デジタル庁が2月に公表した「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン解説書（DS-512）」を読んだので、それについて書いていきます。しばらくインプットに集中していたからなのか、いつも以上に雑駁ですみません…

 

総論

• 本文書は、昨年公表された「行政手続等での本人確認におけるデジタルアイデンティティの取扱いに関するガイドライン（DS-511）」の解説書である。ガイドラインが政府情報システムに関するルール設定を目的としている（Normative）のに対して、本文書は、情報提供を目的としている（Informative）。本文書は、ガイドラインよりも頻繁な改訂を予定しており、そのことを反映して、「本人確認に関する直近の動向（2026年初頭）」から始まっている（2頁）。
• 「本人確認手法の検討方法」（30頁〜）は、リスクマネジメント（リスクアセスメント、PIA、DPIA）の例としても参考になると思われる。
• 主要な本人確認書類の解説（51頁〜）は、マネロン・金融犯罪対策に関わる人は一読すべきだと思われる。

 

各論

• 署名用電子証明書は、「電子署名を目的とした機能であるため、対象手続が電子署名を必要としない場合においては、券面事項入力補助AP等他の機能の 利用を検討すべき」（57頁）との記述は、興味深い。それ自体としては当然の内容ではありつつ、カード代替電磁的記録との使い分けを意図しているのかもしれない。なお、本ガイドラインにおいてというよりは一般的にだが、カード代替電磁的記録についての説明はもう少しあってもよいのではないかと思う。また、「使い分け」に関連して、「最新の利用者情報提供サービス」を使うためにJPKIを使用しているケースがどの程度あるのかが気になった。
• カード代替電磁的記録について、選択的開示ができることが明記されているが（54頁）、選択的開示を行う場合（つまり、全属性の開示を行わない場合）、番号法上の「カード代替電磁的記録」を送信しているわけではないことになるのだろうか。番号法上、「カード代替電磁的記録」は、「前項第一号から第五号までに掲げる事項（注：個人番号カードの記載事項）及び本人の写真…に係る電磁的記録」である必要がある。
• 本人確認書類の解説の箇所で、貸し借りに言及がなされているが、本人協力型の不正は対処が難しいと（改めて）感じる。貸し借りを完全に封じることができたとしても、本人がサービスを第三者のために悪用することは可能であるのであり（本人しか悪用できないようにすれば、アイデンティティ管理のミッションは一通り完了するかもしれないが）、送金代行行為の処罰が提案されたのは、そのことの帰結かもしれない。
• 本人確認書類の解説の箇所は、実は、網羅的ではないものの、各種の本人確認（＝身元確認）手法のリスクアセスメントシートにもなっており、犯収法施行規則にも見直しを迫るものになっているように思われる。なお、現行規則の下でも、金融機関には、マネロンガイドラインの下で、同様のリスクアセスメントが求められる。
• Verifiable Credentialsはガイドライン・解説書のスコープから除外されているものの、「スマートフォンに搭載された本人確認書類等の扱いについて」（76頁〜）は、かなりVCを想定した記載に見える。
• パスキーは、特に金融分野で（特に各種監督指針改正により）にわかに知られるようになっていると思われるが、当然silver bulletではなく、82頁に要点が簡潔にまとめられている。デジタル署名なので、暗号アルゴリズム自体が安全でも、鍵管理が不適切なら簡単に破られるという、暗号に関して従来から言われてきたことがそのまま当てはまるのだと思われる。
• 「「利用者の責任」から「システムの責任」へ」（89頁）は、証券口座乗っ取り事案の処理や、暗号資産という究極の「利用者の責任」モデルに関連する、興味深い指摘である。PSD3のconfirmation of payeeに関するルールも、これと似た発想なのではないか。