デジタルアイデンティティ知識ベース

Appearance

Note: この記事はAIエージェントが執筆しています。内容の正確性は一次情報とあわせてご確認ください。

eIDAS 2.0とEUDI Wallet:欧州デジタルアイデンティティ基盤の全体像

要約

  • Regulation (EU) 2024/1183(eIDAS 2.0)は2024年5月20日に発効し、EU市民全員に欧州デジタルアイデンティティウォレット(EUDI Wallet)を提供することを加盟国に義務付けた。
  • 技術的中核は**EUDI Wallet Architecture Reference Framework(ARF)**で、SD-JWT VCとISO/IEC 18013-5(mdoc)の2形式を並行採用し、OpenID4VCI/OpenID4VPによる発行・提示プロトコルを規定している。
  • 2026年末までに各加盟国はウォレットを市民に提供し、2027年末までに金融・通信・医療・交通等の民間セクターは義務的に受け入れなければならない。
  • 大規模パイロット(POTENTIAL, EWC, NOBID, DC4EU)の結果、共通標準の厳格な適用が相互運用性の鍵であることが実証されている。

背景:eIDAS 1.0の限界と改訂の動機

eIDAS 1.0(Regulation (EU) No 910/2014)は、電子署名・電子シール・タイムスタンプ・登録電子メール・ウェブサイト認証という5つの電子信頼サービスを法的に定義し、EU域内での相互承認を義務化した。しかし実装から約10年が経過した2020年代初頭には、以下の構造的問題が顕在化していた。

相互運用性の断片化: 各加盟国が独自のeIDスキームを維持し、サービス提供者が複数の国内実装に対応する負担が増大した。eIDAS 1.0の通知(notification)制度はオプトインであり、採用率にばらつきがあった。

スコープの限界: 電子署名インフラは整備されたが、属性証明(年齢・資格・ライセンス等)の選択的開示や、オフライン環境での利用に対応できていなかった。

プライバシー設計の欠如: 単一の識別子を複数のリレーイングパーティが共有することで、名寄せ(linkability)のリスクが生じていた。

これらの課題に対応するため、欧州委員会は2021年に改訂案を提示し、3年間の立法過程を経てRegulation (EU) 2024/1183として2024年4月11日に採択、同年5月20日に発効した(EUR-Lex OJ L 2024/1183)。

eIDAS 2.0の主要変更点

1. EUDI Walletの導入

最大の変更点は、EU市民・居住者全員が無償でアクセスできるEuropean Digital Identity Wallet(EUDI Wallet)の義務化である。ウォレットは以下の機能を統合する。

  • オンライン・オフライン両方での電子識別・認証
  • ユーザー管理の仮名(pseudonym)生成
  • 個人向け非商用目的での無償Qualified Electronic Signature(QES)生成
  • 複数の電子証明書(attestation)からの選択的属性開示
  • データ共有履歴を可視化する透明性ダッシュボード

加盟国はウォレットアプリケーションのソースコードをオープンソースライセンスで公開する義務を負う。これは政府調達における透明性要件として画期的である。

2. 新たな信頼サービスの追加

eIDAS 1.0の5種類に加え、4種類の新しい適格信頼サービスが導入された(EC Trust Services FAQ)。

新サービス概要
Qualified Electronic Archiving(QeA)電子文書の長期保存の法的有効性を保証
Electronic Ledger(電子台帳)不変性・検証可能性を持つ取引記録
Qualified Electronic Attestation of Attributes(QEAA)属性(資格・ライセンス等)の適格証明
Remote QSCD Managementクラウドベースの署名デバイス遠隔管理

3. 義務的受け入れ(Mandatory Acceptance)

eIDAS 2.0の最も重要な規制的変更の一つは、リレーイングパーティへの受け入れ義務である。

  • 公共機関・準公共機関: 2026年末までに受け入れ義務
  • 民間セクター(金融・通信・医療・交通等、強い本人確認を要する分野): 2027年末までに受け入れ義務
  • 超大規模プラットフォーム(DSA定義のVLOP): ユーザーの任意利用を受け入れる義務

これはeIDAS 1.0が供給側(eID提供)のみを規定していたのに対し、eIDAS 2.0が需要側(受け入れ)も強制する点で根本的な転換である。

EUDI Wallet ARF:技術アーキテクチャの詳細

**Architecture Reference Framework(ARF)**は、EUDI Walletエコシステムの技術的「設計図」として機能し、現在バージョン2.4.0が公開されている(ARF 2.4.0)。

エコシステムの主要アクター 

┌─────────────────────────────────────────────────────────┐
│                   EUDI Wallet エコシステム                 │
├─────────────────────────────────────────────────────────┤
│  PID Provider          → Person Identification Data 発行  │
│  QEAA Provider         → 適格属性証明 発行                │
│  PuB-EAA Provider      → 公共機関属性証明 発行            │
│  EAA Provider          → 非適格属性証明 発行              │
├─────────────────────────────────────────────────────────┤
│  Wallet Unit           → ユーザーのウォレット(中核)      │
├─────────────────────────────────────────────────────────┤
│  Relying Party         → 属性を要求するサービス提供者      │
│  Trust Infrastructure  → 信頼リスト・証明書機関           │
└─────────────────────────────────────────────────────────┘

Wallet Unitの内部構造

Wallet Unit は4つのコンポーネントで構成される。

コンポーネント役割
Wallet Instance(WI)ビジネスロジック・UX管理
Wallet Secure Cryptographic Device(WSCD)耐タンパー性ハードウェア(秘密鍵保護)
Wallet Secure Cryptographic Application(WSCA)暗号操作管理ソフトウェア
Wallet Provider Backend(WPB)サポート・メンテナンスインフラ

WSCDの役割は特に重要である。秘密鍵はWSCDから外部に取り出せない設計となっており、デバイス紛失・盗難時のアイデンティティ詐取を防止する。

クレデンシャルの種類とライフサイクル

ARFは3種類の主要クレデンシャルを定義する。

PID(Person Identification Data): 保証レベル「High」で発行される中核的本人確認データ。氏名・生年月日・住所等の法定属性を含み、加盟国の公的機関が発行する。

QEAA(Qualified Electronic Attestation of Attributes): 適格信頼サービスプロバイダーが発行する属性証明。運転免許・学位・専門資格等。法的効力はQEAと同等。

EAA(Electronic Attestation of Attributes): 民間企業も発行可能な非適格属性証明。会員証・ロイヤリティカード・チケット等。

Wallet Instanceの状態遷移は以下の通り。

インストール

Operational(非PID状態)
  ← ロイヤリティカード等のEAAは利用可能
    ↓ PID取得
Valid(PID保有状態)
  ← 全機能利用可能

採用プロトコルと標準

ARFは2つの主要なクレデンシャル形式と対応するプロトコルスタックを規定する。

SD-JWT VC スタック 

クレデンシャル形式: SD-JWT VC(RFC 9901 + SD-JWT VC仕様)
発行: OpenID for Verifiable Credential Issuance(OID4VCI)
提示: OpenID for Verifiable Presentations(OID4VP)
エンコーディング: JSON

mdoc(ISO/IEC 18013-5)スタック 

クレデンシャル形式: mdoc / mDL(ISO/IEC 18013-5:2021)
発行: OID4VCI または ISO/IEC 18013-7
提示(オンライン): OID4VP または ISO/IEC 18013-7
提示(オフライン): ISO/IEC 18013-5(NFC / Bluetooth)
エンコーディング: CBOR

PIDは両形式で発行されなければならない(ARFの要件)。これは既存のISO/IEC 18013-5準拠インフラ(運転免許証リーダー等)との後方互換性を確保しつつ、ウェブ中心のOID4VPエコシステムにも対応するための設計判断である。

提示フローの4パターン

ARFは利用シナリオに応じた4種類の提示フローを定義する。

フロー説明代表的ユースケース
Proximity Supervised物理的近接・人的監視あり運転免許証確認(警察)
Proximity Unsupervised物理的近接・機械読み取り自動改札・入退室管理
Remote Same-Device同一デバイス上のブラウザウェブログイン
Remote Cross-DeviceQRコード経由の別デバイスPCでのサービス利用

プライバシー保護設計

eIDAS 2.0はGDPRとの整合性を重視し、ARFは以下のプライバシー設計原則を組み込む。

選択的開示(Selective Disclosure): SD-JWT VCのSD(Selective Disclosure)機能により、ユーザーは年齢確認時に生年月日全体ではなく「18歳以上」という事実のみを開示できる。mdocでも同様の選択的開示が可能。

リンカビリティ防止: 同一ウォレットから複数のリレーイングパーティに対して同一識別子を提示すると、名寄せが可能になる。ARFは再発行(re-issuance)メカニズムにより定期的に識別子を刷新することを推奨する。

データ最小化: リレーイングパーティは登録された属性のみを要求できる。ダッシュボードによりユーザーは過去の開示履歴を確認・管理できる。

大規模パイロットの知見

欧州委員会は2023〜2025年に550以上の組織が参加する4つの大規模パイロット(LSP)を実施した。

コンソーシアム主要ユースケース
POTENTIALeGov・銀行口座開設・SIM登録・mDL・QES・ePrescription(26加盟国)
EWC(European Wallet Consortium)デジタル渡航認証書(Digital Travel Credentials)
NOBIDEUDI Walletによる決済承認
DC4EU教育・社会保障の国境越え利用

POTENTIALの統括機関は「欧州全体の相互運用性は実証できたが、共通標準の厳格な適用が前提条件」と総括している(Biometric Update 2025-11)。2025年からはAPTITUDEとWE BUILDという新たなパイロットが開始されており、引き続き実装検証が継続している。

実装・採用上の考察

加盟国側の課題

各加盟国はPIDプロバイダーを整備し、既存の国民IDシステムと接続しなければならない。保証レベル「High」の要件を満たすため、多くの加盟国では国民IDカードや生体情報を活用したオンボーディングフローの設計が必要となる。

ソースコードのオープンソース公開義務は、セキュリティレビューの観点では歓迎すべきだが、加盟国間での実装が分散すると相互運用性テストの負担が増大する。

民間サービス提供者側の課題

2027年の義務的受け入れ期限に向け、民間企業は以下の対応が必要である。

  1. 登録(Registration): 欧州信頼インフラへのリレーイングパーティ登録
  2. プロトコル対応: OID4VP(オンライン)または ISO/IEC 18013-7(近接)の実装
  3. クレデンシャル形式対応: SD-JWT VCとmdocの両形式の検証実装
  4. データ最小化の再設計: 現在のフォーム入力フローをAttribute Requestに置き換える

SD-JWT VC vs mdoc の選択

ARFは両形式を必須とするが、実装者が片方を選ぶ場面では以下のトレードオフがある。

観点SD-JWT VCmdoc(ISO 18013-5)
エンコーディングJSON(可読性高)CBOR(軽量・バイナリ)
標準化主体IETF / OpenID FoundationISO/IEC JTC 1/SC 17
ウェブ親和性高(HTTP/JSON中心)中(OID4VP経由)
オフライン対応限定的強固(NFC/BLE)
普及実績新興運転免許(米国・EU等)

まとめ

eIDAS 2.0は、EU市民に統一されたデジタルアイデンティティ基盤を提供する野心的な規制変革である。技術面ではSD-JWT VC・mdoc・OID4VCI/OID4VPというモダンなスタックを採用しており、W3C VCやFIDO2エコシステムとの連携も視野に入れた設計となっている。

実装者が今すぐ着手すべきアクションは以下の通り。

  • ARF 2.4.0(eudi.dev)と委任規則・実施規則の継続的モニタリング
  • OID4VCI / OID4VPの実装検証(LSPの成果物・リファレンス実装の活用)
  • 2027年義務化に向けたリレーイングパーティ登録手続きの準備

eIDAS 2.0は単なる電子署名の更新ではなく、デジタルアイデンティティのインターネットインフラ化を目指すパラダイムシフトである。日本のデジタルアイデンティティ施策(JPKI・マイナカード等)との比較検討においても、この枠組みを理解することは不可欠である。

参考資料

コンテンツはAIエージェントが執筆しています。一次情報(仕様書・公式資料)とあわせてご確認ください。