各国のデジタルアイデンティティガイドラインを集めてみた

先日タイのガイドラインを読んだのが思いのほか楽しかったので、今後読んでみたい各国のガイドラインやレポート類を集めてみました。

記事というよりは、各文書を斜め読みしたメモ付きのリンク集になっています。その点はご容赦ください。

「アレが抜けてんぞ！」とか「間違ってんぞ！」ってところがあったら教えていただけると嬉しいです。＞デジタルID界隈の先輩方

米国 NIST SP 800-63 Digital Identity Guidelines

SP 800-63-3, Digital Identity Guidelines | CSRC

• アメリカ国立標準技術研究所（NIST）が発行する米国政府機関向けのガイドラインです。この記事を読んでいる方への説明は不要だと思いますので割愛します。

• 現在改定作業が進められており63-4 initial public draftが公開されています。近々、second public draftも公開されるようです。

  • SP 800-63-4, Digital Identity Guidelines | CSRC (nist.gov)

カナダ DIACC Pan-Canadian Trust Framework (PCTF)

PCTF & Certification

• PCTFは、トラストに関するルール、標準、仕様、ガイダンス等で構成されるフレームワークです。政府機関だけでなく民間も対象としています。

• カナダ政府と民間企業が共同で設立したNPOであるDIACC（Digital Identification and Authentication Council of Canada）によって発行されています。

• Trust Frameworkの全体像は以下のような感じでNormative又はInformativeのドキュメントが各コンポーネントごとに整備されています。

出典：PCTF Overview Figure 1. Components of the Pan-Canadian Trust Framework
（https://diacc.ca/wp-content/uploads/2023/10/PCTF-Overview_Final-V1.0_ENG-.pdf）

• 特徴的だと思ったのは、"Assurance Maturity Model"（保証成熟度モデル）として保証レベル（LoA）のモデルが3段階で示されている点です。

  • Model 1はTraditional LoA。1つのAssurance Levelで保証レベルを表現するモデルです。後述するeIDASや、日本の本人確認ガイドラインなどはこれです。

  • Model 2はDiscrete LoA。NISTのIAL、AAL、FALのように、構成要素別の保証レベルを表現するモデルです。ただし、PCTFではIAL、AAL、CAL (Credential Assurance Levels）の3種類が用いられます。CALが何者なのかはまた今度。

  • Model 3はVectors of Trust (VoT)と名付けられたモデル。トランザクションにおける脅威ベクトルを軸としてレベルを表現するモデルのようです。何のことか分かりませんので、これについても別途勉強したいと思います。

• なお、PCTFには企業向けの第三者認証プログラムがあり、DIACCによる適合性評価を受けることで認証を取得できるようです。へー。

出典：PCTF Certification Program
(https://diacc.ca/certification-program/)

EU eIDAS

EUR-Lex - 32014R0910 - EN - EUR-Lex

• eIDAS (Electronic Identification, Authentication and Trust Services) は、EU圏内市場での電子商取引のための電子識別およびトラストサービスに関する規則です。

• EU加盟国に対して適用される「規則（Regulation）」であり、ガイドラインではなく法的拘束力をもつEU法の一種です。スコープもNISTとは結構違います。

  • この記事を読んでいる方には釈迦に説法感ありますね。

• 現在 eIDAS 2.0と呼ばれる改正案が進められており、Digital Identity Walletなどが話題になっています。

• 最近（2024/12/19）、NIST SP 800-63-3とのマッピングについてのレポートのドラフト版が出ました。これを見るとNISTと対比しながらeIDASを理解しやすくなると思います。

Futurium | EU – US Trade and Technology Council - EU-U.S. TTC Digital Identity Mapping Exercise Report

ENISAの各種レポート

• ENISA（欧州連合サイバーセキュリティ庁）による各種レポートです。ガイドラインや標準ではなく強制力はありませんが、eIDASよりも実務的な内容が多くて理解の助けになります。

Remote ID Prooging (2021)
一般的に用いられているリモート身元確認の手法と、事例に基づいたリスク管理アプローチなどが取りまとめられたレポートです。

Remote Identity Proofing - Attacks & Countermeasures (2022)
リモート身元確認のモデルと、そこでの攻撃手法と対策がまとめられたレポート。図や具体例の写真も多く、めっちゃ分かりやすくて勉強になります。

Digital Identity Standards
デジタルアイデンティティに関する国際標準やEUの標準、規格等がまとめられたレポートです。これも非常に役立ちそうです。

英国 UK digital identity and attributes trust framework

UK digital identity and attributes trust framework - beta version

• GOV.UKで公開されています。ただし、2023年12月時点でまだbeta version (v0.3) です。PDFではなくHTML形式で公開されている点は個人的に好きです。

• NISTなどにはないOrchestration Service ProviderなるActorが出てきます。ちょっとこれは気になりますね。

出典：UK digital identity and attributes trust framework beta version (0.3)
（https://www.gov.uk/government/publications/uk-digital-identity-and-attributes-trust-framework-beta-version/uk-digital-identity-and-attributes-trust-framework-beta-version）

• 本編以外に以下の関連ドキュメントがあります。実務的にはこちらの方が参考になるかもしれません。

  • How to prove and verify someone's identity

  • Understanding attributes

  • How to create and share attributes

  • How to score attributes

  • Using authenticators to protect an online service

  • How to accept a vouch as evidence of someone’s identity

  • Understanding accessibility requirements for public sector bodies

ドイツ BSI TR-03147 – technical guideline on assurance-level assessment of procedures for identity verification of natural persons

BSI TR-03147 Assurance Level Assessment of Procedures for Identity Verification of Natural Persons

• ドイツのBSI（Bundesamt für Sicherheit in der Informationstechnik：連邦セキュリティ庁）によるガイドラインです。タイトルが長え。その分、どんなドキュメントなんだかよく分かりますね。

• 中身はちゃんと読んでいないのですが、かなりThreatベースで書かれている文書のように見えました。

  • ほぼ全ての章が「Threats」から始まっています。そしてRequirements が書き下されたあとに、どのThreatがどのRequirementsに対応しているのかが表で示されています。ちょっとドイツっぽいですね。

  • LoAは1種類で、カナダの成熟度モデルでいうところのModel 1です。まあこれはeIDASがそうだからなのだと思います。

• 図が、図がですね。ひとつもありません。ENISAの図解盛りだくさんのレポートを読んだあとだと荒野にように感じます。

フランス ANSSI Prestataires de vérification d’identité à distance, Référentiel d’exigences (PVID)

Prestataires de vérification d’identité à distance (PVID) | ANSSI

英語版はこちらから：

Publication of the requirement rule set for remote identity verification service providers | ANSSI

• フランスのANSSI（Agence nationale de la sécurité des systèmes d'information：サイバーセキュリティ庁）によるリモート身元確認の認証制度です。なんだか日本の犯収法に近い雰囲気を感じます。

• Remote identity verification service providers Requirements rule setというドキュメントが公開されており、これがガイドラインに当たるものになると思います。

• 中身は認証制度の対策基準っぽさが強めです。ちょっと他のガイドラインとは毛色が違うようで、参考になるような、ならないような・・・という感じです。

• 先日（2023/12/20）、ドイツのBSIとANSSIが共同でRemote Identity Proofingに関するレポートを出しています。eIDAS 2.0のDigital Identity Walletなどを見据えた動きのようですね。

ANSSI and BSI issue a joint release on remote identity proofing | ANSSI

デンマーク National Standard for Identity Assurance Levels (NSIS)

https://digst.dk/media/24697/nsis-engelsk-version-201a.pdf

• デンマークのデジタルガバメント庁（Agency for Digital Government）から発行されている文書です。リンク元が見つからなかったのでPDF直リンクです。もし廃止されてたらすみません。

• 基本的には自国のeIDがeIDASに準拠するための標準のように見えます。

• ちゃんと読んでいないのですが、以下のモデル図が気になりました。

出典：National Standard for Identity Assurance Levels (NSIS) Version 2.0.1a
（https://digst.dk/media/24697/nsis-engelsk-version-201a.pdf）

オーストラリア National Identity Proofing Guidelines

• 2016年に発行されたNational Identity Proofing Guidelinesというガイドラインがあったのですが、だいぶ古い感じの内容でした。NIST SP 800-63-2とかが参考に出てきます。

• オーストラリアでは現在TDIF（Trusted Digital Identity Framework）というデジタルIDに関するフレームワークの整備が進められており、2023年に出されたIDレジリエンスに関する戦略文書では「12か月以内にTDIFと整合するようにNational Identity Proofing GuidelinesをUpdateする」と書かれていましたので、ひとまずそれを待ちたいと思います。がんばれ。

  • https://www.homeaffairs.gov.au/criminal-justice/files/national-strategy-for-identity-resilience.pdf

ニュージーランド：Identification Management Standards

Identification Management Standards

• ニュージーランドのDIGITAL.GOVT.NZで公開されている標準です。HTML形式でとっても読みやすい。

• 公共部門だけでなく民間部門での利用も対象としています。

• NISTのIAL、AAL、FALに相当するIA（Information Assurance）、AA（Authentication Assurance）、FA（Federation Assurance）に加えて、エンティティとエンティティ情報（あるいは認証器）の紐付きの強さを表現するBA（Binding Assurance）という4つ目のAsssurance Levelが定義されています。

• レベルはIA、AA、BAは1～4の4段階。FAはレベルの概念がない感じ？

  • このBAについてはIPA DADCのインキュベーションラボ「サービスに応じたデジタル本人確認ガイドラインの検討」においても参考とされていました。

• BAのモデルはこんな感じ。Entity BindingとAuthenticator Bindingの部分にBAが用いられます。

出典：NZ Identification Management Standards - Applying the Standards
（https://www.digital.govt.nz/standards-and-guidance/identification-management/identification-management-standards/applying-the-standards/）

• Guidanceも充実しています。どれも端的ながら例示や解説が豊富でわかりやすいです。リスクアセスはNISTのような簡易的なものではなく、結構ちゃんと書かれていますね。

  • Assessing identification risk

  • Implementing the Information Assurance Standard

  • Implementing the Binding Assurance Standard

  • Implementing the Authentication Assurance Standard

  • Implementing the Federation Assurance Standard

  • Using documents as evidence

  • Authenticator types

  • Counter fraud techniques

タイ ETDA Recommendation on ICT Standard for Electronic Transactions

ข้อเสนอแนะมาตรฐานฯ - สพธอ.

• タイのガイドラインはETDA（Electronic Transactions Development Agency、電子取引開発庁）によって発行されています。

• 以下の3冊構成です。

  • Digital Idenitity - Framework

  • Digital Idenitity - Identity Proofing Requirements

  • Digital Idenitity - Authentication Requirements

  • これら以外にも、生体認証、電子署名、リモート署名、Verifiable Credentialsのデータ構造などのガイドラインが別にあります。

• 勢いだけで書いた単独記事がありますのでこちらをご参照ください。

おわりに

特にオチもなくこれで終わりです。
最後までお読みいただきありがとうございました。
これから自身の勉強のために、気になるガイドを順に読んでいこうと思います。

本当はシンガポール、台湾、韓国あたりも参考にしたかったのですが、該当するドキュメントが見つかりませんでした。もしご存じの方がいらっしゃったら教えてください。

それでは皆様、よいお年をお過ごしください。
（この記事を12月30日に公開したので。。。）