設計によるコンプライアンス：Diditの完全な認証スタック (JA)

自分のIDプラットフォームは安全でコンプライアンスに準拠していると誰もが言えます。しかし、それを証明する独立したレポートを提示できる企業ははるかに少ないです。Diditのコンプライアンス体制は、証明可能な資産です。情報セキュリティ、生体認証によるなりすまし防止、リモートオンボーディングの法的妥当性を網羅する5つの外部認証があり、その中には、リモート身元確認ツールが対面での身元確認基準を満たし、それを超えることを証明する唯一のEU加盟国政府認証も含まれています。

この記事は、この完全なスタックを理解するための唯一の場所です。各認証が何であるか、誰が発行したか、正確に何をカバーしているか、そしてデューデリジェンス、RFP、調達においてどのように活用できるかについて説明します。誇張はありません。レベルと日付は正確に記載されています。なぜなら、コンプライアンスにおいて、正確さこそが価値だからです。

主なポイント

• SOC 2 Type 1 — ATOMによるサービス組織管理認証（セキュリティ、可用性、機密性）。2026年4月9日時点。Type 2の審査を計画中。利用制限あり（NDA）。
• ISO/IEC 27001:2022 — 情報セキュリティマネジメントシステム。Bureau Veritasが認証。認証番号 ES144068。2027年6月3日まで有効。配布可能。
• iBeta Level 1 PAD — ISO/IEC 30107-3に基づく生体認証プレゼンテーション攻撃検出。360回の試行で攻撃成功率0% / IAPAR 0%。配布可能。
• Tesoro / SEPBLAC / CNMV — Diditのリモート検証が対面での身元確認基準を満たし、それを超えることを結論付けたスペインの金融サンドボックス。公開済み、永続的。EUにおける主要な差別化要因。
• finReg360 — EBA/GL/2022/15メモ — DiditのリモートオンボーディングがEBAリモートオンボーディングガイドラインおよびEU AML単一ルールブックに準拠しているという独立した法的意見（2026年4月28日）。配布可能。
• これらすべてが、すべての購入者が尋ねる3つの質問をカバーしています。セキュリティは堅牢か、生体認証はなりすましに強いか、そしてオンボーディングは法的に適切か。

「設計によるコンプライアンス」に必要なこと

身元確認ベンダーを評価する購入者は、実際には3つの監査を同時に実行しています。

1. 情報セキュリティ — プラットフォーム自体は安全か？顧客データは保護されているか？管理は認識された基準に基づいて設計および管理されているか？
2. 生体認証の完全性 — ライブネスと顔認証は写真、リプレイ、マスク、ディープフェイクによって騙されないか？
3. 規制の妥当性 — このツールを使用することで、購入者が対象となる法律、特にリモートオンボーディングにおいて実際に満たされるか？

自己評価ではなく、独立した第三者の証拠によってこれら3つのすべてに回答できるベンダーは、数週間かかるデューデリジェンスのサイクルを、一連のドキュメントのフォルダに短縮します。それが「設計によるコンプライアンス」の実践的な意味です。つまり、購入者が尋ねる前に証明が存在するということです。

なぜ重要なのか

コンプライアンスの証拠は、もはやセールスサイクルの後半にある「あれば良いもの」ではなく、ゲートとなっています。銀行やEMIの調達チーム、暗号資産VASPのMLRO、エンタープライズのセキュリティレビュー担当者は、それがなければ署名しません。質問票は早期に届き、成果物が到着するまで取引は停滞します。

SOC 2レポート、ISO 27001証明書、iBetaの結果、政府のサンドボックスの結論、そして独立した法的意見を即座に提示できるベンダーは、ゲートを通過するだけでなく、サイクルを短縮し、購入者のコンプライアンスチームにとっての意思決定のリスクを軽減します。各認証は、拒否する理由を一つずつ取り除きます。

Diditが提供する支援：5つの認証

1. SOC 2 Type 1 (ATOM)

ATOMが発行した、AICPA Trust Services Criteriaのセキュリティ、可用性、機密性に対するサービス組織管理認証です。2026年4月9日時点のDiditの管理設計について報告しています。一定期間の運用有効性を評価するType 2の審査が次のステップとして計画されています。完全なレポートはAICPAの規則により利用制限があり、正当な必要性がありNDAを締結した見込み顧客および顧客と共有されます。米国企業のセキュリティ質問票およびフィンテックの調達にご利用ください。

2. ISO/IEC 27001:2022 (Bureau Veritas, 認証番号 ES144068)

Diditの情報セキュリティ、サイバーセキュリティ、およびプライバシー管理システムの認証であり、Bureau Veritas Certification（ENAC認定）が発行しました。認証番号ES144068、初回認証日2026年4月7日、2027年6月3日まで有効です。これは、管理され監査された情報セキュリティシステムが存在することを示すものであり、EUの調達および規制対象の金融顧客が期待する基本要件です。リクエストにより配布可能です。

3. iBeta Level 1 PAD (ISO/IEC 30107-3)

iBeta Quality Assurance（NIST/NVLAP認定ラボ）による、ISO/IEC 30107-3、レベル1に準拠した独立した生体認証プレゼンテーション攻撃検出評価です。このテストでは、登録された被験者に対し6種類のプレゼンテーション攻撃が360回試行され、攻撃成功率0% / IAPAR 0%が記録されました。これは、Diditのなりすまし防止に関する主張を裏付ける監査済みの証拠です。リクエストにより配布可能です。（レベルは1であり、レベル2ではありません。正確に記載されています。）

4. Tesoro / SEPBLAC / CNMV サンドボックスの結論

主要な差別化要因です。スペインの金融サンドボックス内で、スペインのCNMVは、SEPBLAC（スペイン金融情報機関）と連携して審査を行い、Diditのリモート身元確認（暗号化されたNFCチップ読み取りとアクティブライブネス付き顔生体認証）が対面での身元確認基準を満たし、それを超えると結論付けました。テストは2024年11月から2025年7月まで実施され、結論は2026年2月にスペイン財務省のウェブサイトで公開されました。これはこの種のEU加盟国政府による唯一の認証であり、公に公開され、永続的です。配布可能。

5. finReg360 — EBA/GL/2022/15 妥当性に関するメモ

finReg360（マドリード）による、2026年4月28日付の独立した法的意見書です。Diditのリモート顧客オンボーディングツールがEBAのリモート顧客オンボーディングに関するガイドライン（EBA/GL/2022/15）を満たし、今後施行されるEU AML単一ルールブックと互換性があること、そしてDiditの自動化された管理が導入されている場合、ビデオ識別プロセスは手動による人間によるレビューを必要としないと結論付けています。MLROが取締役会や監督者に提示できる文書です。リクエストにより配布可能です。

詳細：どの認証がどの質問に答えるか

購入者によって異なる懸念事項があります。適切な文書を参照する方法は次のとおりです。

• 「プラットフォームは安全ですか / どのようにデータを保護していますか？」 → SOC 2 Type 1（NDA締結後）およびISO/IEC 27001:2022（認証番号ES144068）。
• 「ライブネスはなりすましできますか？」 → iBeta Level 1 PAD：360回の試行で攻撃成功率0%。
• 「御社を利用することで、リモートオンボーディングの義務を実際に満たせますか？」 → finReg360 EBA/GL/2022/15メモ（Tesoro/SEPBLAC/CNMV政府の結論に裏打ちされています）。
• 「なぜ対面よりもリモートを信頼すべきなのですか？」 → Diditが対面での身元確認基準を満たし、それを超えるというTesoro/SEPBLAC/CNMVの結論。

共有に関する注意：ISO 27001、iBeta、Tesoro/SEPBLAC/CNMVレポート、およびfinReg360メモはリクエストに応じて配布可能ですが、SOC 2レポートは利用制限があり、NDAを締結した場合にのみ共有されます。認証は資料中で参照されますが、制限付きレポート自体は公開されません。

ユースケース

• 契約前にSOC 2およびISO 27001を要求する企業および銀行の調達。
• EU規制下でのリモートオンボーディングの法的妥当性の証拠を必要とする暗号VASPのMLRO。
• 独立したラボの結果を用いて生体認証のなりすまし防止を評価するセキュリティチーム。
• 政府のサンドボックスの結論が競合他社に対する決定的な差別化要因となるEUでの販売。

よくある質問

DiditのSOC 2はType 1ですか、それともType 2ですか？

Type 1認証であり、2026年4月9日時点の管理設計について報告しています。Type 2の審査が計画されています。レポートは利用制限があり、NDAを締結した場合にのみ共有されます。

iBeta PADの結果のレベルはいくつですか？

ISO/IEC 30107-3に基づくレベル1であり、360回の攻撃試行で攻撃成功率0% / IAPAR 0%です。

Tesoro/SEPBLAC/CNMVの結論がユニークなのはなぜですか？

リモート身元確認ツールが対面での身元確認基準を満たし、それを超えることを証明する唯一のEU加盟国政府認証であり、公に公開され、永続的です。

NDAなしで受け取れる文書はどれですか？

ISO/IEC 27001:2022、iBeta Level 1 PADレター、Tesoro/SEPBLAC/CNMVの結論、およびfinReg360メモはリクエストに応じて配布可能です。SOC 2 Type 1レポートにはNDAが必要です。

DiditはeIDAS認定の適格トラストサービスプロバイダーですか？

いいえ。Diditは関連するEUフレームワークに準拠し、それをサポートしていますが、認定されたQTSPではありません。現在保有しているのはこれら5つの認証です。

始めませんか？

Diditのすべての認証はトラストハブでご確認いただけます。ID検証製品を探索し、価格ページで透明性の高い価格設定をご確認ください。準備ができましたら、無料で開始してください。毎月500回の無料KYCチェック、コア検証フローは0.33ドルからご利用いただけます。