欧州の銀行が今すぐEUDIウォレットへの対応を迫られる理由:規制の背景、期限、および現在の不透明な点
欧州の銀行業界におけるデジタルIDは、大きな転換点を迎えています。欧州連合(EU)が統一されたデジタル市場の実現に向けて動き出す中、銀行がデジタルバンキングサービスの利用者を登録・認証する方法は変化しつつあります。この変革の中心にあるのが、欧州デジタルID(EUDI)ウォレットです。
欧州連合のさまざまな規制、具体的には「デジタルID規制(eIDAS 2.0)」、「AML規制(AMLR)」、および「決済サービス規制(PSR/PSD3)」の草案では、銀行に対し、顧客のオンボーディングおよび強固な顧客認証のためにEUDIウォレットを採用することが求められています。
本ブログでは、各規制における要件を詳細に解説し、主要な期限を強調するとともに、具体的な要件が依然として曖昧ないくつかの分野について考察します。今後の規制上の期限に間に合わせるため、欧州の銀行は、顧客のオンボーディングおよび認証においてEUDIウォレットに対応できるよう、今すぐ行動を開始すべきです。
欧州デジタルID規則は、強力なユーザー認証を義務付けています
正式名称を規則(EU)2024/1183とし、eIDAS 2.0とも呼ばれるデジタルアイデンティティ規則は、EUDIウォレット導入の主要な原動力です。その目的は、すべてのEU市民に対し、公的機関や民間組織で広く利用可能な、安全で主権的なデジタルアイデンティティを提供することにあります。
第5f条(2)項では、(a) 強力なユーザー認証を使用する法的または契約上の義務を負い、かつ (b) 運輸、エネルギー、銀行、金融サービス、社会保障、医療、飲料水、郵便サービス、デジタルインフラ、教育、または電気通信の分野で活動している大規模および中規模の依存当事者に対し、ユーザーの自発的な要請に基づき、強力なユーザー認証手段としてEUDIウォレットを受け入れることを義務付けています。
欧州連合(EU)の金融機関には、名称こそ異なりますが、強力なユーザー認証を使用する法的義務があります。実際、改正された決済サービス指令(PSD2)では、「強力なユーザー認証(SUA)」の代わりに「強力な顧客認証(SCA)」という用語が使用されています。 さらに、SUAの定義には、SCAの重要な概念である動的リンクについては言及されていません。しかし、EUDIウォレットイニシアチブを主導する欧州委員会の通信ネットワーク・コンテンツ・技術総局(DG Connect)によれば、これらの用語は同義語とみなすべきです。とはいえ、この点については、最終的なPSR(支払いサービス規則)においてさらなる明確化がなされることが望ましいでしょう。
デジタルID規則の主な期限は以下の通りです:
- 2026年12月24日:すべてのEU加盟国は、自国の市民が少なくとも1つのEUDIウォレットを利用できるようにしなければなりません。
- 2027年12月24日:前述の信頼当事者は、強力なユーザー認証のためにEUDIウォレットをサポートする必要があります。これは、2027年末までに、欧州の銀行がユーザーに対し、ログインおよび取引認証にEUDIウォレットを使用できるようにしなければならないことを意味します。(サンタクロースさん、ありがとう!)
顧客デューデリジェンスにおけるEUDIウォレットの活用に関するAML規制
デジタルIDの義務化と並行して、AML規則(AMLR)、マネーロンダリング対策庁(AMLA)、および第6次AML指令(AMLD6)を含む新しいEUのマネーロンダリング対策(AML)規制により、金融機関のマネーロンダリング対策および顧客オンボーディングへの取り組み方が変革されています。
現在、銀行の顧客デューデリジェンスプロセスでは、ユーザーが身分証明書(IDカードやパスポートなど)をスキャンし、自撮り写真を撮影することが一般的です。EUDIウォレットの登場により、銀行はいわゆる「適格電子属性証明(QEAAs)」という形式で本人確認情報を要求できるようになります。 これらは、認定信頼サービスプロバイダー(QTSP)によって発行される高度に安全なデジタル認証情報であり、紙の書類と同等の最高レベルの法的保証を提供します。顧客デューデリジェンスにおけるEUDIウォレットの活用は、手続きの円滑化、離脱率の低減、およびなりすまし詐欺に対するセキュリティレベルの向上を約束します。
AML規則の第22条(6b)項では、電子的な本人確認メカニズムが認められています。さらに、AML規則に基づく規制技術基準(RTS)草案の第7条では、遠隔本人確認の要件が定義されています。 より具体的には、第7条では、銀行が、保証レベル「実質的」または「高」に関して、規則(EU)2014/910(eIDAS 1.0)の要件を満たす本人確認メカニズムを使用しなければならないと規定しています。これにより、顧客デューデリジェンスの文脈においてEUDIウォレットを使用する道が開かれます。 最後に、前述のデジタル・アイデンティティ規則の第5f条は、銀行が顧客デューデリジェンスにおいてEUDIウォレットに対応する必要があることを意味すると解釈されることがよくあります。
AML規則は2027年7月10日に適用開始となりますが、デジタルID規則の期限である2027年12月24日が、銀行が顧客デューデリジェンスにおいてEUDIウォレットに対応する必要がある最終期限となります。
決済サービス規則(PSR/PSD3)案
欧州の規制当局は現在、決済サービス規則(PSR)および第3次決済サービス指令(PSD3)の最終調整を行っています。最終案は2026年5月頃に公表される見込みです。発効すれば、PSRは金融サービスにおける強固な顧客認証の要件を定める欧州の主要な規制となり、PSD2に取って代わることになります。PSR草案には、銀行によるEUDIウォレットのサポートに関連するいくつかの条項が含まれています。
技術サービスプロバイダーとのアウトソーシング契約。欧州委員会のPSR草案第87条では、各銀行は「技術サービスプロバイダーが強力な顧客認証の要素を提供および検証する場合、当該技術サービスプロバイダーとアウトソーシング契約を締結しなければならない」と規定されています。
銀行は強固な顧客認証のためにEUDIウォレットをサポートしなければならないため、銀行はすべてのEUDIウォレット提供者とアウトソーシング契約を締結しなければならないと主張することも可能です。EUDIウォレットは少なくとも27種類あり、おそらくそれ以上になるため、これは銀行にとって大きな負担となるでしょう。
しかし、DG Connectによれば、そのようなアウトソーシング契約は不要とのことです。その根拠として、EUDIウォレットをサポートする銀行は、強固な顧客認証に使用されるデジタル認証情報の発行者および検証者の双方の役割を果たしているため、認証の決定権を完全に保持しており、実際には認証業務を第三者に委任していないという点が挙げられています。
私たちは、欧州の規制当局に対し、この明確化を最終的なPSRに盛り込むよう要請します。
個人用セキュリティ認証情報の安全性。PSD2に基づく「強固な顧客認証(SCA)」および「共通かつ安全な通信(CSC)」に関する規制技術基準(RTS)では、銀行は、強固な顧客認証に使用される認証情報などの個人用セキュリティ認証情報の安全性、セキュリティ、および機密性を確保しなければならないと規定されています。
銀行がすべてのEUDIウォレットを自ら管理しているわけではないため、この要件が実際にどのように満たされるのか疑問が生じます。 この懸念に対する現在の回答は、SCAおよびCSCに関する既存のRTSが、PSR第89条に基づき欧州銀行監督局(EBA)が策定を義務付けられている新版によって廃止されるということです。第89条(3)に基づき、EBAは新しいRTSを策定する際、決済認証におけるEUDIウォレットの利用を考慮に入れる必要があります。
銀行はEUDIウォレット自体を完全に管理しているわけではないため、最終的なPSR(またはRTS)において、EUDIウォレットを用いた詐欺が発生した場合の責任の所在を明確化することが重要となります。
EUDIウォレット規制の更新に関する現在の結論
銀行は、デジタルID規制、マネーロンダリング防止規制、および決済サービス規制など、EUDIウォレットに関連する既存および今後の様々な規制要件の対象となります。状況は依然として流動的ですが、銀行が2027年12月24日までに、顧客デューデリジェンスおよび強固な顧客認証のためにEUDIウォレットをサポートする必要があることは明らかです。したがって、銀行は、新たなEU規制枠組みに合わせて、顧客のオンボーディングおよび認証プログラムの準備と調整を開始すべきです。
OneSpanが、顧客オンボーディングおよび強固な顧客認証におけるEUDIウォレットのサポートをどのように支援できるかについての詳細については、OneSpanの担当アカウントエグゼクティブまでお問い合わせいただくか、当社の専門家との導入説明会をご予約ください。
Contact us
Talk to a cybersecurity expert
We're happy to answer your questions and get you acquainted with our solutions.
Contact us