第1回：「高ければよい」ではなく「適切である」ことの意味

本人確認が厳密であることは、不正アクセスを防ぐうえで非常に重要です。

この点については、パスキーのような技術が認証の設計余地を広げました。一方で、ビデオインジェクション攻撃、生成AIを用いたディープフェイクは、本人確認の前提そのものを揺さぶっています。とりわけビデオベースの本人確認は、「カメラに映っている顔がその場にいる本人であり、その映像が途中で改ざんされていない」ということを暗黙の前提にしてきました。ところが、生成AIによって実在人物の顔や声を高度に模倣した映像をリアルタイムに差し込めるようになると、顔写真との見た目の一致や従来型のライブネスチェックだけでは、本人性の裏付けとして不十分になる場面が生じます。

さらに、近年のサービス多様化やオンライン手続きの拡大に伴い、本人確認は行政や金融だけの専門論点ではなくなりました。本人確認は、事業設計、利用者体験、プライバシー、アクセシビリティ――これらが同時に衝突するビジネス課題へと姿を変えたのです。

こうした環境変化を受け2025年、世界で多く参照される米国のNIST SP 800-63 Digital Identity Guidelinesの改訂版NIST SP 800-63-4がリリースされました。そして日本でも本人確認の対策基準であった「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン（2019年版）」が再編され、「DS-500 行政手続等におけるトラストおよびデジタルアイデンティティに関するガイドライン群」として関連文書の作成と改訂が続けられています。

そこで本コラムでは、新たなDS-500シリーズの中で標準ガイドラインであるDS-511の改定内容を紹介するとともに、企業への影響と求められる対応について考察します。

なぜ今、本人確認の標準やガイドラインが見直されているのか

本人確認の標準やガイドラインが見直されているのは、単に文書の更新時期がきたからではありません。デジタル空間で提供されるサービスの種類、利用者層、接点のあり方が大きく変わり、同時に、本人確認と当人認証に対する攻撃の種類も変わったからです。NIST SP 800-63-4は、「SP 800-63の初版が公表されて以来、アイデンティティサービスの構成、モデル、利用可能性は大きく変化してきました。それと同様に、利用者に対して安全で、プライバシーに配慮し、かつ使いやすいサービスを提供する際の考慮事項や課題も変化してきました。今回の改訂は（中略）、これらの課題に対応するものです。（The composition, models, and availability of identity services have significantly changed since the first version of SP 800-63 was released, as have the considerations and challenges of deploying secure, private, and usable services to users. This revision addresses these challenges）、と説明しています。

日本側でも、有識者会議ではパスキーの登場、さまざまな攻撃の顕在化、そして本人確認そのものへの社会的な注目の高まりが繰り返し言及されています。

つまり、今回の見直しは、既存の制度を言い換える作業ではなく、「本人確認とは何を守る仕組みなのか」を現代のサービス環境に合わせて再定義する作業だったと考えられます。

しかも、見直しの対象はセキュリティだけではありません。NISTは全社的リスクマネジメントの文脈で、デジタルアイデンティティに関する判断は情報セキュリティ、不正対策、プライバシー、顧客体験をまたいで行われるべき（In a digital identity risk management context,（中略）are not limited to, information security, fraud, privacy, and customer experience）」だと述べています。

注目すべきは、本人確認が強くなれば他の問題は自動的に解決する、という発想がすでに通用しなくなっていることです。より正確に言えば、本人確認はセキュリティの一部であり続ける一方で、もはやセキュリティだけで完結する論点ではなくなっています。

新しいDS-511とは何か――日本の行政・公共文脈で何を整理した文書なのか

DS-511は、2025年9月30日に策定されたNormative（政府情報システムの整備及び管理に関するルールとして順守する内容を定めたドキュメント）に位置付けられる附属文書であり、国の行政機関が行政手続等において申請者の本人確認を行う際の、デジタルアイデンティティに関する枠組み、対策基準、リスクの評価手順、本人確認手法の選定方法を示す文書です。従来のDS-500を全面改定し、文書番号と名称を改めたうえで、「トラストおよびアイデンティティ関連ガイドライン群」の再編の中に位置づけ直されています。これは単なる名称変更ではありません。本人確認を「オンライン本人確認の手法」に閉じた話としてではなく、デジタルアイデンティティ全体の文脈で扱う必要が生じたことの表れでもあります。

その中でDS-511が最も象徴的に打ち出したのが、「保証レベルは高ければ高いほどよいわけではない」という改定趣旨です。文書は、必要以上に厳格な本人確認が、プライバシー面で望ましくないだけでなく、事業目的や公平性を阻害し得ることを明示したうえで、「事業目的の遂行」「公平性」「プライバシー」「アクセシビリティ及びユーザビリティ」「セキュリティ」という5つの観点を導入しています。さらに、本人確認を構成する要素として、身元確認、当人認証、そしてそれらを他者に依拠して実現するフェデレーションを明確に区別しています。

図表1：DS-511にみる「適切な保証レベル」の観点と要素

この更新の意味は、手法一覧の入れ替えにあるのではありません。本人確認を、より強い手法を選ぶ技術問題から、複数の影響を同時に評価する設計問題へ引き上げたことにこそ意味があります。

NIST SP 800-63-4とは何か――世界の議論は何を更新したのか

冒頭で書いたNIST SP 800-63-4は、63A、63B、63Cという関連文書群と合わせて、デジタルアイデンティティ実装の技術的・プロセス的指針を示す体系です。63Aは主に身元確認、63Bは認証、63Cはフェデレーションを扱ったもので、リスクベースかつ実装者中心の観点から、より明確に位置づけたものです。

NIST SP 800-63-4が前面に押し出しているのは、リスクベースかつ利用者中心のデジタルアイデンティティ管理です。NISTは、デジタルアイデンティティに関する判断ではセキュリティだけでなく、不正対策、プライバシー、顧客体験を同時に考慮すべきだとし、さらに保証レベル（確からしさを段階的に表現するためのレベル）の個別調整によって初期保証レベルを調整し、補完的対策や代替統制を用いる余地まで記載されています。加えて、オンラインサービスに個人情報や検証済み属性が不要であれば、身元確認自体が不要なケースもあると明示しています。問いの核心は、すべてのサービスを高保証へ引き上げることではなく、機能、利用者、影響度、脅威環境に応じて、どこにどのレベルの保証が必要なのかを分解して考えることにあります。

「高ければよい」では足りない理由

「高保証が望ましいなら、セキュリティ強度はできる限り高いレベルを選べばよいのではないか」という反論は、もちろんあり得ます。しかし、DS-511もNISTも、そうした主張を明確に退けています。DS-511は、厳格な手法が事業目的や公平性を阻害し得ることを明記し、NISTは、より低い脅威環境や機能分割に応じて、ある機能は低い保証レベルで提供しつつ、必要な箇所だけを高く保護する設計余地を認めています。さらに NISTは、影響度評価をもとに、最初に設定する保証レベルである初期保証レベルを選んだ後でも、脅威耐性、プライバシー、顧客体験を踏まえて補完的対策や個別の調整を行うべきだとしています。言い換えれば、保証レベルは、必要な厳密さを示す指標ではあっても、目的そのものではありません。目的は、必要な保護を、必要な場所に、説明可能な形で配置することです。

この点を見誤ると、設計は二つの方向で破綻します。一つは、過剰に厳格な本人確認を一律適用し、利用阻害や例外措置の増殖を招くケースです。もう一つは、本人確認の強度を上げたつもりで、実は身元確認、認証、フェデレーションのどこに保証が必要かを分解しないまま、見た目だけを強くしてしまうケースです。NISTが保証レベルをIAL、AAL、FAL¹に分けて扱うのも、DS-511が身元確認、当人認証、フェデレーションを分けて定義するのも、この混同を避けるためです。問われているのは、どの方式が最も堅いかではなく、どの機能に、どの失敗を防ぐための保証が必要か、という設計の粒度です。

5つの観点で見ると、本人確認設計の評価軸はどう変わるのか

ここまで述べてきたように、今回の改定の核心は「どの方式が強いか」ではなく、「何を守るために、どの条件で方式を選ぶか」にあります。では、その判断を具体的に支える評価軸は何でしょうか。そこで重要になるのが、DS-511が示した5つの観点です。

DS-511にはこれらの評価に「事業目的の遂行」「公平性」「プライバシー」「アクセシビリティ及びユーザビリティ」「セキュリティ」の5つの観点が重要であると挙げられています。これは、セキュリティだけを単独で最適化した結果、制度やサービス全体が失敗することを防ぐためと考えられます。事業目的の遂行という観点では、本人確認で使われる手段が手続きそのものの完遂率を下げるべきではありません。「公平性」という観点では、特定の書類や端末、生活条件を前提にした設計が、利用機会の偏在を生み得ることへの考慮が必要です。「プライバシー」という観点では、「念のため」に属性を取り過ぎること自体がリスクになります。「アクセシビリティ及びユーザビリティ」という観点では、安全でも完了できない設計は失敗と言えます。そして「セキュリティ」は、それらの影響を踏まえた上で、なお許容できない脅威にどこまで耐えるかを考える観点になります。DS-511は、これらを並列の評価軸として置くことで、本人確認を単純な強度比較から切り離しました。

こうした多面的な評価は、DS-511に固有のものではありません。NIST側の言葉に置き換えるなら、これはプライバシー、顧客体験、脅威耐性を同時に見るということです。NISTは、顧客体験を単なるUI論ではなく、信頼と継続的参加を左右する要素として扱い、誤った操作を起こしにくくし、起きても回復しやすい設計を求めています。ここでDS-511とNISTを並べて読む意味が見えてきます。日本の行政・公共文脈で「適切な保証レベル」を語り、もう一方ではより一般化されたデジタルアイデンティティのリスクマネジメントの言葉で、同じ問題を説明しているのです。両者に共通するのは、本人確認を「堅さの競争」から、「複数の観点を同時に保つ設計」へ移す視点です。

セキュリティ責任者が見直すべき設計判断とは何か

セキュリティの責任者の立場から見て、問うべきなのは、「どの本人確認方式を採るか」ではなく、「どのリスクを、どの機能で、どの程度まで受容するのか」を説明可能にできているかです。

まず必要なのは、手続を一枚岩で捉えず、利用者群、機能、影響度を分けることです。そのうえで、身元確認が必要なのか、認証のみで足りるのか、フェデレーションに依拠できるのかを整理し、初期の保証レベルを選ぶ。そして、その選択がプライバシー、顧客体験、公平性、アクセシビリティにどのような負荷を与えるかを評価し、必要なら補完的対策や代替経路を加える。この順序を踏まないと、本人確認はサービス全体を見て設計された仕組みではなく、ただ確認を厳しくするだけの施策になってしまいます。

もう一つ重要なのは、判断の文書化です。NISTは初期保証レベル、調整後保証レベル、その理由、補完的対策、補足統制を記録することを求めています。DS-511もまた、懸念やギャップがあれば複数手法の併用、追加対策、より高い保証レベル、より低い保証レベルと補完策、例外措置まで正式な検討対象にしています。

これは、本人確認の正しさが方式名ではなく、選択理由と残余リスクの説明可能性で測られることを意味します。

図表2：本人確認設計の判断フローと過剰本人確認の兆候チェック表例

例えば、図表2の兆候に当てはまる場合は、過剰な取得や不必要な制約が入り込んでいる可能性があります。その際は右側の観点から、事業目的・公平性・プライバシー・説明可能性の面で設計見直しを検討する必要があると考えられます。

まとめ

ここまで書いたDS-511とNIST SP 800-63-4の改訂が示しているのは、本人確認を「より堅い方式の選定」ではなく、「何を守り、何を許容し、どの負荷を引き受けるか」という設計判断として扱うべきだということと考えられます。そして、改定は、本人確認を取り巻く環境の変化に従い、今後も継続されることでしょう。

本稿では、本人確認について方式の優劣ではなく、なぜ今この論点が更新されているのか、そして自社の本人確認をどの視点で見直すべきなのか、という問いそのものである、ということをご紹介させていただきました。

今後の連載では、第2回で偽造書類やディープフェイクの脅威を踏まえた本人確認の見直しを、第3回で本人確認を他システムとどう連携させるかというフェデレーション設計を、第4回で例外措置や回復フローを含む継続的統制の考え方を取り上げる予定です。

• NIST SP 800-63-4 Digital Identity Guidelines
• DS-511 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン
• DS-512 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン 解説書

¹ IAL（Identity Assurance Level：身元確認の保証レベル）、AAL（Authentication Assurance Level：当人認証の保証レベル）、FAL（Federation Assurance Level：フェデレーションの保証レベル）