毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。
- 配信日:2023年3月2日
- タイトル:欧州デジタルIDウォレット 続報
- メインスピーカー:データサイン 代表取締役社長 太田祐一
- MC:ビジネスディベロッパー 宮崎洋史
欧州デジタルIDウォレットの仕様が徐々に具体化
ランチタイムトークで取り上げたことのある欧州デジタルIDウォレット(The European Digital Identity Wallet)。技術標準などの具体的な仕様が次第に固まりつつあります。欧州委員会が2023年2月10日付で公表した文書(以下、ARF v1.0.0)を読み解いてみました。文書は欧州委員会の公式サイトからダウンロード可能です。
欧州委員会のサイトによると同文書の目的は、共通の標準や実践に基づく相互運用可能な欧州デジタルID(EUDI)ウォレットのソリューション開発に必要な仕様を提供することと記されています。
そして、この文書にはEU加盟国の専門家で構成されるeIDASのグループ(eIDAS Expert Group)の成果が盛り込まれていることが記されています。
eIDAS規則のユースケースを拡大
欧州委員会はEU加盟国の国境を越えた取引を円滑化するため、eIDAS(electronic Identification and Authentication Service)規則に基づいた取り組みを進めています。eIDASの目的はEU各加盟国の国民や企業が各国のeIDスキーム(eIDs)を用いて、他のEU加盟国の公的サービスにアクセス可能にすること、そして、オンライン環境における信頼(トラスト)の構築およびトラストサービスに基づく市場創出です。加盟国間の認証トランザクション数の推移をみると、2017年は917件でしたが2020年は62,761件へと約70倍近く伸びています。
「とはいえ、公的機関への申請などに用途が限られていて、ユースケースとして限定的であることが界隈から指摘されています」(データサイン 代表取締役社長 太田祐一)
eIDASは、eID Expert Groupが推進していますが、冒頭紹介したARF v1.0.0のアップデートの担い手に同グループが挙げられています。欧州デジタルIDウォレットはeIDASと整合性を図りながら、その仕様が策定されています。
ARF v1.0.0で欧州デジタルIDウォレットのユースケースとして第一に挙げられているのが、オンラインサービスにアクセスする際のセキュアで信頼された本人認証です。
「各種ウェブサイトにログインする際に使われることの多いソーシャルログインを代替するものとしての役割が期待されています。EUデジタルサービス法(DSA)に基づいてFacebookなどの巨大プラットフォームにもその対応が義務付けられることになりました」(太田)
欧州デジタルIDウォレットが採用する技術標準は日本も注視
欧州デジタルIDウォレットの実装に用いられる技術標準のうち、太田はいくつか注目したい点を列挙しました。
- Person Identification Data(PID)はISO/IEC 18013-5:2021で規定されたデータモデルおよび、W3Cで標準化されているVC(Verifiable Credentials)データモデル1.1に準拠しなければならない。
- PID認証においては、属性情報の選択的情報開示がデータモデルに応じてJWT(SD-JWT)とモバイルセキュリティオブジェクト(ISO/IEC18013-5)スキーマを用いて利用できるようにしなければならない。
- 認証交換プロトコル(Attestation exchange Protocol-1)として、欧州デジタルIDウォレットは、Type1(顔写真などの高い身元確認レベルを要求される認証)ではOpenID4VPをサポートしなければならない。仮名認証が求められた際には、リクエストパラメーターにOpenID SIOPv2に準拠して指定されるとよい。
などです。
「前述のように、提示された仕様をみると、日本で取り組まれているTrusted Webに共通する内容です。Trusted Webの整備では欧州デジタルIDウォレットの動向を見据えながら今後も進められるのではないかと思います」(太田)