教育機関とID管理コラム
KYCとeKYCの基礎知識!本人確認と身元確認・当人認証、IALやAALについて整理しよう
オンラインやデジタル上で行われる本人確認である「electronic Know Your Customer(eKYC)」という用語をご存知でしょうか。本記事では、このeKYCの概要と、これから大学・研究機関にとってeKYCがどのように利用されるのかを整理します。
KYCとは「本人確認」、その要素として「身元確認」・「当人認証」がある
eKYCについて述べる前に、まずは「KYC」という言葉を解説しましょう。KYCは、「Know Your Customer」の頭文字をとったもので、かつては犯罪を防ぐために、行政や金融機関などがサービス利用者の身元を知ることが主な目的でした。
現代ではデジタルサービス利用が進んだことから、行政手続き・金融などのサービスでは国が法令やガイドラインを整備し、「デジタル本人確認」が浸透してきています。こうしたデジタル本人認証やオンライン本人認証がeKYCと呼ばれています。
また、民間事業者向けでも官民連携したガイドラインが策定・公開されました※1。大学・研究機関の分野でも同様に、その有用性・実用化に向けて検討が進められているところです。
※1 「 ⺠間事業者向けデジタル本⼈確認ガイドライン 第1.0版 」(⼀般社団法⼈OpenID ファウンデーション・ジャパン KYCワーキンググループ 本⼈確認ガイドラインタスクフォース)
では、このKYCについて、もう少し詳しくその内容を見てみましょう。KYCは「顧客確認(本人確認)」を指していますが、その要素として「身元確認」と「当人認証」という2つが挙げられます。
つまり、本人であることを正しく確認するためには、「身元確認」と「当人認証」の2つの情報を確認するプロセスが必要ということです。
まず、「身元確認」の概要を見てみましょう。身元確認とは、文字通りその人の名前や住所など、その人の身元を確認するための情報です。具体的には次のようなものが挙げられます。
次に、「当人認証」では、下記のような情報が必要となります。これは、入館や入室時、何らかのシステムやサービスにログインする際に求められる情報といえます。
身元確認の保証レベル(IAL)と、当人認証の保証レベル(AAL)を組み合わせる
この「身元確認」と「当人認証」には、保証レベルが設定されています。
身元確認の保証レベルであるIAL(Identity Assurance Level)は、ユーザーが申請者として新規登録する際に⾏われる⾝元確認プロセスの厳密さ、強度を⽰しています。
一方、当人認証の保証レベルであるAAL(Authenticator Assurance Level)は、登録済のユーザーがログインする際の当⼈認証プロセスの厳密さ、強度を⽰しています。
下図では「IAL1〜IAL3」、「AAL1~AAL3」というようにレベルが記入されていますが、数字が大きくなるほど強度が高いことを意味しています。身元確認の保証レベル(IAL)と当人認証の保証レベル(AAL)を組み合わせることで、本人確認全体の強度が決まります。もし、いずれかのレベルが低い場合には、全体として強度が下がるということになります。
なお、ここでの「保証レベル」は、 NIST SP 800-63-3 Digital Identity Guidelines で定義された保証レベルをもとに、「 ⾏政⼿続におけるオンラインによる本⼈確認の⼿法に関するガイドライン (各府省情報化統括責任者(CIO)連絡会議が2019年に策定)」が定めた内容です。
もう少し詳しく見ていくと、「NIST SP 800-63-3」とは、NIST(⽶国⽴標準技術研究所)が電⼦的な本⼈確認に関し、主に⽶国政府機関向けに策定したガイドラインです。もともとは米国向けとして策定されたものでしたが、この考え方は国際的に共通するものということで、国際的な技術標準として日本を含む各国のさまざまな業界で取り入れられるようになりました。
「学認」の次世代認証基盤とeKYCの関係
これまで述べてきた本人確認の考え方ですが、大学や研究機関も無関係ではありません。オープンサイエンスが推進される中で、オープンアクセス化、GakuNin RDM採用などの取り組みを検討している際に関わってくる、「学術認証フェデレーション(学認)」では、新たな基準としてeKYC対応に向けた取り組みが進められています。
学認関連コラム 「学認」とは?知っておきたい知識とそのメリット
学認では、身元確認では「IAL2」を満たすことと、当人認証のレベルでは「AAL2」の運用を検討しているところです※2、※3。
※2
IDaaS IDaaSや共同利用機関の管理するアカウントが IAL2 を満たすためのガイドライン(案)
※3
次世代認証基盤構築のための基準策定と配備の観点からの文書評価のお願い
例えば、「IAL2」の身元確認手法は、下表で示したものが求められます。そして「AAL2」の当人認証手法は、二要素認証以上が必要ということになります。この両者を組み合わせることで、本人確認に向けてより強固な仕組みが構築されることが考えられます。
*IALは「
⾏政⼿続におけるオンラインによる本⼈確認の⼿法に関するガイドライン
」における保証レベル。
※「
⺠間事業者向けデジタル本⼈確認ガイドライン 第1.0版
」9.1「主な⾝元確認⼿法とその特徴」をもとに作成
大学・研究機関がeKYCサービスを利用する場合には?
オープンサイエンス推進など、大学や研究機関を取り巻く環境が大きく変化しています。その中で、研究機関をまたぐ共同研究、共同プロジェクトなど、組織の壁を超えてITリソースを活用する機会は今後、ますます増えていくことでしょう。
これからは、ID管理や認証管理に加えて、外部機関に属するメンバーの「本人確認」の実施もまた重要な役割を担うことになります。例えば今後、eKYCを活用するイメージをまとめると下図のようになります。eKYCサービスが本人確認を行い、IDaaS(学認対応IDaaS)を経由して学認などのクラウドサービスにアクセスすることを示しています。
今後を見据え、学認を利用する際に学認IdPとしてIDaaSを利用しようという大学・研究機関は、eKYCにも対応できることを、重要なポイントの1つとして押さえておくとよいでしょう。
まとめ
今回は、KYC(本人確認)における2つの要素、身元確認と本人認証について整理するとともに、NIST SP 800-63-3で定められた身元確認の保証レベル(IAL)と、当人認証の保証レベル(AAL)を紹介しました。
これから大学・研究機関にとってもeKYCへの対応が求められる可能性が高いと考えられます。この機会に、eKYCの概要や取り組み方について知っておいてはいかがでしょうか。
■関連コラム
- 大学・研究機関が考えるべき、オープンアクセス化推進と、学認やIDaaSの関係とは?
- GakuNin RDMによるオープンサイエンス推進で「学認IdPのIDaaS化」がなぜ必要?
- 「学認」とは?知っておきたい知識とそのメリット
- IDaaSで学認IdPを構築することで得られるメリットとは