
近年、デジタル社会の発展とともに、本人確認や認証の重要性が急速に高まっています。特にオンラインサービスの利用が拡大する中で、「この人は本当に本人なのか?」を確実に確認する仕組みが求められています。そこで注目されるのが、“身元確認保証レベル(IAL)と当人認証保証レベル(AAL)”という2つの基準です。
本記事では、それぞれのレベルの違いや要件、利用シーンについて詳しく解説し、企業や個人がどのように活用すべきかを考察します。
身元確認保証レベル(IAL)とは?
身元確認保証レベル(IAL:Identity Assurance Level) とは、「その人が本人であることを、どの程度の確実性で識別できるか」を示す基準です。レベルが高くなるほど、より厳密な本人確認が行われます。
身元確認保証レベルと定義
身元確認保証レベル レベルの定義 レベル1(IAL1) 身元識別情報の確認は不要で、自己申告またはそれに準じる情報に基づく。信頼性は非常に低い。 レベル2(IAL2) 遠隔または対面によって身元識別情報が確認される。信頼性は中程度。 レベル3(IAL3) 特定の担当者による対面確認が行われ、信頼性は非常に高い。
IAL1では、提供された情報(氏名やメールアドレスなど)の正確性を検証しません。たとえばSNSやメールマガジンの登録時など、身元の正確な確認が不要な場面で使用されます。
一方、IAL2以上では公的書類の提出や対面・遠隔による確認が必要になり、たとえばマッチングアプリやシェアリングエコノミーサービスなどでの登録に用いられます。
当人認証保証レベル(AAL)とは?
当人認証保証レベル(AAL:Authenticator Assurance Level) とは、「ログインや操作の際に、どれほど強固な認証が実施されているか」を示す基準です。IALが「本人かどうかの確認」であるのに対し、AALは「本人であると主張する人が確かにその人かを検証する」認証の強度を示します。
当人認証保証レベルと定義
身元確認保証レベル レベルの定義 レベル1(AAL1) 認証は単要素または複数要素を用いて実施。信頼性は低~中程度。 レベル2(AAL2) 複数の認証要素を使用。信頼性は中~高程度。 レベル3(AAL3) 耐タンパ性を持つハードウェアトークン等を含む認証。信頼性は非常に高い。
認証の3要素とは、「知識情報(知っている情報)」、「所持情報(持っている物)」、「生体情報(身体的特徴)」です。この3要素を単要素として利用したり、複数要素を組み合わせた認証を行ったりするなどで認証レベルが高くなります。
例えば、AAL2以上では、パスワード認証だけでなく、ワンタイムパスワード(OTP)や生体認証などを組み合わせた認証が求められます。
2つの保証レベルの組み合わせによる利用シーン
身元確認保証レベル(IAL)と当人認証保証レベル(AAL)それぞれ異なる観点の保証ですが、組み合わせて使うことでセキュリティのレベルを段階的に設定できます。
組み合わせ | 主な利用例 |
---|---|
IAL1 + AAL1 | 自己申告によるアカウント登録、ID+パスワードでのログイン(例:ポータルサイト) |
IAL2 + AAL2 | 公的書類での本人確認+顔認証やワンタイムパスワード(OTP)など(例:インターネットバンキング、シェアリングサービス) |
IAL3 + AAL3 | 対面による厳密な確認+電子証明書を用いた強力な認証(例:行政手続き) |
サービスの分野によっては、法律や条例、業界ごとのルールなどによって本人確認の方式が整備されていることもありますので、あらかじめ確認が必要です。主には、「犯罪収益移転防止法」、「出会い系サイト規制法」、「携帯電話不正利用防止法」、「古物営業法」といったものになります。
犯罪収益移転防止法と本人確認
日本では、犯罪収益移転防止法(通称:犯収法)が金融機関や特定事業者に対し、適切な本人確認を義務付けています。この法律の目的は、マネーロンダリングやテロ資金供与を防ぐことです。
犯収法における主なオンライン本人確認方式(通称:ホ・ヘ・ト・ワ方式)
方式 | 手法 | 身元確認保証レベル |
---|---|---|
ホ方式 | 本人確認書類の画像+顔写真 | IAL2 |
へ方式 | ICチップ情報+顔写真 | IAL2 |
ト方式 | 本人確認書類の画像またはICチップ情報+銀行等への顧客情報の照会 | IAL2 |
ワ方式 | マイナンバーカードを用いた公的個人認証の電子署名 | IAL3 |
ホ方式では、本人確認書類と顔写真を撮影することで本人確認を行います。へ方式では、ICチップの読み取りを利用することで本人性を確認します。ト方式では銀行やクレジットカードの照合が追加され、ワ方式は公的個人認証を活用するため、厳格な認証が行われます。
まとめ:企業や個人の利用ポイント
企業は、提供するサービスのセキュリティレベルを考慮し、身元確認保証レベル(IAL)と当人認証保証レベル(AAL)の組み合わせを適切に選択することが求められます。また、個人も利便性だけでなく、セキュリティリスクを考慮し、強固な認証手段を活用することが重要です。
今後、デジタル本人確認(eKYC)の普及が進む中で、各企業や本人確認を必要とするサービス事業者は最新の技術や法規制に対応しながら、信頼性の高い本人確認・認証体制を構築することが不可欠です。
関連リンク