Appleウォレットでの本人確認書類

Appleウォレットに運転免許証や州発行の本人確認書類を追加する

iPhoneで、Appleウォレットの画面上部にある「追加」ボタン（+）をタップして、免許証や本人確認書類の追加を始めることができます。設定時にApple Watchがペアリングしてあれば、運転免許証や本人確認書類をApple WatchのAppleウォレットにも追加するように求められます。

まず、iPhoneで物理的な運転免許証や州発行の本人確認書類の表と裏をスキャンするように求められます。提出した画像が州の発行機関に確実に承認されるよう、画像の品質と種類がiPhoneによって評価されます。これらの本人確認書類の画像はデバイス上にある州の発行機関の鍵で暗号化され、州の発行機関に送信されます。

Appleウォレットに本人確認書類を追加しようとしている人がその書類の所有者と同一人物であることを確認するため、Live Photosまたはセルフィーを撮影するよう求められます。一連の顔や頭の動きを行うように求められる場合もあります。これらの動きはユーザのデバイスとAppleにより評価され、誰かが写真、ビデオ、マスクを使って他人の本人確認書類をAppleウォレットに追加するリスクを減らすのに役立てられます。これらの動きを分析した結果は州の発行機関に送信されますが、動き自体のビデオは送信されません。

ユーザのセルフィーが州の発行機関に提出される前に、Appleのサーバとユーザのデバイスではそのセルフィーと一連の顔や頭の動きを行った人の外観が比較されます。比較の完了後、本人確認書類用に登録されている画像と照合するために、セルフィーはデバイス上で暗号化されて州の発行機関に送信されます。

最後に、Face IDまたはTouch IDによる認証を行うように求められます。ユーザのデバイスはこの照合された単一のFace IDまたはTouch IDの生体認証を州発行の本人確認書類に結びつけ、その本人確認書類をこのiPhoneに追加した人のみが提示できるようにします。登録されているその他の生体認証情報は、本人確認書類の提示を承認するのに使用することはできません。これは厳密にデバイスでのみ実行され、州の発行機関には送信されません。

州の発行機関は、デジタル本人確認書類を設定するのに必要な情報を受け取ります。これには、ユーザの本人確認書類の表と裏の画像、PDF417バーコードから読み取ったデータに加え、本人確認書類の確認プロセスでユーザが撮影したセルフィーも含まれます。州の発行機関はさらに、不正を防止するのに使用される、ユーザのデバイス使用パターンに基づいた1桁の値、設定データ、および個人のApple Accountに関する情報を受け取ります。最終的には、本人確認書類のAppleウォレットへの追加を承認するか拒否するかは州の発行機関が決定します。

州の発行機関によって州発行の本人確認書類または運転免許証のAppleウォレットへの追加が承認されると、iPhoneのSecure Elementで、ユーザの本人確認書類をその特定のデバイスに固定する鍵ペアが生成されます。Apple Watchに追加した場合は、Apple WatchのSecure Elementで鍵ペアが生成されます。

本人確認書類がiPhoneに追加されると、Appleウォレット内のユーザの本人確認書類に反映された情報は、Secure Elementで保護された暗号化フォーマットで保存されます。

Appleウォレットにマイナンバーカードを追加する

マイナポータルアプリを通して、マイナンバーカードをiPhoneのAppleウォレットに追加できます。Appleウォレットのマイナンバーカードは、1つのIDパスでモバイル身分証明書と日本の公的個人認証サービス（JPKI）機能の両方に対応します。正当なカード所有者のみが本人確認書類を追加して提示できるように、Appleとカード発行元が適用するセキュリティ対策が設定プロセスに含まれています。

ユーザは、物理的なマイナンバーカードに関連付けられた4桁のPINと英数字のパスワードをマイナポータルアプリに入力する必要があります。この資格情報は、カードの認証に必要です。これにより、アプリが非接触型集積回路（IC）からデータを読み取れるようになり、発行元はそれを検証して、カードを追加したユーザが正当なアクセス権を保持しているかを確認します。また、この際に、ユーザはPINとパスワードの入力を求められます。これにより、JPKIアプレットが提供するAppleウォレットのマイナンバーカード機能を利用できるようになります。この値はユーザのデバイスを離れることはなく、ユーザの物理的なカードのPINおよびパスワードとは異なります。

Appleウォレットにマイナンバーカードを追加しようとしているユーザが正当な所有者であることを確認するため、ユーザはセルフィーを撮影して生体確認を行うことが求められます。別のユーザが不正に本人確認書類をAppleウォレットに追加するリスクを低減するため、セルフィーおよび生体確認のデータは、物理的なカード情報と合わせて発行元が評価します。

ユーザは、Face IDまたはTouch ID認証を行い、Appleウォレットのマイナンバーカードと1つの生体認証を結びつけます。これにより、iPhoneにカードを追加したユーザと同じユーザだけがカードの提示を承認できるようになります。生体認証情報が登録されたほかのユーザは、本人確認書類の提示を承認することも、JPKIユーザ認証操作を行うこともできません。

発行機関は、提出されたすべての証拠を検証し、マイナンバーカードのAppleウォレットへの追加を承認するかどうかを決定します。承認された場合は、モバイル身分証明書が作成され、改ざんや偽造を防ぐデジタル署名が追加されます。Appleウォレットのマイナンバーカードは、iPhoneのSecure Elementで生成された鍵ペアによって特定のデバイスに紐付けられるので、他人がコピーしたり、使用したりすることはできません。

ユーザのデジタル署名、識別情報証明書、関連付けられた秘密鍵、PINおよびパスワードを保護するJPKIアプレットは、Secure Elementにプロビジョニングされます。これにより、デジタル署名の暗号演算や、PINやパスワードの比較演算がハードウェアによって保護された環境境界の内部で行われるようになり、秘密鍵をSecure Elementの外で利用することはできなくなります。

マイナンバーカードがiPhoneに登録されると、Appleウォレットのユーザの本人確認書類に反映される識別情報と、JPKIアプレットのデータの両方が、暗号化フォーマットで保存されます。この2つの情報は、それぞれSecure EnclaveとSecure Elementによって保護されます。発行元は、さらに不正防止を強化するため、ユーザが1枚のマイナンバーカードしかデバイスに追加できないこと、一意の識別情報が1台のデバイスにしか追加できないことを保証します。

AppleウォレットにデジタルIDを追加する

ユーザは、iPhoneのAppleウォレットの画面上部にある追加ボタン（+）をタップして、デジタルIDの作成を始めることができます。設定時にペアリング済みのApple Watchをお持ちのユーザは、Apple WatchのAppleウォレットにもデジタルIDを追加するかを尋ねられます。

ユーザは最初に、物理的なパスポートの写真のページにある機械読み取り領域をiPhoneでスキャンすることを求められます。データから、対応する地域の期限が切れていない有効なパスポートであることが示された場合、NFCでパスポートのチップを読み取るためのガイドがiPhoneに表示されます。機械読み取り領域の関連フィールドを使用し、ICAO 9303で指定されたプロトコルに従って、チップとのセッションが確立されます。所有者の名前や写真などのデータ要素が、Document Security Objectと合わせて、チップから読み取られます。Appleのサーバは、データの真正性を確認するため、パッシブ認証を使用して、データグループのハッシュ、発行元政府の署名、Document Signer Certificateを含むDocument Security Objectを検証します。真正性と失効していないことを確認するため、Document Signer Certificateは、対応するCountry Signing Certificate Authority Certificateに対して検証されます。

AppleウォレットでデジタルIDを作成しているユーザがパスポートの所有者と同じ人物であることを保証するため、ユーザはセルフィーを撮影して生体確認を完了することを求められます。デバイスはユーザに、必要な手順を完了する方法を提示します。その際に、一連の顔や頭の動きが求められることがあります。撮影したセルフィー写真と生体確認のビデオはデバイスで暗号化されてアップロードされ、Appleのサーバによる評価が行われます。セルフィー写真は、生体確認を行ったユーザと比較され、パスポートのチップから取得した検証済み写真とも照合されます。

さらにユーザは、Face IDまたはTouch ID認証を行い、生体認証とIDパスを結びつける必要もあります。この仕組みはAppleウォレットのすべての本人確認書類に対応しており、本人確認書類を追加したユーザだけがそれを提示できるようになっています。

Appleは、パスポートチップから読み取られたデータ、本人確認書類検証プロセスで収集したセルフィーおよび生体確認のビデオ、信頼度評価スコアなど、送信された証拠を評価し、AppleウォレットへのデジタルIDの追加を承認するか却下するかを決めます。不正防止のために使用する信頼度評価スコアは、ユーザのデバイスの使用パターン、設定データ、個人のApple Accountに関する情報に基づきます。

承認された場合、Appleは検証済みのパスポートデータからデジタルIDを作成し、署名します。iPhoneのSecure Elementで鍵ペアが生成され、ユーザの本人確認書類が特定のデバイスに紐付けられます。ユーザがApple Watchに本人確認書類を追加する場合、鍵ペアはApple WatchのSecure Elementで生成されます。有効期限などの識別情報データは共通ですが、AppleウォレットのデジタルIDは作成元のパスポートとは異なります。つまり、物理的なパスポートが失効したり、再発行されたりした場合は、ユーザがデジタルIDをデバイスから削除し、新しいものを追加する手順を実行する必要があります。

作成されたデジタルIDは、暗号化されてデバイスに送信されます。デバイスがそれを受け取ると、ユーザのAppleウォレットのデジタルIDに反映される情報は、デバイス固有の鍵で再暗号化され、Secure Enclaveに格納されて、保護されます。

リーダーでAppleウォレットの本人確認書類を使用する

Appleウォレット内の本人確認書類を使用するには、iPhoneが情報をリーダーに提示する前に、Appleウォレット内の本人確認書類と関連付けられたデバイスをユーザがFace IDまたはTouch IDで認証する必要があります。

Apple WatchのAppleウォレット内にある本人確認書類を使用するには、ユーザがApple Watchを装着するたびに、関連付けられたFace IDの容姿やTouch IDの指紋でiPhoneをロック解除する必要があります。そのあとは、Apple Watchを外すまで、認証なしでAppleウォレット内の本人確認書類を使うことができます。この機能では、Appleデバイスの自動ロック解除で詳述されている基盤となる自動ロック解除機能を活用しています。

iPhoneまたはApple Watchをリーダーにかざすと、どの特定の情報が誰によって要求されているか、および情報が保存されるかどうかを示すプロンプトがデバイスに表示されます。iPhoneで関連付けられたFace IDまたはTouch IDで承認するか、Apple Watchのサイドボタンをダブルクリックすると、要求された識別情報がデバイスから渡されます。

Face IDまたはTouch IDを有効にする代わりに、音声コントロール、スイッチコントロール、またはAssistiveTouchなどのアクセシビリティ機能を使用している場合は、パスコードを使って情報のアクセスと提示を行うことができます。

識別情報データのリーダーへの送信は、ISO/IEC 18013-5規格に従っています。この規格は、セキュリティリスクを検知、抑止、軽減できる複数のセキュリティメカニズムを規定しています。これらのメカニズムは、識別情報データの整合性と偽造防止、デバイスのバインディング、インフォームドコンセント、無線リンクでのユーザデータの機密性で構成されます。

提示履歴はデバイスに保存され、ユーザはAppleウォレットでそれを表示したり削除したりできます。Apple Watchの本人確認書類の場合は、ペアリングしたiPhoneのWatchアプリでも可能です。それぞれの提示記録には、要求されたフィールド、提示した場所の位置情報、企業によるデータ保存の有無などが含まれます。認証済みリーダーの場合は、企業の名前とアイコンも含まれます。

iOSアプリでAppleウォレットの本人確認書類を使用する

ユーザは、Appleウォレット内の本人確認書類の情報をiOSアプリと共有することもできます。ユーザが本人確認書類をアプリと共有すると、Appleウォレットはアプリのデベロッパが登録した暗号化証明書を取得および検証します。この証明書は、ユーザが共有することに同意した情報を暗号化するのに使用されます。

どのアプリによって何の情報が要求されているか、アプリによる情報の保存の有無、その期間、要求する理由が提示シートに表示されます。関連付けられたFace IDまたはTouch IDで承認が完了すると、要求された情報はAppleウォレットによってHPKEを使用して暗号化されます。Appleが利用できるようになることはありません。Appleウォレットは定期的にAppleサーバにクエリを実行し、本人確認書類の認証キーが失効していないかどうか、本人確認書類がまだ有効であるかを検証します。しばらくチェックが行われていない場合は、ユーザが本人確認書類をアプリと共有した際にチェックが行われる場合があります。

提示履歴はデバイスに保存され、ユーザはAppleウォレットでそれを表示したり削除したりできます。それぞれの提示記録には、アプリ、理由、要求されたフィールド、データ保存の有無および期間などが含まれます。

WebサイトでAppleウォレットの本人確認書類を使用する

ユーザは、Appleウォレットの本人確認書類の情報をWebサイトと共有することができます。対応しているWebサイトは、W3C Digital Credentials APIを使用して、モバイルドキュメントプロバイダから識別情報を要求します。Appleウォレットでの本人確認書類の承認に対応するため、要求には書類の種類とデータ要素に加えて、アンチリプレイ値、応答の暗号化に使う暗号情報、デバイスが要求を認証するための署名を含む必要があります。Webサイトのサーバは、要求用の暗号鍵ペアを生成し、応答を復号化する秘密鍵を安全に保持する責任を負います。Appleウォレットは、WebサイトのオーナーがAppleから取得した署名証明書と、（ISO/IEC 18013-5およびISO/IEC 18013-7 Annex Cで定義されている）リーダー認証メカニズムを利用して、要求を認証します。さらに、要求が有効な要求元から送信されたことを確認するため、要求元Webサイトのドメイン検証も行います。

どのWebサイトによって何の情報が要求されているか、Webサイトによる情報の保存の有無、要求する理由が提示シートに表示されます。ユーザが要求された識別情報の提示を承認すると、その情報はAppleウォレットによってHPKEを使用して暗号化され、Webサイトのサーバに直接送信されます。Appleやブラウザが利用できるようになることはありません。Appleウォレットは定期的にAppleサーバにクエリを実行し、本人確認書類の認証キーが失効していないかどうか、本人確認書類がまだ有効であるかを検証します。しばらくチェックが行われていない場合は、ユーザが本人確認書類をWebサイトと共有した際にチェックが行われる場合があります。

Webサイトのサーバは、暗号化された応答を受け取ったときに、識別情報データの真正性を検証する必要があります。これには、書類の署名者証明書の検証、発行者の署名暗号文の検証、要求されたデータ要素に対するハッシュの確認による発行元の認証などが含まれます。さらに、特定の発行先デバイスからのドキュメントであることを保証し、不正な複製を防ぐため、モバイルドキュメント認証を行う必要があります。

ユーザがiPhoneのAppleウォレットにある本人確認書類を別のデバイスに提示し、そのデバイスでWebを使用して本人確認書類を検証できるようにするため、Appleデバイスの間でのHandoffおよびクロスプラットフォーム提示の両方に対応しています。

Appleデバイス間のHandoffを使用すると、iPhoneのAppleウォレットにある本人確認書類を、iPadまたはMacでWebサイトに提示することができます。この場合、システムは次のように動作します:

• iPhoneが同じ個人Apple Accountに関連付けられていることを検証する。

• 機能に対応していることを確認する。

• 要求に対応していることを確認する。

その後、デバイス間で安全な接続が確立され、iPhoneに通知が表示されます。これにより、ユーザはiPhoneで要求を表示して承認できるようになります。クロスプラットフォーム対応を使用して、別の標準互換のデバイスまたはブラウザにAppleウォレットの本人確認書類を提示することもできます。この仕組みは、デバイス間の要求および応答のデータ転送通信チャネルの整合性と機密性を保護するFIDO CTAPプロトコルを活用しています。

Appleデバイス間のHandoffとクロスプラットフォーム対応の両方で、要求の検証、応答データの暗号化、識別情報データの認証、デバイスの認証といった前述のセキュリティ機能が実行されます。

提示履歴はデバイスに保存され、ユーザはAppleウォレットでそれを表示したり削除したりできます。それぞれの提示記録には、Webサイト、理由、要求されたフィールド、データ保存の有無などが含まれます。