次世代KYC分科会 活動報告 OpenID Connect for Identity Assurance Basic Profile with Scopes and Userinfoについて

Transcript

1. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYC活動報告 OpenID

   Connect for Identity Assurance Basic Profile with Scopes and UserInfo について 2026/2/20 KYCワーキンググループ 次世代KYCサブWG リーダー ソフトバンク株式会社 作田宗臣

2. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYCサブワーキンググループ •

   主な活動 • OpenID Connect for Identity Assurance (IDA) を活用した 国内向けプロファイルの検討 • IDA利用時のトラストフレームワークの整理 • IDA実装におけるノウハウ整理・レポート作成 • KYCにおけるIHVモデルとFederationモデルの差異の分析・整理 次世代のKYCに向けて標準仕様を活用したKYCの普及を目指すサブWG

3. Copyright OpenID Foundation Japan - All Rights Reserved. 次世代KYCサブワーキンググループ •

   主な活動 • OpenID Connect for Identity Assurance (IDA) を活用した 国内向けプロファイルの検討 • IDA利用時のトラストフレームワークの整理 • IDA実装におけるノウハウ整理・レポート作成 • eKYCにおけるIHVモデルとFederationモデルの差異の分析・整理 次世代のKYCに向けて標準仕様を活用したKYCの普及を目指すサブWG

4. Copyright OpenID Foundation Japan - All Rights Reserved. レポートとプロファイルを公開しました(2025/9) OpenID

   ファウンデーション・ジャパン レポート公開ページ https://www.openid.or.jp/news/2025/09/openid-connect-for-identity-assurance-1.html

5. Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect

   for Identity Assurance（IDA） 身元確認済の情報を返却できるOpenID Connectの拡張 OpenID Connect でのフロー上で、「誰が」「どのように」「いつ」「何を基に」確認したかといった情報 を、verified_claimsとして付与することができる { "verified_claims": { "verification": { "trust_framework": “jp_aml”, "time": "2021-05-11T14:29Z", "evidence": [ { "type": "document", "check_details": { "check_method": "vpip" }, "time": "2021-04-09T14:12Z", "document_details": { "type": "jp_drivers_licenses", "date_of_issuance": "2021-01-01", "date_of_expiry": "2030-12-31" } } ] }, "claims": { “name”: “XX 太郎“ } } } scope=openid claims＝{ “userinfo”: { “verified_claims”: [ { “verification”: { “trust_framework”: { “value”: “jp_aml" }, "evidence": [ { "type": { "value": "document" } } ] }, "claims": { "name": null } } ] } } RP 要求側 IDP 提供側 jp_amlに基づいて何らかのドキュメン トを確認した氏名情報をください jp_amlに基づいて対面で運転免許証 を確認したXXさんです 認可リクエスト抜粋 Token/UserInfoレスポンス抜粋

6. Copyright OpenID Foundation Japan - All Rights Reserved. OpenID Connect

   for Identity Assurance Basic Profile with Scopes and UserInfo • scopeによる属性情報の最小公倍数的なプリセットの定義 • エラー内容の拡張（Extension） • verified_claimsの返却ポイントをUserinfoに固定 国内のユースケース(※)をベースにIDA仕様をシンプルに整理したプロファイル IDA仕様の実装の幅を極力減らすことでわかりやすく整理 ※ 法律等で厳密な本人確認の定めはないが なんらか本人確認を実施したい民間事業者にフォーカスしたユースケース

7. Copyright OpenID Foundation Japan - All Rights Reserved. Scopeによる属性情報の最小公倍数的なプリセットの定義 •

   OIDCに近い形での実装コストの低減/相互運用性の向上 • scopeを定義 (claims parameterは使わない) • scope単位での同意取得 国内のユースケースを基に要求する属性情報の組み合わせを整理 OAuth同様にscopeで情報を要求 RP IDP scope=openid jp_oidf_ida_with_evidence { "sub": "248289761001", "email": "[email protected]", "email_verified": true, "verified_claims": { "verification": { "trust_framework": "jp_oidf_ida", "time": "2023-01-23T01:23:45Z", "evidence": [ { "type": "document", "check_details": [ { "check_method": "vpip", "time": "2023-01-23T01:23:45Z", "document_details": { "type": "jp_individual_number_card" } } ] } ] }, "claims": { "name": "山田 太郎", "birthdate": "1956-01-28", "address": { "formatted#ja-Hani-JP": "東京都千代田区千代田1-1" } } } } 認可リクエスト抜粋 プリセットに対応するscope

8. Copyright OpenID Foundation Japan - All Rights Reserved. scopeの種類 共通的に利用できる身元確認と属性情報の組み合わせを定義

   Scope値 属性情報 属性情報の提供主体 情報の発行元 1 jp_oidf_ida_with_evidence 氏名・生年月日・住所 身元確認の実施主体 公的機関等 2 jp_oidf_ida 3 jp_oidf_ida_age_over_16 16歳以上 4 jp_oidf_ida_age_over_18 18歳以上 5 jp_oidf_ida_age_over_20 20歳以上 6 jp_oidf_ida_msisdn 電話番号 属性情報の発行元 通信キャリア等

9. Copyright OpenID Foundation Japan - All Rights Reserved. エラー内容の拡張（Extension） •

   userinfoリクエストでverified_claimsだけを返却できない場合にエラー情報を合わせて返却 • IDAでは属性情報（VerifiedClaims）を返却できない場合、Claimを省略/一部のみ返却 • エラーコードを定義することで、RPが適切なエラーハンドリングを行うことができる verified_claimsを返却できない場合のエラーの返却を定義 { "sub": "248289761001", "email": "[email protected]", "email_verified": true, "verified_claims": { "verification": { "trust_framework": "jp_oidf_ida" }, "claims": {}, "__response_metadata": { "error": "verified_claims_unavailable", "error_description": "", "error_uri": "" } } } { "sub": "248289761001", "email": "[email protected]", "email_verified": true } userinfo レスポンス例 Verified_Claimsの返却をしない verified_claimsの情報なし verified_claimsがなぜ返却できない のかを記載 userinfo レスポンス例 エラー返却あり

10. Copyright OpenID Foundation Japan - All Rights Reserved. verified_claimsの返却ポイントをUserinfoに固定 •

    認証と属性取得を明確に分けることで、APIごとの制御がやりやすい • 認証はOKだが属性情報が返せないなどの判断に迷うケースを減らす • 属性情報取得を課金対象としたい場合、APIが分かれているほうが望ましい verified_claimsの返却タイミングをUserInfoに統一 認証と属性情報取得を明確に分けることで、管理・設計のブレをなくす RP IDP ID Token（認証結果 + verified_claims） 認証要求 UserInfo（verified_claims） 属性情報要求(UserInfo) UserInfo EP 認可 EP

11. Copyright OpenID Foundation Japan - All Rights Reserved. まとめ •

    要求が容易：用途ごとに「情報のセット」が決まる • 管理が容易：返却をUserInfoに統一して監視・計測対応しやすい • 扱いが容易：verified_claimを返却できない理由がわかる OpenID Connect for Identity Assurance Basic Profile with Scopes and UserInfo =主に国内に合わせて導入・運用しやすいシンプルな仕様として作成

12. Copyright OpenID Foundation Japan - All Rights Reserved.