eIDAS 2とは知っておくべきすべてのこと
欧州連合(EU)は、最も複雑で野心的な規制環境の1つです。 電子的身分証明、認証、およびトラストサービス(eIDAS)規則の第2版が発効したことで、EU企業は、2016年以降、デジタルアイデンティティ、認証、およびトラストインフラストラクチャにおけるこの地域で最も重要な変化の1つに対応し、適応しなければなりません。
関連する技術標準とともに、eIDAS 2は、個人の認証方法、IDデータの共有方法、およびトラストサービスの国境を越えた運用方法について、統一された法的および技術的基盤を確立します。 これにより、欧州のデジタルアイデンティティエコシステムは、より相互運用性が高く、よりプライバシーが保護され、新たな詐欺やセキュリティの脅威に対してより強靭なものへと再構築されます。
同時に、これらの変化は、世界中の規制当局がセキュリティに対する期待を強化し、詐欺防止を優先し、リモート本人確認と金融サービスのオンボーディング要件をますます統一する中で、グローバルな本人確認の収斂を背景に行われています。eIDAS 2は現在、高保証デジタルアイデンティティにおけるより広範な国際的シフトの一部を形成しています。
以下では、eIDAS 2について詳しく解説し、規制要件への準拠を達成するために知っておくべきことをすべてお伝えします。以下のトピックを取り上げます:
- eIDASとは
- eIDAS 2とは
- eIDAS 2およびETSI v2に基づく本人確認
- トラストサービスプロバイダーとは?
- eIDAS 2への順守を達成する方法
- Entrustでコンプライアンスを簡素化
eIDASとは
eIDAS(electronic Identification, Authentication, and Trust Servicesの頭文字)は、EU全加盟国で初めて電子身分証明およびトラストサービスの法的フレームワークを統一した包括的なEU規則です。
その採択以前、EUはドイツのSignaturgesetz、フランスの電子署名法、イタリアのCodice dell’Amministrazione Digitale、スペインのLey 59/2003など、それぞれ異なる規則、セキュリティ要件、形式を持つ各国の法律の寄せ集めに依存していました。 その結果、電子身分証明およびリモート本人確認の実施方法は、加盟国によって大きく異なりました。
この断片化により、国境を越えたデジタル取引でのやり取りは困難になりました。ある加盟国で有効な電子署名またはIDクレデンシャルが、別の加盟国では認識されない場合があり、組織は並行プロセスを維持せざるを得ず、電子取引への信頼が損なわれました。共通のフレームワークがないため、安全なオンラインサービスの拡大も制限され、国境を越えた電子商取引の発展も妨げられました。
最初のeIDAS規則(EU No 910/2014)は、EU全体で統一されたフレームワークを確立することで、これらの問題に対処しようとするものでした。2014年に採択され、2016年以降完全に施行されたこの規則は、3つの主要原則を軸としています。
- 相互承認: すべての加盟国は、互いに通知された国のeIDスキームを法的に認めることが義務付けられました。
- 相互運用性: この規則は、EU全域で異なる電子身分証明ソリューションとトラストサービス間の互換性を確保しました。
- セキュリティ:eIDASは、電子署名、電子シール、タイムスタンプ、証明書に厳格なセキュリティ要件を導入しました。
また、トラストサービスプロバイダー(TSP)の役割も正式に定められ、TSPは適格なサービスを発行する前に認定を受け、監督を受けることが義務付けられました。
重要なのは、eIDASが公的機関だけでなく、金融サービス、保険、ヘルスケア、電子商取引など、電子身分証明やトラストサービスに依存する民間組織にも適用されることです。 したがって、EU域内のすべての国境を越えた電子的なやり取りのための統一されたデジタルトラストインフラとして機能します。
この規制によって欧州のデジタルトラストの状況は大幅に改善されましたが、いくつかの制約は残りました。 2021年までに、国境を越えた国のeIDの使用は依然として限定的であり、民間部門の採用は不均一で、フレームワークの範囲はもはやデジタルアイデンティティとトラストサービスの実際の使用状況を反映していませんでした。 これらのギャップが、最終的に規則の改正版であるeIDAS 2の策定につながりました。
eIDAS 2とは
eIDAS 2(正式には欧州デジタルID規則(EU規則2024/1183))は、オリジナルのeIDASフレームワークの更新・拡張版です。2024年4月に欧州連合官報に掲載され、2024年5月20日から段階的に発効しました。
今回の改定は、最初の規則における根強い制約によるものでした。 2021年までに、国境を越えた国内電子IDスキームの使用は依然として低く、民間部門の依拠当事者による採用は一貫しておらず、リモートID保証およびトラストサービスの実施方法には加盟国間で大きな隔たりがありました。 こうした矛盾は、複数の法域で事業を展開する企業にとって摩擦を生み、EU居住者のわずか59%しか自国以外で信頼できるeIDを使用できませんでした。
eIDAS 2は、欧州のデジタルアイデンティティおよびトラストサービスのフレームワークを構造的に進化させるものです。 この規則は、当初のフレームワークの限界に対処し、規制されるトラストサービスのリストを拡大し、セキュリティとガバナンスの要件を強化し、最も重要な点として、欧州デジタルID(EUDI)ウォレットを各国のデジタルIDエコシステムの必須コンポーネントとして導入しています。
当初の規則が国境を越えた信頼の基盤を築いたのに対し、eIDAS 2は、EU全体でより高度で相互運用可能、高保証、かつユーザ管理のデジタルIDモデルの青写真を提供します。
規制範囲の拡大
当初のeIDAS規則(2016年)は、EUにおける電子身分証明およびトラストサービスの基盤を築きましたが、その範囲は比較的限定的であり、現在では高保証のID確認およびトラストメカニズムに依存するデジタル取引の広がりを予見していませんでした。 このフレームワークは、電子署名、電子シール、タイムスタンプ、適格証明書については法的確実性を提供しましたが、その後デジタルビジネスモデルや国境を越えた相互運用性の中心となったいくつかのトラストサービス機能を包含していませんでした。
eIDAS 2はこれを大幅に拡大しました。更新された規制は、適格トラストサービスプロバイダー(QTSP)(安全で信頼できるトラストサービスを提供することを認定された事業体)の役割を強化し、QTSPはEUのサイバーセキュリティ法に沿った統一された監督上の期待に従わなければならなくなりました。 これには、義務的なセキュリティベースライン、定期的な監査、正式なインシデント報告、EU全体で一貫した鍵管理と運用レジリエンスの要件が含まれます。
さらに、eIDAS 2は規則の範囲を拡大し、4つの新しい適格トラストサービスを含めました。
- 電子アーカイブサービス: これらのサービスは、電子文書やデータの安全な長期保存を提供します。 これらのサービスは、アーカイブされたデータや文書が保存期間中に変更されることなく真正性を維持し、その完全性と法的価値を保持することを保証します。この機能は、ヘルスケア、金融、公共部門など、コンプライアンス上、機密データや文書の信頼性の高い保持と長期にわたる完全性の保証が必要な業界にとって不可欠です。
- 電子元帳: このサービスは、取引やデータの安全で不変の記録を提供します。 これにより、電子データの確実な追跡と検証が可能になり、金融取引やサプライチェーン管理など、さまざまなアプリケーションやユースケースを支援します。
- リモート電子署名・シール作成デバイス(QSCD)の管理: このトラストサービスにより、電子署名ベンダーは、QSCDに関連する厳格なセキュリティ要件を維持しながら、署名・シーリングプロセスをリモートで管理できるようになります。 安全なクラウドベースの署名とシーリングを可能にし、リモートワークや国境を越えた取引をサポートし、署名者の署名鍵に対する唯一のコントロールを損なうことなく、適格署名の使いやすさを拡大します。
- 属性の適格電子証明(QEAA)の発行:eIDAS 2は、属性の適格電子証明(QEAA)を導入しています。これは、信頼された当局が、個人、組織、またはデバイスに関する特定の属性の正確性を証明することを可能にするものです。これには、年齢、職業免許、学歴、アカウント識別情報などが含まれます。 QEAAは、EUデジタルIDウォレット内に保存および使用できるデジタル署名された証明書の形をとり、プライバシーを保護する属性の共有を促進し、EU全域での高保証ID属性交換を可能にします。
トラストサービスカタログを拡大することで、この規制はEUのデジタルアイデンティティとトラストエコシステムの全体的な完全性、安全性、相互運用性を強化します。
eIDAS 2はまた、特定の民間部門の依拠当事者に新たな義務を導入しています。 銀行、通信事業者、その他の高価値サービスプロバイダーは、2027年以降、定義されたユースケースについてEUデジタルIDウォレットを受け入れることが義務付けられます。 この規制は、唯一のユーザコントロールとプライバシー・バイ・デザインの原則を組み込み、個人が特定の取引に必要な最小限の属性セットのみを開示することを可能にします。
最後に、この拡張は、各国の監督当局がリモート本人確認要件を異なるように解釈していたeIDAS 1.0の下で見られた長年の矛盾を解決するものです。 QESベースのオンボーディングを要求する加盟国(フランスなど)もあれば、ライブビデオ通話に依存する加盟国(ドイツなど)もあり、ETSI準拠のリモートIDVを受け入れる加盟国(イタリアやルーマニアなど)もありました。eIDAS 2は、これらの解釈を統一し、EU全体で高保証ID証明とトラストサービスの利用に一貫した国境を越えたフレームワークを提供します。
欧州デジタルIDウォレット(EUDIウォレット)
当初のeIDAS規則(2016年)では、加盟国は自発的に自国の電子身分証明スキームを通知することができ、それらのスキームはEU全域で法的に認められるようになりました。 この任意モデルには決定的な限界がありました。既存のeIDシステムを持たない国は、eIDシステムを構築する義務を負いませんでした。その結果、導入率は国によって大きく異なり、国境を越えた相互運用性は不均一なままでした。
eIDAS 2は、このアプローチを義務的で統一されたフレームワークに置き換えました。 2026年末までに、すべての加盟国は少なくとも1つのEUデジタルIDウォレット(EUDIウォレット)を発行しなければなりません。 このウォレットにより、個人や企業は、運転免許証、卒業証書、専門資格、銀行口座情報など、検証された属性やクレデンシャルとともに国のeIDを保存・管理し、安全かつ選択的に共有できるようになります。これにより、ヨーロッパ全域で普遍的でポータブルなデジタルアイデンティティが実現します。
その目的は、欧州の人々がオンラインでやり取りする際にデジタルアイデンティティを完全に管理できるようにし、必要最小限の情報のみを開示できるようにして、断片的なログインシステムや度重なる本人確認への依存を減らすことです。 定義された公共部門および民間部門のユースケースでは、依拠当事者は認証のためにウォレットを受け入れる必要があり、EU全域で一貫した信頼できるエクスペリエンスが保証されます。
EUDIウォレットは3つの主要な柱で構成されています:
- セキュリティ: このウォレットは、EU一般データ保護規則(GDPR)やNIS2指令など、既存のEUデータ保護およびサイバーセキュリティに関する法律と整合しており、プライバシー・バイ・デザインの原則と強力な技術的セーフガードを組み込んでいます。
- 便利: このウォレットにより、市民や居住者は公共サービスの利用、求人への応募、銀行口座の開設、その他の国境を越えた活動をより簡単に行えるようになります。このツールを使用して、認証目的で組織とIDの詳細を共有できます。 ID情報を1つの再利用可能なツールに統合することで、複数のログインや繰り返しの検証ステップが不要になります。
- 相互運用性: この規制は、ウォレットに保存されたデジタルIDクレデンシャルがEU全域で受け入れられることを保証するために、共通の技術フレームワークおよび統一標準を確立します。ウォレット、サービスプロバイダー、公的機関に共通の仕様を定義することで、各国のシステム間の相互運用性を確保しています。この統一化により、デジタルアイデンティティに対する統一された国境を越えたアプローチが促進され、市民と企業の両方にとってクレデンシャルへの信頼と認知が高まります。
eIDAS 2の下では、すべての加盟国が2026年12月までに少なくとも1つのEUDIウォレットを市民および居住者に提供しなければならず、これは欧州における完全に相互運用可能なデジタルアイデンティティの実現に向けた大きな一歩となります。
| 領域 | eIDAS(2016年) | eIDAS 2(2024年) |
|---|---|---|
| 対象 | 通知されたeIDスキームと、定義された一連のトラストサービス(署名、シール、タイムスタンプ、証明書)のための統一フレームワーク。 | EUデジタルID(EUDI)ウォレット、QEAA、適格電子アーカイブ、適格電子台帳、リモートQSCD管理を含むよう範囲を拡大し、依拠当事者と民間部門の採用についてより詳細な規則を設ける。 |
| eID認識 | 国内eIDは、発行加盟国が自発的に通知した場合のみ認識される。 | 各加盟国は少なくとも1つのEUDIウォレットを発行し、定義されたユースケースのために他の加盟国からのウォレットを受け入れる必要がある。 |
| デジタルアイデンティティアーキテクチャ | 各国のeIDスキームに依存しており、相互運用性は限られていた。 | EUデジタルID(EUDI)ウォレットフレームワークを市民、居住者、場合によっては企業向けに導入し、国境を越えた一貫した利用を可能にする。 |
| トラストサービス | 電子署名、電子シール、タイムスタンプ、ウェブサイト認証証明書を定義し、規制する。 | 電子アーカイブ、適格電子台帳、QEAA、リモートQSCD管理を含むよう拡張し、既存サービスの規則を更新する。 |
| 依拠当事者の義務 | トラストサービスは公共部門でも民間部門でも利用できたが、民間の依拠当事者が特定のeID手段を受け入れるEU全体の義務はなかった。 | 2027年までに、特定の高価値民間サービス(銀行や通信など)に対し、ウォレット受け入れ義務を導入する。 |
| ユーザコントロールとプライバシー | ID属性に対するユーザのコントロールは限定的であり、主に国のフレームワークおよびサービスの特性に依存していた。 | ウォレットモデルに「唯一のユーザコントロール」と「選択的開示」を組み込み、ユーザが特定の取引で共有する属性を選択できるようにする。 |
| 実施スケジュール | 2014年に採択され、2016年7月に発効した。 | 2024年5月に発効し、発効から2026年までの間に補完的な実施法が採択され、2026年12月までにウォレットの発行が義務付けられ、2027年からは主要な民間依拠当事者による受け入れが義務付けられる。 |
これらの変更を総合すると、eIDASは断片的なデジタルIDフレームワークから、デジタルIDとトラストサービスがEU全域でどのように発行され、検証され、受け入れられるかの共通ルールを持つ、統一された、ユーザ中心の、義務的な汎欧州アプローチに移行します。
eIDAS 2とETSIの関係
欧州電気通信標準化機構(ETSI)は、独立した非営利の標準化団体で、情報通信技術に関する世界的に認知された仕様の策定を担当しています。 eIDASでは、ETSIが重要な役割を果たしています。ETSIは、規則のハイレベルな法的義務を、正確で監査可能な技術的要件に変換します。 この作業は、ETSI TS 119 461やより広範なETSI EN 319シリーズなどの標準に反映されており、これらの標準は、トラストサービスとID証明が実際にどのように動作しなければならないかを定義しています。
eIDAS 2がEUデジタルIDウォレットとQEAAなどの新しい適格トラストサービスを導入するのに伴い、ETSIはコンプライアンスに必要なセキュリティ、相互運用性、および技術的コントロールを定義する標準を更新し、拡張しました。 これらの標準は、加盟国およびトラストサービスプロバイダーが一貫して安全にeIDAS 2を実施するための技術的バックボーンとして機能します。
eIDAS 2およびETSI TS 119-461 v2に基づく本人確認
リモート本人確認はeIDAS 2エコシステムの中心的な要素です。 EU全域での統一をサポートするため、この規制は専用の運用標準であるETSI TS 119 461 v2.1.1と対になっています。
この2つは密接に関連しています。
- eIDAS 2は、本人確認の法的要件を定めています。
- ETSI v2は、監査可能な特定の技術的コントロールを通じて、これらの要件が実際にどのように満たされなければならないかを定義しています。
ETSI 119 461 v2の役割: 技術的バックボーン
ETSI v2は、以下を含む、リモートおよび自動本人確認の詳細要件を規定しています。
- MRZと可視ゾーンの整合性、セキュリティ機能の検証を含め、身分証明書がどのように検証および照合されなければならないか
- バイオメトリクスデータがどのように取得、分析され、なりすまし、ディープフェイク、プレゼンテーション攻撃から保護されなければならないか
- ID属性と証拠がソース間でどのように照合されなければならないか
- 規制当局の監査や監督をサポートするために、どのような証拠を保持しなければならないか
- 拡張本人確認レベル(LoIP)の下で、より高い保証のオンボーディングをどのように実行しなければならないか
これにより、EU全域での本人確認が統一されるだけでなく、技術的に厳密で、現代の詐欺パターンに対する耐性も確保されます。eIDAS規則はすでに、リモートオンボーディングに関する欧州銀行監督機構(EBA)のガイドライン、AML指令、そして来るべきAML規則によって参照されています。 また、PSD2や関連する金融犯罪フレームワークにおける監督上の期待や要件の一部でもあります。
この規制の整合性は重要な意味を持ちます。 ETSI v2は、特に金融サービスにおいて、欧州全域のリモート本人確認の運用基準となっています。 ETSI v2に準拠して設計された本人確認プロセスは、原則として、eIDAS 2、AML/KYC義務、および監督当局の期待を同時に満たします。 金融機関にとって、この収斂は断片化を減らし、国境を越えたオンボーディングのための明確で統一されたフレームワークを提供します。
金融サービスへの影響
EUは、eIDAS 2とマネーロンダリング防止(AML)フレームワーク間の規制収斂に向けて動いており、リモート本人確認(IDV)に対する統一的なアプローチを構築しています。 この連携により、ETSI認証のオンボーディングがゴールドスタンダードとなり、EU加盟国全体で法的確実性と相互運用性が確保されます。
銀行、決済プロバイダー、規制金融機関などの金融機関にとって、eIDAS 2の導入は、国境を越えて顧客をオンボーディングするための統一されたフレームワークを意味します。 この統合により以下が実現します。
- コンプライアンスコストの削減:単一のETSI認証IDVプロセスにより、金融サービスプロバイダーは複数の規制フレームワーク(eIDAS、AMLD6、PSD2)に由来する義務を満たすことができ、重複を減らし、監査準備を簡素化できます。
- 国境を越えた相互運用性:ETSI準拠のオンボーディングプロセスはすべてのEU加盟国で認められており、一貫したオンボーディングと新市場への合理的な展開を可能にします。
- 不正防止とセキュリティの強化:ETSI v2は、厳格なバイオメトリクスの完全性となりすまし防止コントロールを導入し、高リスクな取引環境で不可欠な、ディープフェイクや高度ななりすまし攻撃に関連するリスクを軽減します。
これを受けて、金融機関は段階的なコンプライアンスに備える必要があります。
トラストサービスプロバイダーとは何ですか?
トラストサービスプロバイダー(TSP)とは、eIDASに基づき1つ以上のトラストサービスを提供し、国内当局の監督を受ける法人または自然人です。その役割は、文書への署名やシーリングから、データのタイムスタンプや機密情報の送信に至るまで、デジタルのやり取りが安全で、真正で、法的に信頼できるものであることを保証することです。TSPはまた、情報の機密性と否認防止を維持し、ウェブサイトや署名者の認証を可能にします。
そのサービスは、電子文書、ID、通信の真正性と完全性を検証するメカニズムを提供します。 これはeIDAS 2フレームワークの中心的な構成要素であり、オンラインおよびデジタルでのやり取りが、従来の紙ベースのプロセスと同レベルの保証と法的効果を達成することを保証します。 プロバイダーが最も厳しい要件を満たし、正式に認定されると、適格トラストサービスプロバイダー(QTSP)となり、EU全域で特定の法的効果を伴う適格トラストサービスを提供することができます。
eIDAS 2では、トラストサービスには、オリジナルのeIDAS規則に基づいて確立されたものと、進化するデジタルIDのニーズに対応するために設計されたさまざまな新しいものが含まれます。これには以下が含まれます:
個人向け電子署名
電子署名により、個人は完全性と真正性を保証してデジタルで文書に署名できます。つまり、署名者が本人であること、および署名後に文書が改ざんされていないことを確認するための安全で検証可能な方法を提供します。 規則では、これらの署名を3つのレベルに分類しています。基本電子署名: 低リスクのユースケースに適した基本的なセキュリティを提供します。 高度電子署名: 署名を署名者に一意に関連付け、署名済みデータに加えられた変更を検出できるようにすることで、より高度なレベルのセキュリティを提供します。適格電子署名(QES): 最高レベルのセキュリティを提供し、手書きの署名と同等の法的効力を持ちます。 これは、適格署名作成デバイス(QSCD)を使用して作成され、適格トラストサービスプロバイダー(QTSP)によって発行された適格証明書によって裏付けられていなければなりません。QSCDは通常、eIDAS認証プロセスを経たハードウェアセキュリティモジュール(HSM)などの安全な暗号化ハードウェアに依存しています。
電子シール(ESeals)
電子シールは署名と同様に機能しますが、個人ではなく法人(企業など)によって使用されます。請求書、公式な連絡、コンプライアンス文書などに広く使用されています。 eIDAS 2では、シールは文書の発信元と完全性を確認し、特定の事業体によって発行され、改ざんされていないことを検証します。 電子署名と同様に、単純なもの、高度なもの、適格なものがあります。
電子タイムスタンプ
タイムスタンプは、特定の電子文書またはデータが特定の時点に存在し、それ以降変更されていないことを証明します。 これは、文書の作成、提出、または受領の起源を確立する安全な方法であり、完全性と信頼のレイヤーを追加します。eIDAS 2は、タイムスタンプの要件を強化し、データが特定の時点に存在したという長期的かつ検証可能な証拠をサポートし、その完全性を保持します。 主に金融、ヘルスケア、法律サービスなどの分野で使用されています。電子タイムスタンプには、適格なものとそうでないものがあります。
Qualified website authentication certificates (QWACs)
簡単に言えば、QWACは公開鍵暗号を使用してデバイス、サーバ、ユーザ、または事業体の真正性を証明するファイルです。 この証明書は、証明書所有者の公開鍵のコピーを含んでおり、それが発行元であることを確認するために、対応する秘密鍵と照合されなければなりません。これは、公開TLS/SSL証明書に相当する欧州版です。 eIDAS 2の下でも、QWACはユーザとオンラインサービス、特に金融機関や政府系ポータルとの信頼関係を構築するために不可欠です。
適格電子登録配信サービス(ERDS)
ERDSは、送信と受領の証明を伴う安全な電子データ送信を保証し、書留郵便と同様の法的確実性を提供します。 契約、規制当局への届出、公式通知などの機密性の高いコミュニケーションに不可欠です。eIDAS 2はETSI標準を通じてERDSの相互運用性を強化し、国境を越えたセキュアなメッセージングのための規制アプローチを統一します。
属性の適格電子証明(QEAA)
QEAAは、氏名、年齢、職業資格、免許など、個人または組織の属性の信頼できる検証を可能にします。 このサービスは、選択的開示により、不必要な個人データを公開することなく、本人確認とKYCプロセスをサポートします。 ウォレットベースのインタラクションのためのID属性を証明し、EUDIウォレットエコシステムにおけるプライバシーを保護するデジタルアイデンティティの礎石となります。
デジタル文書の電子アーカイブ
このサービスは、完全性と真正性を保証した電子文書の長期保存を提供します。 ヘルスケア、金融、政府機関など、コンプライアンスを重視する業界で高まる安全なデジタルストレージへのニーズに対応します。 eIDAS 2に基づくアーカイブでは、長期間にわたって信頼を維持するために暗号化手法に依存する必要があります。
電子台帳サービス
電子台帳は、ブロックチェーンや類似の技術を用いて、不変の記録管理を提供します。 金融取引、サプライチェーン管理、規制当局への報告において、透明で改ざん防止された監査証跡を可能にします。 このサービスを導入することで、eIDAS 2は分散型トラストモデルと将来性のあるコンプライアンスフレームワークをサポートします。
QSCDのリモート管理
リモートQSCD管理は、署名作成デバイスの安全なリモート制御を可能にし、物理的な存在なしに適格電子署名(QES)とシーリングを実現します。 このイノベーションは、最高のセキュリティ基準を維持しながら、リモートワークとデジタルトランスフォーメーションをサポートします。 特に、国境を越えた事業運営やクラウドベースの署名ソリューションに関連しています。
eIDAS 2への順守を達成する方法
eIDAS 2の導入は、EU全域におけるデジタルIDおよびトラストサービスの運用方法に大きな変化をもたらします。 2026年までには、すべての加盟国がEUDIウォレットをサポートしなければならず、金融サービス、通信、ヘルスケアなどの規制部門の組織は、本人確認とトラストサービスに関する新たな要件に準拠する必要があります。
コンプライアンスへの道筋は、デジタルアイデンティティエコシステムにおける組織の役割によって異なります。 要件は、依拠当事者(本人確認およびトラストサービスを利用するEU企業)と、規制監督下でこれらのサービスを発行するトラストサービスプロバイダー(TSP)で異なります。
EU企業
オンボーディングやトランザクションフローの一環として本人確認を使用しているEU企業にとって、コンプライアンスにはETSI TS 119 461 v2およびeIDAS 2で導入されたウォレットベースの認証モデルとの整合がますます求められるようになります。 具体的には以下を意味します:
- バイオメトリクスの完全性、なりすまし耐性、文書真正性チェックを備えた堅牢なリモート本人確認プロセスの実装
- 法的に要求される場合の適格電子署名または証明書 の統合
- EUDIウォレットベースの認証および属性の適格電子証明(QEAA)を受け入れるためのシステム準備
これらの変更により、依拠当事者はEU全域で一貫した高信頼性の検証モデルをサポートできるようになります。
トラストサービスプロバイダー
トラストサービスプロバイダーは、eIDASおよび関連するETSI標準で定義された技術的および監督的要件に従い、QSCD、PKIインフラ、およびトラストサービスプラットフォームを運用する必要があります。
その内容は以下のとおりです。
- QSCD内での署名鍵の安全な生成と保存
- 署名およびシーリング機能へのアクセスの厳格な管理
- 信頼性の高い証拠の記録、保管、アーカイブ
- 監督監査に合格し、インシデント報告義務を果たすことができる組織およびセキュリティフレームワーク。
TSPは、適格電子署名を作成するために認定済みQSCDを使用する必要があります。 これらのデバイスは、秘密鍵などの署名作成データが安全な環境で生成、管理、保存されることを保証し、不正アクセスを防止します。
サービスプロバイダーはまた、デジタル証明書と暗号鍵を管理するために、堅牢な公開鍵基盤(PKI)を導入する必要があります。 PKIは、デジタル証明書の安全な発行、配布、検証を支え、電子署名やその他のトラストサービスへの信頼を確保します。したがって、TSPは準拠した鍵管理慣行、安全なライフサイクル管理、および適用されるすべてのeIDAS要件との整合性を維持する必要があります。
TSPがユーザアイデンティティを管理し、サービスへのアクセスを制御するためには、効果的なIDおよびアクセス管理(IAM)システムも同様に重要です。 これらのシステムに、ユーザのIDを確認するために、多要素認証(MFA)のような強力な認証方法を組み込むべきです。 IAMソリューションは、証明書の発行や電子署名の作成などの機密性の高い操作を、許可された個人および担当者のみが実行できるようにすることもできます。
いずれの場合も、eIDAS 2が導入した変化は、組織が使用するツールだけでなく、それらのツールがどのように管理、テストされ、規制当局に示されるかにも関係しています。 ETSI TS 119 461 v2およびより広範なETSI標準との整合は、本人確認およびトラストサービス業務がEU全域で期待される新しい統一された保証レベルを満たしていることを実証するための、最も明確で監査可能な道筋を提供します。
Entrustがコンプライアンス維持を支援する方法
クラウド署名コンソーシアムの創設メンバーであり、PKI、トラストインフラストラクチャ、サイバーセキュリティにおける長年のリーダーとして、Entrustは組織がeIDAS 2の進化する要件を満たすのを支援します。
当社のソリューションは、KYCおよびAMLのオンボーディングワークフローとシームレスに統合され、eIDAS 2および金融セクターの規制で求められる堅牢でプライバシー重視の本人確認業務をサポートします。
Entrustは、効率的で自動化されたワークフローの中で、文書検証、バイオメトリクスチェック、デバイスインテリジェンスを組み合わせたETSI準拠の本人確認を提供しています。 これらの機能により、GDPRおよびETSI要件との整合性を維持しながら、ビデオ通話や手作業による処理を必要としない、安全で信頼性の高いリモートオンボーディングが可能になります。 また、国境を越えた相互運用性をサポートし、EU加盟国間で一貫した事業運営を可能にします。
さらに、PKIとトラストインフラストラクチャにおけるEntrustのリーダーシップにより、お客様は安全でスケーラブルな基盤の上に準拠したデジタルトラストサービスを構築・運用できます。 当社のテクノロジーは、IDAS 2に反映されている技術的要件に沿った方法で、デジタル署名ワークフローやその他のトラストサービスアーキテクチャを実装しようとしている組織をサポートします。 Entrustの信頼性が高く、相互運用可能で、将来にも対応できる本人確認およびトラストインフラストラクチャ機能により、組織は自信を持ってeIDAS 2時代に移行できます。
eIDASソリューション
リモート署名用 QSCD
nShieldハードウェア・セキュリティ・モジュールとEntrust署名アクティベーションモジュール(SAM)を備えたeIDAS準拠の認定署名作成デバイスを導入してください。
QWAC証明書(eIDAS準拠)
EntrustのeIDAS準拠のQualified Website Authentication Certificates(QWACs)は、eIDASガイドラインへの準拠を支援します。
本人確認順守ソリューション
eIDASに準拠したシンプルでシームレスなオンボーディングソリューションで、複雑な現地規制のニーズに対応し、リモートで顧客のオンボーディングを実現します。