第2回：偽造書類・ディープフェイク時代の本人確認――デジタル庁の新本人確認ガイドラインは何を見直し、どうガイドしているのか

第1回

オンライン本人確認は、もはや特別な導入テーマではありません。金融、公共、消費者向けサービスを問わず、登録や申請の入り口は急速にデジタルへ移っています。ところが、ここで見落とされがちなのが、「オンラインで確認できる」ことと「十分に信頼できる」ことは別だという点です。

デジタル庁は2025年9月、行政手続におけるオンラインによる本人確認の手法に関するガイドライン（DS-500-1）の全面改定で、本人確認を身元確認、当人認証、フェデレーションという構成要素に分類。保証レベル、対策基準、補完的対策、継続評価まで含めて整理し直し、「DS-511行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン」（以下、DS-511）として公表しました。さらに2026年2月「DS-512行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン 解説書」（以下、DS-512）において、なぜその見直しが必要になったのか、どのように読み解き、どのように方式選定へ落とし込むべきかの解説を補っています。本稿では、これらのガイドラインに記載されている中でも「身元確認の見直し」に焦点を当てて解説していきます。

1. 見直しの出発点は、攻撃者の前提が変わったこと

今回の見直しの背景には、攻撃者側の偽造コストが大きく下がったことがあります。またDS-512は、本人確認書類の偽造・改ざんが高度化・巧妙化したことを指摘、十分な道具や訓練を備えた環境でなければ検出が難しくなりつつあると説明します。ビデオベースの身元確認では、その難しさはさらに増します。

脅威の種類はさまざまで、偽造・改ざん書類の問題や、カメラに偽の顔や映像を見せるプレゼンテーション攻撃、映像処理の途中で偽データを注入するビデオインジェクション攻撃、さらに生成AIを用いたリアルタイムの顔置換などがあり、それぞれ性質が異なります（図表1）。

ここで押さえておきたいのは、DS-511/512が求めているのは脅威をひとまとめに恐れることではなく、何が破られやすくなったのかを個別に捉えることです。

2. DS-511/512は身元確認の何を見直し、解説しているのか

DS-511とDS-512で記載されている内容のうち、身元確認の観点で見ると、DS-500-1から見直しされた内容は少なくとも3つあります。第一に、身元確認の厳密さが高ければよいということではなく、事業目的や公平性、プライバシー、アクセシビリティおよびユーザビリティ、セキュリティの五つの観点から選ぶという原則を前面に出したこと。第二に保証レベルと対策基準を整理しつつ、ビデオベース身元確認のように一律基準化しづらい領域は個別検討事項として扱ったこと。第三に、手法選定を単発の方式決定ではなく、補完的対策や例外措置まで含めた設計判断にしたことです。

この点について、DS-512は解説書として脅威の変化、技術の背景、主要手法の具体例、検討の順番に触れ、ワークシートまで備えた「制度文言を設計判断へ変換するためのガイド」となっています。（図表2）

身元確認の文脈では目視中心の確認から電子的検証も含めた方法の必要性が記載されています。目視確認で可能なのは、券面や顔貌の「見た目の整合性」です。対して電子的検証が見ているのは、ICチップ、デジタル署名、発行元が保証したデータ、あるいは権威ある情報源と照合された属性です。違いは、何を信頼の基点にしているかにあります。

この点でDS-512は、精巧な偽造・改ざんを厳密に検知したい場合、目視は限界があるということを示しています。そして、必要な属性、対象手続の保証レベル、利用者が使える書類や端末、法令や業務上の前提、そして公平性やアクセシビリティまで含めて、どこまで電子的検証を組み込むのが妥当かを判断せよ、と記載しています。

実務的には、この違いは非常に大きいものです。券面画像を取得してOCR（文字認識処理）をかけているだけのフローと、発行元の保証に基づく真正性確認まで行っているフローは、同じ「オンライン本人確認」に見えても、防御している対象が異なるためです。比較の軸は「オンライン対応かどうか」ではなく、「何を検証しているのか」です（図表3）。

3. 企業が見直すべきは、実装方式ではなく検証の中身

このテーマを企業の設計判断に引き寄せてみると、検討したい論点はおおむね次のように整理できます。

第一に、その身元確認フローが何を電子的に検証しているのかという点です。単に書類画像を取得しているだけなのか、それとも発行元の保証やデジタル署名まで確認しているのか。この違いは、同じ「オンライン本人確認」に見えても、防御できる脅威の範囲を大きく左右します。

第二に、対策がライブネス（画面表示された人物が本物であることを確認するための技術）や顔照合だけに偏っていないかという点です。プレゼンテーション攻撃とビデオインジェクション攻撃は性質が異なるため、端末、アプリ、通信経路、画像処理のどの層で対策を講じているのかを分けて見ていく必要があります。

第三に、対面確認や物理的な検査を残すのであれば、道具や環境だけでなく、担当者の訓練やマニュアル整備まで含めて設計できているかという点です。本人確認は、示された方式を採用しただけで十分とは言えず、運用の再現性まで確保できているかが重要になります。

第四に、高強度の方式を選ぶ一方で、代替経路や例外措置が不自然に弱くなっていないかという点です。DS-511/512が強調しているのは、本人確認は本来フローだけを強くすれば足りるものではない、ということです。通常の方式と例外方式の保証差が大きければ、そこが新たな弱点になる可能性があります。

そして最後に、方式選定をセキュリティだけで判断しない視点も必要です。DS-511は、セキュリティ以外の要素を後回しにしない視点が必要と述べています。本人確認が事業目的を阻害していないか、公平性を損なっていないか、不要な属性を取りすぎていないか、完了しにくい手順になっていないか。そうした点まで含めて見ていかないと、制度上は整っていても、運用面ではうまく機能しないおそれがあります。たとえ身元確認を外部サービスに委ねたとしても、何を信頼の根拠として採用し、その不足をどの補完的対策で埋めるのかという判断は、自社に残り続けます。このため、どの方式を導入したかそのものよりも、その方式が何を根拠に本人性を支え、どの脅威にどこまで対応できるのかを、自社として説明できるかどうかが重要となります。

まとめ

偽造書類やディープフェイクが現実の脅威になったいま、本人確認は「何を根拠に信頼するのか」が改めて問われる設計課題になっています。

DS-511/512が示しているのは、より厳しい方式を一律に選ぶことではなく、脅威の性質、利用者条件、事業目的を踏まえて、適切な手法と補完的対策を組み合わせることの重要性と考えられます。

企業に求められるのは、見た目のデジタル化ではなく、自社の身元確認が何を検証し、どこに限界があるのかを説明できる状態にすることだと言えるでしょう。

• NIST SP 800-63-4 Digital Identity Guidelines
• DS-511 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン
• DS-512 行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン 解説書

第3回