Stephen Davidson - デジサートのGovernance, Risk and Compliance 及び、CA/B フォーラムS/MIME証明書ワーキンググループ議長 このパンデミックは、オンライン取引やリモートワークへの決定的な移行をもたらし、世界中のほぼすべての業界を変えました。ウェブ会議やオンライン取引など、身近なツールがすぐに日常業務を活性化してくれました。しかし、規制のある分野や高額な取引では、オンラインでのID（身元）審査を含め、これまで対面でのやり取りが必要とされてきたため、移行はより慎重に行われました。

オンラインID審査とは？

ID審査とは、申請者のID属性が正確に収集され、検証され、証明されていることを確認するプロセスです。近年、オンラインによるID審査、つまりID審査のプロセスを従来の対面方式からデジタル方式に移行する傾向が強まっています。しかし、パンデミックの発生により、組織がテレワークに移行する中で、個人の身元を認証する必要性が生じたため、この問題がクローズアップされました。しかし、オンラインでのID審査については、対面での確認と同等の保証を提供する普遍的な基準がありませんでした。

2019年後半、私はENISA（サイバーセキュリティの欧州連合機関）のCA Day（サービスフォーラム）で、リモート審査に関する明確な基準の策定を促すスピーチを行いました（英語リンク）が、切迫したパンデミックが、この分野への関心を加速させることになるとは思いませんでした。つまり、COVID-19による制約によって、EUのトラストサービス・プロバイダー（TSP）はリモート審査を支持する方向に大きく舵を切り、規制当局や標準化団体は、オンラインでIDやユーザーの身元を確認するための一貫したルールを急いで策定するという必要性を認識させることになりました。

規制に関する注意事項

欧州のeIDAS規則（EU全域にわたる電子署名の法的枠組みと、電子署名、タイムスタンプ、eシールなどを含む、トラストサービスの範囲を定めた法律）では、TSPが多くの認定サービスへユーザーを登録する際には、対面でのID証明（または「同等の保証」を提供する方法の使用）が必要とされています。しかし、それぞれの国内基準では、対面での身元証明に代わる、遠隔地での「同等の保証」として認められている技術や方法にばらつきがあります。 規制当局が慎重になっているのは、リモート審査に利用できる代替技術が急増していること、リスクを評価する一貫した国際基準がないこと、失敗率に関するデータが少ないことなどが理由として挙げられます。さらに、規制当局は、長年にわたって実績のある、物理的なID文書を直接取り扱うための基準やプロトコルとの同等性を主張するための、リモート審査の要件についても議論しています。 偶然にも、EUは数年前にこの変化を予見し、「シームレスな電子IDの信頼性」を継続的な開発の優先分野の一つとし、電子署名とインフラに関するETSI技術委員会（英語リンク）（ESI）は、一貫したID証明を作成するための追加規格の開発を担当することになりました。

ID証明に関するETSIの新規格

2020年の初めに、ETSIはSTF588（英語リンク）と呼ばれる専門のタスクフォースを編成し、（実生活とオンラインの両方での）ID証明に焦点を当てました。その第一歩として、タスクフォースはID証明に関連する国際的な技術、法律、仕様、ガイドライン、規格などを幅広く検討しました。ここからタスクフォースは、ID証明に関する価値ある概論を作成しました。

STF 588 の最初の作業成果である ETSI TS 119 460（トラストサービス対象者のID証明のための技術と規制要件の調査）は、50近くの国際規格と、ID属性の収集と検証、申請者への属性の結合、および証拠の適切な保持に対するそれぞれのアプローチを分析しました

STF 588からの影響力のある2つ目の作業成果は、ETSI TS 119 461（トラストサービス対象者のID証明を提供するトラストサービスコンポーネントのポリシーおよびセキュリティ要件）であり、現在ドラフト中で2021年7月に発行される予定です。

本規格は、認定証明書を発行するTSPなどのeIDASトラストサービスのID証明用に設計されていますが、世界中のさまざまな業界の電子ID（eID）および顧客確認（KYC/AML）プロセスに、即座にかつ広範な関連性を持つことになります。

物理的にも仮想的にも一貫性がある

ID証明に使用されている多種多様な技術や斬新なアプローチに対応するため、ETSIの新規格では、すべての可能性のある方法で一貫したセキュリティレベルを維持しつつ、特定の技術的ソリューションに対する規範的な要件を避けることを目指しています。重要なことは、この新基準が、信頼性とリスク管理の観点から、対面式とリモートの両方の認証シナリオに一貫したガイドラインを提供していることです。

最終的には、この新しい規格を、リモート審査を使用する認定TSPの適合性評価に使用したり、ID証明のための独立した専門プロバイダの評価に使用したりすることを目標としています。 この規格は、EU規則2015/1502（eIDASに関連するeID保証レベルの最低技術仕様を定めたもの）で特定された、実質的なレベルと高いレベルの両方に適用できることを目指しています。

ゲームチェンジャー

ETSI TS 119 461は、欧州全域で必要とされている認定TSPによるID証明の規制の一貫性を提供し、世界中の同様なスキームの重要なモデルとなります。デジサートは、ETSIに積極的に参加しており、ETSI TS 119 461は、ID証明のための新しいツールやアプローチが急速に進化することを認め、それらをトラストサービスの要件に組み込むための技術的に中立なアプローチを示した、率直な一歩だと考えています。

さらに重要なことは、登録の際の摩擦をなくし、TSPや監督体制の間で一貫した品質の検証をサポートすることで、個人や企業が高保証のオンラインサービスを利用するためのアクセスを民主化するのに役立つ、ということです。