Verifiable credentialsは増加するID詐欺対策の有力な手段となり得るか？

米国の金融機関は重大な課題に直面しています。身元確認（ID&V）テクノロジーの進歩にもかかわらず、不審な口座記録が増加しています。金融機関による高保証の身元確認（High Assurance Identity Verification）の広範な導入が解決策となり得るのでしょうか。

銀行は、口座開設時に顧客の身元について合理的な確信を得つつ、リスクを最小限に抑える必要があります。その有効な方策として、ISO/IEC準拠のモバイル運転免許証（mDLs）など、暗号的に検証可能な資格情報の利用が挙げられます。これらは発行者によって署名され、改ざんが困難な身元データを信頼できる証明機関を通じて暗号的に検証できるため、確固たる証明性を担保します。しかしながら、依然として課題が残ります----複数の州から発行され、さまざまなウォレットで提示されるデジタル運転免許証を、銀行はどのように信頼すればよいのでしょうか。

OpenID Foundationの KYC and Identity Assurance ワーキンググループ（KYC & IAD WG）は、「mDL Metadata Requirements to support Know Your Customer (KYC)）（KYCへのサポートを目的としたmDLメタデータ要件）」と「Customer Identification Program (CIP) compliance and OIDF Extended KYC Considerations（消費者識別プログラムのコンプライアンスとOIDF拡張KYCの考慮点」という2つの新たなレポートを通じて、米国の金融機関がどのように顧客の身元を確認するかの鍵となる役割を果たしています。

これらのレポートは、OpenID Foundationの仕様がいかにこの重要な課題の解決をアシストするかを示しています。具体的には、金融機関がモバイル運転免許証（mDLs）およびその他のデジタル認証情報の証明性、保証レベル、コンプライアンス指標を評価可能とする、標準化され機械可読な信頼情報を提供します。

これらの資格情報は、銀行口座開設など高保証が求められる用途に有効であり、堅牢な規制対応に必要な透明性と相互運用性もサポートします。

エコシステムの整合と今後の展望

この2つのレポートで提案されているアプローチは、NISTが最近発表したmDL保証に関する技術的な指針「Building Assurance in the mDL Ecosystem（mDLエコシステムにおける保証の構築）」と密接に一致しています。本指針は、OpenID Connect for Identity Assuranceを、政府、ウォレット提供者、銀行間でモバイル運転免許証の信頼を伝達するための標準と位置付けています。NISTの作業により、技術的な妥当性が確認され、以下で述べる2つのOpenID Foundationレポートにおける実装ガイダンスの基盤となっています。

NISTによるセキュリティ管理と信頼情報の標準化されたエンコード手法は、本提案された枠組みの妥当性を証明するとともに、政府、標準化団体、業界全体においてデジタル資格情報の信頼確立方法に関する合意の高まりを示しています。

OpenID FoundationとNISTによるこれらの補完的な取り組みにより、金融機関は規制上の信頼性を確立し、大規模な高保証の身元確認導入に必要な技術的ロードマップを得ることができます。今後、より多くの州でmDLが発行され、エコシステムが成熟するにつれ、この標準化されたアプローチは、米国金融システム全体で円滑かつ高保証なデジタル身元確認の実現に不可欠となるでしょう。

検証：各レポートがこれらの課題にどのように対処しているか

mDL Metadata Requirements to support Know Your Customer

第一のレポートは、機械可読な信頼情報を提供することにより、金融機関がCIPやKYCなどの規制コンプライアンス要件を満たすことを支援する標準化されたメタデータフレームワークを提示しています。銀行は、デジタル資格情報へ移行する一方、資格情報がどのように発行、保管、検証されているかを完全には把握できない状況下で、政府発行機関やデジタルウォレット提供者などの外部組織を信頼しなければならないという重大な課題に直面しています。既存の標準は明確な技術仕様を提供していますが、金融口座開設のような高保証が求められる用途に不可欠な、機械可読な信頼情報までは網羅していません。

この課題に対処するため、本レポートは5つの主要な信頼情報を中核とした構造化されたメタデータフレームワークを提案しています。

• 認証情報の証明性 - 認証情報の発行者を特定し、その完全性に関する暗号的証拠を含む
• 保証レベル - NIST IALに準拠した本人確認および検証の強度を示す
• 認証コンテキスト - 認証情報がどのように提示されたか、および認証時に適用されたセキュリティ対策を記述する
• コンプライアンスフラグ - REAL IDコンプライアンスなどの規制指標を提供する
• 監査可能性 - 検証および規制監査のための記録を確保する

その結果、政府発行の認証情報からデジタルウォレットを経て金融機関に至る明確な「信頼の連鎖」が構築されます。このフレームワークは、運用上の盲点を監査可能で標準化されたメタデータに置き換え、銀行が規制コンプライアンス要件を満たしながら、Verifiable Credentialsを確信をもって受け入れるために必要な可視性を提供します。

Harmonized mDL metadata for KYC and CIP: Comparative analysis and implementation guidance

第二のレポートは、NIST、ISO、連邦金融機関検査協議会(FFIEC)、一般データ保護規則(GDPR)、Kantaraプライバシー強化モバイル認証情報(PEMC)、カリフォルニア州消費者プライバシー法(CCPA)にわたる規制およびプライバシー要件へとメタデータフレームワークを拡張する詳細な実装ロードマップを提供しています。

mDLメタデータとKYCおよびCIP要件の調和は、非集中型エコシステムにおける相互運用性、規制コンプライアンス、信頼性を確保する上で極めて重要です。標準化されたメタデータがなければ、金融機関は断片化された実装に直面し、運用リスクとコンプライアンス監査が増大するとともに、口座開設プロセスにおける保証が損なわれます。

本レポートは、提案されたメタデータフレームワークを基盤とし、NIST SP 800-63-4デジタルアイデンティティガイドラインを本人確認、認証、およびフェデレーションの保証標準として位置づけた実装施策を概説しています。これは、組織が個人データをどのように取り扱い、本人確認を行い、透明性と説明責任を維持するかを規定する多管轄的なプライバシーおよびコンプライアンス要件のフレームワークと統合されています。

提案されたメタデータフレームワークを基盤とし、NIST SP 800-63-4および多管轄的なプライバシーおよびコンプライアンス要件のフレームワークに基づくことにより、金融機関は標準化された信頼情報をアイデンティティワークフローに組み込むことができます。このアプローチは、拡張可能な相互運用性への一歩であり、規制上の保証を強化し、セキュリティとプライバシーの両方の要求を満たす高信頼性のデジタルアイデンティティ体験を提供します。

OpenID Foundation KYCワーキンググループ─フレームワーク実現に向けた推進

OpenID Foundation理事会コミュニティ代表であり、eKYCおよびIDAワーキンググループのコントリビューターであるGeorge Fletcher氏は、次のように述べています。「高額取引を処理する機関にとって、責任、リスク、コンプライアンスはいずれも極めて重要な要素です。発行者--保持者--検証者モデルの導入が拡大する中（ウォレットやモバイル運転免許証を想起してください）、メタデータや追加属性は、関係当事者、とりわけ現状ではあらゆるリスクを負う検証者のリスクと責任を低減するための情報を伝達する上で不可欠です。本取り組みは、他に信頼フレームワークが存在しない米国において、デプロイメントを実行可能にする鍵となります。」

2025年10月、コンピュータ歴史博物館で開催されたIIWにて、ジュリアナ・カフィック氏が、Dima Postnikov氏, Nithy Poosamani氏, Gail Hodges氏, Mark Verstege氏, Mark Haine氏, 崎村夏彦氏,小岩井 航介氏とともに発表

レポートを支えるエキスパート

これらの論考は、独立系のアイデンティティ標準・ソリューションアーキテクトであり、OpenID Foundationの各ワーキンググループに長年貢献してきたJuliana Cafik氏による重要な貢献の結晶です。同氏はまた、この夏に実施された、NISTおよびOpenID Foundationによる「OpenID for Verifiable Presentation」および「Verifiable Credential Issuance」の相互運用イベントにおいて、マイクロソフト側のリードアーキテクトを務めました。

eKYC & IDAワーキンググループに寄稿した本レポートについて、ジュリアナ・カフィック氏は次のように述べています。「信頼を維持し、重要分野を保護するために、アイデンティティおよび認証のワークフローを前進させることに強い情熱を持っています。本取り組みは、セキュリティ、コンプライアンス、プライバシーがシームレスに統合される将来に向けた前向きな一歩です。」

同氏の本レポートにおける取り組みは、米国の金融サービス分野におけるアーリーアダプターが、技術標準と実運用の実装とのギャップを埋める上で、極めて重要な役割を果たすことが期待されています。