OIDF、ユタ州の「州公認デジタルID」RFIにコメントを提出

OpenID Foundationは、ユタ州の州公認デジタルID（SEDI）プログラムに関する情報提供依頼（RFI #AE26-1）に対するコメントを提出しました。この提出は、セキュリティ、プライバシー、相互運用性を優先するデジタルIDフレームワークを各国政府が策定するのを支援するというOpenID Foundationの継続的な取り組みを反映するものです。 

OpenID Foundationのエグゼクティブ・ディレクターであるGail Hodges氏は次のように述べています。「OpenID Foundationは、ユタ州がプライバシーとデジタルIDの双方におけるソートリーダーであると認識しており、個人の保護を確保するための同州の積極的な取り組みを称賛します。ユタ州のアプローチは、人々が望む場所で自らのアイデンティティを主張できるようにするという私たちの長年のビジョン、そして同意に基づくプライバシー保護を可能にする仕様の開発と強く整合しています。私たちは、州公認デジタルIDのRFIに対してコメントを提供できることを光栄に思います。私たちの見解が、金融分野やウォレット提供者といった産業との強固な関与を育みつつ、住民のセキュリティ、プライバシー、自律性というユタ州の目標の実現に資することを願っています。」 

 SpruceIDの創業者兼CEOであるWayne Changは次のように付け加えました。「デジタルの世界における自由を確保するため、憲法上の権利の精神に則ったアプローチをユタ州が採るのを目にして、私たちは大変嬉しく思います。これは、ウェブ全体で人々が自分のデータをコントロールできるようにするという私たちの使命、そしてOpenID FoundationによるVerifiable digital credentialsのプロトコルに関する取り組みと合致しており、より非中央集権型でプライバシーが保護されたデジタルなやり取りを可能にします。」

より広い取り組みの一部

ユタ州が進めているデューデリジェンスは、現在デジタルIDプログラムを開発中の60超の国々が抱える懸念と広く類似する課題に対処しています。本ブログでユタ州のRFIに対する我々のコメントを共有することで、他の法域が実証済みの相互運用パターンから知見を獲得し、よくある落とし穴を回避できることを願っています。

過去1年にわたり、OpenID Foundationは、欧州委員会、オーストラリア政府、ニュージーランド、英国政府、日本政府、そしてNISTを含む各所に同様のガイダンスを提供してきました。これは、デジタルIDシステムを開発する法域に対する技術リソースとして、また公民双方のソートリーダーが集い、開発における相互運用性を確保するための重要な「セーフスペース」として、継続的な役割を果たしていることを反映しています。

主要な提言

OpenID Foundationが提出したコメントでは、いくつかの技術的考慮事項を強調しました。 

• 実証済み標準: OpenID4VP、OpenID4VCI、HAIPなど既に本番導入されている仕様の採用を推奨し、広範な互換性を確保するためにISO/IEC 18013-5/-7と組み合わせることを提案します。 
• 金融分野の相互運用性: NIST NCCoEの相互運用パターンに整合させることで、ユタ州の住民は、連邦規制下の金融機関で州発行クレデンシャルをより迅速に利用できるようになります。米国州発行クレデンシャルを米国のCIPおよびKYC規則に適合させるための重要な作業はeKYC and IDAワーキンググループが主導しており、その詳細レポートは米国内の発行体だけでなく、グローバルな金融相互運用の目標にも拡張可能です。 
• オープンなテストツール: OpenID Foundationのオープンソース適合テスト群は、実装者が無償でコンフォーマンスを達成できるよう支援し、セキュリティと相互運用性を維持しながら障壁を低減します。 
• プライバシー・バイ・デザイン: 選択的開示とリンク不可能性を支援するアプローチを強調し、検証を可能にしつつ個人のプライバシーを保護します。 

対話の継続

OpenID Foundationのリーダーは、10月21〜22日のInternet Identity Workshopに参加したユタ代表団と会うことができて喜ばしく思います。同州がデジタルアイデンティティへの取り組みを洗練していく中で、今後の対話継続を歓迎します。他の法域との連携と同様、我々は提言の十分な理解を確保し、OpenID Foundationの仕様を実装する政府および民間の実装者に対して継続的な技術支援を提供することにコミットしています。 

 ユタ州への我々のコメント全文は、同様の取り組みを検討する他の関係者にも価値のある技術的視点として利用いただけます。私たちは、デジタルアイデンティティアーキテクチャに関するオープンで透明性のある議論が、エコシステム全体に利益をもたらし、相互運用的でプライバシーを保護する解決策の前進に資すると信じています。 

 デジタルアイデンティティフレームワークの議論に関心のある法域は、director@oidf.org までご連絡ください。また、誰でも無償で参加できる我々のワーキンググループおよびコミュニティグループへの直接参加も推奨します。特に、Digital Credentials Protocols WG、eKYC and IDA WG、Ecosystem Support Community Groupの活動は、ユタとその同じような区域に関連性が高いものです。

Verifiable credentialsは増加するID詐欺対策の有力な手段となり得るか？

米国の金融機関は重大な課題に直面しています。身元確認（ID&V）テクノロジーの進歩にもかかわらず、不審な口座記録が増加しています。金融機関による高保証の身元確認（High Assurance Identity Verification）の広範な導入が解決策となり得るのでしょうか。

銀行は、口座開設時に顧客の身元について合理的な確信を得つつ、リスクを最小限に抑える必要があります。その有効な方策として、ISO/IEC準拠のモバイル運転免許証（mDLs）など、暗号的に検証可能な資格情報の利用が挙げられます。これらは発行者によって署名され、改ざんが困難な身元データを信頼できる証明機関を通じて暗号的に検証できるため、確固たる証明性を担保します。しかしながら、依然として課題が残ります----複数の州から発行され、さまざまなウォレットで提示されるデジタル運転免許証を、銀行はどのように信頼すればよいのでしょうか。

OpenID Foundationの KYC and Identity Assurance ワーキンググループ（KYC & IAD WG）は、「mDL Metadata Requirements to support Know Your Customer (KYC)）（KYCへのサポートを目的としたmDLメタデータ要件）」と「Customer Identification Program (CIP) compliance and OIDF Extended KYC Considerations（消費者識別プログラムのコンプライアンスとOIDF拡張KYCの考慮点」という2つの新たなレポートを通じて、米国の金融機関がどのように顧客の身元を確認するかの鍵となる役割を果たしています。

これらのレポートは、OpenID Foundationの仕様がいかにこの重要な課題の解決をアシストするかを示しています。具体的には、金融機関がモバイル運転免許証（mDLs）およびその他のデジタル認証情報の証明性、保証レベル、コンプライアンス指標を評価可能とする、標準化され機械可読な信頼情報を提供します。

これらの資格情報は、銀行口座開設など高保証が求められる用途に有効であり、堅牢な規制対応に必要な透明性と相互運用性もサポートします。

エコシステムの整合と今後の展望

この2つのレポートで提案されているアプローチは、NISTが最近発表したmDL保証に関する技術的な指針「Building Assurance in the mDL Ecosystem（mDLエコシステムにおける保証の構築）」と密接に一致しています。本指針は、OpenID Connect for Identity Assuranceを、政府、ウォレット提供者、銀行間でモバイル運転免許証の信頼を伝達するための標準と位置付けています。NISTの作業により、技術的な妥当性が確認され、以下で述べる2つのOpenID Foundationレポートにおける実装ガイダンスの基盤となっています。

NISTによるセキュリティ管理と信頼情報の標準化されたエンコード手法は、本提案された枠組みの妥当性を証明するとともに、政府、標準化団体、業界全体においてデジタル資格情報の信頼確立方法に関する合意の高まりを示しています。

OpenID FoundationとNISTによるこれらの補完的な取り組みにより、金融機関は規制上の信頼性を確立し、大規模な高保証の身元確認導入に必要な技術的ロードマップを得ることができます。今後、より多くの州でmDLが発行され、エコシステムが成熟するにつれ、この標準化されたアプローチは、米国金融システム全体で円滑かつ高保証なデジタル身元確認の実現に不可欠となるでしょう。

検証：各レポートがこれらの課題にどのように対処しているか

mDL Metadata Requirements to support Know Your Customer

第一のレポートは、機械可読な信頼情報を提供することにより、金融機関がCIPやKYCなどの規制コンプライアンス要件を満たすことを支援する標準化されたメタデータフレームワークを提示しています。銀行は、デジタル資格情報へ移行する一方、資格情報がどのように発行、保管、検証されているかを完全には把握できない状況下で、政府発行機関やデジタルウォレット提供者などの外部組織を信頼しなければならないという重大な課題に直面しています。既存の標準は明確な技術仕様を提供していますが、金融口座開設のような高保証が求められる用途に不可欠な、機械可読な信頼情報までは網羅していません。

この課題に対処するため、本レポートは5つの主要な信頼情報を中核とした構造化されたメタデータフレームワークを提案しています。

• 認証情報の証明性 - 認証情報の発行者を特定し、その完全性に関する暗号的証拠を含む
• 保証レベル - NIST IALに準拠した本人確認および検証の強度を示す
• 認証コンテキスト - 認証情報がどのように提示されたか、および認証時に適用されたセキュリティ対策を記述する
• コンプライアンスフラグ - REAL IDコンプライアンスなどの規制指標を提供する
• 監査可能性 - 検証および規制監査のための記録を確保する

その結果、政府発行の認証情報からデジタルウォレットを経て金融機関に至る明確な「信頼の連鎖」が構築されます。このフレームワークは、運用上の盲点を監査可能で標準化されたメタデータに置き換え、銀行が規制コンプライアンス要件を満たしながら、Verifiable Credentialsを確信をもって受け入れるために必要な可視性を提供します。

Harmonized mDL metadata for KYC and CIP: Comparative analysis and implementation guidance

第二のレポートは、NIST、ISO、連邦金融機関検査協議会(FFIEC)、一般データ保護規則(GDPR)、Kantaraプライバシー強化モバイル認証情報(PEMC)、カリフォルニア州消費者プライバシー法(CCPA)にわたる規制およびプライバシー要件へとメタデータフレームワークを拡張する詳細な実装ロードマップを提供しています。

mDLメタデータとKYCおよびCIP要件の調和は、非集中型エコシステムにおける相互運用性、規制コンプライアンス、信頼性を確保する上で極めて重要です。標準化されたメタデータがなければ、金融機関は断片化された実装に直面し、運用リスクとコンプライアンス監査が増大するとともに、口座開設プロセスにおける保証が損なわれます。

本レポートは、提案されたメタデータフレームワークを基盤とし、NIST SP 800-63-4デジタルアイデンティティガイドラインを本人確認、認証、およびフェデレーションの保証標準として位置づけた実装施策を概説しています。これは、組織が個人データをどのように取り扱い、本人確認を行い、透明性と説明責任を維持するかを規定する多管轄的なプライバシーおよびコンプライアンス要件のフレームワークと統合されています。

提案されたメタデータフレームワークを基盤とし、NIST SP 800-63-4および多管轄的なプライバシーおよびコンプライアンス要件のフレームワークに基づくことにより、金融機関は標準化された信頼情報をアイデンティティワークフローに組み込むことができます。このアプローチは、拡張可能な相互運用性への一歩であり、規制上の保証を強化し、セキュリティとプライバシーの両方の要求を満たす高信頼性のデジタルアイデンティティ体験を提供します。

OpenID Foundation KYCワーキンググループ─フレームワーク実現に向けた推進

OpenID Foundation理事会コミュニティ代表であり、eKYCおよびIDAワーキンググループのコントリビューターであるGeorge Fletcher氏は、次のように述べています。「高額取引を処理する機関にとって、責任、リスク、コンプライアンスはいずれも極めて重要な要素です。発行者--保持者--検証者モデルの導入が拡大する中（ウォレットやモバイル運転免許証を想起してください）、メタデータや追加属性は、関係当事者、とりわけ現状ではあらゆるリスクを負う検証者のリスクと責任を低減するための情報を伝達する上で不可欠です。本取り組みは、他に信頼フレームワークが存在しない米国において、デプロイメントを実行可能にする鍵となります。」

2025年10月、コンピュータ歴史博物館で開催されたIIWにて、ジュリアナ・カフィック氏が、Dima Postnikov氏, Nithy Poosamani氏, Gail Hodges氏, Mark Verstege氏, Mark Haine氏, 崎村夏彦氏,小岩井 航介氏とともに発表

レポートを支えるエキスパート

これらの論考は、独立系のアイデンティティ標準・ソリューションアーキテクトであり、OpenID Foundationの各ワーキンググループに長年貢献してきたJuliana Cafik氏による重要な貢献の結晶です。同氏はまた、この夏に実施された、NISTおよびOpenID Foundationによる「OpenID for Verifiable Presentation」および「Verifiable Credential Issuance」の相互運用イベントにおいて、マイクロソフト側のリードアーキテクトを務めました。

eKYC & IDAワーキンググループに寄稿した本レポートについて、ジュリアナ・カフィック氏は次のように述べています。「信頼を維持し、重要分野を保護するために、アイデンティティおよび認証のワークフローを前進させることに強い情熱を持っています。本取り組みは、セキュリティ、コンプライアンス、プライバシーがシームレスに統合される将来に向けた前向きな一歩です。」

同氏の本レポートにおける取り組みは、米国の金融サービス分野におけるアーリーアダプターが、技術標準と実運用の実装とのギャップを埋める上で、極めて重要な役割を果たすことが期待されています。

OIDF、GENIUS法案対応のための標準化ロードマップを提示

OpenID Foundation（OIDF）は、米国財務省がGENIUS法に基づき発表した「Innovative Methods to Detect Illicit Activity Involving Digital Assets（デジタル資産を巡る不正行為の検出に関する革新的手法）」のパブリックコメント要請（TREAS-DO-2025-0070-0001）に対し、包括的な回答を提出しました。

APIやデジタルアイデンティティ分野で豊富な知見を持つ技術標準化団体として、OIDFは、成熟し世界的に普及しているオープンな標準が、法執行能力とプライバシー保護のバランスを取りながらGENIUS法の目的達成にどう貢献できるかを示す機会を歓迎します。

回答では、金融サイバー犯罪の根本原因、すなわち不正な人物が金融システムへアクセスすること自体を防ぐことに重点を置いています。つまり事後的な追跡ではなく、事前の侵入防止に取り組むという方針です。OIDFの標準は、伝統的な金融およびデジタル資産の両方のエコシステムを守る安全性と相互運用性を備えたフレームワークを提供しています。

世界数十億人に信頼される実績

本回答書では、既にインターネット規模で稼働するシステムを保護しているOpenID Foundationの複数の仕様が強調されています。

• OpenID for Verifiable Credential Presentation (OpenID4VP)は、38の区域で採用されており、130万人の米国民がデジタルアイデンティティの検証に積極的に利用中
• FAPI 2.0は、既に世界中で数十億件に及ぶオープンバンキングおよびオープンデータ取引を保護
• Shared Signals Frameworkは、エコシステム間でのリアルタイムなリスクシグナル共有を実現可能に
• OpenID Connectは、世界中で1日あたり30億件を超えるログインを保護

OpenID Foundationの回答書は、ISO/IEC 29191に基づく部分的匿名性・部分的非連結性を有する認証の活用も提唱しています。本アプローチは、通常の取引時には個人識別情報を非公開に保ちながら、犯罪捜査時には適正手続きの下でFinCENなどの指定機関がユーザーを再識別することを可能にします。これらは、GENIUS法が目指すバランスを実現する標準規格です。

 より広範な関与

OpenID FoundationのエグゼクティブディレクターであるGail Hodges氏は次のように述べています。「本提出書は、デジタルアイデンティティおよび金融イノベーションに関する米国内外の政策立案者との、より広範な関与の一環です。米国は、急速に進化する金融セクターに向けて、安全で相互運用可能なアイデンティティ基盤を提供するために、賢明な政策が標準と適合性をいかに活用できるかを実証する上で、最適な立場にあります。」

 完全な書簡および関連資料は、以下からご覧いただけます:Letter OIDF comment on TREAS-DO-2025-0070-0001

OpenID Foundation、CFPBデータ権利規則にコメントを提出

OpenID Foundationは、個人の金融データ権利に関するルール1033の再検討について、消費者金融保護局（CFPB ：Consumer Financial Protection Bureau）へコメントを提出しました。OpenID Foundationは、世界12のオープンバンキングの実装で得られた知見を有しています。今回のコメント提出は、2023年12月および2024年5月に続く、同規則に関する3度目の意見表明です。

OpenID Foundationのコメントは、2025年8月にCFPBから提示された以下の4つの質問に回答しています。

　1.消費者の代理として要請を行う「代表者」には誰がなれるのか
　2.消費者データ請求に応じる機関の手数料評価の方法
　3.ルール1033の遵守に伴うデータセキュリティ上の脅威および費用対効果の考慮点
　4.導入時に生じるデータプライバシーリスク

コメントは、OpenID FoundationのFAPIワーキンググループおよびエコシステムサポートコミュニティグループの専門家の意見を反映しています。

CFPBへの全コメントはこちらをご覧ください：OIDF Response to CFPB

OpenID Foundationの貢献が重要な理由

OpenID Foundationは、セキュリティ、相互運用性、プライバシーを重視したオープンなアイデンティティ標準を開発しています。FAPI 2.0セキュリティプロファイルは、世界のオープンバンキング実装の標準として採用されています。

現在の導入実績：

• 世界に3,500件の認定実装が存在
• 数十億件規模の安全なAPIコールを処理
• ブラジルで5,500万人（人口の25%）が利用
• 英国で1,500万人（成人の22%）が毎月利用、APIコールは月間20億回

オープンバンキング以外でも、OpenID Foundationの標準には日々30億人以上が利用するOpenID Connectや、38の法域で採用されているデジタルウォレット仕様などがあります。

OpenID FoundationエグゼクティブディレクターのGail Hodges氏は「我々は現在、米国を含む世界中12のオープンバンキング／オープンデータエコシステムと連携しています。得られた知見を共有し、実効的なルール策定のために貢献しています」と述べています。

以下は、OIDFのFAPI 2.0仕様を選定した主なエコシステムの概要です。

注記：

（1）他のG20諸国およびグローバル・サウスの国々もFAPI 2.0を選定しているが、これは現時点では公表情報ではなく、OIDFへの機密事項である

（2）OIDFは、サプライチェーンおよびトランザクションバンキングのユースケースを支援するFAPI 2.0の適合性に鑑み、国際決済銀行（BIS）の「Apertaプロジェクト」にオブザーバーとして参加している