行政等が発行する各種身分証明書自体のエビデンス強度はこんな感じでした。
satob.hatenablog.com
一方、昨今ではオンライン手続きが拡充され、eKYCを含めオンラインでの身分証明が求められるケースも多くなりました。
- 犯罪による収益の移転防止に関する法律施行規則が改正され、第六条*1ではオンラインで完結する自然人の本人特定事項の確認方法*2が追加されました。これによりeKYCがオンラインで完結できるようになりました。
- たとえばRed Hat Learning Subscriptionによる試験の受験申込時には、運転免許証 or パスポート or 顔写真付きの社員証+健康保険証が画像データとして要求されます。*3。
そこで、各種身分証明書の写真はNIST SP 800-63Aでどの程度のエビデンス強度があるのか考えてみました。
注意: 下記では単純に、カメラ等で撮影した身分証明書の写真*4をNIST SP 800-63Aの要件と比較することでエビデンス強度の評価を試行しています。ただし、どのエビデンスについても写真の改竄が可能という問題は残ります*5。写真も含め、エビデンス自体が偽造されないかとか、エビデンスの発行プロセス自体に脆弱性がないか、という評価ってどう影響するんでしょうね?
パスポートの写真
下記の通り、単純に要件から見れば写真も強度Strongのエビデンスとして使えるように見えます。
| # | 要件 | 必須 | 判定 | 充足状況 |
|---|---|---|---|---|
| 1 | The issuing source of the evidence confirmed the claimed identity through written procedures designed to enable it to form a reasonable belief that it knows the real-life identity of the person. Such procedures are subject to recurring oversight by regulatory or publicly-accountable institutions. For example, the Customer Identification Program guidelines established in response to the USA PATRIOT Act of 2001 or the Red Flags Rule, under Section 114 of the Fair and Accurate Credit Transaction Act of 2003 (FACT Act). | 必須 | OK | パスポートの発行時には戸籍個人事項証明書(戸籍抄本)でreal-life identityが確認されています。 |
| 2 | The issuing process for the evidence ensured that it was delivered into the possession of the subject to whom it relates. | 必須 | OK | パスポートの受け取りは必ず本人が窓口で行う必要があるので、この際に目視での本人確認が行われます。また旅券の発給時には旅券法施行規則第二条に基づく本人確認が行われます。 |
| 3 | The issued evidence contains at least one reference number that uniquely identifies the person to whom it relates. | 必須 | OK | パスポートには個人と対応づけられた一意な番号としてパスポート番号があります。 |
| 4 | The full name on the issued evidence must be the name that the person was officially known by at the time of issuance. Not permitted are pseudonyms, aliases, an initial for surname, or initials for all given names | 必須 | OK | パスポートには戸籍個人事項証明書の内容をもとに申請時に記入した記載字、および印字されたアルファベットで本人の名前が印刷されます。 |
| 5 | The: Issued evidence contains a photograph or biometric template (of any modality) of the person to whom it relates. OR Applicant proves possession of an AAL2 authenticator, or equivalent, bound to an IAL2 identity, at a minimum. | 必須 | OK | パスポートには本人の顔写真が印刷されています。 |
| 6 | Where the issued evidence includes digital information, that information is protected using approved cryptographic or proprietary methods, or both, and those methods ensure the integrity of the information and enable the authenticity of the claimed issuing source to be confirmed. | 任意 | N/A | 写真なので申請性検証のための情報はありません。 |
| 7 | Where the issued evidence contains physical security features, it requires proprietary knowledge and proprietary technologies to be able to reproduce it. | 任意 | N/A | 写真なので物理セキュリティはありません。 |
| 8 | The evidence is unexpired. | 必須 | - | - |
運転免許証の写真
表は省略しますが、評価結果は運転免許証の実物と変わらず強度Strongです*6。ところで運転免許証とマイナンバーカードが一体化したとき、「身分証明書の写真を送れ」という業務フローはどう変えるんでしょうね?
健康保険証
表は省略しますが、評価結果は健康保険証の実物と変わらず強度Fairです*9。
*1:https://elaws.e-gov.go.jp/document?lawid=420M60000f5a001#Mp-At_6
*2:https://www.fsa.go.jp/news/30/sonota/20181130/20181130.html
*3:https://www.redhat.com/cms/managed-files/Red_Hat_Learning_Subscription-Standard_JP.pdf
*4:本人確認書類の画像+本人の容貌の画像送信による本人確認(犯収法6条1項1号ホ)を想定しています。
*5:たとえば、法執行機関向けのライトワンスのカメラ用SDメモリーカードというものがあります。写真の書き換えができないことをもって、証拠として妥当と判断するわけですね。参考: https://dc.watch.impress.co.jp/docs/news/376355.html
*6:任意の条件は写真なので満たせない
*7:https://elaws.e-gov.go.jp/document?lawid=425AC0000000027#Mp-At_20
*9:任意の条件は写真なので満たせない
