金融庁がVC活用の実験結果を公表
maruyamaニュース原文:https://www.fsa.go.jp/news/r7/sonota/20260313-01/20260313-01.html
金融庁は2026年3月13日、「FinTech実証実験ハブ」第9号案件の実験結果を公表しました。今回の実証では、金融機関の本人確認におけるVerifiable Credentials(VC)の利用可能性が検証されています。実施期間は2024年12月から2025年3月まで。申込者は三菱UFJ信託銀行で、主要金融グループや銀行、証券、保険、eKYCベンダー、技術企業などが参加しました。
何を実験したのか
今回の実証では、銀行とeKYCベンダーが利用者にVCを発行し、その利用者がデジタルアイデンティティウォレット(DIW)に保存したVCを、別の銀行や住宅ローン会社に提示する流れが想定されました。
銀行側はCDD結果を記録したVCを発行し、eKYCベンダー側はマイナンバーカードを使った本人確認を行ったうえで、基本4情報を記録したVCを発行します。利用者はそれらをDIWに保存し、申込情報に相当するVCとあわせて提示します。検証者側は、利用者と発行者のデジタル署名を確認し、Status Listで有効性を、Trusted Listで発行者の適格性を確認する流れです。
CDDとは
CDD(Customer Due Diligence)とは、金融機関などがマネー・ローンダリングやテロ資金供与を防ぐため、取引先(顧客)の本人特定、実質的支配者の確認、取引目的の調査を行い、リスクを評価・管理する一連のプロセスを指します。
この公表で見えてきたこと
今回の公表で目を引くのは、金融庁がVCで担保できることと、別途支える必要があることを明確に分けている点です。
公表資料では、VCはデジタル署名によって真正性や改ざん防止を実現する機械可読な汎用データ形式だと整理されています。一方で、VCだけで担保できるのはVC自体の真正性にとどまります。内容の真実性、発行者の適格性、対象者と保有者の同一性、保管の安全性までは、別の仕組みで支える必要があると明記されています。
つまり、VCがあれば本人確認が完結する、という整理ではありません。
VCは、本人確認プロセスの一部を検証可能な形で扱う技術として位置づけられています。
VCだけで本人確認は完結するのか
公表内容を見る限り、答えはノーでした。
VCは真正性を担保できますが、誰がそのVCを持っているのか、発行者が信頼に足るのか、失効していないかといった点は別の仕組みで確保する必要があります。実証でも、保有者とのバインディングは、DIWに保存された署名鍵に加え、PINまたは生体認証による認証で支える想定が取られています。
本人確認にVCを使う場合、焦点は「VCを使うかどうか」ではなく、VCの外側にある条件をどう設計するかが重要になるでしょう。
金融庁はどこを課題として見ているのか
公表内容からは、金融庁が少なくとも三つの論点を重視していることが読み取れます。
一つ目は、どの発行者を適格とみなすのかという点です。資料では、発行者の適格性に一般的な基準があるわけではなく、第一義的には検証者が判断するとされています。
二つ目は、失効や有効性確認の扱いです。Status Listは失効したVCのリストとして位置づけられていますが、どのような場合に失効させるのかは発行者が定める必要があります。
三つ目は、Trusted Listの運用主体と基準です。誰が公開するのか、どの基準で認定するのかは別途定める必要があります。
どれも暗号技術だけでは閉じない論点です。発行、保有、提示、失効、検証を支える運用ルールが前提になります。
実験結果が示したもの
今回の公表は、VCの利便性を強調するものというより、金融分野でVCを使うなら何を別途設計しなければならないかを示した資料として読む方が自然です。
本人確認にVCを使う場合、論点は技術単体の性能よりも、発行者ガバナンス、保有者との紐づけ、失効ルール、ウォレットの安全性、検証者の判断基準へと広がります。今回の実験結果は、その前提条件をかなり具体的に可視化しています。
まとめ
今回の金融庁公表は、VC活用の前提条件を整理したものです。
VCで担保できるのは真正性です。
一方で、発行者の適格性、保有者との同一性、失効、運用ルールは別途設計が必要になります。
本人確認でVCを使う論点は、技術の可否そのものより、発行・保有・提示・検証をどう組み立てるかにあります。
★特別なお知らせ★
デジタルアイデンティティの最新トレンドを毎週お届け!
業界の最前線をまとめた「DID/VC Weeklyレポート」を毎週無料で配信中です。こちらから簡単に登録できますので、ぜひ情報収集や新規事業のタネ探しにご活用ください。
