本人確認手法の検討方法

本人確認手法の検討は、表 ４‑1のプロセスに従って行うものとする。各プロセスの検討結果は文書化して管理し、継続的な評価と改善に活用すること。

対象手続の保証レベルの判定

このプロセスでは、対象手続における本人確認のリスクを特定し、当該リスクが顕在化した場合の影響度を評価することで、対象手続に求められる保証レベルを判定する。

リスクの特定

対象手続が提供する機能やサービス、取り扱う情報資産、手続によって得られる権益等を踏まえつつ、対象手続の身元確認や当人認証において想定されるリスクを特定する。具体的には、身元確認及び当人認証における脅威を基に対象手続におけるリスクケース（脅威によって悪影響が引き起こされる典型的なケース）を定義し、当該ケースにおいて利用者や関係者に生じる悪影響の内容を明確化する。

代表的なリスクケースの例を以下に示す。ただし、想定すべきリスクケースは対象手続によって異なることに留意すること。

リスクの影響度の評価

特定したそれぞれのリスクに対して、リスクが顕在化した際の影響度を「高位」、「中位」、「低位」の3段階で評価し、最も高い影響度を「対象手続における総合的な影響度」として判定する。リスクの影響度の評価基準を下表に示す。

なお、対象手続によっては身元確認と当人認証でリスクの影響度が異なる場合も想定される。そのような場合は、身元確認と当人認証のリスクの影響度をそれぞれ個別に判定すること。

　保証レベルの判定

影響度の評価結果を基に、対象手続に求められる保証レベルを以下の基準に基づき判定する。

なお、身元確認と当人認証のリスクの影響度が異なる場合には、身元確認保証レベルと当人認証レベルも異なるレベルとなる。

本人確認手法の評価と決定

本人確認手法には様々な種類や方式が存在し、対象手続の目的、根拠法、想定利用者などによって適する手法は異なる。

このプロセスでは、対象手続の保証レベルに基づき採用候補とする本人確認手法を評価することで、補完的対策の検討、保証レベルの見直し、例外措置の検討を行い、対象手続で採用する本人確認手法を決定する。

本人確認手法の評価

保証レベルの判定結果を基に、採用候補とする本人確認手法を選定し、「1.5基本的な考え方」で示す5つの観点に基づき手法の評価を行う。

補完的対策等の検討

前項の評価の結果、事業目的の遂行、公平性、プライバシー、アクセシビリティ及びユーザビリティ、セキュリティの観点での懸念やリスクが想定される場合には、対象手続で求められる要求事項とのギャップを補完するための補完的対策を検討する。補完的対策の例を以下に示す。

表 ４‑6　補完的対策の例

例外措置の検討

本人確認を行う手続においては、申請者の本人確認書類の紛失、利用者の当人認証用デバイスの故障など、様々な例外ケースが想定される。対象手続の事業目的や緊急性によっては、こうした例外ケースにおいても申請等を受け付けなければならない場合も想定されるため、採用する本人確認手法とともに、対象手続における例外措置の要否と内容を検討・決定する。

なお、本来の手法と例外措置に保証レベルに差があると、なりすまし等の攻撃の起点に悪用されるおそれがある点に留意が必要である。また、攻撃の起点とされることを防ぐため、例外措置の詳細は非公開とすることについても検討すべきである。

継続的な評価と改善

評価のための情報収集

対象手続において採用した本人確認手法について、評価に必要となる情報を定義し、それらの情報を収集・蓄積すること。

評価に必要な情報には、対象手続における利用者からの問合せ履歴、セキュリティ監視によって検知したイベントやインシデントの履歴、本人確認に関する脅威やインシデントの動向など様々なものが考えられる。

これらの情報収集には、システムの運用・監視等の仕組みの構築が必要となるものも含まれるため、情報システムの要件定義時点から、このような情報収集を見据えた要件定義を行うことが必要である。

評価と改善の実施

収集した情報を基に本人確認手法の評価を行い、必要に応じて手法の見直し、追加対策の導入、本人確認担当者に対する教育・訓練等の改善措置を講じること。

別紙１　附則

附則（令和7年9月30日デジタル社会推進会議幹事会決定）