« 英国 デジタルID・属性のフレームワーク案の意見募集 | Main | デンマーク - データ保護局 Cookieを使用するためのクイックガイド »

2021.02.17

ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)

こんにちは、丸山満彦です。

ENISAがヨーロッパ諸国の遠隔身元証明の現状をまとめた報告書、"Remote ID Proofing"を公表していますね。。。

eIDASをサポートする報告書という感じですかね。。。

● ENISA

・2021.02.16 (publication) Remote ID Proofing

・[PDF] REMOTE ID PROOFING - Analysis of Methods to carry out identity proofing remotely

20210217-113145

 

目次

1. INTRODUCTION 1. 序論
2. IDENTITY PROOFING METHODS 2. ID証明方法
2.1 IDENTITY PROOFING PROCESS 2.1 ID証明プロセス
2.2 GENERAL METHODS DESCRIPTION 2.2 一般的な方法の説明
2.3 CURRENT PRACTICE 2.3 現在の実務
3. LEGAL LANDSCAPE & STANDARDS 3. 法的なランドスケープと基準
3.1 OVERVIEW 3.1 概要
3.2 LEGISLATION AT THE INTERNATIONAL AND EU LEVEL 3.2 国際・EUレベルでの法制化
3.3 STANDARDIZATION AT THE INTERNATIONAL AND EU LEVEL 3.3 国際・EUレベルでの標準化
3.4 NATIONAL LEVEL LAWS, REGULATIONS AND GUIDELINES 3.4 各国レベルの法律、規制及びガイドライン
3.5 DATA PROTECTION 3.5 データ保護
3.6 SELF-SOVEREIGN SYSTEMS 3.6 自己防衛システム
4. RISK MANAGEMENT 4. リスク管理
4.1 INTRODUCTION 4.1 はじめに
4.2 RISK IDENTIFICATION 4.2 リスクの特定
4.3 RISK BASED SECURITY 4.3 リスクベースのセキュリティ
5. GAPS AND RECOMMENDATIONS 5. ギャップと推奨事項
5.1 OVERVIEW 5.1 概要
5.2 IDENTIFIED GAPS 5.2 識別されたギャップ
5.3 RECOMMENDATIONS 5.3 推奨事項
6. BIBLIOGRAPHY/REFERENCES 6. 参考/参照文献
A  ANNEX: DETAILED SITUATION IN DIFFERENT EU MEMBER STATES 附属書A:EU加盟国別の詳細な状況
B  ANNEX: THREATS AND VULNERABILITIES 附属書B:脅威と脆弱性
C  ANNEX: SECURITY CONTROLS 附属書C:セキュリティ管理

 

■ 参考 - eIDASについて

● EUR - Lex

・[HTML] [PDFRegulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC

 

Exective Summary

↓↓↓↓↓↓↓↓↓↓↓

 

Exective Summary

EXECUTIVE SUMMARY エグゼクティブ・サマリー
The Regulation (EU) No910/2014 on electronic identification and trust services for electronic transactions in the internal market, hereafter eIDAS (electronic IDentification, Authentication and trust Services) introduces provisions for electronic identification, as being a key lever for the development of a singly digital market across Member States. Electronic identification under eIDAS constitutes a digital solution which provides proof of identity for citizens or organisations, to access online services or conduct online transactions. Specifically, under article 24(1) (section 1.3), it allows alternatives to physical presence for identity proofing in the context of issuing qualified certificates and paves the way for remote identity proofing. It is stated that other identifications methods can be used that are recognised at national level which provide equivalent assurance in terms of reliability and the equivalent assurance shall be confirmed by a Conformity Assessment Body (CAB). The ability of remote identify proofing promotes and increases the possibility of electronic transactions while at the same time ensuring the validity of the identities of the involved parties in the transaction. 国内市場における電子取引のための電子的な本人確認および信頼サービスに関する規則(EU)No910/2014(以下、eIDAS)は、加盟国間の単一のデジタル市場の発展のための鍵となるものとして、電子的な本人確認に関する規定を導入している。eIDASの下での電子的本人確認は、オンラインサービスへのアクセスやオンライン取引を行うために、市民や組織のために本人確認の証明を提供するデジタルソリューションを構成する。具体的には、第 24 条(1)(第 1.3 項)に基づき、資格証明書を発行するという文脈での ID 証明のための物理的な立会いに代わるものを可能にし、リモート ID 証明への道を開く。信頼性の点で同等の保証を提供する国家レベルで認識されている他の識別方法を使用することができ、同等の保証は適合性評価機関(CAB)によ って確認されなければならないと記載されている。遠隔識別証明の能力は、電子取引の可能性を促進し、増大させると同時に、取引に関与する当事者の身元の妥当性を 確保する。
Identity proofing was generally achieved by an identity proofing operator being physical present at the same place as the applicant, when extracting information and verifying an ID card of the applicant. However, the increase of the digital market rendered the idea of identifying a person remotely more attractive, since remote identification allows customers who are physically far away to access such services. During the COVID-19 pandemic crisis, the possibility of identifying a person without physical presence became even more crucial given that physical presence is not only cumbersome, but can even be dangerous, or just not possible while observing the safety measures to reduce the impact of the pandemic. 身元証明は、一般的に、申請者の IDカードから情報を抽出して検証する際に、申請者と同じ場所に身元証明作業者が物理的に存在することで達成されていた。しかし、デジタル市場の拡大により、遠隔で人を識別するというアイデアがより魅力的になった。COVID-19 パンデミックの危機では、パンデミックの影響を軽減するための安全対策を実施している間は、物理的に存在することは面倒なだけでなく、危険であったり、不可能であったりする可能性があることを考えると、物理的な存在なしでの本人確認の可能性は、より重要になった。
This report provides an overview of the most common methods for identity proofing being enriched by some illustrative examples received by the different stakeholders, presents the current legal / regulatory landscape and supporting standards at the international and EU level and provides the current status quo in the European Member States with regards to their remote identity proofing laws, regulations and practices. Moreover, it provides a practical approach to apply risk management on the basis of examples presenting two typical identity proofing processes as also identified by the stakeholders. The report also discusses the input received though questionnaires from different stakeholders which use, offer or evaluate identity proofing solutions. In particular, the contribution of 80 different stakeholders show the importance of this topic which is currently under study also by the European Telecommunications Standards Institute (ETSI) special task force (STF) 588 that is working on a report on survey of technologies and regulatory requirements for identity proofing for trust services. Finally, it presents a preliminary gap analysis on existing standards and regulations, stresses the need for a harmonised adoption and cross-recognition of remote identity proofing and provides a number of legal and technical recommendations. 本報告書では、さまざまな利害関係者から寄せられた例示によって豊富となった ID証明のための最も一般的な方法の概要を示し、国際および EUレベルでの現在の法的/規制的な状況とそれを支える基準を提示し、遠隔 ID 証明の法律、規制、および慣行に関して欧州加盟国の現状を示す。さらに、利害関係者によって特定された2つの典型的な ID証明プロセスを示す例に基づいて、 リスク管理を適用するための実践的なアプローチを提供する。また、報告書では、ID証明ソリューションを利用、提供、または評価するさまざまな利害関係者からのアンケートによ って得られた情報についた議論も含む。とりわけ、80もの異なる利害関係者の貢献は、このトピックの重要性を示しており、現在、欧州電気通信標準化協会 (ETSI) の特別タスクフォース (STF) 588 では、信頼サービスのためのID証明のための技術と規制要件の調査に関する報告書の作成に取り組んでいる。本報告書の最後では、既存の規格および規制に関する予備的なギャップ分析を提示し、リモートID証明の整合化された採用と相互認識の必要性を強調し、多数の法的および技術的勧告を提供している。
   
Recommendations in the Legal Context 法的文脈での提言
• Cross recognition is a key element for an extended use of identity proofing methods in digital services and for cross-border business within the internal market. Standards and technical guidelines should be defined at EU level to provide a more or less analogous process for remote identity proofing, fostering the exchange of ideas and cross-fertilization between the different stakeholders, resulting in a more harmonized process. • 相互認識は、デジタルサービスにおける ID証明方法の利用を拡大し、国内市場内での国境を越えたビジネスを行うための重要な要素である。EUレベルで標準および技術的ガイドラインを定義し、リモートID証明に多かれ少なかれ類似したプロセスを提供し、異なる利害関係者間での意見交換および相互施策を促進し、結果として、より調和のとれたプロセスを実現するべきである。
• Evaluation criteria and methodology should cover the policy and security management areas, the process architecture and also the testing of the actual performance of the service in handling positive and negative cases. It would be useful to have some metrics that allow to compare the efficiency of different methods, e.g. the false acceptance rate and the false rejection rate. • 評価基準および評価方法は、ポリシーおよびセキュリティ管理分野、プロセス・アーキテクチャに加えて、ポジティブケースおよびネガティブケースを処理する際のサービスの実際の性能のテストも対象とすべきである。異なる方法の効率を比較するための指標、例えば、誤認容認率や誤拒否率などがあると便利である。
• Article 24(1) of the [eIDAS] regulation should be clarified to avoid different interpretations on what is “physical presence” (article 24.1 (a) ), what eID means are acceptable (article 24.1 (b) ), how to verify that a qualified certificate was issued based on article 24.1 (a) or (b) (article 24.1 (c) ), and how evaluate “equivalence assurance in terms of reliability to physical presence” (article 24.1 (d)). • eIDAS規則 第24条(1)は、「物理的存在」とは何か(第24.1条(a))、どのようなeIDが許容されるか(第24.1条(b))、適格証明書が第24.1条(a)又は(b)に基づいて発行されたことをどのように検証するか(第24.1条(c))、及び「物理的存在に対する信頼性の点での同等性保証」(第24.1条(d))をどのように評価す るか(第24.1条(d))についての異なる解釈を避けるために、明確化されるべきである。
• Member states should support automatic and online verification of identity documents, for example based on a validation service of identity documents. This allows a uniform capability of remote identity proofing services to accept or reject identity documents. • 加盟国は、例えばID文書の検証サービスに基づくID文書の自動およびオンライン検証をサポートすべきである。これにより、ID文書を受け入れたり拒否したりするリモートID証明サービスの統一的な機能が可能になる。
• A central, well-maintained repository with reference material (laws, regulations, good practices, guidelines) would also be appreciated, in the same way the “Compilation of Member States notification on Secure Signature Creation Devices (SSCDs) and Qualified Signature Creation Devices (QSCDs)” is maintained. • また、「安全な署名作成装置 (SSCD) および適格な署名作成装置 (QSCD) に関する加盟国通知の集大成」 が維持されているのと同様に、参照資料(法律、規制、グッド・プラクティス、ガイドライン)を含む中央のよく維持されたリポジトリも評価されるであろう。
• General Data Protection Regulation (GDPR) must be fully embraced by the different stakeholders not only fearing the consequences for not compliance, but as a useful tool that conceptualize the need for security-by-design and privacy-by-design as fundamental blocks for each computing system, including the ones used for the remote identity proofing. • 一般データ保護規則 (GDPR) は、コンプライアンスを遵守していない場合の結果を恐れるだけでなく、リモートID証明に使用されるものを含め、各コンピューティングシステムの基本的なブロックとして、セキュリティ・バイ・デザインとプライバシー・バイ・デザインの必要性を概念化する有用なツールとして、様々な利害関係者によって完全に受け入れられなければならない。
   
Recommendations in the Technical Context 技術的な文脈での推奨事項
• Awareness and clear process - Training (on the operators’ side) and awareness (also for subjects) should be duly pursued, especially considering that the process is based on possibly many different identity documents and, from the point of view of users, is relatively new and all of its security implications could be not entirely clear. 意識向上と明確なプロセス - トレーニング(オペレータ側)と意識向上(対象者側も)は、特に、プロセスがおそらく多くの異なる ID文書に基づいており、ユーザの観点からは比較的新しく、そのセキュリ ティへの影響のすべてが完全には明らかではない可能性があることを考慮して、適切に追求されるべきである。
• Uniformity through risk analysis - Risk analysis should be done in a systematic way, to provide for a secure remote identity proofing process, align the different implementations and result in more comparable outcomes. A regular review of risks and a sharing of security incidents between the different actors should further strengthen convergence for processes with comparable Levels of Assurance (LoAs). リスク分析による統一性 - リスク分析は、安全なリモートID 証明プロセスを提供し、さまざまな実装を整列させ、より比較可能な結果をもたらすために、体系的な方法で行われるべきである。リスクの定期的なレビュー、および異なる関係者間でのセキュリティ事故の共有は、同等の保証レベル(LoAs) を持つプロセスの収束をさらに強化するべきである。
• Uniformity through equal access to government data - Technical support from issuers of those documents is needed to allow identity proofing service providers a secured access to those documents' electronic data. Access to lost/stolen/invalid identity document online service is also needed to be able to verify the validity of the document produced during identity proofing process. 政府データへの平等なアクセスによる統一性 - 身元証明サービス・プロバイダがこれらの文書の電子データに安全にアクセスできるようにするためには、 これらの文書の発行者からの技術的支援が必要である。紛失/盗難/無効なID文書のオンライン・サービスへのアクセスは、ID証明プロセス中に作成された文書の妥当性を検証できるように するためにも必要である。
• Putting the test first - Testing should have a relevant role in the analysis, implementation and continuous monitoring of these systems, as it is often overlooked while it is a critical security tool. テストを第一に考える - 重要なセキュリティ・ツールであるにもかかわらず見落とされがちであるため、テストはこれらのシステムの 分析、実装、および継続的な監視に関連した役割を持つべきである。
• A good way to compensate for the weakness of specific remote identity proofing methods, is to combine several methods of complementary natures. Another example would be the usage of several identity sources that can be checked and compared against each other. • 特定のリモート ID 証明方法の弱点を補う良い方法は、補完的な性質を持つ複数の方法を組み合わせることである。別の例としては、互いにチェックして比較できる複数の ID ソースを使用することが挙げられる。

|

« 英国 デジタルID・属性のフレームワーク案の意見募集 | Main | デンマーク - データ保護局 Cookieを使用するためのクイックガイド »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 英国 デジタルID・属性のフレームワーク案の意見募集 | Main | デンマーク - データ保護局 Cookieを使用するためのクイックガイド »