があります。

• 政府発行の ID を読み取り、ユーザーの身元を確認します。
• 検証済みの ID に関連付けられたパスキーを作成します。
• パスキーは、後続のすべてのやり取りで再認証に使用します。

有権者の主要な認証形式としてパスキーを採用する政府機関や組織は、強化されたセキュリティと使いやすさを活用できます。信頼性と使いやすさを確保するには、特にパスキーの発行やアカウントの回復に検証済みの ID が必要なシナリオでは、パスキーを検証済みデジタル資格情報 (VDC) によってサポートする必要があります。VDC は、高レベルの保証を維持しながら、パスキーを安全に回復するための堅牢なメカニズムを提供します。

これを効果的に実装するには、ID 保証レベル (IAL) 要件と、サービス内で保護されるデータのリスク許容度に基づく階層型アプローチをお勧めします。中程度の IAL 要件を持つサービスの場合、証明書利用者 (RP) は次のことを行う必要があります。

• 政府発行の ID を読み取り、ユーザーの身元を確認します。
• 検証済みの ID に関連付けられたパスキーを作成します。
• パスキーは、後続のすべてのやり取りで再認証に使用します。

より高いIAL要件を持つサービスには、政府機関とFIDOアライアンスのような組織とのコラボレーションが不可欠です。彼らは協力して、ユーザーのプライバシーと利便性を維持しながら、パスキーが厳しい保証レベルを満たしていることを保証するソリューションを開発できます。

さらに、管轄区域を超えた IAL の基準と相互承認の取り決めが差し迫った必要性があります。政府機関は、法令遵守と消費者保護のために特定のサービスにどの IAL レベルが必要かを規定する明確なガイダンスの確立に取り組む必要があります。これらの標準は、国境を越えたデジタルインタラクションの相互運用性と信頼を促進するために、できるだけ多くの国で有効であることを目指す必要があります。

認証の基盤としてパスキーを採用し、検証済みの資格情報や標準化された IAL フレームワークと連携させることで、政府機関はセキュリティを強化し、ユーザー エクスペリエンスを向上させ、デジタル ID 管理における世界的な協力を促進できます。

5. 付録

5.1 政府機関の展開のための検証可能なデジタル資格情報

デジタル ID の状況は世界中で大きな変革を遂げています。この付録では、世界中の政府機関が VDC をどのように実装しているかについて説明します。

5.2 APAC VDCの取り組み

アジア太平洋諸国はVDCのアイデアを受け入れています。日本、韓国、オーストラリアなどの国々は、VDC 間の相互運用性を確保するために協力しています。オーストラリアの 2024 年デジタル ID 法 により、デジタル ID の認定要件が設けられ、さまざまなプロバイダー間の信頼フレームワークが強化されました。

アジアでは、政府発行のデジタル認証情報は急速に進歩していますが、不均一です。多様な経済、技術、規制の状況を反映しています。最近の展開は、安全で相互運用可能なシステムの形成における標準化団体( ISO/IEC や W3Cなど)の進歩と重要な役割の両方を浮き彫りにしています。アジアでは、インド、シンガポール、韓国などの国々が堅牢なデジタル ID システムでリードしており、オーストラリアは安全で相互運用可能な資格情報のために mDL を国際標準と調和させています。

シンガポールのSingPassは、シームレスな公共サービスと民間サービスへのアクセスのベンチマークです。韓国は、FIDOおよびISO/IEC 29115規格を組み込んだデジタルIDを電子ガバナンスに活用しています。日本のデジタル庁 ^[1] は、2024年12月に発足したアジア太平洋デジタルIDコンソーシアム ^[2] などの取り組みを通じて、個人番号(マイナンバー)カードの強化を推進しています。

日本政府は、2025年6月24日よりiPhoneユーザー向けにmdoc形式( ISO/IEC 18013-5で標準化)のデジタル国民ID(マイナンバーカード/スマートフォンのマイナンバーカード)の発行を開始し、2026年にAndroidユーザー向けに発行する予定です。デジタル国民IDには、氏名、生年月日、住所、性別、個人番号(日本では マイナンバー )などの身元情報が含まれています。その目的は、デジタル国民IDを、対面とリモートの両方のユースケースのさまざまなID証明ユースケースで使用することです。

東南アジアでは、タイの2022-24年デジタルIDフレームワークは、1,000万のデジタルIDと国家デジタルIDプラットフォームを対象としています。Mobile ID の生体認証 (D.DOPA) について議論する際、このフレームワークの作成者は NIST 800-63 および ISO/IEC 19794 標準を参照しました。 ISO/IEC 27001に準拠したマレーシアのMyDigital IDと、サラワク州が計画している サラワクパスは、キャッシュレス取引とサービスアクセスで SingPass をエミュレートすることを目的としています。フィリピンの PhilSys は6,800万人を登録しており、物理的なカードの遅延を回避するためのデジタル発行に重点を置いています。2025年3月、台湾デジタル省は、生体認証と選択的開示を使用して、IDとライセンスを保存するための必須ではないモバイルアプリであるプロトタイプの 台湾デジタルIDウォレット (TW DIW)を導入しました。サンドボックス試験は3月に開始され、12月にはより広範なテストが予定されているが、デジタルIDの完全な代替ではなく、医療データの共有は除外されている。

オーストラリアとニュージーランドは、モバイル運転免許証を ISO/IEC 18013-5 と調和させています。オーストラリアとニュージーランドでは、mDLの調和の取り組みは、国内外で検証可能な安全で相互運用可能なデジタルクレデンシャルを保証する ISO/IEC 18013-5の採用に重点を置いています。オーストラリアでは、Austroadsの Digital Trust Service (DTS)が、全国的な拡張性テストに成功した試作バージョンで先頭に立っています。2019年以来450万人のユーザーを抱えるニューサウスウェールズ州は、アプリベースのmDLを提供する Service NSW アプリを完全なコンプライアンスに移行し、物理的なカードとの法的同等性を確保しています。南オーストラリア州の mySAGOV アプリには、この規格の検証機能が組み込まれています。2025-26年の展開を目標とするDTSは、管轄区域を超えたグローバルな検証を可能にし、2024年のIdentity and Verifiable Credentials Summitで米国の空港アクセスなどの用途で実証され、相互運用性の枠組みにニュージーランドを含めている。ニュージーランドは、オーストラリアとの相互承認協定に基づいて、NZTAアプリベースのデジタルライセンスを ISO/IEC 18013-5に合わせています。

5.3 EU VDCの取り組み

ヨーロッパでは、2024 年 5 月に施行された 欧州デジタル ID 規則 2.0 (eIDAS 2.0) 規制により、欧州連合全体でデジタル ID の管理方法に極めて重要な変化がもたらされました。この更新されたフレームワークでは、EU 国民に加盟国間の公共および民間サービスにアクセスするための安全で相互運用可能なデジタル ID ソリューションを提供することを目的とした欧州デジタル ID ウォレット (EUDI ウォレット) が導入されます。

EUDIウォレットは、eIDAS 2.0規制 ^[3] の基礎であり、すべてのEU市民に無料で提供されます。EUDIウォレットの目的は、EU市民がオンラインとオフラインの両方のリソースにアクセスする際に身元を証明したり、完全な身元を明らかにすることなく特定の個人属性を提示できるようにすることです。EUDIウォレットは、モバイル運転免許証、支払い、公共サービスへのアクセス、銀行口座の開設などのユースケースに使用できます。

EUDIウォレットアーキテクチャは、EUDIウォレットで使用される形式とプロトコルを指定する欧州デジタルIDウォレットアーキテクチャおよび参照フレームワーク(ARF)で概説されています。各EUDIウォレットは、高いeIDAS保証レベル(LoA)で登録される個人身分証明書(PID)でブートストラップされます。PID に加えて、ユーザーは、ユーザーの身元と証明書利用者への請求を証明できる (Q)EAA を追加するオプションがあります。

ARF は、次の形式が PID および (Q)EAA に適していると指定しています。

• ISO/IEC 18013-5 モバイル運転免許証 (mDL)
• W3C 検証可能な資格情報データモデル v1.1
• IETF SD-JWT ベースの検証可能な資格情報 (SD-JWT VC)

さらに、国際民間航空機関 (ICAO) のデジタル旅行資格情報 (DTC) は、EUDI ウォレットで (Q)EAA としても使用できます。

5.4 米国VDCの取り組み

米国では、モバイル運転免許証 (mDL) 運動が勢いを増しており、いくつかの州がすでに mDL プログラムを導入しているか、試験的に実施しています。 eIDAS 2.0の集中型アプローチとは異なり、米国の取り組みは、業界の協力とともに、個々の連邦機関や州の取り組みによって推進され、より有機的に開発されています。これらの開発は、デジタル化が進む世界において、堅牢なユーザー中心のデジタル ID ソリューションの必要性に対する認識の高まりを反映していますが、さまざまな規制および技術的経路を通じてこの目標にアプローチしています。

米国の州は有権者にIDカードと運転免許証を提供するため、mIDとmDLを作成する責任は各州にあります。そのため、米国における mDL の開発と実装は、州によって段階的かつ多様なプロセスでした。 ^[4] 現在、米国の州の約3分の1しかmDLを提供していませんが、多くの州は、リモートトランザクションの改善、ID詐欺の削減、政府サービスと民間部門のサービスの両方に対するデジタルID検証の強化におけるmDLの潜在的な利点を認識しているため、前進しています。

運輸保安局 (TSA) は、VDC (モバイル運転免許証など) が航空のセキュリティと運用に及ぼす潜在的な影響を評価しています。TSAは、Credential Authentication Technology 2(CAT-2)システムを使用して、TSAチェックポイントで州発行のモバイル運転免許証の受け入れを含むデジタルID機能を統合し、個人の身元を確認するための安全でシームレスな方法を提供しています。現在、TSA は 15 の参加州からモバイル運転免許証とモバイル ID を受け付けています。2024年10月、TSAは連邦官報に最終規則を発表し、2025年5月7日にREAL IDの施行が開始されたTSA空港の保安検査場で本人確認に乗客がモバイル運転免許証(mDL)を引き続き使用できるようにする最終規則を発表した。

NISTのNational Cybersecurity Center of Excellence(NCCoE)は、 デジタルIDガイドラインSP 800-63の発行に加えて、mDLエコシステム全体の利害関係者を集めて、mDL導入の標準とベストプラクティスを促進し、mDL導入の課題に対処するためのリファレンス実装の構築に取り組む mDL導入加速プロジェクト を立ち上げました。最初のNCCoEユースケースは、消費者が金融口座を作成できるように支援し、金融機関がmDLを使用して顧客識別プログラム/顧客確認(CIP/KYC)要件を満たすのを支援することに重点を置きます。

米国連邦政府とユーザーとのデジタルやり取りのために、政府機関はデジタルIDウォレットに保存される再利用可能なIDのアイデアを採用しています。一般的に言えば、これらのVDCはクラウドベースであり、公共給付への登録や税金の申告などのアクションのために連邦機関とやり取りする前に、ユーザーの身元を確認するために使用されます。これらのVDCは、構成員が政府機関のアプリケーションへのサインインに使用する認証システムにも関連付けられています。連邦空間内では、オーセンティケーターに関連付けられた VDC は、クレデンシャル サービス プロバイダー (CSP) と呼ばれます。

5.5 英国VDCの取り組み

英国政府は、2024年11月にデジタルウォレットに関連するデジタルIDサービスの標準と役割を概説した DIATF(Digital Identity and Attributes Trust Framework)ガンマバージョン(0.4) ^[5] をリリースしました。英国は2025年にデジタル運転免許証を導入する予定で、スマートフォンの新しい GOV.UK デジタルウォレットアプリを通じて利用できるようになります。

---

^[1] https://www.digital.go.jp/en

^[2] https://www.apdiconsortium.org/

^[3] 2024年4月にEU議会で「欧州デジタル・アイデンティティ・フレームワークの確立に関する規則(EU)2024/1183」(eIDAS 2.0)が採択されました。eIDAS 2.0規制は、「実施法」としても知られる委員会実施規則(CIR)で拡張され、eIDAS 2.0規制の特定の法的側面を詳しく説明します。eIDAS 2.0 CIR は引き続き指定されます。

^[4] 2025年3月現在、mDLを提供している州には、アラスカ州、アーカンソー州、アリゾナ州、カリフォルニア州、コロラド州、デラウェア州、ジョージア州、ハワイ州、アイオワ州、ルイジアナ州、メリーランド州、ミシシッピ州、ニューヨーク州、オハイオ州、プエルトリコ、バージニア州、ユタ州、ウェストバージニア州が含まれます。

^[5] https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-04

6. 貢献者

• ジェローム・ベッカート、アクシアド
• ジョン・ブラッドリー、ユビコ
• ティム・カッパリ、Okta
• セバスチャン・エルフォルス、IDnow
• 古川 英明 野村総合研究所
• ウィリアム・フィッシャー、NIST
• ヘナ・カプール、ビザ
• スー・クーマン、アメリカン・エキスプレス
• マシュー・ミラー、シスコ
• ジェフ・ニグリニー、CertiPath、Inc.
• ジョー・スカローン、ユビコ
• アラステア・トレハーン、Ingenium Biometric Laboratories

7. 文書履歴

変える	説明: __________	日付
初回公開	ホワイトペーパーを初公開。	2025年9月

8. 参考文献

アジア太平洋デジタル ID (APDI) コンソーシアム。APDIコンソーシアム。 https://www.apdiconsortium.org/

デジタルエージェンシー。家。デジタルエージェンシー。 https://www.digital.go.jp/en

FIDOアライアンス。家。パスキーセントラル。 https://www.passkeycentral.org/home

NISTです。デジタル ID – モバイル運転免許証 (mDL)。NIST National Cybersecurity Center of Excellence。 https://www.nccoe.nist.gov/projects/digital-identities-mdl

NISTです。(2025年7月)。NIST SP 800-63-4 デジタル ID ガイドライン。NISTです。 https://www.nist.gov/identity-access-management/projects/nist-special-publication-800-63-digital-identity-guidelines

デジタル ID および属性局および科学・イノベーション・技術省。(2025年6月26日)。英国のデジタル ID と属性の信頼フレームワーク (0.4)。英国政府。 https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-04

欧州議会と欧州連合理事会。(2024年4月11日)。欧州議会および理事会の規則 (EU) 2024/1183。EUR-Lex.europa.eu. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401183

運輸保安局。(2024年10月7日)。TSAは、空港の保安検査場や連邦政府の建物で移動式運転免許証の継続的な受け入れを可能にする最終規則を発表しました。TSAです。 https://www.tsa.gov/news/press/releases/2024/10/24/tsa-announces-final-rule-enables-continued-acceptance-mobile-drivers