2024年活動報告会（人材育成推進WG・ビジネスサブWG） / 20250114-OIDF-J-EduWG-BizSWG

Transcript

1. 2024年活動報告会 （人材育成推進WG・ビジネスサブWG） ⼀般社団法⼈OpenID ファウンデーション・ジャパン ⼈材育成ワーキンググループ ビジネスサブワーキンググループ

2. Copyright ©︎ OpenID Foundation Japan 2 はじめに – 本日の発表の位置づけ 本日は2024年のビジネスサブWGの活動内容について報告いたします。

   ご参加いただいた皆さまから様々なご意見をいただき、今後の活動改善に取り入れていきたいと考えております。 2024年のビジネスサブWGの主な活動 扱うテーマの選定 調査・資料化 勉強会の開催

3. Copyright ©︎ OpenID Foundation Japan 3 アジェンダ 1.ビジネスサブワーキンググループの紹介 2.活動内容の報告 3.調査・資料化した内容の共有

4. Copyright ©︎ OpenID Foundation Japan 4 ビジネスサブワーキンググループの位置づけ ビジネスサブWGは、⼈材育成WGにおいて主にビジネス領域（技術詳細以外の領域）の テーマを扱う位置づけとなっています。 •

   ビジネス関連（技術詳細以外の）の テーマを取り扱う • 25名のメンバーが活動中(1/13時点) 翻訳 サブWG ビジネス サブWG 技術 サブWG 技術領域 ビジネス領域 ⼈材育成WGの構成

5. Copyright ©︎ OpenID Foundation Japan 5 ビジネスサブWGの活動目的と実施内容 本WGの目的 (Why) やること

   (What) • デジタルアイデンティティ関連の動向・情報を体系的に調査・整理することで 参加メンバーが知見を獲得する(※) • 整理した情報をOIDF-J内外に発信し、デジタルアイデンティティに関する 理解を促進し、適切な選択や関連技術の普及に貢献する • 組織や参加メンバーのプレゼンスを高める （※）技術関連は技術サブワーキンググループで対応予定。 扱うテーマの重複・関連は、両WG間で順次最適化の調整を実施。 • 本活動の成果としてホワイトペーパーをWebで対外公開（予定） →ホワイトペーパーのようなスタイルではなく、UPDATEを動的に実施する仕組みとする？ • イベントを通じてOIDF-J内外に活動報告（本日第2回） 過去WG資料より抜粋 本WGではデジタルアイデンティティに関する動向・情報などを初学者でも取りつきやすい形で整 理・発信することで、自他ともに理解の促進を図り、世の中のID関連ビジネスの促進に貢献す ることを狙いとしています。

6. Copyright ©︎ OpenID Foundation Japan 6 年間スケジュール（2024年） 中間活動報告会(2024年6月)の後、世間的な需要を参考にテーマを決めて調査・資料化を 行いつつ、参加者の知見を共有するための勉強会を実施してきました。 6

   1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1月 マイルストーン 1 テーマ選定 2 調査・資料化 3 勉強会 4 OIDF-J内・外発信 5 次年度活動計画 ▼活動 報告会 年間の検討テーマ案決め 調査・整理 上期検討テーマ・担当決め 輪読・修正 下期検討テーマ・担当決め 報告会準備 次年度の活動計画 隔週定例 報告会準備 調査・整理 輪読・修正 ▼中間活動報告会 計画 実施 計画 実施 中間報告会コメント反映

7. Copyright ©︎ OpenID Foundation Japan 7 ビジネスサブWGの2024年活動概要 • 半期ごとにテーマの検討・選定を行い、各テーマごとに方針を立てた •

   各参加者はだいたいどこかのテーマに入っていただき、役割分担したうえで調査・資料化を実施 • ビジネスサブWG内での共有・相談会を複数実施。整理した内容や方針についてのディスカッションを実施 し、調査したうえでの不明点や相談事の共有、テーマに沿った知見を獲得 【中間活動報告会からの変更点】 • 以前は情報ソースを重要視していたが、ビジネス目線での調査は万国共通の情報ソースが提示しにくいこと が課題となっていた。 →本取り組みの主目的は参加者の知見獲得であるため、下半期では定説・通説や話題のニュース等の 項目も分け隔てなく扱う方針とした（コラム・参考情報として整理） • アイデンティティに関するビジネスの理解を深める取り組みの⼀環として、ビジネスサブWG参加者の所属組織 で提供されているサービス・製品の勉強会をWG参加者向けに開催 • 2024年下半期では2回実施（EIAM製品、CIAM製品） • 2025年活動でも継続予定。参加側でも発表側でも、興味のある方はぜひご参加ください ①調査・資料化の実施 ②勉強会の開催(下半期から追加)

8. Copyright ©︎ OpenID Foundation Japan 8 ビジネスサブWGにおける調査・資料化のテーマ(2024年) No. テーマ 概要

   1 デジタルアイデンティティとは • アイデンティティの用語の定義やエンティティ・アイデンティティモデルの説明 • ビジネスにおけるアイデンティティ活用の重要性、活用におけるポイント 2 アイデンティティ管理に必要な概念の整理 • 身元確認、当⼈認証・認可、フェデレーション、プライバシーなど、アイデンティティ を管理するうえでの要素の全体像・個別の概念について簡潔に解説 3 アイデンティティ管理の類型の整理 • アイデンティティを管理するための類型について整理 管理主体による整理（集中管理型、フェデレーション型、分散型） 管理対象による整理（EIAM/CIAM） 上半期 下半期 No. テーマ 概要 1 デジタルアイデンティティ関連の製品・ソリューション アイデンティティを管理するための製品・サービス・ソリューションについて、どのような サービスカテゴリを整理し、目的や解決すべき課題等に応じてどの製品を使い分けれ ばよいかを整理した。 2 国内のアイデンティティに関する動向 ～マイナンバーカードを取り巻く動向～ 国内を中心とした法規制・ガイドラインについて調査・整理し、アイデンティティを取り 巻く環境がどのように変化しているかを理解する。 2024年下半期はマイナンバーカードを取り巻く動向について整理し、本⼈確認の手 法やユースケースについて整理した。 3 グローバルのアイデンティティに関する動向 ～世界各国の個⼈情報保護法～ 各国横断的な要素（国際標準、用語、諸外国の共通的な取り組み）について 整理し、グローバルのアイデンティティ動向を理解する。 2024年下半期は主要国の個⼈情報保護法に着目し、日本における個⼈情報保 護法との比較等を行うことで理解を深めるために取り組んだ。

9. Biz WG 下半期テーマ① デジタルアイデンティティ関連製品・ソリューション

10. Copyright ©︎ OpenID Foundation Japan 10 下半期テーマ①の前提 テーマ①では、漠然としたアイデンティティ周りの悩みや課題を抱えられている⼈に向けて、デジタ ルアイデンティティに関連する機能やソリューションの調査を行うきっかけとしていただくために、情報 を整理しました

    サブWGにて 作成・レビュー中 想定読者 ソリューション例 漠然としたアイデンティティ周りの悩みがあり、どういった製品を導入すべきかわからない⼈ デジタルアイデンティティがどのようなビジネス課題の解消の⼀助となるかわからない⼈ 読者がソリューションの調査を行うきっかけのために、機能とその機能を実現するソリューションを⼀例として記載しています。 そのため、市場に流通しているソリューションを網羅的に記載した資料ではありません。また、特定製品の詳細、コンポーネントを記 載していない場合があります。

11. Copyright ©︎ OpenID Foundation Japan 従業員 派遣社員・ アルバイト 顧客 ゲストユー

    ザー 身元確認 (初回アクセス・登録) 資格確認・ 年齢確認 アイデンティティ管理 アクセス主体 本⼈確認 Enterprise Customer 当⼈認証 (２回目以降) 身元確認 (KYC) ソーシャルアカウント IdP アイデンティティ管理およびアクセス制御 生体 (パスキー等) 所持 (IDカード・SMS等) 記憶 (パスワード) デバイス・ ソフトウェア Machine アクセス制御 特権アクセス管理 (PAM) ◼ 特殊な権限によるリソースへのアクセ スを管理する シングルサインオン (SSO) ◼ 1回のログインにより、複数のシステム へのアクセスを可能とする アイデンティティガバナンス・管理 (IGA) ◼ アイデンティティ管理とアイデンティティガバナンスを組み合わせており、包括的に１つのソ リューションで対処を行う IDaaS ◼ アイデンティティに関する主要機能を、基盤としてクラウド上で提供するソリューション IDオーケストレーション ◼ ユーザージャーニー全体を調整し、アイデンティティに関する複雑な機能やシステムを合理的に統合し、アイデンティティのワークフローを作成する 追加機能 アイデンティティレポジトリ リスク管理 プログレッシブプロファイリング ◼ ユーザーからの情報取得は最低限とし て、必要なタイミングで都度取得する 3Dセキュア/リスクベース認証 ◼ リスク判定に基づき追加認証を要求した り取引を停止する ITDR (Identity Threat Detection and Response) ◼ アイデンティティに関する監視と脅威分析を通して異常な挙動を検知し、早期に対処を行う デジタルアイデンティティのカテゴリ ユーザージャーニーに沿って、デジタルアイデンティティに関連する様々な機能があります ◼ プロビジョニング ◼ ロール管理 ◼ 資格情報管理 ◼ 同意管理 Passkey ◼ FIDO標準に基づく認証方 式であり、従来のパスワード に代替される技術であり、 複数のデバイス間の同期に よりデバイスに依存せず利 用できる 公的個⼈認証 ◼ オンラインで利用者本⼈の 認証や契約書等の文書が 改ざんされていないことの確 認を公的に行うための安 全・確実な本⼈確認 デジタル庁認証アプリ ◼ デジタル庁が提供する、マイ ナンバーカードを使った本⼈ の確認などを行うアプリ ソーシャルログイン ◼ ユーザーが持つSNS等のWebサービスアカウントを用いてログインする 11 サブWGにて 作成・レビュー中

12. Copyright ©︎ OpenID Foundation Japan 12 ⼀般的なビジネス課題 ビジネスでは⼀般的に、売上拡大またはコスト削減に紐づく課題への対策が求められます 売上拡大 コスト削減

    ユーザ数拡大 顧客単価向上 新規ユーザ獲得 ユーザ離脱防止 アップセル エミネンス向上 ユーザビリティ向上 サービスのパーソナライズ 顧客ロイヤリティ向上 プレミアム商品の設定 ビジネスモデルの変更 サービスのパーソナライズ クロスセル 固定費の削減 ⼈件費削減 ライセンスコスト削減 変動費の削減 例外対応コスト削減 スケーラブルサービスコスト削減 ライセンスの棚卸・整理 業務効率化 サービスの棚卸・整理 ビジネスプロセス整理 レピュテーションリスク低減 ビジネス課題 コンプライアンス遵守 セキュリティリスク低減 法令遵守 脅威回避 脆弱性低減 これらの課題に対する何らかの対策が求められる サブWGにて 作成・レビュー中

13. Copyright ©︎ OpenID Foundation Japan 13 （参考）ビジネス課題の対策例 エミネンス向上 ユーザビリティ向上 サービスのパーソナライズ

    顧客ロイヤリティ向上 プレミアム商品の設定 ビジネスモデルの変更 サービスのパーソナライズ ライセンスの棚卸・整理 業務効率化 サービスの棚卸・整理 ビジネスプロセス整理 法令遵守 脅威回避 マーケティング施策等による知名度獲得 アカウント登録動線の簡素化 個⼈に紐づく推薦機能の強化 ポイントプログラム等による囲い込み アフターサービスによる差別化 サブスクリプションモデルの導入 同時購入商品の推薦機能の強化 不要なライセンスの契約解除 申請/承認作業の工数削減 不要なサービスの契約解除 サプライチェーン全体で手順の標準化 法改正に伴う評価・改善 フィッシング耐性のある認証方法導入 脆弱性低減 全ユーザ/システムのガバナンス強化 対策例 一般的なビジネス課題 デジタルアイデンティティに関連する対策によって課題を解消できる場合があります デジタルアイデンティティに関連する対策に よって課題を解消できる場合がある サブWGにて 作成・レビュー中

14. Copyright ©︎ OpenID Foundation Japan 14 ビジネス的な課題に起因するデジタルアイデンティティの悩み事 ビジネス課題に起因して、デジタルアイデンティティの観点で悩み事が生じることがあります 本⼈確認 （身元確認/当⼈認証）

    アイデンティティ管理 およびアクセス制御 リスク管理 デジタルアイデンティティの主なカテゴリ ①本⼈確認（身元確認） × ユーザビリティ向上 1. アカウント作成時の情報登録が面倒 2. 身元確認に時間を要するのが不便 3. 複数のサービスに、サービスごとのアイデンティティでログインすることが不便 4. 異なるドメインのサービスでもシームレスな認証を実現したい 5. 認証時のID・PW認証、OTP認証が不便 ②アイデンティティ管理およびアクセス制御 × サービスのパーソナライズ 6. 顧客情報を活用したい ③本⼈確認（当⼈認証）× 脅威回避 7. パスワードレス認証を導入したい ④リスク管理 × 脅威回避 8. アカウントの不正アクセスを防ぎたい ⑤アイデンティティ管理およびアクセス制御 × 脆弱性低減・ビジネスプロセス整理 9. サービスごとにアイデンティティがバラバラで顧客情報を⼀元管理できず、ガバナンスや マーケティング戦略に課題がある 10. 厳密に管理したい権限と、ある程度柔軟に幅を持たせた権限管理の両立が困難 11. 退職や異動に伴うアイデンティティの削除や変更が適切に管理できていない 12. 自社内でアクセスできるリソースの権限が適切に管理できていない 13. 特権アカウントを共有していて、誰がリソースにアクセスしたのかわからない よくある悩み事 一般的なビジネス課題とデジタルアイデンティティのカテゴリ エミネンス向上 ユーザビリティ向上 サービスのパーソナライズ 顧客ロイヤリティ向上 ビジネスモデルの変更 サービスのパーソナライズ 法令順守 脆弱性低減 脅威回避 ライセンスの棚卸・整理 業務効率化 ⼀般的なビジネス課題 プレミアム商品の設定 ① ③ ④ ② サービスの棚卸・整理 ビジネスプロセス整理 ⑤ ⑤ サブWGにて 作成・レビュー中

15. Copyright ©︎ OpenID Foundation Japan 15 よくある悩み事とその対策 ＃ 背景 よくある悩み事

    対策（デジタルアイデンティティ分野の機能） CIAM/EIAM* 1 ①本⼈確認（身元確認） × ユーザビリティ向上 アカウント作成時の情報登録が不便 ソーシャルログイン、プログレッシブプロファイリング CIAM 2 身元確認に時間を要するのが不便 公的個人認証、デジタル庁認証アプリ CIAM 3 複数のサービスに、サービスごとのアイデンティティでログインすることが不 便 SSO、ソーシャルログイン、Passkey CIAM 4 異なるドメインのサービスでもシームレスな認証を実現したい SSO CIAM 5 認証時のID・PW認証、OTP認証が不便 FIDO/Passkey CIAM 6 ②アイデンティティ管理およびアクセス制 御 × サービスのパーソナライズ 顧客情報を活用したい IDaaS CIAM 7 ④本⼈確認（当⼈認証） × 脅威回避 パスワードレス認証を導入したい FIDO/Passkey CIAM/EIAM 8 ③リスク管理 × 脅威回避 アカウントの不正アクセスを防ぎたい リスクベース認証、FIDO/Passkey、ITDR CIAM 9 ⑤アイデンティティ管理およびアクセス制 御 × 脆弱性低減・ビジネスプロセス 整理 サービスごとにアイデンティティがバラバラで顧客情報を⼀元管理できず、 ガバナンスやマーケティング戦略に課題がある IDaaS CIAM 10 厳密に管理したい権限と、ある程度柔軟に幅を持たせた権限管理の 両立が困難 IGA, PAM EIAM 11 退職や異動に伴うアイデンティティの削除や変更が適切に管理できてい ない IGA EIAM 12 自社内でアクセスできるリソースの権限が適切に管理できていない IGA EIAM 13 特権アカウントを共有していて、誰がリソースにアクセスしたのかわからな い PAM EIAM よくある悩み事の解消の⼀助となるデジタルアイデンティティ分野の機能を整理しました *CIAMは、Customer IAMまたはConsumer IAMを指し、主に顧客を管理対象とする。⼀方でEIAMは、Enterprise IAMまたはWorkforce IAMともよばれ、主に従業員を管理対象とする。他章で詳説する サブWGにて 作成・レビュー中

16. Copyright ©︎ OpenID Foundation Japan 16 機能詳細(1/2) ＃ 対策 (デジタルアイデンティティ分野の機能)

    概要 効果 ソリューション例 1 ソーシャルログイン ユーザーが既に利用しているSNS アカウントを使用 して、アプリケーションや WEB サイトに登録やログイ ンする仕組み 既に利用しているSNSアカウント情報を活用可能 なため、ユーザが属性情報を入力する手間が省け たり、ウェブサイトやアプリケーションの運営者にとって もユーザの利便性向上により、ユーザ離脱の防止 等のメリットがある • HPE IceWall • Keycloak • Microsoft Entra External ID • Okta Customer Identity Cloud • SELMID • Uni ID Libra 2 プログレッシブプロファイリング ユーザがサービスを利用するたびに少しずつ情報を 収集する手法。最初は基本的な情報（例：名 前、メールアドレス）を取得し、サービス利用状況 や必要に応じて段階的に追加の情報を求める方 法 サービス利用の初期段階で必要最低限の情報の みを収集するため、ユーザはスムーズにサービスを利 用開始することが可能。ウェブサイトやアプリケーショ ンの運営者にとっても登録率が向上する等のメリッ トがある • HPE IceWall • Keycloak • Microsoft Entra External ID • Okta Customer Identity Cloud • SAP Customer Identity and Access Management Uni-ID Libra 3 SSO ユーザーが１つのログインID/Password、1度の 認証で複数のアプリケーションやサービスにアクセス できる仕組み ユーザーは複数のログインID/Passwordを記憶す る必要なく、加えて、認証にかかる手間を削減でき、 ユーザー利便性が向上する • Uni-ID Libra • GMOトラスト・ログイン • SELMID • VANADIS SecureJoin • Okta Customer/Workforce Identity Cloud 4 IDaaS ユーザの認証、認可、およびアイデンティティ管理を 実現するクラウド上のサービス オンプレミス（自社運用）のインフラストラクチャを 持たずに、複数のサービスのIDやパスワード情報を ⼀元管理できる • Microsoft Entra ID • Okta Customer/Workforce Identity Cloud • HENNGE One • GMOトラスト・ログイン サブWGにて 作成・レビュー中 次項へ続く

17. Copyright ©︎ OpenID Foundation Japan 17 機能詳細(2/2) ＃ 対策 (デジタルアイデンティティ分野の機能)

    概要 効果 ソリューション例 5 FIDO/Passkey 公開鍵暗号方式に基づく生体認証に関する仕様 登録デバイスのみに制限される方式とクラウド等を 介して秘密鍵を共有することで、複数のデバイスを 利用可能な方式の2つの仕組みを持つ PWやSMS-OTP等と比較してセキュリティ強度が 高くユーザーの負担も小さい認証を提供できる。ま た、フィッシング耐性を持つ • Uni-ID Libra • TrustBind • ぱすとり • NC7000-3A-FS • オンライン生体認証サービス • Yubikey 6 リスクベース認証 ネットワーク、デバイス、利用頻度などの情報からア クセスのリスクを推測する 不審な挙動やリスクの高い取引に対してリスクに応 じたアクションを課すことで、不正リスクを低減しつつ 正規の取引を行うユーザーのUXを最大化する • Uni-ID Libra • Capy リスクベース認証 • Google reCAPTCHA v3 • ThreatMetrix 7 ITDR アイデンティティに関連する脅威の監視と分析により、 脅威を特定し、リスク評価に基づく管理ポリシーに 基づいた効果的なインシデント対応を実施するため の機能を持つソリューション アイデンティティを標的とした脅威や、IAM/インフラ ストラクチャを狙った攻撃が増加している現状におい て、脅威の迅速な検知・対応や、セキュリティインシ デントの未然防止や被害低減の効果が期待でき る • Microsoft Defender for Identity • CrowdStrike Falcon Identity Threat Protection Singularity Identity • BeyondTrust Identity Security Insights 8 IGA 組織内のユーザーのアイデンティティおよびアクセス 権を統合的に管理・ガバナンスするためのソリュー ション ユーザーのイベント(入社・異動・退職など)に応じた アクセス権限の管理を効率化することができる 誤った権限・過剰な権限の付与や管理不備による リスク(機密情報漏洩など)を抑えることができる アクセス要求やその関連するイベントを記録・可視 化し、問題・リスクを早期に発見することができる • VANADIS Identity Manager • SailPoint Identity Security Cloud • Saviynt Identity Governance and Administration • Okta Workforce Identity Cloud 9 PAM システムやネットワークの重要な設定変更やデータ へのアクセスが可能な特権アカウント（管理者アカ ウントやシステムアカウントなど）を管理するソリュー ション 特権アカウントのシークレット管理等を自動化し管 理者の負担を低減できるほか、特権アカウントが誰 によって、いつ使用されたかを監視・記録することが できる • CyberArk Privileged Access Manager • Saviynt Privileged Access Management • BeyondTrust Password Safe • One Identity Safeguard 10 デジタル庁認証アプリ テーマ②にて解説 テーマ②にて解説 - 11 公的個⼈認証 テーマ②にて解説 テーマ②にて解説 - サブWGにて 作成・レビュー中

18. Biz WG 下半期テーマ② 国内のアイデンティティに関する動向 ～マイナンバーカードと本⼈確認～

19. Copyright ©︎ OpenID Foundation Japan 19 はじめに • デジタルアイデンティティが活用されるようになり、各種サービスを提供するためには本⼈確認やプラ イバシー保護の手法について適切に理解し、政府や業界の取り決め・方針に沿って推進する必

    要がある • 日本においてもマイナンバー法によって国民ひとりひとりに対するIDが付与されており、それを活用し た本⼈確認手法やプライバシー保護のための法改正・ガイドライン策定等が行われている。 • また、マイナンバーカードの仕組みやユースケースなどをまとめることで、今後の事業において本⼈確 認(公的個⼈認証)の機能を利用するにあたって参考となる文書となることを目指している。 背景・目的 • 日本でアイデンティティや個⼈の情報を扱う事業者、それらビジネスやシステムの構築を支援する ITベンダーやコンサルタント • 本⼈確認や年齢確認のためにマイナンバーカードを利用している、あるいは今後利用する予定が ある⼈ 想定読者

20. Copyright ©︎ OpenID Foundation Japan 20 目次 1. マイナンバーおよびマイナンバーカードの概要 2.

    マイナンバーカードの活用例・ユースケース 3. その他・補足事項

21. Copyright ©︎ OpenID Foundation Japan 21 マイナンバーを中心とした最近の動向 2023年以降、日本ではマイナンバーを取り巻くガイドラインや関連アプリケーション等が急速に整備されています。グローバルの動 向を見てもオンラインでの本⼈確認や電子的な証明が重要視されつつあります。 本紙は国内のアイデンティティ動向として、マイナンバーカードによる本⼈動向を中心とした情報について整理します。

    グローバル 動向 ▼ 2023年 Androidスマホにマイナンバー機能搭載 時間軸 ▼ 2017年6月 NIST SP800 63-3発表 ▼ 2022年12月 NIST SP800 63-4 ドラフト公開 国内動向 関連事象 ▼ 2023年10月～ 行政手続きにおけるオンラインによる 本⼈確認の手法に関するガイドライン 改定に向けた有識者会議を実施中 ▼ 2024年6月 国民を詐欺から守るための総合対策公開 ▼ 2019年2月 DS-500 行政手続きにおけるオンラインによる 本⼈確認の手法に関するガイドライン公開 ▼ 2013年5月 マイナンバー法 公布 ▼ 2024年8月 NIST SP800 63-4 2nd Public Draft公開 ▼ 2024年8月 マイナンバーカード対面確認アプリ公開 ▼ 2024年6月 デジタル認証アプリ公開 ▼ 2025年後半 iPhoneにマイナンバー機能搭載 ▼ 2024年12月 マイナ保険証に移行 ▼ 2025年3月 マイナ免許証導入 ▼ 2016年 eIDAS規則施行 ▼ 2018年 EU GDPR規則施行 ▼ 2024年5月 eIDAS2.0 施行 ▼ 2021年8月 フランス 電子国民IDカード「CNIe」を全土に導入 ▼ 2023年12月 オーストラリア デジタルID「ID Austria」の運用を開始 ▼ 2021年 デンマーク デジタルID「Mit ID」を導入 ▼ 2016年 エストニア スマホアプリ型の「Smart-ID」を導入 ▼ 2016年 イギリス デジタルID「GOV.UK Verify」導入

22. マイナンバーおよびマイナンバーカードの概要

23. Copyright ©︎ OpenID Foundation Japan 23 マイナンバーとは マイナンバーとは、住民票を持つ日本国内の全住民に附番される12桁の番号です。税、社会保障、災害対策などの公的な特 定事務に利用されます。 マイナンバー（個⼈番号）とは、平成27年10月以降、日本国内に住民票を持っている全住民に

    通知される、⼀⼈ひとり異なる12桁の番号のことを言う。 ⼀部例外を除く、社会保障、税、災害対策のみに利用（マイナンバー法第9条第1項） 例） • 児童扶養手当法による児童扶養手当の支給に関する事務 • 健康保険法、国民健康保険法等による保険給付の支給、保険料の徴収に関する事務 • 国民年金法、厚生年金保険法による年金である給付の支給に関する事務 上記のほか、地方公共団体独自で定められた条例に従いマイナンバーを利用して「独自利用事務」 ができる規定されている（マイナンバー法第9条第2項） マイナンバーは、行政手続において、公平な給付と負担の実現を図り、真に社会保障を必要とする方 に積極的に手を差し伸べるとともに、役所の業務改革が進むことによって、住民サービスの向上が期 待されている 利用できる 範囲 制度の目的 マイナンバー とは 参考：マイナンバー(個⼈番号)ハンドブック

24. Copyright ©︎ OpenID Foundation Japan 24 マイナンバーカードとは マイナンバーカードはマイナンバーや住基4情報が記載されており、券面のみでも従来の身元確認に用いられます。特徴的なのは ICチップであり、ICチップには公的個⼈認証のための証明書や、券面事項や住基情報などを読み取るためのアプリケーションが 格納されています。

    • 氏名 • 性別 • 住所 • 生年月日 JPKI AP 署名用電子証明書 利用者証明用 電子証明書 券面事項確認AP (券面AP) 券面事項入力補助AP 住基AP 空き領域 マイナンバーカードのアプリの概要 マイナンバーカードとは(デジタル庁) • 氏名 • 生年月日 • マイナンバー

25. Copyright ©︎ OpenID Foundation Japan 25 マイナンバーカードのICチップの内容｜電子証明書 ICチップの中には公的個⼈認証のための電子証明書が2種類格納されています。 公的個⼈認証とは、マイナンバーカードのICチップの情報を電子的に検証することにより、他⼈によるなりすまし申請や電子デー タが通信途中で改ざんされていないことの確認を公的に実施するための機能です。

    署名用電子証明書 利用者証明用電子証明書 電子文書の送信時などに、文書が改ざんされていないかどうか等を確認することがで きる。e-Taxの確定申告等、文書を伴う電子申請や、民間オンライン取引(オンライ ンバンク等)の登録などに利用される インターネットサイトやキオスク端末等にログイン等をする際に利用される。マイナポー タル、オンラインバンキング、コンビニ交付サービスの利用等に利用される。 主な目的・用途 その利用者が作成・送信した電子文書が「利用者が作成した真正なものであり、利 用者が送信したものであること」を確かめることができる 主に、インターネットサイト等にログインする際に利用されており、ログインした者が、利 用者本⼈であることを確かめることができる 証明できる内容 申請書等＋電子署名＋公開鍵＋電子証明書 （基本4情報（住所、氏名、性別、生年月日）を含む） 公開鍵＋電子証明書 利用される データの概要 英数字６～１６桁 数字４桁 アクセス制御の方法 (暗証番号) マ イ ナ ン バ ー カ ー ド IC チ ッ プ JPKI AP 署名用電子証明書 利用者証明用電子証明書 券面事項確認AP(券面AP) 券面事項入力補助AP 住基AP 空き領域

26. Copyright ©︎ OpenID Foundation Japan マ イ ナ ン バ

    ー カ ー ド IC チ ッ プ 26 マイナンバーカードのICチップの内容｜カードAP ICチップの中には、券面事項に関するAPと住基情報に関するAPの3種類が実装されています。 空き領域には、行政や事業者が個別のアプリケーションを実装できます。 券面(券面事項確認)AP 券面事項入力補助AP 住基AP 対面における券面記載事項の改ざん検知や、本⼈ 確認の証跡として画像情報を利用する。 マイナンバーや4情報を利用する事務において、それ ら情報をテキストデータとして利用するための情報が 記載されている 住基ネットの事務手続きのため、住民票コードをテ キストデータとして利用する。 画像情報 • 表面：4情報＋顔写真 • 裏面：マイナンバーの画像 ① マイナンバー及び4情報 (並びにその電子署名データ) ② マイナンバー及びその電子署名データ ③ 4情報及びその電子署名データ 住民票コード • 個⼈番号を利用できる場合： 照合番号A マイナンバー12桁 • 個⼈番号を利用できない場合： 照合番号B 14桁 生年月日6桁＋有効期限西暦4桁 ＋セキュリティコード4桁 ① 暗証番号(4桁) ② 照合番号A(12桁・マイナンバー) ③ 照合番号B(14桁・左記に記載) 暗証番号（数字4桁） JPKI AP 署名用電子証明書 利用者証明用電子証明書 券面事項確認AP(券面AP) 券面事項入力補助AP 住基AP 空き領域 主な目的・用途 含まれる情報 アクセス制御の方法 (暗証番号)

27. Copyright ©︎ OpenID Foundation Japan IdP Verifier RP 27 公的個⼈認証の流れ

    公的個⼈認証の流れ マイナンバーカードを利用し、電子証明書による本⼈確認を 利用したサービスの提供を受けるユーザ。 サービス利用者 自社で署名検証設備を整備せず、電子証明書の有効性確 認をプラットフォーム事業者に委託することでサービスを提供す る事業者 サービスプロバイダ 事業者 (SP事業者) 自ら電子証明書の有効性をJ-LISに確認する民間事業 者。 プラットフォーム 事業者 (PF事業者) 地方公共団体情報システム機構。マイナンバーカード関連シ ステム、住民基本台帳ネットワークシステム、公的個⼈認証 サービス等の各種システムの開発・運営を担う組織。 J-LIS (地方公共団体 情報システム機構) サービス提供 有効性の確認結果を提供 電子証明書送信 電子証明書の有効性確認を委託 有効性の確認結果を提供 電子証明書の有効性確認 Subject SP事業者 PF事業者 サービス利用者 ⑧サービス提供 ④電子証明書 の検証 ⑤電子証明書 検証結果を送付 マイナンバーカード 参考：NIST SP 800-63-4 民間での公的個⼈認証を行う際は、本⼈確認アプリを通じて身元確認を行います。SP事業者はRPとして機能し、J-LISおよ びPF事業者がIdPの機能を担います。自社のサービスに公的個⼈認証の仕組みを用いる場合は各事業者との関係性を正確 に捉える必要があります。 サブWGにて 作成・レビュー中 CSP J-LIS 全国民の本⼈確認情報 (各自治体の住基から取得) SP事業者の IDリポジトリ ③サービス利用者に紐づく 電子証明書の検証依頼 ①電子証明書 情報送信 ②SP事業者は利用者のユーザ情報や電子証明書情報を受領 ⑥電子証明書 検証結果を送付 ⑦電子証明書検証結果から証明書の有効性を合わせて検証

28. Copyright ©︎ OpenID Foundation Japan マイナンバーを用いた公的個⼈認証は、本⼈確認情報の虚偽・不正に対する体制が高い手法です。特にオンラインでの検証に おいては、他手法と比べて比較的簡単かつ安全・確実な本⼈確認が可能となります。なりすましの耐性も高いものの、暗証番 号の窃取を含め完全に防ぐためには対面確認等の対策が必要となります。 28 本⼈確認の脅威に対する各手法の耐性

    な り す ま し 虚 偽 ま た は 不 正 本⼈確認書類 の盗難 ソーシャル エンジニアリング 本⼈確認書類 の貸し借り 生体情報の偽装 券面の 偽装・改ざん 属性情報の 虚偽の主張 有効期限切れ エビデンスの利用 失効済み エビデンスの利用 ※上記のほかにNIST SP800-63Aではインフラへの脅威も挙げられているが、今回は対象外としている × 自己申告のため 検証負荷 自己申告 × 自己申告のため 検証負荷 × 自己申告のため 検証負荷 × 自己申告のため 検証負荷 × 自己申告のため 検証負荷 × 自己申告のため 検証負荷 × 自己申告のため 検証負荷 × 自己申告のため 検証負荷 × 書類が本⼈のものであることを 確認する手段がない × 書類が本⼈のものであることを 確認する手段がない × 書類が本⼈のものであることを 確認する手段がない - × リモートでの確認のため偽造の 詳細な確認が困難 × リモートでの確認のため偽造の 詳細な確認が困難 △ 目視での確認となるため 精度が低い × 失効状態を 確認する手段が乏しい ◦ リアルタイムで確認する場合、 容貌と本⼈確認書類を紐づ けて確認可能 対面での顔写真付き 本⼈確認書類券面確認 ＋容貌の確認 ◦ リアルタイムで確認する場合、 容貌と本⼈確認書類を紐づ けて確認可能 △ 正規のユーザが撮影されてい るおそれがある △ 顔写真の偽装が行われるおそ れがある × 精巧な偽装書類は 判別できない × リモートでの確認のため偽造の 詳細な確認が困難 △ 目視での確認となるため 精度が低い × 失効状態を 確認する手段が乏しい 参考：NIST SP 800-63-4 ◦ 暗証番号および申請者本⼈ の生体情報と本⼈確認書類 の比較 公的個⼈認証 ◦ 申請者本⼈の生体情報と本 ⼈確認書類の比較 ◦ 申請者本⼈の生体情報と本 ⼈確認書類の比較 ◦ 申請者本⼈が目の前にいるた め偽装される可能性は低い ◦ ICチップ内の電子証明書によ り電子的に検証可能 ◦ ICチップ内の電子証明書によ り電子的に検証可能 ◦ ICチップ内の電子証明書によ り電子的に検証可能 ◦ ICチップ内の電子証明書によ り電子的に検証可能 ※犯収法ホ方式 ※犯収法ワ方式 対面またはリモート における自己申告 申請者から提示された顔写真 なしの本⼈確認書類を確認 する リモートで申請者から送付され た本⼈確認書類の写真と申 請者の容貌を確認する オンサイトでマイナンバーカード による公的個⼈認証および容 貌の確認を行う ◦ 申請者本⼈の生体情報と本 ⼈確認書類の比較 対面での顔写真なし 本⼈確認書類の 券面確認 ◦ 申請者本⼈の生体情報と本 ⼈確認書類の比較 ◦ 申請者本⼈の生体情報と本 ⼈確認書類の比較 ◦ 申請者本⼈が目の前にいるた め偽装される可能性は低い × 精巧な偽装書類は 判別できない ◦ △ 目視での確認となるため 精度が低い × 失効状態を 確認する手段が乏しい オンサイトで顔写真付きの本 ⼈確認書類を提示し、容貌を 目視で確認する ◦ 暗証番号と本⼈確認書類の 照合 △ 暗証番号も同時に窃取される おそれがある △ 暗証番号も同時に貸し借りさ れるおそれがある - ◦ ICチップ内の電子証明書によ り電子的に検証可能 ◦ ICチップ内の電子証明書によ り電子的に検証可能 ◦ ICチップ内の電子証明書によ り電子的に検証可能 ◦ ICチップ内の電子証明書によ り電子的に検証可能 リモートでマイナンバーカードに よる公的個⼈認証を行う 凡例： ◦：防ぐことが可能 △：部分的に防ぐことが可能 ×：防ぐことができない サブWGにて 作成・レビュー中 リモートでの 本⼈確認書類ICチップ ＋容貌の確認 ◦ リアルタイムで確認する場合、 容貌と本⼈確認書類を紐づ けて確認可能 ◦ リアルタイムで確認する場合、 容貌と本⼈確認書類を紐づ けて確認可能 △ 正規のユーザが撮影されてい るおそれがある △ 顔写真の偽装が行われるおそ れがある ◦ ICチップに耐タンパ性があるた め改ざんは困難 ◦ ICチップの情報と申請情報か ら真偽の確認が可能 ◦ ICチップ情報に有効期限情報 が含まれる × 失効の確認を行うことは難しい ※犯収法ヘ方式 リモートで申請者から送付され た本⼈確認書類のICチップ情 報と申請者の容貌を確認する 各身元確認手法毎の脅威耐性ベースでの整理は 今後精査予定 リモートでの顔写真付き 本⼈確認書類券面確認 ＋容貌の確認

29. マイナンバーに関するユースケース

30. Copyright ©︎ OpenID Foundation Japan 30 マイナンバーのユースケース 行政 行政ではマイナンバーを利用した社会保障、税、災害対策以外にも、電子証明書やカードAPを利用した様々なサービスの取り 組みが行われています。

    マイナンバーカード 利用者証明用電子証明書 署名用電子証明書 券面AP • 市内公共施設の利用優待カードの発行 • 図書館の利用登録および本の貸出 • 職員認証プラットフォーム (入退室、入退庁、認証印刷など) など • 支援金の給付決定などの行政通知のデジタル化 など • 申請書等自動作成サービスの導入 など 事例・対応例 券面入力補助AP • 災害時、避難所の入退所管理 など 機能

31. Copyright ©︎ OpenID Foundation Japan 31 マイナンバーのユースケース 民間 民間事業者においても、公的個⼈認証を実施するための電子証明書の利用や、券面AP・券面入力補助APの活用事例が 見受けられます。

    マイナンバーカード 利用者証明用電子証明書 署名用電子証明書 券面AP （利用されているケースがあまり公開されていない） →「電子証明書」と表記されているケースが多く、明記される場合は 署名用電子証明書を明示的に記載されているケースが多いように見 受けられる • 銀行口座開設時の本⼈確認(金融) • 電動キックボード利用時の年齢確認(シェアリングエコノミー・地域コ ミュニティアプリ) • 従業員からのオンラインでのマイナンバー提出を受ける など • HPKIカード(医師資格確認証)申込時の本⼈確認(顔写真デー タの取得) • マッチングアプリ利用時の本⼈確認(顔写真データの取得) など 事例・対応例 券面入力補助AP • 病院でのマイナ保険証の読み取り など 機能

32. Copyright ©︎ OpenID Foundation Japan 32 マイナンバーカードが今後使われていきそうな領域 本テーマを取り扱うにあたり、現在提供されているサービスの事例だけでなく、今後活用されていきそうな領域についても担当者 内で話に挙がりました。今後マイナンバーカードについて継続検討する機会があれば、将来性についても議論できるよう取り進め たいと考えております。

    ・健康診断結果および医療費データ連携 ・チケットの販売および当日の本⼈確認 ・セルフレジでの年齢制限商品の販売 ・ネットでの適切な薬品販売 ・特定の属性限定のサービス提供（本⼈の同意を経た上でマーケティング活用など） ・厳密なSNS（マッチングアプリなどでは活用例あり）

33. その他・補足情報

34. Copyright ©︎ OpenID Foundation Japan 34 マイナンバーカードを利用した本⼈確認アプリケーション例(1/2) 対面本⼈ 確認アプリ デジタル庁が提供する対面での本⼈確認の際に、マイナン

    バーカードのICチップを読み取り、格納された氏名などの本⼈ 情報を確認するためのアプリ。 事業者や自治体のスタッフが、顧客や住民の本⼈確認などを 行う際に利用する。 活用例 • 金融機関での取引のための本⼈確認時 • 携帯電話の契約のための本⼈確認時 • 中古品の買取のための本⼈確認時 • 自治体窓口での本⼈確認時 • その他、マイナンバーカードの対面での本⼈確認が必要なとき ポイント • 対面での本⼈確認の際に券面の目視確認だけでなく、ICチップを読み 取ることによる確実な本⼈確認が可能 • 暗証番号の入力は不要（照合番号B方式） • 「確認日時」「カードの有効期限」「セキュリティコード」がアプリ内に保管 されるため、犯罪収益移転防止法などの法令に基づき事業者が作成 する本⼈確認記録とスマートフォンの記録を照合することで本⼈確認 事務の正確性と効率性の向上を図ることができる マイナンバーカード対面確認アプリ 利用の流れ

35. Copyright ©︎ OpenID Foundation Japan 35 マイナンバーカードを利用した本⼈確認アプリケーション例(2/2) デジタル 認証アプリ マイナンバーカードの証明書を読込み、デジタル認証アプリサー

    バと通信してRPの認証、署名を行うクライアントソフトウェア。 活用例 • ECサイトやネットバンキングログイン時の本⼈確認 • 公共施設やシェアリングサービスなどのオンライン予約時 • ライブ会場等での酒類購入時の年齢確認 • 地域アプリ登録時のオンライン本⼈確認 • 予約システムを用いた面談や施設予約時のオンライン本⼈確認 具体例 • デジタル認証アプリのサービス事業者⼀覧 https://services.digital.go.jp/auth-and-sign/case-studies/ ポイント • 民間や行政のサービスから呼び出すことで公的個⼈認証サービスが利 用できるアプリ • 利用者証明用電子証明書を使った認証と、署名用電子証明書を 使った署名（PF事業者との連携が必要）が可能 • デジタル認証アプリサーバと民間/行政のサービスはOpenID Connectで連携 • サービス利用者はデジタル認証アプリでマイナンバーカードをかざす＋暗 証番号（認証の場合は数字4桁、署名の場合は6~16桁の番号） ことで認証を行う • PCサイトからでもQRコードを介して、デジタル認証アプリを利用可能 マイナンバーカード デジタル認証アプリ

36. Copyright ©︎ OpenID Foundation Japan 36 国内の法規制・ガイドライン（本⼈確認 1/2） 国内の主要な法規制・ガイドラインとして、特に本⼈確認に関連するものを整理しました。犯収 法や携帯電話不正利用防止法など、本⼈確認手法を強固にするためにeKYC等が利用さ

    れ、マイナンバーカードのICチップを利用した本⼈確認の取り組みが進められています。 No. 法規制・ガイドライン名 法規制・ガイドラインの 目的 アイデンティティ管理と関連している内容 関連業界 直近の関連する動き 区分 IDとの関連性 1 犯罪者収益移転防止法 （犯収法） 特定事業者による顧客等の本⼈特 定事項等の確認、取引記録等の保 存、疑わしい取引の届出等の措置を 講ずる 身元確認 特定事業者は、特定業務のうち特 定取引を行うに際して、本⼈特定事 項、取引を行う目的、職業や事業の 内容、等を確認しなければならない 金融 モバイル サービス (特定事業 者) ・オンライン本⼈確認のための手法として画像解析型eKYCがたびたび用いられているが、民間 事業者が確認する際に身分証の真正性を確認する方法がなく、身分証の偽装による身元の 偽装が容易となっている。マイナンバーカードのICチップ情報を併せて用いることで、オンライン上 での強固な身元確認を実施するための⼀本化の検討が進められている 2 携帯電話不正利用防止法 携帯音声通信事業者による契約者 の管理体制の整備の促進及び携帯 音声通信役務の不正な利用の防止 を図る 身元確認 契約締結時の本⼈確認義務（第 三条）、本⼈確認記録の作成義務 （第四条）、貸与業者の貸与時の 本⼈確認義務（第十条） モバイル ・2024年4月から、050から始まるIP電話についても本⼈確認義務の対象とする改正法が施 行された。050アプリ電話による特殊詐欺が行われる事態が数多く発生している現状を受けた もの。 3 古物営業法 古物商は下記の「防犯三大義務」を 守る必要があり、①の本⼈確認がデ ジタルアイデンティティの文脈と関連が ある。 1．取引相手へ本⼈確認を行う義務 （古物営業法第15条第1項） 2．発見した犯罪被害品を、警察官 へ申告する義務（古物営業法第15 条第3項） 3．帳簿へ記録および保存する義務 （古物営業法第16条） 身元確認 取引相手へ本⼈確認を行う義務 （古物営業法第15条第1項）が 規定されている。 古物商 2018年4月公布の改正古物営業法施行規則によって、非対面取引における本⼈確認方法 が追加され、同時期に改正された物理的な書面の郵送対応のほか、インターネット等を活用し たeKYCによる手法も明記されるようになった。 4 旅館業法 感染症のまん延防止・テロ対策を目 的として、日本国内に住所を有しない 外国⼈の方の旅館・ホテルでの宿泊 に本⼈確認を求めるようになった。 身元確認 外国⼈の方の旅館・ホテルでの宿泊 に本⼈確認を求めている。 サービス (旅館業) 令和４年７月 14 日 旅館業法の見直しに係る検討会にて、第６条（宿泊者名簿）に関 し、「身分証明書による宿泊者の本⼈確認を義務化」について引き続き検討することとされてい る。※日本⼈を含む ※本資料に記載されている各法規制の概要や解釈はOIDF-J ⼈材育成ワーキンググループに所属しているメンバー間で情報を連携するために整理したものであり、⼀般的な法律の解釈として正しさを証明できるものではありません。

37. Copyright ©︎ OpenID Foundation Japan 37 国内の法規制・ガイドライン（本⼈確認 2/2） No. 法規制・ガイドライン名

    法規制・ガイドラインの 目的 アイデンティティ管理と関連している内容 関連業界 直近の関連する動き 区分 IDとの関連性 5 住宅宿泊事業法 （民泊新法） 住宅宿泊事業を営む者に係る届出 制度並びに住宅宿泊管理業を営む 者及び住宅宿泊仲介業を営む者に 係る登録制度を設ける等の措置を講 ずることにより、これらの事業を営む者 の業務の適正な運営を確保しつつ、 国内外からの観光旅客の宿泊に対す る需要に的確に対応してこれらの者の 来訪及び滞在を促進する 身元確認 宿泊者名簿の備付け当が規定され ており、本⼈確認を行う必要がある 旨が記載されている サービス (民泊事業 者) 6 道路交通法 道路における危険を防止し、その他 交通の安全と円滑を図り、及び道路 の交通に起因する障害の防止に資す ることを目的とする 身元確認 当⼈認証 免許を取得している本⼈であることを、 免許証情報をもとに確認する 重要インフラ 2022年4月27日に交付された改正道路交通法では、マイナンバーカードに免許関連の情報 を電磁的に記録する規定が整備。免許情報を格納したマイナンバーカードを免許証として代用 する方針とみられる 7 国民を詐欺から守る総合対策 「オレオレ詐欺等対策プラン」及び「Ｓ ＮＳで実行犯を募集する手口による 強盗や特殊詐欺事案に関する緊急 対策プラン」を発展的に解消させ、特 殊詐欺、ＳＮＳ型投資・ロマンス詐 欺及びフィッシングを対象に、政府が 総力を挙げて取り組む 身元確認 プライバシー ・携帯電話や電話転送サービスの本 ⼈確認において、非対面の本⼈確 認手法をマイナンバーカードに⼀本化 ・SNS公式アカウントやマッチングアプ リアカウント開設時の本⼈確認強化 を働きかける ・個⼈情報保護法の的確な運用に 向け、名簿屋等の事業者実態把握 のために個⼈情報保護委員会に対 し積極的な情報提供に努める モバイル、 SNS等 ・2024年6月18日の第39回犯罪対策閣僚会議にて取りまとめられた。 8 行政手続におけるオンラインによる本 ⼈確認の手法に関するガイドライン オンラインでの本⼈確認を行う手法に 関する検討を実施 身元確認 当⼈認証 業界横断的 ・行政手続のオンライン化、マイナンバーカードの普及、身分証の偽造技術やふぃっしぐ攻撃の 高度化など、本⼈確認を取り巻く環境への対応として、現状課題や国内外の動向等を踏まえ つつ、本⼈確認ガイドラインの改定に向けた検討を進めている 9 電子署名法 電子署名の円滑な利用の確保による 情報の電磁的方式による流通及び 情報処理の促進を図り、もって国民 生活の向上及び国民経済の健全な 発展に寄与する 身元確認 認定認証業務を提供する事業者は 施行規則第5条に規定された方法 で、利用申込者の真偽確認をしなけ ればならない。 取得した真偽確認資料は電子証明 書の有効期間の満了日から10年間 保管しなければならない。 業界横断的 ・現行の電子署名法の大部分は施行されてから20年前以上、改定が行われていないため、 「電子署名法のモダナイゼーション」として、法律の見直しが進められている。 電子署名法認定基準のモダナイズ検討会の第⼀回が9月20日に開催予定。 https://www.digital.go.jp/councils/digitalsign-modernization ※本資料に記載されている各法規制の概要や解釈はOIDF-J ⼈材育成ワーキンググループに所属しているメンバー間で情報を連携するために整理したものであり、⼀般的な法律の解釈として正しさを証明できるものではありません。

38. Copyright ©︎ OpenID Foundation Japan 38 国内の法規制・ガイドライン（プライバシー） プライバシーに関する主な法規制・ガイドラインとしては個⼈情報保護法があります。昨今は SNS等における強盗・特殊詐欺事案が増えており、インターネット上でのプライバシーを保護する ための施策に関する議論も行われています。

    No. 法規制・ガイドライン名 法規制・ガイドラインの 目的 アイデンティティ管理と関連している内容 関連業界 直近の関連する動き 区分 IDとの関連性 10 電気通信事業法 その運営を適正かつ合理的なものとす るとともに、その公正な競争を促進す ることにより、電気通信役務の円滑な 提供を確保するとともにその利用者等 の利益を保護し、もつて電気通信の 健全な発達及び国民の利便の確保 を図り、公共の福祉を増進する プライバシー 第四条 電気通信事業者の取扱中 に係る通信の秘密は、侵してはなら ない。 ２電気通信事業に従事する者は、 在職中電気通信事業者の取扱中 に係る通信に関して知り得た他⼈の 秘密を守らなければならない。その職 を退いた後においても、同様とする。 モバイル ・2023年の改正により、対象となる事業者が追加（検索情報電気通信役務、媒介総統電 気通信役務）。検索エンジンサービスや、SNSプラットフォームなど ・事業者が保護するべき情報として、「通信の秘密に該当する情報（電話やメールの内容な ど）」と「利用者を識別でき、かつ総務省令で定める情報（利用者に付与されるIDや番号な ど）」 ・特定利用者情報の取り扱いについて負う業務が追加（情報取り扱い規定の定義と報告、 情報取り扱い方針の公表、年次評価と見直し、統括管理者の任命、情報漏えいの報告） ・外部送信規律（Cookie規制）が新設され、送信される利用者情報、譲歩言うを送信する 先の名称や指名、集めた情報の利用目的について利用者からの同意が必須となった 11 情報流通プラットフォーム対処法 (旧：プロバイダ責任制限法) 特定電気通信による情報の流通に よって権利の侵害があった場合につい て、特定電気通信役務提供者の損 害賠償責任の制限及び発信者情報 の開示を請求する権利について定め るとともに、発信者情報開示命令事 件に関する裁判手続に関し必要な事 項を定める プライバシー 大規模なプラットフォーム事業者を対 象に、削除申請などに関して対応が 義務化 ・削除申し出への対応を迅速化 削除申し出に関する窓口や手続 きの整備・公表、対応体制の整備、 削除申し出に対する判断・通知 ・運用状況の透明化 削除基準の策定・公表、削除し た場合の発信者への通知 モバイル サービス その他 (特定電気通 信役務提供 者) ・2022年10月1日に改正法が施行。インターネット上の誹謗中傷などによる権利侵害につい てより円滑に被害者を救済するため、発信者情報開示について新たな裁判手続き（非訟手 続き）が創設された ・改正法により開示請求の範囲として、「特定発信者情報」としてログイン時のIPアドレスなどの 情報が追加。ログインのための通信経路を辿って発信者を特定することが可能に ・2024年5月17日に旧プロバイダ責任制限法の改正法である、情報流通プラットフォーム対 処法が公布。 12 個⼈情報保護法 個⼈情報の有用性に配慮しつつ、個 ⼈の権利利益を保護する プライバシー 第4章 個⼈情報取扱事業者の義 務等の第2節「個⼈情報取扱事業 者及び個⼈関連情報取扱事業者 の義務」にて事業者に求める事項を 定めている。 横断的 令和6年（2024年）4月、改正個⼈情報保護法施行規則の施行(漏えい等発生時の報 告・通知義務と安全管理措置を講じる義務の対象が、⼀部の「個⼈情報」にまで拡大) 次回3年ごと見直し規定の対象年は2025年 (https://www.ppc.go.jp/files/pdf/chukanseiri_gaiyo_r6.pdf) 生体データの取り扱いについての特別な規定は存在せず、昨今の情勢からその必要性について 議論がなされている。 ※本資料に記載されている各法規制の概要や解釈はOIDF-J ⼈材育成ワーキンググループに所属しているメンバー間で情報を連携するために整理したものであり、⼀般的な法律の解釈として正しさを証明できるものではありません。

39. Copyright ©︎ OpenID Foundation Japan No. 法規制・ガイドライン名 法規制・ガイドラインの 目的 アイデンティティ管理と関連している内容

    関連業界 直近の関連する動き 区分 IDとの関連性 13 風営法 良の風俗と清浄な風俗環境を保持し、 及び少年の健全な育成に障害を及 ぼす行為を防止する 年齢確認 年齢確認が義務付けられている。具 体的な手法については定められてい ない。 サービス - 14 出会い系サイト規制防止法 インターネット異性紹介事業の利用に 起因する児童買春その他の犯罪から 児童を保護し、もって児童の健全な 育成に資すること 年齢確認 年齢確認が手法とともに義務化され ている サービス - 15 未成年喫煙防止法 20歳未満の喫煙を防止するため、保 護者や事業者等にも規定を設けてい る。 年齢確認 罰則規定はないものの、事業者側が 年齢確認等必要な措置をとることと している。 その他 (小売業、親 権者) 民法改正にともない、未成年から20歳未満に表記が改められた。 16 未成年飲酒防止法 20歳未満の飲酒を防止するため、保 護者や事業者等にも規程を設けてい る。 年齢確認 罰則規定はないものの、事業者側が 年齢確認等必要な措置をとることと している。 その他 (小売業、親 権者) 民法改正にともない、未成年から20歳未満に表記が改められた。 17 コンビニ業界における酒･たばこ販売 時の年齢確認ガイドライン デジタル技術を活用した年齢確認方 法を整理した上で、過去の行政ルー ルを参考に、必要とされる年齢確認 手法とその保証レベルについて、⼀定 の基準を示し、それでも残りうる罰則リ スクを提示し注意喚起を行 うことで、 小売業界におけるデジタル技術を活 用した年齢確認を少しでも後押しす る 当⼈認証 年齢確認 あくまでもガイドラインなため強制力は 存在しない。しかし、コンビニのセルフ レジにて酒・たばこを販売する際には ガイドラインに定めた身元確認・当⼈ 認証を図る必要がある。 サービス (コンビニ) マイナンバーカードのスマートフォン搭載が進めば新たな方法を検討できる。具体的には、身元 確認については、マイナンバーカードのスマートフォン搭載を利用して、PIN コードを入力すること で生年月日を確認することが可能となる（身元確認レベル３）。また、当⼈認証については、 スマートフォンアプリ内の JAN コードや QR コード呼び出す際に生体認証等を行い提示する方 法（当⼈認証レベル２）が考えられる。 39 国内の法規制・ガイドライン（年齢確認） アイデンティティに関連するものとして、年齢確認に関する法規制・ガイドラインも挙げられます。オ ンラインでのサービス提供・享受が増えたことにより、年齢確認が必要なコンテンツをインターネット 上で確認・保証する方法で動きがあります。 ※本資料に記載されている各法規制の概要や解釈はOIDF-J ⼈材育成ワーキンググループに所属しているメンバー間で情報を連携するために整理したものであり、⼀般的な法律の解釈として正しさを証明できるものではありません。

40. Biz WG 下半期テーマ③ グローバルのアイデンティティに関する動向 ～各国の個⼈情報保護法～

41. Copyright ©︎ OpenID Foundation Japan 41 テーマ③ グローバルのアイデンティティに関する動向 グローバルのアイデンティティに関する動向としては、個⼈情報保護法の観点から各国の動向をつかむための調査・資料化を実 施しました。

    目的 想定 読者 調査 内容 • 製品・サービスのグローバル展開を目指す際には、展開先の国の個⼈情報保護法を把握し対応する必要がある • 日本語で他国の個⼈情報保護法を解説した資料は限られており、中でも体系化された資料は少ない • 経済規模が多い・成長中の国の個⼈情報保護法について調査・整理し、日本の個⼈情報保護法も同じ観点で 整理することで、調査対象とした国の個⼈情報保護法の概要をつかむきっかけとなる資料を目指した 他国への展開を検討中の個⼈情報を扱う事業者や、それらビジネスやシステムの構築を支援するITベンダーやコンサ ルタント 1. 個⼈情報保護に関する調査を行う国を選定（担当者が調査したい国を4か国選定。経済規模が大きい、もしく は成長中の国とし、日本語情報が限られている国を優先） 2. 各国について大まかな観点を３つ決めて調査・整理（基礎データ、策定の経緯、当該法の概要・要点） 3. 比較対象としての日本の個⼈情報保護法について２．と同じ観点で調査・整理 4. 各国の「策定の経緯」「当該法の概要・要点」をもとに比較点を整理し、類似する面や異なる面を記載

42. Copyright ©︎ OpenID Foundation Japan 42 テーマ③ グローバルのアイデンティティに関する動向 今回の調査対象はインド、タイ、オーストラリア、アメリカとしました。それぞれの所感は以下の通りです。 インド

    タイ オース トラリア • 策定の経緯に国民ID制度が密接に関わっていることが特徴として見受けられた。例えば、データ本⼈の同意なしに 個⼈データを処理できる「特定の目的での正当な利用」に含まれる状況にもそれが表れている • 「同意管理者」の設置や、同意を撤回する権利への言及、同意の撤回に伴うデータの削除などをデータ受託者に 求めるなど、「同意」に重きを置いていることが特徴的であると感じた • 2020年の本格施行まで個⼈情報保護に関する法律が存在しなかった • タイ警察から「本⼈の同意なしに個⼈が写った写真や動画をSNS等に公開することは個⼈情報保護法に違反す る」と明確に示されている点が他国と比べて特徴的な例であると感じた • オーストラリアの国民健康保険の情報漏えい、民間企業からの大規模な漏えいなど、情報漏えいが大きな社会問 題となり、以下のようなプライバシー法の改正と大きく関係しているように見受けられる。 ▪2017年 データ漏えい時の関係組織および本⼈への通知の義務化 ▪2022年 罰則強化、域外適用要件の見直し、関係組織の大幅な権限強化 アメリカ • 各州でプライバシー保護の法が施行されているが、⼀方で施行されていない州もある。施行されていない州でのプラ イバシーの取り扱いを理解するためにはより細かい整理が必要となる • 施行の経緯については、個⼈の権利保障として市民運動から形成されている点もあり独特であると感じた

43. Copyright ©︎ OpenID Foundation Japan 43 興味がある方のご参加をお待ちしています！ 様々な視点を持つ方々との交流を通じ、アイデンティティに関するビジネスについて議論していきたい と考えています。 •

    アイデンティティのビジネスに関する経験をお持ちの方 • これから⼀緒にアイデンティティについて勉強していきたい方 興味を持っていただけた方は、参加について是非ご検討ください！ https://www.openid.or.jp/about/index.html#op-about-joining

44. Thank You