Deepfake時代、本人確認の結果をそのまま信用してよいのか

2026年3月17日 最終更新日時 : 2026年3月17日 maruyama

以前弊社メディアでは、オンライン年齢確認をめぐって、技術の精度よりもその結果をどう判断に使うのかが制度上の論点になっていることを取り上げました。

オンライン年齢確認が制度問題になった理由

ニュース原文:https://www.biometricupdate.com/202601/immigration-age-checks-and-deepfakes-push-biometrics-into-the-sp […]

Recept(リセプト)

この問題は、Deepfake時代の本人確認にもそのままつながります。
私たちは長いあいだ、「相手の顔を見て、その人が本人かどうかを判断する」という前提の上で生きてきました。対面でも、オンラインでも、顔は信頼の入口として機能してきたのだと思います。

しかし、Deepfakeはこの前提を揺らがせました。
いま問題になっているのは、目に見えるものを、そのまま信頼の根拠にしてよいのかということです。

オンライン上の「動く顔」や「自然な声」は、もはや本人であることの証明にはなりません。

本稿では、本人確認の結果をそのまま信用してよいのかという問いから出発し、本人らしさと権限判断を分けて設計する必要性を考えます。

「顔が合っている」だけでは足りない

オンライン本人確認では、セルフィーや動画の提出、本人確認書類との照合が広く使われています。こうした仕組みは長く、「本人らしく見えること」を入口にしてきました。ところが現在は、ディープフェイク(deepfake)顔の差し替え(face swap)、偽の映像をシステムに直接流し込む 注入攻撃(injection attack) が広がり、この前提が揺れています。NIST関連の発表でも、提示攻撃(presentation attack) に加え、注入攻撃やAI生成の偽メディアが本人確認の脅威として挙げられています。


問題になっているのは、見た目が自然かどうかだけではありません。
顔が自然に見えることと、その人を本人として受け入れてよいことは、もともと別の判断です。見た目が本物らしく、生体判定を通過したとしても、その結果だけで高額送金や重要手続きの可否まで決めることはできません。

私たちが向き合っているのは、顔認証の精度だけの問題ではなく、見た目をそのまま信頼の根拠にしてきた設計そのものなのです。

参照元:https://pages.nist.gov/ifpc/2025/presentations/09.pdf

生体認証が担う範囲

生体認証は、本人確認の入口を守るうえで重要です。実際、Deepfakeに対抗するために、注入攻撃検知(IAD)ライブネス検知(Liveness検知) の強化が進んでいます。こうした対策は欠かせませんが、同時に、顔という一点に信頼を集中させる設計の限界も見え始めています。

しかも、生体認証が扱えるのは、あくまでその場の相手が本人らしいかという範囲です。高額送金を許すのか、機密情報へのアクセスを認めるのか、年齢制限のある行為を受け入れるのかといった判断には、別の材料が必要になります。

顔認証は入口として有効です。けれども、行為の許可まで一気に支える役割を持たせると、設計全体が不安定になります。

「誰か」だけでなく、「何が確認済みか」を扱う

そこで役割を持つのが、Verifiable Credential(VC) です。

VCが扱うのは、「その人が誰か」を直接見抜くことではなく、何が確認済みなのかを証明することです。たとえば、年齢要件を満たしていること、特定の資格を保有していること、一定の審査を通過していること、特定の組織に所属していること。こうした確認済みの属性や資格を、発行者の署名付きで提示し、受け手が真正性を確かめられるようにする。VCの役割はそこにあります。

生体認証が入口の確認を担い、VCが確認済みの属性や資格を扱う。
この役割分担があると、本人確認の結果をそのまま権限判断へ直結させずに済みます。

信頼の重心は「顔」から移る

これまでの本人確認では、「顔が合っていれば本人だろう」という発想が強く働いてきました。けれども、Deepfakeが現実の脅威になったいま、実質的な信頼の裏付けまで顔に背負わせるのは難しくなっています。

本人確認を支える要素は、すでに複数に分かれています。
その場の相手が本人らしいか、セッションは真正か、提示されたデータは改ざんされていないか、その人に必要な資格や権限があるか、その場面で追加確認が必要か等。
そして、これらは同じレイヤーにはありません。

高額送金、重要手続き、機密情報へのアクセス、年齢制限のある行為。
こうした判断を、顔が本人に見えるという一点だけに支えさせるのは無理があります。

生体認証が担うのは、入口での本人らしさの確認です。
VCが担うのは、確認済みの属性や資格を検証可能な形で扱うことです。
見た目の一致、確認済みの属性、行為の許可。
この三つを切り分けて扱うことが、これからの本人確認には欠かせません。

Deepfakeによって生体認証の信頼性が揺らぐ中、VCによる属性証明と組み合わせることで「承認プロセスに過去の申請・許可情報を組み込む」設計が提唱されています。
諸外国の動向を見ても、この流れはますます加速しているように感じられます。

★特別なお知らせ★

デジタルアイデンティティの最新トレンドを毎週お届け!
業界の最前線をまとめた「DID/VC Weeklyレポート」を毎週無料で配信中です。こちらから簡単に登録できますので、ぜひ情報収集や新規事業のタネ探しにご活用ください。

category
ReceptNEWS
前の記事
AI時代のデータ主権Ontologyが示すDID / VC基盤の次の展開
2026年3月13日
次の記事
金融庁がVC活用の実験結果を公表New!!
2026年3月18日