「金融商品取引業者等向けの総合的な監督指針」等の一部改正（案）に対して、OpenIDファウンデーション・ジャパン KYC WG有志よりパブリックコメントを提出

2019年より継続して活動しているKYC WGは、2025年時点で延べ参加人数 434名、参加企業・団体　延べ169団体超（年度ごと)による参加のもと、本人確認・KYCの現状の課題の分析を通じて次世代KYCのあるべき姿、法令やガイドラインとして調整・整備すべき事項、およびOpenID Connect等のID連携標準が具備すべき機能の洗い出し・検討を行い、社会実装へつなげていくためのきっかけを作ることを目的として活動しています。

2023年には、民間事業者向けデジタル本人確認ガイドライン を発行し、多くの事業者に活用いただいています。

このたび、金融庁からの、掲題の公表に対して、有志で下記の通りパブリックコメントを提出いたしました。

提出意見：

当団体有志は、金融庁が公表した「金融商品取引業者等向けの総合的な監督指針等の一部改正（案）」における、インターネット取引における認証方法や不正防止策の強化に関する取り組みに賛同いたします。その上で、以下の点についてご考慮いただきたく、意見を提出いたします。

1. 「フィッシング耐性のある多要素認証」の表現について
   　現在多くの被害が発生している経路は、SMS等を用いた多要素認証であり、単に「多要素」であることが安全性を担保するものではありません。重要なのは「フィッシング耐性」であり、認証方式の安全性を評価する際にはこの点を強調すべきです。多要素を求めるために、フィッシング耐性のより低い認証方式が採用されないよう十分留意されるべきです。
   
   
2. 認証器の登録・再登録時の身元確認の重要性
   　フィッシング耐性のある認証方式を採用しても、顧客が認証器を初回登録する導線や、紛失時の再登録導線において、確実な本人確認が行われなければ、攻撃を防ぐことはできません。認証器の登録・再登録については、同様にフィッシング耐性のある認証方式を利用するか、それができない場合、確実な身元確認をした上で認証器の登録・再登録を実施するべきです。
   
   
3. 他業種との連携による本人確認の高度化
   　取引時等の本人確認においては、犯収法に基づいた本人確認が必須であることが前提ですが、上記認証器の登録時等において、確実な本人確認を行うためには、金融機関に限らず、他業種で確実な本人確認を実施している事業者との認証連携も有用です。OpenID Foundationが策定する「OpenID Connect for Identity Assurance」等の標準仕様を活用し、証跡やメタデータを含めた身元確認済情報の連携を行うことで、安全性の向上が期待されます。
   
   
4. 業者間での情報連携による被害拡大防止
   　警察庁が令和５年度に開催した「キャッシュレス社会の安全・安心の確保に関する検討会」の報告書「２.１.３ ＩＤ・ＰＷを窃取された場合でも被害に遭わないための方策 」において、「不正取引に関するアカウント情報（略）は、組織的に複数のＥＣ加盟店等に対して不正取引が行われる場合があることを踏まえると、他のＥＣ加盟店等における被害防止対策にも有用である場合があると考えられる。」とされています。金融商品取引業者等においても、顧客が身に覚えのない第三者による不正なログイン・取引・ 出金・出金先口座変更等の、不正取引に関する情報を業界横断で連携することで、一つの取引業者で被害を受けた顧客が、他の取引業者で被害を受けることを防ぐことができると考えられます。
   OpenID Foundationの策定する仕様である Shared Signals and Events (SSE) Frameworkを活用することで、世界標準に準拠し、相互運用性を担保した形でリアルタイムな情報連携が促進されることが期待されます。
   
   
5. 家計簿ソフト等への影響とAPI対応の必要性
   　フィッシング耐性のある認証方式の導入により、Webスクレイピングを用いた家計簿ソフト等のサービス提供が困難となる可能性があります。家計簿ソフト等の利用が、顧客による強固な認証の利用を妨げないためには、金融APIへの対応が不可欠です。その際には、APIセキュリティを強化するため、OpenID Foundationが策定する「FAPI」の採用を強く推奨いたします。
   
   
6. 本人確認、身元確認、当人認証の用語の使い分け
   　デジタル庁が令和5年に開催した「本人確認ガイドラインの改定に向けた有識者会議」による検討の結果、「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」において、「本人確認」は、「身元確認」と「当人認証」から構成されると明確に定義される見込みです。当団体が2023年に発表した「民間事業者向けデジタル本人確認ガイドライン」においても、同様に定義しております。本監督指針においても、本人確認と身元確認と当人認証の違いに留意され、より本監督指針の意図が明確に関係者に伝達されるように文言を見直されることを提言いたします。

　今後の制度設計において、これらの点が十分に考慮されることを期待いたします。以下に具体的な修正案を提案いたします。

1. 「フィッシング耐性のある多要素認証」の表現について
   IIIー２ー８ー２ー２ 主な着眼点
   （２）セキュリティの確保
   ■修正案
   「フィッシングに耐性のある多要素認証」「多要素認証」を、「フィッシングに耐性のある強固な認証」「強固な認証」に、それぞれ修正
   
   
2. 認証器の登録・再登録時の本人確認の重要性
   IIIー２ー８ー２ー２ 主な着眼点
   （２）セキュリティの確保
   ■修正案
   「さらに、例えば、以下のような不正防止策を講じているか。」に、下記を追加・ 顧客の認証手段の設定時、再設定、もしくは解除時に、新たな認証手段と同等以上のフィッシング耐性のある認証、もしくは本人確認の実施
   
   
3. 他業種との連携による本人確認の高度化
   IIIー２ー８ー２ー２ 主な着眼点
   （２）セキュリティの確保
   ■修正案
   注２に加えて、注３を以下のように追加
   （注３）代替的な認証手段として、デジタル庁の提供するデジタル認証アプリの利用や、民間事業者が提供する本人確認支援サービスを認証要素の一つとして利用することも検討すること。特に後者を本人確認済顧客の認証手段の１つとして利用する場合には、当該事業者が必ずしも犯罪による収益の移転防止に関する法律第二条第二項に規定する特定事業者である必要はない。さらには、当該事業者が確実に本人確認を実施していることを確認するため、OpenID Connect for Identity Assurance等の国際的に標準化された技術仕様を用いて本人確認根拠情報の連携を行うことを検討すること。
   
   
4. 業者間での情報連携による被害拡大防止
   IIIー２ー８ー２ー２ 主な着眼点
   （２）セキュリティの確保
   ■修正案
   「さらに、例えば、以下のような不正防止策を講じているか。」に、以下を追加・不正なログイン・異常な取引等を検知した場合に、OpenID Foundationが策定するShared Signals and Events (SSE) Frameworkを用いた被害状況のリアルタイムな業者間での情報連携等によって、当該顧客の他業者での被害拡大の防止に努めること。
   
   
5. 家計簿ソフト等への影響とAPI対応の必要性
   IIIー２ー８ー２ー２ 主な着眼点
   （２）セキュリティの確保
   ■修正案
   注２、注３に加えて、注４を以下のように追加
   （注４）顧客が電子決済等代行事業者が提供する家計簿サービス等を利用している場合において、電子決済等代行事業者が顧客の口座情報にアクセスする際に強固な認証手段を利用できないことによって、顧客による強固な認証手段の設定を妨げないように、オープンAPIを提供し、電子決済等代行事業者が安全な方法で顧客の口座情報等にアクセスできる手段を講じること。
   また、オープンAPIの提供にあたっては、OpenID Foundationが策定するFAPI等のセキュリティプロファイルを用いるなど、不正アクセスの防止に努めること。
   ※ APIセキュリティプロファイルであるFAPIについては、日本銀行金融研究所ディスカッションペーパーをご参照のこと。

デジタル庁・西日本旅客鉄道・国立情報学研究所のVerifiable Credentialsを活用した学生向けサービスの実証事業を歓迎いたします

OpenID Foundationならびに一般社団法人OpenIDファウンデーションジャパンは、2025年3月にデジタル庁・西日本旅客鉄道・国立情報学研究所が実施・公表したVerifiable Credentialsを活用した学生向けサービスの社会実装に向けた実証実験を心より歓迎いたします。

■ 実証実験に関する詳細

・デジタル庁ホームページ
https://www.digital.go.jp/news/52905baa-6a19-40ad-aca3-0bde0c0dcb64

・西日本旅客鉄道ニュースリリース
https://www.westjr.co.jp/press/article/2025/03/page_27752.html

本実証実験では、大学が発行する在学証明をVerifiable Credentialsとして学生のウォレットに発行し、西日本旅客鉄道が提供するチケット販売サイト等において提示することで、学生向けサービスの社会実装を目指しています。

実証実験の様子。チケットを購入済みの学生が顔認証を通過できます。

実証実験の様子。購入したチケットをスマートフォンで表示できます。

記者発表の様子。写真は左から右へ

• 一般社団法人OpenIDファウンデーションジャパン 代表理事 富士榮 尚寛
• 西日本旅客鉄道株式会社 取締役兼常務執行役員 奥田 英雄 様
• デジタル庁 デジタル大臣政務官 岸 信千世 様
• 国立情報学研究所 トラスト・デジタルID基盤研究開発センター長 佐藤 周行 様
• 大阪大学 OUDX推進室 副室長 鎗水 徹 様

OpenID FoundationのDigital Credentials Protocols Working Groupにおいては、Verifiable Credentialsの発行や提示に関する技術仕様^*1である「OpenID for Verifiable Credential Issuance」ならびに「OpenID for Verifiable Presentations」の策定を進めており、これらはすでに欧州のEuropean Digital Identity Wallet Project^*2等において採用されております。

このたび、日本においてデジタル庁の支援を受け、有力な社会インフラを提供する西日本旅客鉄道、ならびに多くの大学や研究機関が参画する学術認証フェデレーションを運営する国立情報学研究所が、これらの技術仕様を採用し、社会実装を推進されることは、グローバルなアイデンティティ・コミュニティにとって極めて重要な進展であると考えます。

これまでも日本政府には、OpenID Foundationが提供する技術仕様の適切な実証を検証するための認定プログラム開発に対する資金援助や、政府提供の行政サービスにおけるOpenID関連プロトコルの採用を通じて、OpenID Foundationならびに一般社団法人OpenIDファウンデーションジャパンに多大なるご支援を賜っております。

OpenID Foundationならびに一般社団法人OpenIDファウンデーションジャパンは、これまでのご支援に深く感謝申し上げるとともに、本実証事業に向けた取り組みを心より歓迎いたします。今後も技術仕様の提供を通じ、社会実装の推進に向けた支援を継続してまいります。

■ 各関係機関からのコメント

デジタル庁 デジタル大臣政務官 岸 信千世 様 

昨今、マイナンバーカードを活用した本人確認に加え、今回のようなオンラインでの資格証明のニーズが高まっており、今後の利用拡大に向けてユースケースを作っていくことが非常に重要だと認識しております。将来的に複数の大学、証明書発行、交通機関等での本取組の発展を期待しております。

引き続きOpen ID Foundation Japanとも連携し、社会実装の可能性や海外連携方法などの検討を進めてまいります。

西日本旅客鉄道：取締役兼常務執行役員 デジタルソリューション本部長 奥田 英雄 様

私どもはデジタル戦略を通じまして「データやデジタル技術を駆使し、お客様一人ひとりとグループの多様なサービスをつなぐことで心を動かす」ことを目指しております。本取組においても「お客様一人ひとりとつながるためのマイナンバーカードの利活用」を推進することで、「在学証明をはじめとする資格確認のデジタル化による業務効率化、体験の進化」を遂げてまいりたいと考えております。

国立情報学研究所 トラスト・デジタルID基盤研究開発センター長：佐藤周行様

学術機関が管理運用する事項をデジタル証明書として発行し、デジタル認証アプリと連携することで、学割などの提供によって学生などに利益がもたらされることが実証されました。これは、デジタル証明書の流通およびデジタル認証アプリに新たな価値を付加するものです。今後は、様式の標準化を通じて、さらなる価値の向上を図りたいと考えています。

注釈）

*1) Digital Credentials Protocols Working Group
https://openid.net/wg/digital-credentials-protocols/

*2) EU Digital Identity Wallet Architecture Reference Framework
https://eu-digital-identity-wallet.github.io/eudi-doc-architecture-and-reference-framework/latest/

-----------------------------------
■ お問い合わせ先
contact@openid.or.jp
-----------------------------------

「Open Banking and Open Data: Ready to Cross Borders?」の翻訳版公開

「Open Banking and Open Data: Ready to Cross Borders?」の翻訳版公開

OpenID Foundationのホワイトペーパー「Open Banking and Open Data Ready to Cross Borders」の日本語翻訳版を公開いたしました。

原文（英語版）：

Open Banking and Open Data Ready to Cross Borders（OpenID Foundation公式サイト）

日本語翻訳版：

オープンバンキングとオープンデータの国境を越えた準備（PDF）

グローバルではオープンバンキングの拡大が続いており、将来的には多様なユースケースにおいて人々がデータへ自由かつオープンなアクセスを期待するようになります。しかし現状は、エコシステム間のつながりが国内・地域に限定されています。

このホワイトペーパーは、50人以上の専門家が参加し、オープンデータエコシステムの違いと共通点、グローバル相互運用性の可能性、ユーザーにとっての利益、理想的なユースケースの機能とガバナンス要件などを探求し、未来の方向性を提案した資料です。

OpenIDファウンデーション・ジャパンでは、今後もOpenID Foundationが公開するホワイトペーパーを順次日本語に翻訳し、国内の皆様に分かりやすく情報を提供してまいります。新たな翻訳資料が公開され次第、公式サイトやニュースレターを通じてお知らせいたします。

（OIDF-J WG参加企業募集案内）デジタルアイデンティティ⼈材育成推進WGフェーズ2

デジタルアイデンティティ⼈材育成推進WG「以下、教育WG」のフェーズ2の参加企業を募集いたします。

以下ご確認の上、期日までにエントリーシート（原本必須）を事務局まで郵送くださいませ。
お手数おかけしますが、よろしくお願いいたします。

教育WGフェーズ2の活動概要

フェーズ1からの継続活動
ビジネス分野（①）と技術分野（②）において、それぞれのテーマに基づいた活動を継続して行います。

• ①デジタルアイデンティティに関連するビジネス戦略や市場動向、ビジネスモデル分析
• ②デジタルアイデンティティに関連するセキュリティプロトコル、認証技術等技術的側面の学習

これらの分野で類似のテーマがある場合、リエゾンを設けて効率的な情報交換と共同検討を実施します。

新規SWGの構想
現在構想段階にある新規サブワーキンググループ（SWG）の一例としては以下がありますが、詳細は要検討中です。

• 日本版デジタルアイデンティティのBody of Knowledge作りと資格試験の検討（③）
• 資格試験に合格した方に対する資格情報のVC（Verifiable Credentials）での発行（④）

WGリーダー
PwCコンサルティング合同会社 柴田 健久氏

教育WGフェーズ2 第1回会合の開催日時

• 初回：2025年2月17日(月) 12:00-13:00 @オンライン予定
• 2回目以降：詳細はWGを通して確定

コミュニケーションツール

• MLおよび、OIDF-J の無償版 Slack を使用

参加方法

エントリーシートにご記入・ご捺印の上、【2025年2月7日（金）15:00 事務局宛 原本必着】で原本を事務局までお送りください。

非会員の方は、入会申込から必要となります。

エントリーシートをお持ちでない方は、事務局までご連絡ください。

 
注意事項

• エントリーシートの原本提出が必須です。また個人印での申し込みは受付いたしません。
• エントリーシートの受領が事務局で確認でき次第、会合への参加が可能になります。
• 初回会合に参加を希望される方は、【2025年2月7日（金）15:00 事務局宛 原本必着】で送付をお願いします。
• エントリーシートの提出がない企業は、いかなる場合でも会合およびSlackチャンネルへ参加ができません。
• MLおよびSlackへの参加完了案内は、2025年2月13日（木）頃より随時ご案内いたします。
• 本WGに参加できる活動者は3名までです。申込者と活動者が同⼀の場合でも、活動者にお名前をご記⼊ください。
• 各サブWGのリーダー企業もエントリーシートの提出が必要です。

以上でございます。

その他ご質問等ございましたら、事務局までご連絡ください。
みなさまのご参加をお待ちしております。