事務局メンバーによる、OpenID関連のあれやこれや
Juliana Cafik氏(独立系アイデンティティ標準・ソリューションアーキテクト)による寄稿です。Juliana Cafik氏は、mDL向けのOIDF NIST NCCoEプロジェクトのコントリビューターでもあり、OpenID FoundationのOIDC4IDA Claims Registration(クレーム登録)拡張仕様のリードエディターも務めています。
NIST NCCoE モバイル運転免許証(The NIST NCCoE Mobile Driver's Licenses:mDL)プロジェクト(Special Publication 1800-42)は、金融分野のセキュリティにとって大きな転換点です。受動的なデータ収集に依存する方法から、検証可能なアイデンティティを実現するための明確なロードマップへと舵を切る内容となっています。
本ガイダンスは、mDLに基づく手続きが既存のコンプライアンス要件とどのように整合するかを示すことで、これまでの「事後対応的」な監査対策から、顧客識別プログラム(Customer Identification Program:CIP)に対する「事前対応的」な確信へと発想を転換させます。このアプローチは、デジタル・オンボーディングの最初の入口(受付段階)での信頼性と堅牢性を重視し、オンボーディング時のリスクを最小化する考え方です。政府が裏付ける信頼の基点(trust anchor)に根差し、NIST 800-63-4のアイデンティティ保証に基づくNISTアーキテクチャは、デジタル・オンボーディングを効率化するための機械可読なエビデンスを提供し、リスクベースの判断を可能にし、変化する規制要件への対応を支えます。
金融機関はいま、合成アイデンティティ詐欺の前例のない増加、巧妙なディープフェイク、そして従来の画像ベースの本人確認を通用しにくくする自動化された自律型(エージェント型)AI攻撃に直面しており、極めて重要な局面にあります。mDLは、権威ある発行元である州の車両管理局(DMV)によって暗号学的に署名され、金融機関側のリライングパーティ(依拠当事者)によって検証される、検証可能なアイデンティティ証跡です。NIST SP 1800-42の枠組みは、mDLの普及に不可欠な透明性と説明責任、そして現代的な監督のための基盤を提供します。
NIST SP 1800-42Aは現在、5月8日までパブリックコメントを受け付けており、NISTは4月23日にウェビナーを開催します。OpenID Foundationを通じてフィードバックを提出したいコミュニティメンバーは、director@oidf.org に連絡することができます。
この実践ガイドは、NISTの専門家、主要金融機関、州DMV、非営利団体、OpenID Foundation、主要テクノロジー企業、ウォレット提供事業者が、約2年にわたり協働してきた成果です。報告書のエグゼクティブサマリーでは、この業界横断の取り組みの目的について、「市場にある技術を用いて金融機関が標準とベストプラクティスを実装し、金融機関におけるmDL導入によって得られうるセキュリティ、プライバシー、ユーザビリティ、信頼性、コンプライアンス上の便益を実現できるよう支援すること」と述べています。
OpenID Foundationは、NIST NCCoEプロジェクトに参加して報告書に貢献したことに加え、NISTおよび業界パートナーと複数の相互運用性イベントを共同開催してきたことも誇りに思っています。実際のデジタルウォレットや企業インフラに対して標準を検証することで、基盤となる仕様を成熟させ、相互運用性を実証し、実装における知識・仕様・セキュリティ・プライバシー・保証の不足点を特定しています。政府、金融、標準化、技術の各領域をまたぐ協働こそが、米国およびグローバルで、高保証のデジタルアイデンティティ資格情報を金融業界が採用する流れを前に進め、その安全性を確かなものにしていきます。
NIST NCCoEが定義するアーキテクチャの中核には、フレームワークを支えるいくつかのプロトコルがあります。
これらの標準は、相互運用性イベントとNISTの技術評価を通じて検証されました。検証にあたっては、金融機関の口座オンボーディングに必要となる非同期プロセスを成立させるために、OpenID Connectが用いられました。
OpenID Foundationは、理事会および専門のコントリビューターの方針のもと、NIST NCCoEプロジェクトとSP 1800-42Aによって築かれた基盤を踏まえて取り組みを進めています。目的は、分野や法域に依存しない高保証のKYCプロセスを支えるために必要な、アイデンティティのclaimsとその値(Values)を定義することです。これはNCCoE参加者からのフィードバックとも直接一致しており、そこでは、発行者からRelying Parties(RPs)へ身元確認(Identity proofing)の保証レベルを伝達できるようにすることが、重要な要件として強調されていました。OpenID Identity Assurance Schema Definition 1.0およびOpenID Connect for Identity Assurance Claims Registration 1.0を拡張することで、このフレームワークは、顧客の本人性について、防御可能な「合理的な確信(Reasonable belief)」を確立する助けになります。
この新しい作業項目は、eKYC & IDA Working Groupで正式にホストされています。この取り組みには、Internet Identity Workshop(IIW)Conferenceにおいて他の標準開発組織と行った予備的な意見交換も取り込まれており、将来的にはISO/IEC SC17 WG10との整合も計画されています。個人、政府、組織の皆様には、このフレームワークを国際的に協力して厳しく検証し、正式な仕様として取りまとめるために、FoundationのeKYC & IDA WGへ参加することが強く推奨します。
参加はすべての方に開かれています。Contribution Agreementに署名すれば、費用負担なく誰でも貢献でき、また同意書により、より広いコミュニティの利益のために貢献が適切な法的保護の対象となることが確保されます。
OpenID FoundationのVice ChairであるDima Postnikov氏は次のように述べています。「世界的に、多くの金融機関、通信事業者、そして他の規制産業の企業が、mDLの受け入れ開始に向けた準備を進めています。これらの組織がこの文書に依拠して運用を始めるには、自らの義務に準拠していることを確実にするための追加情報が必要です。NISTによる本報告書と、eKYC working groupでの新しい作業項目は、mDLの採用に限らず、あらゆるcredential、そしてデジタルアイデンティティへの依拠一般にとって重要な成果です。」私たちは、他の法域でも同様の結論に急速に至っていると見ています。
eKYC and IDA WGの新しいwork itemについて4つの法域と初期協議を行った結果、各市場においてプロトコルが金融機関やその他の重要セクターをどのように支援できるか、またローカル目的と越境目的の双方を支え得るグローバルな標準アプローチをどのように推進できるかに、明確な関心があることが分かりました。
OpenID FoundationはSIDI Hubの共同主催者として、他の共同主催組織とともに、デジタルcredentialを用いた「open a bank account」というユースケースの重要性を確認しました。SIDI Hubは、4大陸で2年間に7回のサミットを開催し、45か国以上を招集しました。得られた知見の1つは、「opening a bank account」のような代表的ユースケースを実現するために、デジタルアイデンティティの国内および越境の相互運用性に対する強い需要がある一方で、世界の銀行が何を必要としているのか、そしてその情報をプロトコルのレベルでどのように伝えるのかが主要なつまずきになっていることでした。NISTの報告書と新しいOIDF work itemを組み合わせることで、前進するための道筋が示されます。
地域レベルでは、EUは2027年末までに、欧州のすべての金融機関がEU Digital Identity Wallets(EUDIW)からのVerifiable credentialsを受け入れられるようにし、地域的な相互運用性を実現しようとしています。そのため、この取り組みはEUの地域目標に照らして特に良いタイミングです。
デジタルウォレットとVerifiable digital credentialアーキテクチャを推進する法域にとって、Verifiable digital Credentialを用いる利点はますます明確になっています。こうした動きが進むにつれ、金融機関と消費者が、口座開設のような、より簡素で包摂的なユースケースから利益を得られることへの理解が広がるだけでなく、AIによるサイバー攻撃がもたらす新たな脅威を軽減できる可能性への認識も高まると私たちは見込んでいます。