DiditとDORA:本人確認におけるICT第三者リスクへの対応 (JA)
DORAは、金融機関が依拠するICT第三者(本人確認プロバイダーを含む)に対して説明責任を負わせます。DiditのISO 27001認証、SOC 2 Type 1証明、および監査証跡の体制が、DORAに準拠したベンダーファイル作成をどのようにサポートするかをご紹介します。.
デジタルオペレーショナルレジリエンス法(DORA)は、アウトソーシングの意味合いを変えました。2025年1月以降、EU域内の金融機関は、依拠する情報通信技術(ICT)第三者の運用レジリエンスに対して直接的な説明責任を負います。銀行、電子マネー機関、または暗号資産サービスプロバイダーのオンボーディングフローに組み込まれる本人確認プロバイダーは、まさにその種のICT第三者に該当します。
これにより、あらゆる調達交渉において新たな問いが投げかけられます。プロバイダーがレジリエントであることを証明できますか?また、その証明を規制当局向けに文書化できますか?このガイドでは、DORAがICT第三者に求める要件を説明し、Diditの認証、管理体制、および監査証跡がDORA対応のベンダーファイルをどのようにサポートするかを具体的に示します。
主なポイント
- DORAは、金融機関に説明責任を負わせます。本人確認および詐欺対策プロバイダーを含む、利用するICT第三者に対して。責任をアウトソースすることはできず、業務のみをアウトソースできます。
- DiditはISO/IEC 27001:2022認証を取得しています(ビューローベリタス、ENAC認定、証明書番号ES144068、2027年6月3日まで有効)。これは、DORAのICTリスク管理の期待に直接対応する国際的に認められた情報セキュリティ管理システムです。
- DiditはSOC 2 Type 1証明書を保有しています(ATOM、2026年4月9日現在)。セキュリティ、可用性、および機密性のトラスト基準を対象とし、Type 2審査も計画されています。
- すべての本人確認は不変の監査証跡を残します。ステータス、決定、およびWebhookイベントは、インシデント報告やICTレジスターのためにチームが再生できます。
- 本人確認と詐欺対策のライフサイクル全体が、単一の統合された
/v3/APIで実行されます。これにより、レジリエンス、監視、および報告が、多くのプロバイダーに分散されるのではなく、単一の責任あるプロバイダーに集中されます。
DORAが求めるもの
DORAは、金融セクターにおけるデジタルオペレーショナルレジリエンスのためのEUのフレームワークです。サイバーセキュリティを副次的な懸念として扱うのではなく、5つの柱を単一の規制に組み込んでいます。
- ICTリスク管理 — ICT関連インシデントを特定し、防御し、検出し、対応し、復旧するための文書化されたフレームワーク。
- ICTインシデント報告 — 主要なインシデントを分類し、定められた期限内に管轄当局に報告すること。
- デジタルオペレーショナルレジリエンステスト — ICTシステムの定期的なテスト、重要な機関に対する脅威主導型侵入テストまで。
- ICT第三者リスク管理 — Diditのようなプロバイダーに適用される柱:デューデリジェンス、契約上の保護措置、すべてのICT契約に関する情報登録、監視および終了の能力。
- 情報共有 — サイバー脅威インテリジェンスの自発的な交換。
ベンダーが回答すべきは4番目の柱です。DORAは、金融機関が各ICT第三者契約を記述する情報登録を維持し、契約締結前にデューデリジェンスを実行し、特定の契約上の権利(監査、アクセス、再委託の透明性、終了)を確保し、集中リスクを評価することを期待しています。プロバイダーの役割は、これらすべてを簡単に証明できるようにすることです。
なぜそれが重要なのか
本人確認は、周辺システムであることはほとんどありません。顧客のオンボーディングのクリティカルパス上に位置し、取引スクリーニングを通じた継続的な監視の重要性が増しています。この機能が劣化すると、オンボーディングが停止し、それに伴って収益も停止します。DORAは、まさにこの種の依存関係を、規制当局が問うべきものとして扱います。
実務上の結果として、金融機関が本人確認プロバイダーをICTレジスターに追加する場合、そのプロバイダーのセキュリティ管理、可用性のコミットメント、およびインシデント対応体制について文書化された保証が必要です。認められた認証と明確な監査証跡を提出できるプロバイダーは、デューデリジェンスを数か月から数日に短縮します。それができないプロバイダーは、指摘事項となります。
Diditがどのように貢献するか
Diditのコンプライアンス体制は、約束ではなく証拠をもってDORAベンダーファイルに組み込まれるように構築されています。
ISO/IEC 27001:2022認証。Diditは、認証された情報セキュリティ管理システム(ISMS)を運用しています。この証明書(ビューローベリタス認証、ENAC認定、証明書番号ES144068、2026年4月7日に初回認証、2027年6月3日まで有効、DIDIT IDENTITY SPAIN S.L.に発行)は、Diditデジタル本人確認ソリューションの開発、運用、および技術サポートを対象としています。ISO 27001はICTリスク管理の国際的な基準であり、文書化されたフレームワーク、定義された管理策、リスク評価、および継続的改善を要求します。これらは、DORAの第一の柱がDiditに依拠する機関に期待するのと同じ規律です。証明書は配布可能であるため、登録ファイルに直接含めることができます。
SOC 2 Type 1証明書。Diditは、ATOM(AICPAのサービス組織向けSOCフレームワークに基づく独立サービス監査人)からSOC 2 Type 1レポートを保有しており、2026年4月9日現在のセキュリティ、可用性、および機密性に関する管理策の設計を証明しています。可用性は、DORAが重要なオンボーディング依存関係に対して最も重視する基準です。一定期間にわたる運用効果をテストするType 2審査が計画されています。完全なSOC 2レポートは、AICPAの規則により使用が制限されており、NDAに基づき見込み客および顧客と共有されます。Diditは、その内容を公開する代わりに、ここで言及しています。
監査証跡とインシデント証拠。すべての本人確認、すべての取引監視の決定、およびすべてのステータス変更は、統合された /v3/ APIおよびWebhook(session.status.updated、transaction.status.updated、および関連イベント)を通じて記録され、公開されます。これにより、金融機関は、自身のインシデント報告およびレジリエンステストの義務に組み込むことができる、再生可能でタイムスタンプ付きの記録を得ることができ、また登録簿に文書化すべき明確なデータフローを得ることができます。
単一の責任あるプロバイダー。本人確認、法人確認、AMLスクリーニング、取引監視、およびウォレットスクリーニングがすべて同じ /v3/ APIで実行されるため、金融機関は、複数のプロバイダーを連携させるのではなく、単一の認証されたICT第三者に重要な機能を集中させることができます。これにより、登録簿上の契約の数が減り、管理すべき契約関係が1つになり、維持すべき認証のセットが1つになります。
詳細:DiditのICTレジスターエントリの構築
本人確認プロバイダーに関するDORAの情報登録エントリでは、通常、提供される機能、その重要性、契約上の保護措置、および保証証拠を把握する必要があります。Diditの場合、これは明確に対応しています。
| DORA登録要素 | Diditが提供するもの |
|---|---|
| ICTサービスの説明 | 本人確認(KYC)、法人確認(KYB)、AMLスクリーニング、取引監視、ウォレットスクリーニング — 統合された/v3/ API |
| 重要性 / サポートされる機能 | 顧客オンボーディングおよび継続的監視 — 通常は重要または不可欠な機能 |
| セキュリティ保証 | ISO/IEC 27001:2022証明書番号 ES144068(配布可能) |
| 運用保証 | SOC 2 Type 1(セキュリティ、可用性、機密性)、2026年4月9日現在(NDAに基づく) |
| データ所在地 / 処理 | データ処理契約書に記載。EU法人 DIDIT IDENTITY SPAIN S.L. |
| 監査 / アクセス権 | 契約上の監査権。完全なAPI監査証跡およびWebhookイベントログ |
| 終了 / ポータビリティ | セッションおよび取引記録の標準APIエクスポート |
認証は、保証行の重い作業を担います。Diditのドキュメントとセキュリティハブ(didit.me/security-compliance)は、デューデリジェンスチームが必要とする成果物を収集するための唯一の場所です。
ユースケース
- EUの銀行およびEMIが、ICTレジスターのフットプリントを拡大することなくリモートオンボーディングを追加する場合 — 1つの認定プロバイダー、1つの契約。
- MiCAの適用を受け、DORAの対象でもある暗号資産サービスプロバイダーが、レジリエントな第三者からのオンボーディングと取引監視の両方を必要とする場合。
- 決済機関が、要請に応じて管轄当局に対し、オンボーディング依存関係の可用性とセキュリティを証明する必要がある場合。
- コンプライアンスおよび調達チームが、審査中に追いかけるのではなく、認証と監査証拠を事前に受け取りたい場合。
よくある質問
DORAは本人確認プロバイダーに直接適用されますか?
DORAの義務は金融機関に課せられますが、第三者リスク管理の柱を通じて、本人確認プロバイダーのようなICT第三者に及びます。金融機関はデューデリジェンスを実行し、契約上の権利を確保し、契約を登録しなければなりません。これは、プロバイダーがそのレジリエンスを証明できなければならないことを意味します。
DiditはISO 27001認証を取得していますか?
はい。DiditはISO/IEC 27001:2022認証(ビューローベリタス、ENAC認定)を取得しており、証明書番号はES144068、有効期限は2027年6月3日まで、DIDIT IDENTITY SPAIN S.L.に発行されています。この証明書はベンダーファイル用に配布可能です。
DiditはSOC 2認証を取得していますか?
Diditは、2026年4月9日現在、セキュリティ、可用性、および機密性に関するSOC 2 Type 1証明書(ATOM)を保有しています。SOC 2 Type 2審査が計画されています。完全なレポートはNDAに基づき共有されます。
DORAのインシデント報告のために監査証跡を取得できますか?
はい。すべての本人確認および取引監視イベントは、/v3/ APIおよびWebhookを通じて記録され公開されるため、インシデント報告およびレジリエンス文書化のための再生可能でタイムスタンプ付きの記録が得られます。
認証書類はどこで入手できますか?
Diditのセキュリティおよびコンプライアンスハブ(didit.me/security-compliance)から始めてください。ISO 27001証明書は配布可能であり、SOC 2 Type 1レポートはNDAに基づき共有されます。
始めましょうか?
Diditの完全な証明書スタックはセキュリティおよびコンプライアンスハブで、本人確認がEUのオンボーディングフローにどのように適合するかは本人確認製品ページで、チェックごとの透明な価格設定は価格ページでご確認ください。準備が整い次第、無料で始められます — DORAレジスターに文書化されるのと同じ統合された /v3/ APIで、毎月500回の無料KYCチェックをご利用いただけます。