Upgrade to Pro — share decks privately, control downloads, hide ads and more …

次世代KYC分科会 活動報告 OpenID Connect for Identity Assu...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for OpenID Foundation Japan OpenID Foundation Japan
February 26, 2026
3

次世代KYC分科会 活動報告 OpenID Connect for Identity Assurance Basic Profile with Scopes and Userinfoについて

2026/02/20 開催
OpenID BizDay#19 ~KYCWG活動報告会~ 発表資料

次世代KYC分科会 活動報告
OpenID Connect for Identity Assurance Basic Profile with Scopes and Userinfoのご紹介
作田 宗臣(ソフトバンク株式会社)

Avatar for OpenID Foundation Japan

OpenID Foundation Japan

February 26, 2026
Tweet

More Decks by OpenID Foundation Japan

Transcript

  1. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYC活動報告 OpenID

    Connect for Identity Assurance Basic Profile with Scopes and UserInfo について 2026/2/20 KYCワーキンググループ 次世代KYCサブWG リーダー ソフトバンク株式会社 作田宗臣
  2. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYCサブワーキンググループ •

    主な活動 • OpenID Connect for Identity Assurance (IDA) を活用した 国内向けプロファイルの検討 • IDA利用時のトラストフレームワークの整理 • IDA実装におけるノウハウ整理・レポート作成 • KYCにおけるIHVモデルとFederationモデルの差異の分析・整理 次世代のKYCに向けて標準仕様を活用したKYCの普及を目指すサブWG
  3. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYCサブワーキンググループ •

    主な活動 • OpenID Connect for Identity Assurance (IDA) を活用した 国内向けプロファイルの検討 • IDA利用時のトラストフレームワークの整理 • IDA実装におけるノウハウ整理・レポート作成 • eKYCにおけるIHVモデルとFederationモデルの差異の分析・整理 次世代のKYCに向けて標準仕様を活用したKYCの普及を目指すサブWG
  4. Copyright OpenID Foundation Japan - All Rights Reserved. レポートとプロファイルを公開しました(2025/9) OpenID

    ファウンデーション・ジャパン レポート公開ページ https://www.openid.or.jp/news/2025/09/openid-connect-for-identity-assurance-1.html
  5. Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect

    for Identity Assurance(IDA) 身元確認済の情報を返却できるOpenID Connectの拡張 OpenID Connect でのフロー上で、「誰が」「どのように」「いつ」「何を基に」確認したかといった情報 を、verified_claimsとして付与することができる { "verified_claims": { "verification": { "trust_framework": “jp_aml”, "time": "2021-05-11T14:29Z", "evidence": [ { "type": "document", "check_details": { "check_method": "vpip" }, "time": "2021-04-09T14:12Z", "document_details": { "type": "jp_drivers_licenses", "date_of_issuance": "2021-01-01", "date_of_expiry": "2030-12-31" } } ] }, "claims": { “name”: “XX 太郎“ } } } scope=openid claims={ “userinfo”: { “verified_claims”: [ { “verification”: { “trust_framework”: { “value”: “jp_aml" }, "evidence": [ { "type": { "value": "document" } } ] }, "claims": { "name": null } } ] } } RP 要求側 IDP 提供側 jp_amlに基づいて何らかのドキュメン トを確認した氏名情報をください jp_amlに基づいて対面で運転免許証 を確認したXXさんです 認可リクエスト抜粋 Token/UserInfoレスポンス抜粋
  6. Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect

    for Identity Assurance Basic Profile with Scopes and UserInfo • scopeによる属性情報の最小公倍数的なプリセットの定義 • エラー内容の拡張(Extension) • verified_claimsの返却ポイントをUserinfoに固定 国内のユースケース(※)をベースにIDA仕様をシンプルに整理したプロファイル IDA仕様の実装の幅を極力減らすことでわかりやすく整理 ※ 法律等で厳密な本人確認の定めはないが なんらか本人確認を実施したい民間事業者にフォーカスしたユースケース
  7. Copyright OpenID Foundation Japan - All Rights Reserved. Scopeによる属性情報の最小公倍数的なプリセットの定義 •

    OIDCに近い形での実装コストの低減/相互運用性の向上 • scopeを定義 (claims parameterは使わない) • scope単位での同意取得 国内のユースケースを基に要求する属性情報の組み合わせを整理 OAuth同様にscopeで情報を要求 RP IDP scope=openid jp_oidf_ida_with_evidence { "sub": "248289761001", "email": "[email protected]", "email_verified": true, "verified_claims": { "verification": { "trust_framework": "jp_oidf_ida", "time": "2023-01-23T01:23:45Z", "evidence": [ { "type": "document", "check_details": [ { "check_method": "vpip", "time": "2023-01-23T01:23:45Z", "document_details": { "type": "jp_individual_number_card" } } ] } ] }, "claims": { "name": "山田 太郎", "birthdate": "1956-01-28", "address": { "formatted#ja-Hani-JP": "東京都千代田区千代田1-1" } } } } 認可リクエスト抜粋 プリセットに対応するscope
  8. Copyright OpenID Foundation Japan - All Rights Reserved. scopeの種類 共通的に利用できる身元確認と属性情報の組み合わせを定義

    Scope値 属性情報 属性情報の提供主体 情報の発行元 1 jp_oidf_ida_with_evidence 氏名・生年月日・住所 身元確認の実施主体 公的機関等 2 jp_oidf_ida 3 jp_oidf_ida_age_over_16 16歳以上 4 jp_oidf_ida_age_over_18 18歳以上 5 jp_oidf_ida_age_over_20 20歳以上 6 jp_oidf_ida_msisdn 電話番号 属性情報の発行元 通信キャリア等
  9. Copyright OpenID Foundation Japan - All Rights Reserved. エラー内容の拡張(Extension) •

    userinfoリクエストでverified_claimsだけを返却できない場合にエラー情報を合わせて返却 • IDAでは属性情報(VerifiedClaims)を返却できない場合、Claimを省略/一部のみ返却 • エラーコードを定義することで、RPが適切なエラーハンドリングを行うことができる verified_claimsを返却できない場合のエラーの返却を定義 { "sub": "248289761001", "email": "[email protected]", "email_verified": true, "verified_claims": { "verification": { "trust_framework": "jp_oidf_ida" }, "claims": {}, "__response_metadata": { "error": "verified_claims_unavailable", "error_description": "", "error_uri": "" } } } { "sub": "248289761001", "email": "[email protected]", "email_verified": true } userinfo レスポンス例 Verified_Claimsの返却をしない verified_claimsの情報なし verified_claimsがなぜ返却できない のかを記載 userinfo レスポンス例 エラー返却あり
  10. Copyright OpenID Foundation Japan - All Rights Reserved. verified_claimsの返却ポイントをUserinfoに固定 •

    認証と属性取得を明確に分けることで、APIごとの制御がやりやすい • 認証はOKだが属性情報が返せないなどの判断に迷うケースを減らす • 属性情報取得を課金対象としたい場合、APIが分かれているほうが望ましい verified_claimsの返却タイミングをUserInfoに統一 認証と属性情報取得を明確に分けることで、管理・設計のブレをなくす RP IDP ID Token(認証結果 + verified_claims) 認証要求 UserInfo(verified_claims) 属性情報要求(UserInfo) UserInfo EP 認可 EP
  11. Copyright OpenID Foundation Japan - All Rights Reserved. まとめ •

    要求が容易:用途ごとに「情報のセット」が決まる • 管理が容易:返却をUserInfoに統一して監視・計測対応しやすい • 扱いが容易:verified_claimを返却できない理由がわかる OpenID Connect for Identity Assurance Basic Profile with Scopes and UserInfo =主に国内に合わせて導入・運用しやすいシンプルな仕様として作成