eIDAS 2.0準拠：タイムラインと企業が準備すべきこと (JA)

eIDAS 2.0 — 電子識別、認証、トラストサービスに関する改訂されたEU規制 — は、すべてのEU加盟国に対し、市民および法人向けにEUDI（EUデジタルID）ウォレットを提供することを義務付けています。これは、2014年の元のeIDAS規制以来、ヨーロッパにおけるデジタルIDの最大の構造的変化であり、EU圏全体の民間サービスに実際の受け入れ義務を生じさせます。

展開は段階的であり、加盟国の実装状況に応じて正確にタイミングが計られます。方向性は明確です。EUDIウォレットが導入され、指定されたサービスカテゴリーでは受け入れが義務付けられ、このフレームワークを今理解している企業は、待っている企業よりもスムーズに統合できるでしょう。

主なポイント

• eIDAS 2.0は、EU加盟27カ国すべてに対し、市民および法人向けにEUDIウォレットを提供することを義務付け、国境を越えた電子識別と資格情報の提示を可能にします。
• 3つのLoA（保証レベル）ティア — 低、実質的、高 — は、資格情報がどれほど厳密に確立されたかを定義します。適切なレベルは、それに依存するサービスのリスクによって異なります。
• 民間サービスに対する受け入れ義務は段階的に導入されており、銀行、通信事業者、大規模オンラインプラットフォームなどが義務的な受け入れ対象として挙げられています。
• 2026年頃までに、加盟国はEUDIウォレットを運用開始することが期待されており、その後、広範な民間部門の受け入れ義務が段階的に導入されますが、展開のタイムラインは加盟国によって異なります。
• Diditは、スペインの財務省/BdE/SEPBLAC/CNMVによって、対面認証よりも安全であると正式に証明された唯一のIDプロバイダーであり、eIDAS 2.0の「高」保証基準に合致した、コンプライアンス対応の基盤を提供します。

eIDAS 2.0とは何か

2014年に採択された元のeIDAS規制は、EU加盟国間の国家電子識別スキームの相互承認のためのフレームワークを作成しました。ドイツのOnline-AusweisやベルギーのeIDカードのような大規模な国家eIDプログラムには機能しましたが、共通のウォレット形式がない、民間サービスのカバー範囲が限定的である、相互運用性が運用上よりも原則として機能するといった大きなギャップを残していました。

eIDAS 2.0 — 正式には元の規制を改正する規制(EU) 2024/1183 — は、その断片化された国家スキームモデルを単一の欧州アプローチに置き換えます。すべての加盟国は、希望するすべての市民および法人にEUDIウォレットを提供しなければなりません。すべてのウォレットは共通の技術基準を満たさなければなりません。そして重要なことに、指定されたサービスプロバイダーは、どの加盟国がウォレットを発行したかに関わらず、すべてのEU市民からのウォレット提示を受け入れなければなりません。

ウォレットは検証可能な資格情報を保持します。政府発行の身分証明書、学歴資格、専門免許、銀行口座の証明 — トラストサービスプロバイダーによって正式に発行され、電子的に提示および検証可能なあらゆる属性です。ドイツ市民がEUDIウォレットをスペインの銀行に提示したり、ポーランドのフリーランサーが専門資格をフランスのマーケットプレイスに提示したりすることが、国内での提示と同じくらいシームレスに機能するはずです。

保証レベル：低、実質的、高

eIDAS 2.0は、元の規制からLoAフレームワークを継承し、それをウォレットのコンテキストに拡張します。3つのレベルは、資格情報がどれほど確信を持って確立されたかを定義します。

低 — 主張されたIDに対する信頼が限定的なプロセスを通じて資格情報が確立されました。エラーのコストが最小限であり、摩擦を可能な限り低くすべき低リスクサービスに適しています。

実質的 — IDの誤用のリスクを大幅に低減するプロセスを通じて資格情報が確立されました。自動チェックを伴う文書ベースの検証が通常このレベルを満たします。ほとんどのKYC（顧客確認）グレードのチェックは、実質的な保証のために設計されています。

高 — 非常に高い確信度で誤用を防ぐプロセスを通じて資格情報が確立されました。iBetaレベル1以上での生体認証と組み合わせた文書検証 — 対面での検証と同等か、それよりも明らかに優れているもの — がこのレベルを満たします。

LoAフレームワークがビジネスにとって重要であるのは、サービスが必要とする保証レベルとそれを満たす検証方法を関連付けるからです。支払い口座の開設には「実質的」が必要な場合があり、規制された金融商品へのアクセスには「高」が必要な場合があります。eIDAS 2.0はこれらの期待を体系化し、EU全体で移植可能にします。

EUDIウォレットがビジネスにもたらす意味

今日、ユーザーは文書画像をアップロードし、セルフィーを撮ることで、あなたのプラットフォームに自身の身元を提示し、あなたのプラットフォームはそれをリアルタイムで検証します。EUDIウォレットではモデルが変更されます。ユーザーは加盟国のトラストサービスプロバイダーが発行した事前検証済みの資格情報を保持し、それをあなたに提示します。あなたは資格情報の暗号署名と発行者の信頼性を検証し、基礎となる文書をゼロから検証することはありません。

規制対象ビジネスにとって、ウォレット提示モデルは具体的なメリットを提供します。ユーザーの身元は、信頼できる発行者によって既知の保証レベルで検証されているため、あなたの側での検証負担が軽減されます。ユーザーの資格情報は、あなたのリスク要件に直接マッピングできる特定のLoAを帯びています。また、再利用可能な資格情報により、ユーザーはやり取りするすべてのサービスに文書を再アップロードする必要がなくなり、正当なユーザーのオンボーディング時の摩擦が軽減されます。

義務の側面も同様に具体的です。受け入れ義務が発効すると、特定のサービスカテゴリーはウォレット提示された資格情報を拒否できません。強制受け入れカテゴリーに該当する銀行や大規模オンラインプラットフォームは、EUDIウォレットの提示を受け入れる能力がなければなりません。これには、ウォレットエコシステムとのAPI統合と、あなたのIDパイプラインにおけるLoAマッピングロジックが必要です。

受け入れ義務と段階的なタイムライン

eIDAS 2.0は、EUDIウォレット提示の強制的な受け入れ対象となるサービスプロバイダーのカテゴリーを特定しています。デジタルサービス法に基づく超大規模オンラインプラットフォーム、銀行および決済サービスプロバイダー、電子通信サービスプロバイダー、輸送およびエネルギーサービスプロバイダー、専門資格サービスプロバイダーです。

受け入れ義務は、加盟国がウォレットを展開するにつれて段階的に導入されます。大規模パイロット — 医療、教育、旅行、金融、政府サービスをカバーする複数加盟国テストプログラム — は2023年から実施されており、本番環境対応の技術仕様を生成しています。加盟国は2026年頃にEUDIウォレットを運用開始することが期待されており、インフラが成熟するにつれて民間部門の強制受け入れ義務が段階的に導入されます。

正確な月ごとのカレンダーは、各加盟国の実装進捗状況と欧州委員会が発行する実施法に依存します。明確なのは、方向性が確定し、技術アーキテクチャが現実のものであるということです。パイロットプログラムの学習成果は現在、最終的な技術仕様に組み込まれています。

企業が準備すべきこと

保証レベル要件をマッピングする。提供する各サービスについて、提示された資格情報が満たすべきLoAを特定します。低リスクのコンテンツサービスには「低」が必要な場合があり、規制された金融口座には「高」が必要です。このマッピングは、受け入れる必要がある資格情報の提示と、それらをどのように検証するかを決定します。

強制受け入れへの露出を評価する。あなたのサービスが指定されたカテゴリー（銀行、通信、大規模オンラインプラットフォーム）に該当する場合、EUDIウォレットの提示を受け入れる義務は規制によるものであり、選択肢ではありません。義務が発効する前に技術評価を開始し、発効後に開始しないようにしてください。

ID検証アーキテクチャを監査する。eIDAS 2.0の受け入れは、既存の検証パイプラインを削除することを意味するのではなく、それを拡張することを意味します。EUDIウォレットを持つユーザーはそれを提示し、持たないユーザーは標準の文書と生体認証フローを完了します。両方のパスは同じコンプライアンス記録とLoA分類に収束する必要があります。

すでに証明済みのインフラストラクチャを基盤とする。高保証レベルで発行された資格情報には、高LoA基準を満たす検証パイプラインが必要です。これには、対面識別と同等またはそれ以上の生体認証が含まれます。既存の監督当局の証明を持つプロバイダーを基盤とすることで、コンプライアンスの範囲を縮小し、規制当局との対話を簡素化できます。

eIDAS 2.0がID検証プロバイダーにもたらす意味

EUDIウォレットは従来の文書と生体認証を置き換えるものではなく、それに加えて新しい提示パスを追加するものです。短期的には、ほとんどのユーザーはEUDIウォレットを持たないでしょう。中期的には、加盟国が実装を展開し、ユーザーエクスペリエンスが成熟するにつれて、ウォレットの採用が増加するでしょう。長期的には、再利用可能なウォレット資格情報により、ユーザーごとのオンボーディング検証負担が軽減され、LoAフレームワークにより、企業が検証内容を理解し、伝達する方法が標準化されます。

ID検証プロバイダーにとって、これは二重の状況を生み出します。ウォレットを持たないユーザー向けの従来のオンデマンド検証と、EUDIウォレット資格情報を提示するユーザー向けの資格情報受け入れインフラストラクチャです。LoAフレームワークは、両方のトラック間の橋渡しとなります。高保証要件を持つ企業は、どちらのパスでもそれを満たすことができます。

ユースケース

銀行および決済機関 — 最初から強制受け入れの対象として指定されています。既存のKYCパイプラインと並行してEUDIウォレットを統合することで、ウォレットを持つユーザーのシームレスなオンボーディングが可能になり、既存のフローはウォレットを持たないユーザーに対応します。LoAマッピングは、高保証ウォレット資格情報に対するオンボーディングごとの検証決定に取って代わります。

通信プロバイダー — 強制受け入れカテゴリーに指定されています。EUにおける規制されたSIM登録の方向性として、高保証でのEUDIウォレットによる加入者ID検証が挙げられます。

大規模オンラインプラットフォームおよび規制されたマーケットプレイス — DSAに基づく超大規模オンラインプラットフォームは、強制受け入れ義務に直面します。ウォレット資格情報を使用した実質的な保証での販売者およびユーザー検証は、具体的なeIDAS 2.0のユースケースです。

国境を越えた金融サービス — 今日、オランダのネオバンクでオンボーディングするスペインのユーザーは、完全な文書と生体認証フローに直面します。EUDIウォレットがあれば、彼らの事前検証済みのスペイン政府発行資格情報が適切な保証レベルで直接転送され、正当なユーザーの摩擦を軽減しつつ、コンプライアンス記録を維持します。

Diditがどのように役立つか

Diditは、スペインの財務省/BdE/SEPBLAC/CNMVによって、対面認証よりも安全であると正式に証明された、唯一のEU加盟国政府公認IDプロバイダーです。この証明は、高保証基準が実際に適用されていることを意味します。文書検証と生体認証の生体検知は、自己認証ではなく、国家金融監督当局によって評価および承認されています。

eIDAS 2.0準拠を目指す企業にとって、これは次のことを意味します。

• Didit ID Verificationによる高LoAグレード基準でのID検証 — 文書チェックと受動的または能動的生体検知、顔照合のすべてがiBetaレベル1 PAD認定およびEU政府公認です。
• 再利用可能なKYC（無料） — ユーザーがDiditによって一度検証されると、その検証は移植可能です。ユーザーはサービスごとに再検証する必要がなく、資格情報とその保証レベルは下流で信頼されます。
• EU公認インフラストラクチャ — 既存の国家監督当局の証明を持つプロバイダーを基盤としてeIDAS 2.0準拠の姿勢を構築することで、コンプライアンス負担と規制当局に対する説明責任の両方を軽減できます。

EUDIウォレットの受け入れ義務が段階的に導入されるにつれて、Diditの検証パイプラインは補完的な役割を果たします。ウォレットを持たないユーザーは標準の文書と生体認証フローを通じて検証し、ウォレットを提示するユーザーはウォレット受け入れパスを完了します。どちらのパスも、ビジネスコンソール内の同じコンプライアンス記録に収束します。

よくある質問

企業はいつまでにEUDIウォレットを受け入れなければなりませんか？

この規制は方向性を定め、強制受け入れカテゴリーを指名していますが、正確な期限は加盟国、サービスカテゴリー、および委員会が発行する実施法によって異なります。加盟国は2026年頃にウォレットを運用開始することが期待されており、ウォレットの展開が成熟するにつれて、民間部門の受け入れ義務が段階的に導入されます。権威あるタイムテーブルについては、各国の実施当局および関連するEU実施法を確認してください。

eIDAS 1.0とeIDAS 2.0の違いは何ですか？

eIDAS 1.0（2014年）は、国家eIDスキームの国境を越えた相互承認フレームワークを作成しました。eIDAS 2.0は、すべてのEU市民および法人が利用できる共通のEUDIウォレット形式を追加し、強制受け入れ義務を伴う民間部門へのカバー範囲を拡大し、新しい移植可能な資格情報タイプとして適格電子属性証明（QEAA）を導入し、規制されるトラストサービスの範囲を広げています。

EUDIウォレットを受け入れることはKYC検証に代わるものですか？

いいえ。ウォレット提示された資格情報を受け入れることは、あなたのIDプログラムへの入力の一つです。資格情報の保証レベルは、IDがどれほど信頼性高く確立されたかを示します。あなたのコンプライアンスプログラムは、各サービスに十分なレベルを依然として決定し、AML（アンチマネーロンダリング）スクリーニング、継続的なモニタリング、取引モニタリングなどの他のチェックも引き続き適用されます。

Didit ID Verificationの費用はいくらですか？

コアフロー — ID文書（0.15ドル）+ 受動的生体検知（0.10ドル）+ 顔照合（0.05ドル）+ IP分析（0.03ドル）— は、検証ごとに0.33ドルです。毎月500回の無料チェック。最低料金なし、呼び出しごとに支払いです。

DiditのEU政府証明とは何ですか？

スペインの財務省（Tesoro）、スペイン銀行（BdE）、マネーロンダリング対策監督機関（SEPBLAC）、証券規制機関（CNMV）は、Diditの検証プロセスが対面識別よりも安全であると正式に証明しました。これは、自己認証や業界賞ではなく、国の監督当局による評価です。Trust hubで詳細を確認してください。

始めましょうか？

検証パイプラインを理解するためにID検証ドキュメントを読み、ID検証製品ページで製品全体を確認し、料金ページで呼び出しごとの料金を確認してください。準備ができたら、無料で始めましょう — 毎月500回の無料検証、契約なし、最低料金なし。