Sun, 05 Mar 2023 05:16:25 +0000

ABSTRACT

本ガイドライン群は, Digital Identity サービスを実装する連邦機関に対する技術的要件を提供するものであり, それ以外の条件下での標準仕様の開発・利用に対する制約を意図したものではない. 本ガイドラインは, Digital Authentication に利用する Identity の Enrollment および Verification にフォーカスしている. その中心となるのは Identity Proofing と呼ばれるプロセスであり, このプロセスでは Applicant が確実に Applicant を識別できるであろう Credential Service Provider (CSP) に Evidence を提出し, その結果 CSP が有用な Identity Assurancee Level で識別結果を主張できるようになる. 本ドキュメントは3つの Identity Assurance Level 毎に技術要件を定義する. 本ドキュメントの発行をもって, 本ドキュメントは既存の NIST Special Publication 800-63A を置き換えるものとする.

Keywords

authentication; credential service provider; electronic authentication; digital authentication; electronic credentials; digital credentials; identity proofing; federation.

翻訳者

• Tatsuya Katsuhara
  • Amazon Web Services Japan G.K.

ABSTRACT

本ガイドライン群は, Digital Identity サービスを実装する連邦機関に対する技術的要件を提供するものであり, それ以外の条件下での標準仕様の開発・利用に対する制約を意図したものではない. 本ガイドラインは, Digital Authentication に利用する Identity の Enrollment および Verification にフォーカスしている. その中心となるのは Identity Proofing と呼ばれるプロセスであり, このプロセスでは Applicant が確実に Applicant を識別できるであろう Credential Service Provider (CSP) に Evidence を提出し, その結果 CSP が有用な Identity Assurancee Level で識別結果を主張できるようになる. 本ドキュメントは3つの Identity Assurance Level 毎に技術要件を定義する. 本ドキュメントの発行をもって, 本ドキュメントは既存の NIST Special Publication 800-63A を置き換えるものとする.

Keywords

authentication; credential service provider; electronic authentication; digital authentication; electronic credentials; digital credentials; identity proofing; federation.

Note to Reviewers

The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions.

Revision 4 of NIST Special Publication 800-63, Digital Identity Guidelines, intends to respond to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017 — including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology.

Taking into account feedback provided in response to our June 2020 Pre-Draft Call for Comments, as well as research conducted into real-world implementations of the guidelines, market innovation, and the current threat environment, this draft seeks to:

1. Advance Equity: This draft seeks to expand upon the risk management content of previous revisions and specifically mandates that agencies account for impacts to individuals and communities in addition to impacts to the organization. It also elevates risks to mission delivery – including challenges to providing services to all people who are eligible for and entitled to them – within the risk management process and when implementing digital identity systems. Additionally, the guidance now mandates continuous evaluation of potential impacts across demographics, provides biometric performance requirements, and additional parameters for the responsible use of biometric-based technologies, such as those that utilize face recognition.
2. Emphasize Optionality and Choice for Consumers: In the interest of promoting and investigating additional scalable, equitable, and convenient identify verification options, including those that do and do not leverage face recognition technologies, this draft expands the list of acceptable identity proofing alternatives to provide new mechanisms to securely deliver services to individuals with differing means, motivations, and backgrounds. The revision also emphasizes the need for digital identity services to support multiple authenticator options to address diverse consumer needs and secure account recovery.
3. Deter Fraud and Advanced Threats: This draft enhances fraud prevention measures from the third revision by updating risk and threat models to account for new attacks, providing new options for phishing resistant authentication, and introducing requirements to prevent automated attacks against enrollment processes. It also opens the door to new technology such as mobile driver’s licenses and verifiable credentials.
4. Address Implementation Lessons Learned: This draft addresses areas where implementation experience has indicated that additional clarity or detail was required to effectively operationalize the guidelines. This includes re-working the federation assurance levels, providing greater detail on Trusted Referees, clarifying guidelines on identity attribute validation sources, and improving address confirmation requirements.

NIST is specifically interested in comments on and recommendations for the following topics:

Identity Proofing and Enrollment

• NIST sees a need for inclusion of an unattended, fully remote Identity Assurance Level (IAL) 2 identity proofing workflow that provides security and convenience, but does not require face recognition. Accordingly, NIST seeks input on the following questions:
  • What technologies or methods can be applied to develop a remote, unattended IAL2 identity proofing process that demonstrably mitigates the same risks as the current IAL2 process?
  • Are these technologies supported by existing or emerging technical standards?
  • Do these technologies have established metrics and testing methodologies to allow for assessment of performance and understanding of impacts across user populations (e.g., bias in artificial intelligence)?
• What methods exist for integrating digital evidence (e.g., Mobile Driver’s Licenses, Verifiable Credentials) into identity proofing at various identity assurance levels?
• What are the impacts, benefits, and risks of specifying a set of requirements for CSPs to establish and maintain fraud detection, response, and notification capabilities?
  • Are there existing fraud checks (e.g., date of death) or fraud prevention techniques (e.g., device fingerprinting) that should be incorporated as baseline normative requirements? If so, at what assurance levels could these be applied?
  • How might emerging methods such as fraud analytics and risk scoring be further researched, standardized, measured, and integrated into the guidance in the future?
  • What accompanying privacy and equity considerations should be addressed alongside these methods?
• Are current testing programs for liveness detection and presentation attack detection sufficient for evaluating the performance of implementations and technologies?
• What impacts would the proposed biometric performance requirements for identity proofing have on real-world implementations of biometric technologies?

General

• Is there an element of this guidance that you think is missing or could be expanded?
• Is any language in the guidance confusing or hard to understand? Should we add definitions or additional context to any language?
• Does the guidance sufficiently address privacy?
• Does the guidance sufficiently address equity?
  • What equity assessment methods, impact evaluation models, or metrics could we reference to better support organizations in preventing or detecting disparate impacts that could arise as a result of identity verification technologies or processes?
• What specific implementation guidance, reference architectures, metrics, or other supporting resources may enable more rapid adoption and implementation of this and future iterations of the Digital Identity Guidelines?
• What applied research and measurement efforts would provide the greatest impact on the identity market and advancement of these guidelines?

Reviewers are encouraged to comment and suggest changes to the text of all four draft volumes of of the NIST SP 800-63-4 suite. NIST requests that all comments be submitted by 11:59pm Eastern Time on March 24, 2023. Please submit your comments to dig-comments@nist.gov. NIST will review all comments and make them available at the NIST Identity and Access Management website. Commenters are encouraged to use the comment template provided on the NIST Computer Security Resource Center website.

Note to Reviewers

The rapid proliferation of online services over the past few years has heightened the need for reliable, equitable, secure, and privacy-protective digital identity solutions.

Revision 4 of NIST Special Publication 800-63, Digital Identity Guidelines, intends to respond to the changing digital landscape that has emerged since the last major revision of this suite was published in 2017 — including the real-world implications of online risks. The guidelines present the process and technical requirements for meeting digital identity management assurance levels for identity proofing, authentication, and federation, including requirements for security and privacy as well as considerations for fostering equity and the usability of digital identity solutions and technology.

Taking into account feedback provided in response to our June 2020 Pre-Draft Call for Comments, as well as research conducted into real-world implementations of the guidelines, market innovation, and the current threat environment, this draft seeks to:

1. Advance Equity: This draft seeks to expand upon the risk management content of previous revisions and specifically mandates that agencies account for impacts to individuals and communities in addition to impacts to the organization. It also elevates risks to mission delivery – including challenges to providing services to all people who are eligible for and entitled to them – within the risk management process and when implementing digital identity systems. Additionally, the guidance now mandates continuous evaluation of potential impacts across demographics, provides biometric performance requirements, and additional parameters for the responsible use of biometric-based technologies, such as those that utilize face recognition.
2. Emphasize Optionality and Choice for Consumers: In the interest of promoting and investigating additional scalable, equitable, and convenient identify verification options, including those that do and do not leverage face recognition technologies, this draft expands the list of acceptable identity proofing alternatives to provide new mechanisms to securely deliver services to individuals with differing means, motivations, and backgrounds. The revision also emphasizes the need for digital identity services to support multiple authenticator options to address diverse consumer needs and secure account recovery.
3. Deter Fraud and Advanced Threats: This draft enhances fraud prevention measures from the third revision by updating risk and threat models to account for new attacks, providing new options for phishing resistant authentication, and introducing requirements to prevent automated attacks against enrollment processes. It also opens the door to new technology such as mobile driver’s licenses and verifiable credentials.
4. Address Implementation Lessons Learned: This draft addresses areas where implementation experience has indicated that additional clarity or detail was required to effectively operationalize the guidelines. This includes re-working the federation assurance levels, providing greater detail on Trusted Referees, clarifying guidelines on identity attribute validation sources, and improving address confirmation requirements.

NIST is specifically interested in comments on and recommendations for the following topics:

Identity Proofing and Enrollment

• NIST sees a need for inclusion of an unattended, fully remote Identity Assurance Level (IAL) 2 identity proofing workflow that provides security and convenience, but does not require face recognition. Accordingly, NIST seeks input on the following questions:
  • What technologies or methods can be applied to develop a remote, unattended IAL2 identity proofing process that demonstrably mitigates the same risks as the current IAL2 process?
  • Are these technologies supported by existing or emerging technical standards?
  • Do these technologies have established metrics and testing methodologies to allow for assessment of performance and understanding of impacts across user populations (e.g., bias in artificial intelligence)?
• What methods exist for integrating digital evidence (e.g., Mobile Driver’s Licenses, Verifiable Credentials) into identity proofing at various identity assurance levels?
• What are the impacts, benefits, and risks of specifying a set of requirements for CSPs to establish and maintain fraud detection, response, and notification capabilities?
  • Are there existing fraud checks (e.g., date of death) or fraud prevention techniques (e.g., device fingerprinting) that should be incorporated as baseline normative requirements? If so, at what assurance levels could these be applied?
  • How might emerging methods such as fraud analytics and risk scoring be further researched, standardized, measured, and integrated into the guidance in the future?
  • What accompanying privacy and equity considerations should be addressed alongside these methods?
• Are current testing programs for liveness detection and presentation attack detection sufficient for evaluating the performance of implementations and technologies?
• What impacts would the proposed biometric performance requirements for identity proofing have on real-world implementations of biometric technologies?

General

• Is there an element of this guidance that you think is missing or could be expanded?
• Is any language in the guidance confusing or hard to understand? Should we add definitions or additional context to any language?
• Does the guidance sufficiently address privacy?
• Does the guidance sufficiently address equity?
  • What equity assessment methods, impact evaluation models, or metrics could we reference to better support organizations in preventing or detecting disparate impacts that could arise as a result of identity verification technologies or processes?
• What specific implementation guidance, reference architectures, metrics, or other supporting resources may enable more rapid adoption and implementation of this and future iterations of the Digital Identity Guidelines?
• What applied research and measurement efforts would provide the greatest impact on the identity market and advancement of these guidelines?

Reviewers are encouraged to comment and suggest changes to the text of all four draft volumes of of the NIST SP 800-63-4 suite. NIST requests that all comments be submitted by 11:59pm Eastern Time on March 24, 2023. Please submit your comments to dig-comments@nist.gov. NIST will review all comments and make them available at the NIST Identity and Access Management website. Commenters are encouraged to use the comment template provided on the NIST Computer Security Resource Center website.

Purpose

This section is informative.

本書及び付随文書である [SP800-63]、[SP800-63B]、および [SP800-63C] は組織に対して Digital Identity サービスの実装のための技術的なガイドラインを提供する。

本書は、Identity サービスへの登録 (Enrolling) またはオンラインリソースへの Access の提供を目的として、各 Identity Assurance Level (IAL) で個人の Identity Proofing を行うためのするための要件を提供する。 これは、ネットワーク上または対面での、個人の Identity Proofing に適用される。 カスタマーサポートサービスやコールセンターに電話をかけてくる人の Identity Proofing は、本書の範囲外である。

Purpose

This section is informative.

This publication and its companion volumes, [SP800-63], [SP800-63B], and [SP800-63C], provide technical guidelines to organizations for the implementation of digital identity services.

This document provides requirements for the identity proofing of individuals at each Identity Assurance Level (IAL) for the purposes of enrolling them into an identity service or providing them access to online resources. It applies to the identity proofing of individuals over a network or in person. Verifying the identities of people calling into a customer support service or a call center is out of scope for this document.

Introduction

This section is informative.

オンラインサービスを提供する際の課題の1つは、一連の活動を特定の個人と関連付けることができるようにすることである。匿名またはpseudonymityが望ましい場合など、この必要がない場合もあるが、実存する Subject との関連付けを確実に確立することが重要な場合もある。例えば、行政サービスの利用や金融取引の実行などである。また、実存する Subject との関連付けが、規制（たとえば、金融業界の「Know Your Customer」要件）やハイリスクのアクション（たとえば、ダムからの放水量の変更）に対する説明責任を確立するために必要とされる状況も存在する。

このガイダンスは、Identity Proofing を、オンライン・サービスに Access する Subject と実存する人物との関係性を、ある程度の確実性または Assurance をもって確立するプロセスのことであると定義する。本書は、連邦機関、サードパーティのCredential Service Providers(CSP)、そしてIdentity Proofingサービスを提供する他の組織に対するガイダンスを提供する。

次のリストは、本書のどのセクションに normative な言語が含まれ、どのセクションにnon-normative、informativeな言語が含まれるかを示している。特定の要件を明確にするために必要な場合、normativeなセクションには多くの場合informativeな説明が含まれている。どの記述がnormativeで、どれがそうでないかを明確にするには、本書の「Requirements Notation and Conventions」のセクションを参照すること。

• 1 Purpose Informative
• 2 Introduction Informative
• 3 Definitions and Abbreviations Informative
• 4 Identity Assurance Level Requirements Normative
• 5 Identity Resolution, Validation, and Verification Normative
• 6 Subscriber Accounts Normative
• 7 Threats and Security Considerations Informative
• 8 Privacy Considerations Informative
• 9 Usability Considerations Informative
• 10 Equity Considerations Informative

Identity Proofingに期待される結果

Identity Proofingに期待される成果は:

• Identity Resolution: によりClaimed Identityが、CSPサーバーのユーザー母集団の文脈で単一で一意な個人であると判断し、
• Evidence Validation: により提出された全てのエビデンスが全て本物で、真正性があり、有効期限が切れていないことを確認し、
• Attribute Validation: により Core Attributesの正確性を確認し、
• Identity Verification: Claim されたアイデンティティと、Identity Evidence を提出した実存する人物とが結びついていることを検証し、
• Fraud Prevention: 便益、サービス、データあるいはアセットに対する欺瞞的な Access の試みを緩和することである。

Identity Assurance Levels

Subscriberのアイデンティティの Assurance は、次のIdentity Assurance Levels (IAL)のいずれかを用いて記述される。後続する各 IAL は、より高い Assurance を達成するために、より低い IAL の要件の上に構築される。

Identity Proofingなし (IAL0): Applicantと特定の実在するアイデンティティとをリンクする要件はない。Subjectの活動に伴って提供されるすべてのAttributeは、自己申告であるか、または自己申告として扱われる。自己申告のAttributeはIAL0ではValidateもVerifyもされない。

IAL1: Identity Proofing プロセスは、Claimed Identityが現実世界に存在することを裏付ける。Core Attributesは Identity Evidence から得たものや、Applicantから申告されたものである。すべての Core AttributesはAuthoritativeあるいは信用できる Source に対してValidateされ、Identity Proofingプロセス実施下にある個人と、Attributeとを結びつけるための方策を講じる。

IAL2: IAL2 は、より強力なタイプのエビデンスの収集と、エビデンスを Validate しアイデンティティを Verify するためのより厳密なプロセスを要求することにより、Identity Proofing プロセスにさらなる厳密さを追加する。

IAL3: IAL3 は、訓練を受けた CSP 担当者が、対面または Supervised Remote Identity Proofing Session を介して、 Identity Proofing Session 全体にわたってApplicantと直接やりとりするための要件を追加している。

Introduction

This section is informative.

One of the challenges of providing online services is being able to associate a set of activities with a single, specific individual. While there are situations where this is not necessary - such as when anonymity or pseudonymity is desirable - there are other situations where it is important to reliably establish an association with a real-life subject. Examples of this include accessing some government services or executing financial transactions. There are also situations where association with a real-life subject is required by regulations (e.g., the financial industry’s ‘Know Your Customer’ requirements) or to establish accountability for high-risk actions (e.g., changing the release rate of water from a dam).

This guidance defines identity proofing as the process of establishing, to some degree of certainty or assurance, a relationship between a subject accessing online services and a real-life person. This document provides guidance for Federal Agencies, third-party Credential Service Providers (CSP), and other organizations that provide identity proofing services.

The following list states which sections of this document contain normative language and which contain non-normative, informative language. Where needed to help clarify specific requirements, normative sections often include informative explanations. See the “Requirements Notation and Conventions” section of this document for clarification on which statements are normative and which are not.

• 1 Purpose Informative
• 2 Introduction Informative
• 3 Definitions and Abbreviations Informative
• 4 Identity Assurance Level Requirements Normative
• 5 Identity Resolution, Validation, and Verification Normative
• 6 Subscriber Accounts Normative
• 7 Threats and Security Considerations Informative
• 8 Privacy Considerations Informative
• 9 Usability Considerations Informative
• 10 Equity Considerations Informative

Expected Outcomes of Identity Proofing

The expected outcomes of identity proofing include:

• Identity resolution: determine that the claimed identity corresponds to a single, unique individual within the context of the population of users the CSP serves;
• Evidence validation: confirm that all supplied evidence is genuine, authentic, and unexpired;
• Attribute validation: confirm the accuracy of core attributes;
• Identity verification: verify that the claimed identity is associated with the real-life person supplying the identity evidence; and
• Fraud Prevention: mitigate attempts to gain fraudulent access to benefits, services, data, or assets.

Identity Assurance Levels

Assurance in a subscriber’s identity is described using one of the following Identity Assurance Levels (IAL). Each successive IAL builds on the requirements of lower IALs in order to achieve greater assurance.

No identity proofing (IAL0): There is no requirement to link the applicant to a specific, real-life identity. Any attributes provided in conjunction with the subject’s activities are self-asserted and are treated as self-asserted. Self-asserted attributes at IAL0 are neither validated nor verified.

IAL1: The identity proofing process supports the real-world existence of the claimed identity. Core attributes are obtained from identity evidence or asserted by the applicant. All core attributes are validated against authoritative or credible sources and steps are taken to link the attributes to the person undergoing the identity proofing process.

IAL2: IAL2 adds additional rigor to the identity proofing process by requiring the collection of stronger types of evidence and a more rigorous process for validating the evidence and verifying the identity.

IAL3: IAL3 adds the requirement for a trained CSP representative to interact directly with the applicant during the entire identity proofing session, either in person or via a supervised remote identity proofing session.

Definitions and Abbreviations

This section is informative

完全な定義と略語のセットは[SP800-63] を参照。

Definitions and Abbreviations

This section is informative

See [SP800-63] Appendix A for a complete set of definitions and abbreviations.

Identity Resolution, Validation, and Verification

This section is normative.

このセクションでは、Identity ProofingおよびEnrollmentプロセスの概要、ならびにApplicantがclaimするアイデンティティのResolution、Validation、Verificationをサポートするための要件について説明する。また、Identity Proofingプロセスの追加的な側面に関するガイドラインも提供する。 これらの要件は、Claimed Identityが実世界に存在し、Applicantがそのアイデンティティに関連付けられた個人であることを確かなものにすることを意図している。あわせて、Identity Proofingプロセスの要素というのは、Enrollされた多数のSubscriberに影響を与える CSP のアイデンティティサービスに対する攻撃が、保護されるデータの価値よりも大きな時間とコストを必要とすることを確かなものにするよう設計されている。

さらに、このガイドラインは、Resolution、Validation、およびVerificationを完了できる複数の方法、ならびにIdentity Proofingプロセスをサポートする可能性のある複数のタイプのIdentity Evidenceを規定している。実用的な範囲で、CSP および組織は、手段、能力、および技術への Access の面で異なる人々に対して Access を促進するために、Identity Proofingサービスおよびプロセスを実装するときにオプションを有効にするべきである（SHOULD）。少なくとも、これには、複数種類のIdentity Evidenceおよび組み合わせを許容し、複数のデータ Validation Source のサポート、アイデンティティValidationの複数の方法の有効化（例：trusted refereesの活用）、エンゲージメント用の複数のチャネル（例：対面、Remote）、およびApplicantのための支援メカニズムの提供（例：Applicant References） を含めるべきである（SHOULD）。

Identity Proofing and Enrollment

本書では、Applicant が Identity Proofing と Enrollment プロセスを受ける一般的なパターンについて説明する。そのプロセスでは Applicant の Identity Evidence および Attribute が収集され、特定の集団またはコンテキストにおいて単一のアイデンティティに一意に Resolve され、Validate および Verify される。どのように最も適切な IAL を選択するかの詳細については、[SP800-63] を参照。CSP はこれらの Attribute を Authenticator にバインドすることができる（[SP800-63B]で記述されている）。

Identity Proofingの目的は、Applicantが、自身でclaimした人と同じであることを特定のレベルの確実性で確かにしていくことである。Identity Proofingは、給付金への適合性または資格を決定するために行われるのではない。Identity Proofingプロセスには、Identity Proofingを達成するために必要最低限のAttributeの提示およびValidationが含まれる。 最低限で目的に足りるAttributeのセットには様々異なるものがあるが、CSP はApplicantのプライバシーとUsability、および Digital Identity の将来の使用で必要になる可能性のあるAttributeを考慮してこのセットを選択する。たとえば、そのようなAttributeは、必要最低限である限りにおいて、以下を含むことができる。

1. フルネーム
2. 生年月日
3. 自宅住所

本書は、CSPがIdentity Proofingを超えた別の目的に利用される追加の情報の収集についての要件も規定している。

\clearpage

Process Flow

This section is informative.

図 1 は、Identity Proofingとエンロールメントの基本的な流れを示している。

図 1. Identity Proofing プロセス

以下は、IAL2 のRemote Identity Proofingプロセスにおいて CSP およびApplicantがどのようにやりとりするかについて例を示している。

1. Resolution
   1. CSP はApplicantから、名前、住所、生年月日、電子メール、電話番号などのAttributeを収集する。
   2. CSP、運転免許証やパスポートなど、1つまたは複数のIdentity Evidenceも収集する。
2. Validation
   1. CSP は、ステップ 1a で取得した Attributeを、Authoritative Source または信頼できる Source と照合することで、Validateする。
   2. CSPは、提示されたエビデンスの Authenticity (真正性)、正確性、および最新性を Validate する。
3. Verification
   1. CSP は、Applicantに自分自身の写真を撮影するよう依頼し、生存性のチェックを行う。
   2. CSPは、免許証とパスポートの写真と、前のステップで撮影したApplicant当人の写真とを比較し、一致すると判断する。
   3. Validateされた電話番号にEnrollmentコードを送信し、ApplicantがEnrollmentコードをCSPに提供し、CSPは両者が一致することを確認し、ApplicantがValidateされた電話番号を所有し管理していることをVerifyする。
   4. ApplicantのIdentity Proofingが完了し、Subscriber AccountにEnrollすることができる。

Identity Resolution

Identity Resolutionのゴールは、最小限のAttributeセットを使用し、特定の集団またはコンテキスト内で個人を一意に区別することである。Identity ResolutionはIdentity Proofingプロセス全体において出発点であり、潜在的な不正を初期に検出するためのものだが、決してIdentity ProofingのTransactionが成功裏に完了したことを意味するものではない。

Identity Validation and Identity Evidence Collection

Identity Validationのゴールは、Applicantから最も適切なIdentity EvidenceおよびAttribute情報を収集し、それが真正で、正確で、最新かつ期限切れでないことを判断することである。Identity Validationは 3 つのプロセス・ステップで構成される。1) 適切なIdentity Evidenceを収集する、2) Evidenceが真正なものであることを確認する、3) Identity Evidenceに含まれる主要なデータが妥当で、最新で、実存するSubjectに関連していることを確認する。

Identity Evidenceの収集はIdentity Validationプロセスをサポートするものであり、2つのステップで構成されている: 1) Identity Proofingの対象となるApplicantによる CSP へのIdentity Evidenceの提示、および 2) 提示されたEvidenceが許容可能であるかどうかについてのCSPの判断。Evidenceは、物理的な文書または文書の写し、スキャンした文書、写真、あるいはデジタルレコードとして提示することができる。許容可能な物理的（文書的）なIdentity Evidenceの性質は セクション 4.3.1に、許容可能なデジタルEvidenceの性質は セクション 4.3.2 にて示す。

CSPは、Identity Proofingを目的として提示されたIdentity Evidenceを許容できるかどうか、本セクションのEvidenceの性質に基づいて決定するものとする (SHALL)。

本セクションで示す性質は、CSP がIdentity ProofingプロセスのためのIdentity Evidenceとして許容可能なものを決定する際の指針となることを意図しており、Evidence強度を示すものではない。CSP が特定の種類のEvidenceを許容できると判断すると、セクション 4.3.3で示されているように、その強度について判断していく必要がある。

許容可能な Physical Evidence の性質

許容可能な物理的Evidenceは、以下のすべての性質を含むものとする(SHALL)。

1. 提示された文書に、Applicantの印刷された氏名が含まれている。(ApplicantがClaimする氏名と異なるものが印刷されているケースを取り扱う際の指針は、セクション 10.1「Equity and Resolution」参照)。
2. 提示された文書に、少なくとも1つの印刷されたリファレンス番号が含まれている。
3. 提示された文書に、文書の発行者の名称が印刷されている。
4. 文書の発行者が、文書の発行に先立って、ApplicantのIdentity Proofingを実施している。
5. 文書が、意図された人物に届けられたものであるという、合理的な保証がある。

許容可能なデジタルEvidenceの性質

許容可能なデジタルEvidenceは、以下のすべての性質を含むものとする(SHALL)。

1. 提示されたデジタルEvidenceに、デジタル情報やアカウントのSubjectとしてのApplicantの氏名が含まれている。(ApplicantがClaimするIdentityと異なる名前がデジタルEvidence上に記載されているケースを取り扱う際の指針は、セクション 10.1「Equity and Resolution」参照)。
2. 提示されたデジタルEvidenceに、少なくとも1つの参照番号（例：アカウント番号）が含まれている、あるいはApplicantとデジタル情報とをバインドするのに十分なAttributeが含まれている。
3. 提示されたデジタルEvidenceに、デジタル情報の発行者の名称が含まれている。
4. デジタルEvidenceの発行者が、デジタルEvidenceの発行に先立って、ApplicantのIdentity Proofingを実施している。
5. デジタルEvidenceが、意図された人物に届けられた、あるいは Access 可能とされたものであるという、合理的な Assurance がある。
6. 許容可能であるならば、評価中のIALに見合ったAALあるいはFALでのAuthenticationを通じて、提示されたデジタルEvidenceがVerify可能である。

Evidence の強度要件

このセクションでは、各強度におけるIdentity Evidenceの要件を定義する。Identity Evidence強度は、3つの側面によって決まる。すなわち、1) 発行の厳密さ、2) Attributeの正確性と Integrity (完全性) を含む、Validationにおける信頼性を提供する能力、 3) Evidenceを提示するApplicantのVerificationにおける信頼性を提供する能力、である。すべてのレベルの強度のエビデンスは、最新かつ期限が切れていないものでなければならない。

Fair Evidence 要件

Identity EvidenceがFAIRであるには、以下の すべて の要件を満たすものとする(SHALL):

1. Evidenceの発行元は、Identity Proofingプロセスを通じて、ClaimされたIdentityを確認した。
2. Evidenceの発行プロセスが、Evidenceを関係する人物に送り届ける結果となる、と合理的に仮定することができる。
3. Evidenceは、少なくとも 1 つの参照番号、顔写真、または関連する人物を一意に識別するのに十分なAttributeを含んでいる。
4. Evidenceの有効期限が切れていないか過去6ヶ月以内に期限が切れた、あるいは有効期限の記載がない場合は過去6ヶ月以内に発行されていること。

Strong Evidence 要件

Identity EvidenceがSTRONGであるには、以下の すべて の要件を満たすものとする(SHALL):

1. Evidenceの発行元は、その人物の実在のIdentityを把握しているという合理的な確信を形成することができるよう設計された文書化された手続きによって、ClaimされたIdentityを確認している。このような手続きは、規制や公的な説明責任を有する機関による継続的な監視の対象となる。たとえば、2001年に米国愛国者法に対応して制定されたCustomer Identification Programガイドラインや、 2003 年公正取引法（FACT法）第 114 条に基づく [RedFlagsRule] がそれにあたる。
2. Evidenceの発行プロセスで、Evidenceを関係する人物に送り届ける結果となる可能性が高い。
3. Evidenceは、参照番号または関連する人物を一意に識別するその他のAttributeを含む。
4. Evidenceが、関係する人物の顔写真または、他のBiometricな特徴を含んでいる。
5. Evidenceが、コピー又は再作成を困難にする物理的なセキュリティ機能を含んでいる。
6. Evidenceに有効期限があり、有効期限内である。

Superior Evidence 要件

Identity EvidenceがSUPERIORであるには、以下の すべて の要件を満たすものとする(SHALL):

合理的な確信を形成することができるよう設計された文書化された手続きによって

1. Evidenceの発行元は、その人物の実在のIdentityを把握しているという高い信頼性を持つことができるように設計された文書化された手続きに従って、ClaimされたIdentityを確認している。このような手続きは、規制や公的な説明責任を有する機関による継続的な監視の対象となる。
2. 発行元は、Applicantを視覚的に識別し、その人物が存在することを確認するために更にチェックを行う。
3. Evidenceの発行プロセスは、Evidenceが関係する人物の手元に送り届けられたことを確実にする。
4. Evidenceは、関連する人物を一意に識別する 1 つの参照番号を含む。
5. Evidenceが、関係する人物の顔写真または他のBiometricな特徴を含んでいる。
6. Evidenceが、暗号的に署名されたデジタル情報を含む。
7. Evidenceが、コピーまたは複製を困難にする物理的なセキュリティ機能を含む。
8. Evidenceに有効期限があり、有効期限内である。

Identity Evidence と Attribute Validation

CSPは、Evidenceの収集要件を満たすために収集されたすべてのIdentity Evidenceと、CSP Identity Serviceによって要求されるすべての Core Attributes情報をValidateするものとする(SHALL)。

Evidence Validation

CSPは、提示されたエビデンスの Authenticity (真正性)、正確性、および最新性を次の手段によってValidateするものとする(SHALL):

• Evidenceが正しい形式であり、Identity Evidenceの種別に応じて求められる情報が全てそろっていることを確認する。
• Evidenceが偽造されていないこと、および改ざんされていないことを確認する。
• セキュリティ機能を確認する。

CSP は、Evidenceの有効期限を過ぎていない、あるいは有効期限の記載がない場合は過去6ヶ月以内に発行されていることを確認することで、Evidenceが最新であることを検証するものとする(SHALL)。

暗号的に保護されているIdentity EvidenceまたはAttribute情報の Authenticity (真正性) と正確性は、EvidenceやAttributeデータオブジェクトに対するDigital SignatureのVerificationによりValidateすることができる。CSPはデジタル署名されたEvidenceやAttributeデータオブジェクトをVerifyするために、Evidenceの発行 Authority のPublic Keyを用いるものとする(SHALL)。

Attribute Validation

すべてのCore Attributesは、Identity Evidenceから取得したか、Applicantによる自己申告かによらず、Validateされなければならない。本サブセクションでは、Evidenceと収集したAttributeをValidateするための、許容可能な方法についてガイダンスを提供する。

Evidence and Attribute Validation Methods

提示されたEvidenceをValidateする許容可能な方法は、次を含む:

• 対面でのIdentity Proofingでは、訓練を受けた担当者による目視および触覚検査
• Remote でのIdentity Proofingでは、訓練を受けた担当者による目視検査。
• 適切な技術を使用した、自動化された文書のValidationプロセス。
• Evidenceに含まれるAttributeの、Authoritativeまたは信頼できる Source によるValidation。
• Evidenceの発行AuthorityのPublic Keyを使用した、デジタルエビデンスまたはAttributeデータオブジェクトを保護するDigital SignatureのVerification。

Validation Sources

セクション 4.3.4.1 に従ってValidateされたIdentity Evidenceに含まれる Core Attributesは、Validate済みと見なすことができ、この場合、さらなるValidationは必要ない。

Authoritative Sourceとは、次の性質のうち1つ以上によって、Identity Attribute情報の正確性を提供あるいはValidateできるエンティティである。Authoritative sourceは:

• Identity Attributeのオリジナル Source である、または
• Identity Attribute情報を含む Identity Evidenceの発行者であり、発行者は、例えば[PatriotAct]の下で確立されたCustomer Identification Program ガイドラインのような規制や公的な説明責任を有する機関による継続的な監視の対象となるような、文書化した Identity Proofingプロセスを通じて、Claimした Identityを確認した場合、または
• 個人との直接の対話（対面またはRemote ）を通じてClaimされたIdentityを確認できるIdentity Proofingプロセスを通じて、Attribute情報を収集してValidateしたもの、または
• Identity Evidenceのピースの発行元まで追跡できるようなエビデンスとAttribute情報への Access を有する。

信頼できる Source とは、次の性質のうち 1 つ以上によって Identity EvidenceおよびAttribute情報の正確性を提供またはValidateできるエンティティである。信頼できる Source は:

• Identity Proofingプロセスを通じてValidateされたAttribute情報への Access を有する、または
• Authoritative Sourceまで追跡できるAttribute情報への Access を有する、または
• 正確性、一貫性、および最新性を目的としてデータ相関をチェックされる、複数の Source から取得されたIdentity Attribute情報を保持している。

Identity Verification

Identity Verificationのゴールは、ClaimされたIdentityと、Identity Proofingプロセスにエンゲージされた実存するApplicantとの間の関連性を確立し、確認することである。

Identity Verification Methods

CSP は、セクション 5 で提示される IAL Identity Verification要件に応じて、次の方法のうち 1 つ以上によって、ClaimされたIdentityと、Identity ProofingプロセスにエンゲージされたApplicantとの関連性をVerifyしなければならない。

• セクション 5.1.6で指定されている Enrollment code verification。
• 対面での物理的比較。CSP 運営者とApplicantは、Identity Proofingイベントのために直接対話する。CSP 運営者は、Identity Evidenceに提示された顔写真と、Identity ProofingイベントにエンゲージされたApplicantの顔との物理的な比較を実行する。
• Remote （有人および無人）物理的顔画像比較。CSP 運営者は、Identity Evidence上に存在する顔写真と、Identity ProofingイベントにエンゲージしたApplicantの顔画像との物理的な比較を実行する。CSP 運営者は、Identity Proofingイベントの一部または全部においてApplicantと直接対話（有人）するか、キャプチャしたビデオまたは写真に加えEvidenceのアップロードされたコピーを使用して後で比較（無人）を行うことができる。比較をあとで実施する場合、キャプチャされたビデオまたは写真がIdentity ProofingイベントにエンゲージしているApplicant当人を撮影したものであることを確認するための手順が取られる。
• 自動化されたBiometric比較。Biometricシステム比較は、対面またはRemote のIdentity Proofingイベントにおいて実施できる。Identity Evidenceに含まれる顔写真、または他のBiometric特性は、自動化されたBiometric比較システムによって、Identity Proofingイベント中にApplicantが提出したApplicant当人の顔画像写真、または他のBiometricの当人サンプルと比較される。自動化されたBiometric比較システムは、比較のために数学的アルゴリズムを使用する。
• デジタルアカウントのコントロール。個人は、AuthenticationまたはFederation Protocolの使用を通じて、デジタルアカウント （例：オンライン銀行口座）または署名済みデジタル Assertion（例：Verifiable Credentials）のコントロールを実証することができる。これは、対面でCredentialをデバイスまたはリーダーに提示することでも実施できるかもしれないが、Remote のIdentity Proofing Session 中に実施されることのほうが多いだろう。

Identity Resolution, Validation, and Verification

This section is normative.

This section provides and overview of the identity proofing and enrollment process as well as requirements to support the resolution, validation, and verification of the identity claimed by an applicant. It also provides guidelines on additional aspects of the identity proofing process. These requirements are intended to ensure that the claimed identity exists in the real world and that the applicant is the individual associated with that identity. Collectively, the elements of the identity proofing process are designed to ensure that attacks against a CSP’s identity service that affect a large number of enrolled subscribers require greater time and cost than the value of the data being protected.

Additionally, these guidelines provide for multiple methods by which resolution, validation, and verification can be completed as well as multiple types of identity evidence that may support the identity proofing process. To the extent practical, CSPs and organizations SHOULD enable optionality when implementing their identity proofing services and processes to promote access for those with different means, capabilities, and technology access. At a minimum, this SHOULD include accepting multiple types and combinations of identity evidence, supporting multiple data validation sources, enabling multiple methods for verifying identity (e.g., use of trusted referees), multiple channels for engagement (e.g., in-person, remote), and offering assistance mechanisms for applicants (e.g., applicant references).

Identity Proofing and Enrollment

This document describes the common pattern in which an applicant undergoes an identity proofing and enrollment process whereby their identity evidence and attributes are collected, uniquely resolved to a single identity within a given population or context, then validated and verified. See [SP800-63] for details on how to choose the most appropriate IAL. A CSP can then bind these attributes to an authenticator (described in [SP800-63B]).

The objective of identity proofing is to ensure, to a stated level of certainty, the applicant is who they claim to be. Identity proofing is not conducted to determine suitability or entitlement to benefits. The identity proofing process involves the presentation and validation of the minimum attributes necessary to accomplish identity proofing. There can be many different sets of attributes that suffice as the minimum, so CSPs choose this set by considering applicants’ privacy and the usability, as well as the likely attributes needed in future uses of the digital identity. For example, such attributes, to the extent they are the minimum necessary, could include:

1. Full name
2. Date of birth
3. Home address

This document also provides requirements for CSPs collecting additional information used for purposes other than identity proofing.

\clearpage

Process Flow

This section is informative.

Figure 1 outlines the basic flow for identity proofing and enrollment.

Figure 1. Identity Proofing Process

The following provides an example of how a CSP and an applicant might interact during a remote identity proofing process at IAL2:

1. Resolution
   1. The CSP collects attributes from the applicant, such as name, address, date of birth, email, and phone number.
   2. The CSP also collects one or more pieces of identity evidence, such as a driver’s license or a passport.
2. Validation
   1. The CSP validates the attributes obtained in steps 1a by checking them against authoritative or credible sources.
   2. The CSP validates the authenticity, accuracy, and currency of the presented evidence.
3. Verification
   1. The CSP asks the applicant to take a photo of themself, with liveness checks.
   2. The CSP compares the pictures on the license and the passport to the photo of the live applicant’s photo from the previous step and determines they match.
   3. The CSP sends an enrollment code to the validated phone number of the applicant, the applicant provides the enrollment code to the CSP, and the CSP confirms they match, verifying they the applicant is in possession and control of the validated phone number.
   4. The applicant has been successfully identity proofed and can be enrolled into a subscriber account.

Identity Resolution

The goal of identity resolution is to use the smallest set of attributes to uniquely distinguish an individual within a given population or context. While identity resolution is the starting point in the overall identity proofing process, to include the initial detection of potential fraud, it in no way represents a complete and successful identity proofing transaction.

Identity Validation and Identity Evidence Collection

The goal of identity validation is to collect the most appropriate identity evidence and attribute information from the applicant and determine it is authentic, accurate, current, and unexpired. Identity validation is made up of three process steps: 1) collecting the appropriate identity evidence; 2) confirming the evidence is authentic; and, 3) confirming key data contained on the identity evidence is valid, current, and related to a real-life subject.

Identity evidence collection supports the identity validation process and consists of two steps: 1) presentation of identity evidence by the identity proofing applicant to the CSP and 2) determination by the CSP that the presented evidence is acceptable. Evidence can be presented as a physical document or a copy, photograph, or scan of a document, or as a digital record. The characteristics for acceptable physical (documentary) identity evidence are presented in Sec. 4.3.1 and the characteristics for acceptable digital evidence are provided in Sec. 4.3.2.

The CSP SHALL determine the acceptability of presented identity evidence for identity proofing based on the evidence characteristics in this section.

The characteristics presented in this section are intended to guide CSPs in determining what is acceptable as identity evidence for the identity proofing process and are not an indication of strength of evidence. Once a CSP determines a particular type of evidence is acceptable, a determination must be made as to its strength, as provided in Sec. 4.3.3.

Characteristics of Acceptable Physical Evidence

Acceptable physical evidence SHALL contain all of the following characteristics:

1. The presented document contains the printed name of the applicant. (See Sec. 10.1 - Equity and Resolution - for guidance on dealing with a printed name that varies from the applicant’s claimed identity.)
2. The presented document contains at least one printed reference number.
3. The presented document contains the printed name of the issuer of the document.
4. The issuer of the document performed identity proofing of the applicant prior to issuing the document.
5. There is reasonable assurance that the document was delivered to the intended person.

Characteristics of Acceptable Digital Evidence

Acceptable digital evidence SHALL contain all of the following characteristics:

1. The presented digital evidence contains the name of the applicant as the subject of the digital information or account. (See Sec. 10.1 - Equity and Resolution - for guidance on dealing with a name on digital evidence that varies from the applicant’s claimed identity.)
2. The presented digital evidence contains at least one reference (e.g., account number) or sufficient attributes to bind the digital information to the applicant.
3. The presented digital evidence contains the name of the issuer of the digital information.
4. The issuer of the digital evidence performed identity proofing of the applicant prior to issuing the digital evidence.
5. There is reasonable assurance that the digital evidence was delivered or made accessible to intended person.
6. If applicable, the presented digital evidence can be verified through authentication at an AAL or FAL commensurate with the assessed IAL.

Evidence Strength Requirements

This section defines the requirements for identity evidence at each strength. Strength of identity evidence is determined by three aspects: 1) the issuing rigor; 2) the ability to provide confidence in validation, including accuracy and integrity of attributes; and 3) the ability to provide confidence in the verification of the applicant presenting the evidence. Evidence at all levels of strength must be current and unexpired.

Fair Evidence Requirements

In order to be considered FAIR, identity evidence SHALL meet all the following requirements:

1. The issuing source of the evidence confirmed the claimed identity through an identity proofing process.
2. It can be reasonably assumed that the evidence issuing process would result in the delivery of the evidence to the person to whom it relates.
3. The evidence contains at least one reference number, a facial portrait, or sufficient attributes to uniquely identify the person to whom it relates.
4. The evidence has not expired or it expired within the previous six (6) months, or it was issued within the previous six (6) months if it does not contain an expiration date.

Strong Evidence Requirements

In order to be considered STRONG, identity evidence SHALL meet all the following requirements:

1. The issuing source of the evidence confirmed the claimed identity through written procedures designed to enable it to form a reasonable belief that it knows the real-life identity of the person. Such procedures are subject to recurring oversight by regulatory or publicly-accountable institutions. For example, the Customer Identification Program guidelines established in response to the USA PATRIOT Act of 2001 or the [RedFlagsRule], under Sec. 114 of the Fair and Accurate Credit Transaction Act of 2003 (FACT Act).
2. There is a high likelihood that the evidence issuing process would result in the delivery of the evidence to the person to whom it relates.
3. The evidence contains a reference number or other attributes that uniquely identify the person to whom it relates.
4. The evidence contains a facial portrait or other biometric characteristic of the person to whom it relates.
5. The evidence includes physical security features that make it difficult to copy or reproduce.
6. The evidence includes an expiration date and is unexpired.

Superior Evidence Requirements

In order to be considered SUPERIOR, identity evidence SHALL meet all the following requirements:

1. The issuing source of the evidence confirmed the claimed identity by following written procedures designed to enable it to have high confidence that the source knows the real-life identity of the subject. Such procedures are subject to recurring oversight by regulatory or publicly accountable institutions.
2. The issuing source visually identified the applicant and performed further checks to confirm the existence of that person.
3. The issuing process for the evidence ensured that it was delivered into the possession of the person to whom it relates.
4. The evidence contains at least one reference number that uniquely identifies the person to whom it relates.
5. The evidence contains a facial portrait or other biometric characteristic of the person to whom it relates.
6. The evidence includes digital information that is cryptographically signed.
7. The evidence includes physical security features that make it difficult to copy or reproduce.
8. The evidence includes an expiration date and is unexpired.

Identity Evidence and Attribute Validation

The CSP SHALL validate all identity evidence collected to meet evidence collection requirements and all core attribute information required by the CSP identity service.

Evidence Validation

The CSP SHALL validate the authenticity, accuracy, and currency of presented evidence by:

• Confirming the evidence is in the correct format and includes complete information for the identity evidence type.
• Confirming the evidence is not counterfeit and that it as not been tampered with.
• Confirming any security features.

The CSP SHALL validate that the evidence is current through confirmation that its expiration date has not passed or that evidence without an expiration date was issued within the previous six (6) months.

The authenticity and accuracy of identity evidence or attribute information that is cryptographically protected can be validated through verification of the digital signature on the evidence or the attribute data objects. The CSP SHALL use the public key of the issuing authority of the evidence to verify digitally signed evidence or attribute data objects.

Attribute Validation

All core attributes, whether obtained from identity evidence or applicant self-assertion, must be validated. This subsection provides guidance on acceptable methods for validating evidence and collected attributes.

Evidence and Attribute Validation Methods

Acceptable methods for validating presented evidence include:

• Visual and tactile inspection by trained personnel for in-person identity proofing,
• Visual inspection by trained personnel for remote identity proofing,
• Automated document validation processes using appropriate technologies,
• Validation of attributes contained on the evidence with an authoritative or credible source.
• Verification of the digital signature protecting digital evidence or attribute data objects using the public key of the issuing authority of the evidence.

Validation Sources

Core attributes that are contained on identity evidence that has been validated according to Sec. 4.3.4.1 can be considered validated, in which case no further validation is required.

An authoritative source is an entity that can provide or validate the accuracy of identity attribute information through one or more of the following characteristics. An authoritative source:

• Is the original source of the identity attribute(s); or
• Is the issuer of identity evidence containing identity attribute information and the issuer confirmed the claimed identity through documented identity proofing processes that are subject to recurring oversight by regulatory or publicly accountable institutions, such as the Customer Identification Program guidelines established under the [PatriotAct]; or
• Collected and validated attribute information through an identity proofing process that can confirm the claimed identity through direct interaction with individuals (either in-person or remotely); or
• Has access to evidence and attribute information that can be traced to the issuing source of a piece of identity evidence.

A credible source is an entity that can provide or validate the accuracy of identity evidence and attribute information through one or more of the following characteristics. A credible source:

• Has access to attribute information that was validated through an identity proofing process; or
• Has access to attribute information that can be traced to an authoritative source; or
• Maintains identity attribute information obtained from multiple sources that is checked for data correlation for accuracy, consistency, and currency.

Identity Verification

The goal of identity verification is to confirm and establish a linkage between the claimed identity and the real-life existence of the applicant engaged in the identity proofing process.

Identity Verification Methods

The CSP SHALL verify the linkage of the claimed identity to the applicant engaged in the identity proofing process through one or more of the following methods, depending on the IAL identity verification requirements presented in Sec. 5.

• Enrollment code verification as specified in Sec. 5.1.6.
• In-person physical comparison. The CSP operator and applicant interact in person for the identity proofing event. The CSP operator performs a physical comparison of the facial portrait presented on identity evidence to the face of the applicant engaged in the identity proofing event.
• Remote (attended and unattended) physical facial image comparison. The CSP operator performs a physical comparison of the facial portrait presented on identity evidence to the facial image of the applicant engaged in the identity proofing event. The CSP operator may interact directly with the applicant during some or all of the identity proofing event (attended) or may conduct the comparison at a later time (unattended) using a captured video or photograph and the uploaded copy of the evidence. If the comparison is performed at a later time, steps are taken to ensure the captured video or photograph was taken from the live applicant present during the identity proofing event.
• Automated biometric comparison. Biometric system comparison may be performed for in-person or remote identity proofing events. The facial portrait, or other biometric characteristic, contained on identity evidence is compared by an automated biometric comparison system to the facial image photograph of the live applicant or other biometric live sample submitted by the applicant during the identity proofing event. The automated biometric comparison system uses a mathematical algorithm for the comparison.
• Control of a digital account. An individual is able to demonstrate control of a digital account (e.g., online bank account) or signed digital assertion (e.g., verifiable credentials) through the use of authentication or federation protocols. This may be done in person through presentation of the credential to a device or reader, but is more likely to be done during remote identity proofing sessions.

Identity Assurance Level 要件

This section is normative.

本セクションはIdentity ProofingとEnrollmentのサービスを運営するCSPに対する要件を提供する。この要件には各IALのIdentity Proofingの要件が含まれる。本セクションでは、自分達でIdentityサービスを提供するか外部のCSPを用いるかどうかにかかわらず、連邦機関向けの追加の要件も含んでいる。

一般的な要件

本セクションの要件は、任意のIALでIdentity Proofingを実施するすべてのCSPに適用される。

Identity Service Documentation and Records

CSPは、定義されたIALを達成するために実装されているすべてのIdentiy Proofingプロセスを詳細化するPractice Statementに従って、オペレーションを実施するものとする(SHALL)。Practice Statementは少なくとも次の内容を含むものとする(SHALL):

1. それぞれの提供されたIALにおいて CSP がApplicantのIdentity Proofingを行うために従う特定のステップを含む、完全なサービスの説明。
2. CSPが受け入れる、Evidence強度要件を満たすためのIdentity Evidenceの種類。
3. 該当する場合、必要なIdentity Evidenceを所有していないApplicant個人が、Identity Proofingプロセスを完了するための代替手法 [^alternatives]。
4. CSP が Core Attributesであると見なす Attribute。Core Attributesには、CSP が Identity Resolutionを行うために必要な最小限のAttributeのセットのほか、Identity Proofing、詐欺の軽減、法律または法的プロセスの遵守、あるいはAttribute Assertionを介したRelying Party(RP)への伝達を目的とし、CSPが収集、Validateする追加のAttributeを含んでいる。
5. Identity Proofingのエラーに対処するための CSP のポリシーとプロセス。
6. 疑わしい、あるいは確認済みの不正なアカウントを識別し、RPや影響をうける個人に対して伝達するための、CSP のポリシーとプロセス。
7. サービス変更（例：データソース、統合ベンダー、またはBiometricアルゴリズムの変更）を管理し、RP に伝達するための、 CSP のポリシー。
8. 定期的な見直しのタイミングと、更新されたプライバシーリスク評価をトリガーする具体的な条件を含む、プライバシーリスク評価の実施に関するCSPのポリシー(セクション 5.1.2 を参照）
9. 定期的な見直しのタイミングと、定期外の見直しをトリガーする具体的な条件を含む、潜在的なEquityへの影響を判断するための評価を実施に関するCSPのポリシー（Sec. 5.1.3 参照）；更に、

営業停止

1. CSP は、その業務を停止するときのポリシーと計画を文書化するものとする(SHALL)。
2. この計画には、CSP のIdentityサービスが保持要件の対象であるかどうか、さらに保持期間中に機微データ （Identity Attribute、Subscriberアカウント内に含まれる情報や、監査ログに含まれる情報）をどのように保護するかどうか含まれるものとする(SHALL)。
3. 要求される保持期間の終了時に、CSP はすべての機微データを完全に廃棄または破壊する責任を負うものとする(SHALL)。

不正行為の緩和策

1. CSP は、不正行為の緩和策（例：Applicantのデバイス特性の調査、行動特性の評価、デスマスターファイル （[DMF] などの重要統計情報リポジトリの確認）を使用してIdentity Proofingの信頼性を高めるものとする(SHALL)。
2. CSP が不正行為の緩和策を使用する場合、CSP はこれらの緩和策についてプライバシーリスク評価を実施するものとする(SHALL)。
3. そのようなアセスメントでは、何らかのプライバシーリスクの緩和策（例：リスクの受容、転嫁、保持の制限、使用制限、通知）またはその他の技術的な緩和策（例：暗号化）が含まれ、これらのガイドラインに従って文書化されなければならない。

[^alternatives]。Applicant Representativeがいるかどうかに関わらず、Trusted Refereeの使用は1つのオプションである。補足的なIdentity Evidenceのタイプについては、セクション 5.1.9 を参照すること。

一般的なプライバシー要件

次のプライバシー要件は、任意のIALでIdentityサービスを提供するすべてのCSPに該当する。

プライバシーリスク評価

1. CSP は、Identity ProofingとEnrollmentに用いるプロセスについて、プライバシーリスク評価を実施し、 文書化しなければならない ¹ (SHALL)。プライバシーリスク評価は少なくとも次に関連するリスクを評価するものとする(SHALL):
   1. Identity ProofingとEnrollmentを目的とした、PII のあらゆる処理（Identity Attribute、Biometrics、画像、ビデオ、スキャン、またはIdentity Evidenceのコピーなど）。
   2. ここで指定されている必須要件を超えて、ApplicantのIdentityをVerifyするために CSP が取る追加のステップ。
   3. 法律または法的手続きに遵守する場合を除き、Identity ProofingとEnrollmentのスコープ外で行われる、PII に対する任意の処理。
   4. Identityレコードおよび PII の保持スケジュール。さらに、
   5. CSP に代わってサードパーティサービスが処理するあらゆるPII。
2. プライバシーリスク評価の結果に基づいて、CSP は、自らが処理する PII の Disassociability、Predictability、Manageability、Confidentiality (機密性)、Integrity (完全性)、および Availability (可用性) を維持するために講じる手段を文書化するものとする(SHALL)。このような措置を決定する際、CSP は NIST Privacy Framework [NIST-Privacy] および NIST Special Publication [SP800-53] を参考にするものとする(SHALL)。
3. CSP は、PII の処理に影響を与えるIdentityサービスの変更を行う場合は、いつでもプライバシーリスクを再評価し、プライバシーリスク評価を更新しなければならない。
4. CSP は、Practice Statementに記載されているとおり、定期的にプライバシーリスク評価をレビューし、 PII の処理に関連する最新のリスクを正確に反映するようにしなければならない。(SHALL)
5. CSP は、そのサービスを使用するすべての組織に対して、プライバシーリスク評価のサマリーを提供できる状態にするものとする(SHALL)。そのサマリーは、当該組織がデューディリジェンスを行えるように、十分な詳細であるものとする(SHALL)。

追加のプライバシー保護策

1. PII のProcessingは、Claimed Identityの実在性をValidateし、Claimed IdentityをApplicantに関連付け、RPに対しては認可の判断に利用するAttributeを提供するために、必要最低限のものに限られるものとする(SHALL)。
2. CSP は、Sec. 5.1.2 のプライバシー要件に従って、Identity Resolutionに必要な場合に社会保障番号 (SSN) をAttributeとして収集してもよい(MAY)。加えて、CSP は、SSN データの拡散と保持を制限するために、プライバシー保護技術（例：完全なAttribute値そのものではなく、派生したAttribute値を送受信）を実装するものとする(SHALL)。SSN を把握していることは、Identity Evidenceと見なされないものとする(SHALL NOT)。
3. 収集時に、CSP は、Identity Proofingに必要なAttributeを収集する目的をApplicantに対して明示的に通知するものとする(SHALL)。目的としては、そのようなAttributeがIdentity Proofingプロセスを完了するために任意であるか必須であるかどうか、CSPがApplicantに対して作成するSubscriberアカウントに保存するつもりの具体的なAttributeおよび他の機微データ、Attributeを提供しない場合の結果、そして何らかのレコード保持要件がある場合はその詳細などが含まれる。
4. CSP は、Applicantの苦情およびIdentity Proofingに起因する問題を救済するためのメカニズムを提供するものとする(SHALL)。これらのメカニズムは、Applicantが見つけやすく、利用しやすいものであるものとする(SHALL)。CSP は、苦情または問題の解決を達成するために、そのメカニズムが効果的であるかをアセスメントするものとする(SHALL)。

一般的な Equity 要件

Equityの向上というゴールをサポートし、全体的なリスク評価プロセスの一環で、CSP はそのIdentityサービスの要素をアセスメントして、あるグループのメンバーが他のグループと比較して、不公平な Access 、処遇、あるいは結果になる可能性があるプロセスまたは技術を特定するものとする(SHALL)。 不公平な Access あるいは結果となりえるIdentity Proofingプロセスおよび技術の非網羅的なリストについては、Sec. 10を参照すること。

大統領令 13985 [EO13985] は、Advancing Racial Equity and Support for Underserved Communities Through the Federal Government として、政府プログラムと政策が有色人種およびその他十分な便益を享受できていないグループのための機会および便益に対する組織的障壁を存続させてしまっていないかどうか、その程度がどれほどであるか、評価するよう各連邦機関に求めていることに注意すること。

Access 、処遇、結果の不公平のリスクを評価する場合、以下の要件が適用される。

1. リスク評価の結果に基づいて、CSP は、不公平な Access 、処遇、または結果を生じる可能性を軽減するために講じる措置を文書化するものとする(SHALL)。
2. CSP は、プロセスまたは技術に影響を与えるIdentityサービスの変更を行う場合は、公平な Access 、処遇、または成果に対するリスクを再評価するものとする(SHALL)。
3. CSP は、そのサービスに関連する現在のリスクを正確に反映するように、公平な Access 、処遇、または成果に対するリスクを定期的に再評価するものとする(SHALL)。
4. CSP は、これらのリスク評価へのApplicantの参加を義務付けることはしないものとする(SHALL NOT)。
5. CSP は、不公平な Access 、処遇、または結果に関連するリスクの評価結果、および関連する軽減策を、そのサービスを使用するすべての組織または個人が利用できるようにするものとする(SHALL)。
6. CSP は、その評価結果も一般に公開するものとする(SHALL)。

一般的なセキュリティ要件

1. 第三者が関与する Transaction を含め、Identity Proofingプロセス内の各オンライン Transaction は、Authenticated Protected Channel を介して行うものとする(SHALL）。
2. Identity Proofingプロセスの一環として収集されたIdentity Attributeのフォームのすべての PII は、情報の Confidentiality (機密性) と Integrity (完全性) を確保するために保護されるものとする(SHALL）。
3. CSP は、NIST リスク管理フレームワーク [NIST-RMF] に従ってそのIdentityサービスの運用に関連するリスクを評価し、適切なベースラインセキュリティコントロールを適用するものとする(SHALL)。

連邦機関向けの追加要件

以下の要件は、連邦機関が独自のIdentityサービスを運用するか、Identityサービスの一部として外部 CSP を使用するかどうかに関係なく、連邦機関に適用される。

1. 機関は、Senior Agency Official for Privacy（SAOP）と協議し、Identity Proofingを行うためのBiometricsを含む PII の収集が、Privacy Actの要件を発動するかどうかを決定する分析を行うものとする(SHALL)。
2. 機関は SAOP と協議して、Identity Proofingを行うためのBiometricsを含む PII の収集が 2002 年のE-Government Act [E-Gov] の要件を発動するかどうかを決定する分析を実施するものとする(SHALL)。
3. 機関は、該当する場合、そのような収集を対象とするSystem of Records Notice（SORN）を公開するものとする(SHALL)。
4. 機関は、該当する場合、当該収集を対象とするプライバシー影響評価(PIA)を公開するものとする(SHALL)。
5. 機関は、ダイバーシティー、Equity、インクルージョン、およびアクセシビリティ（DEIA）を担当する上級職員、事業所、または統治機関と協議し、サービスを受けるすべての集団のニーズを満たすためにIdentity Proofingサービスをどのように設計、調達、および管理すべきかを判断するものとする(SHALL)。
6. 機関は、組織内の広報およびコミュニケーションの専門家と協議し、Identity Proofingに関連する要件を含む新しいプロセスの展開または既存のプロセスの更新に伴って、コミュニケーションまたは一般認識戦略を立てるべきかどうかを決定するものとする(SHALL)。これにはサービスに関連する技術の使用方法に関する詳細情報を示す資料、よくある質問（FAQ）ページ、Identity Proofingプロセスに参加するための前提条件（必要なEvidenceなど）、ウェビナー またはその他のライブもしくは録画済み情報 Session 、あるいはユーザー受け入れのサポートや、Applicantに質問、問題、フィードバックを伝える仕組みを提供するその他の媒体を含めることができる。
7. 第三者の CSP を使用する場合、機関は、PIA プロセスの一環として CSP のプライバシーリスク評価に依拠する前に、独自のプライバシーリスク評価を実施するか、デューデリジェンスを行う責任を負うものとする(SHALL)。
8. 第三者の CSP を使用する場合、機関は、CSP のEquityリスク評価を、自らのEquityリスク評価に組み込むものとする(SHALL)。

Enrollment コード要件

Enrollmentコードは、Applicantが Validate されたアドレスに Access できることを確認するために使用されます。Identity ProofingとEnrollmentが 1 回の Session で完了しない場合、Enrollmentコードは、Enrollmentプロセスを完了する目的で、ApplicantのEnrollmentレコードへの Binding を再確立するために使用することもできる。

以下の要件は、任意の IAL でEnrollmentコードを使用するすべての CSP に適用される。

1. Enrollmentコードは、Validate されたアドレス（郵便番号、電話番号、電子メールアドレスなど）に送信されるものとする(SHALL)。
2. Applicantは、Identity Proofing手続きを行うために有効なEnrollmentコードを提示するものとする(SHALL)。
3. Enrollmentコードは、以下のいずれかから構成されるものとする(SHALL)。
   1. 少なくとも20ビットのEntropyを持つApprovedな乱数発生器によって生成された6桁のランダムな数字。
   2. 適切に構築された Session ID（少なくとも64ビットのEntropy）を含む、一意に識別されるアドレスに配信される安全なリンク、または、
   3. 少なくとも20ビットのEntropyを持つランダムなシークレットを含む機械可読な光学的なラベル（QRコードなど）。
4. Enrollmentコードの有効期限は以下の通りとするものとする(SHALL)。
   1. 米国本土内のValidateされた郵便物の宛先に送付された場合、最大 21 日間有効である。
   2. 米国本土以外のValidateされた郵便物の宛先に送られた場合は、30日間。
   3. Validateされたな電話番号（SMSまたは音声）に送信された場合、10分間。
   4. Validateされたな電子メールアドレスに送信された場合、24時間。
5. Enrollmentコードは、Authentication Factorとして使用してはならない(SHALL NOT)。

Identity Proofingの通知要件

Proofing通知は、ApplicantのValidateされたアドレスに送付され、Identity Proofingに成功したことを通知する。 これら通知により、Identity Proofing対象の人物が、Claimed Identityの所有者であるという Assurance を強める。 以下の要件は、任意の IAL での Identity Proofingプロセスの一部としてProofing通知を送信するすべての CSP に適用される。

Proofingの通知は:

1. Validateされた記録上のアドレス（郵便番号、電話番号、電子メール・アドレスなど）に送信されるものとする(SHALL)。可能な限り、CSP は、ProofingおよびEnrollmentコードの通知を異なるValidateされたアドレスに送信すべきである(SHOULD)。
2. Identityサービスの名前およびIdentity Proofingが完了した日付など、Identity Proofingイベントに関する詳細を含むものとする(SHALL)。
3. 受取人がIdenitty Proofingイベントを否認する場合に取るべき行動について、連絡先情報を含む 明確な指示を提供するものとする(SHALL)。
4. 組織または CSP が収集する情報のセキュリティおよびプライバシーを保護する方法、およびIdentityサービスのSubscriberとして受信者が負う責任などの追加情報を提供するものとする(SHOULD)。

Biometricsの利用要件

Biometricsとは、個人を認識するために使用できる生物学的及び行動的特徴、すなわち（これらに限定されるわけではないが）指紋、虹彩構造、顔の特徴などに基づく個人の自動認識のことである。このガイドラインで使用されるBiometricデータは、生物学的および行動学的特徴の、capture、storage、またはprocessingのどの段階においても、アナログまたはデジタルで表現されたもののことである。これには、Applicantからの生きたBiometricサンプル（例：顔画像、指紋）、およびEvidenceから得られたBiometricリファレンス （例：運転免許証の顔画像、ID カード上の指紋特徴点テンプレート）が含まれる。Identity Proofingプロセスに適用されるように、CSP はBiometricsを使用して、所定の集団またはコンテキスト内で個人のIdentityを一意に解決し、個人がIdentity Evidenceの正当なSubjectであることをVerifyし、その個人をIdentity EvidenceまたはCredentialの新たな要素と結びつけることができる。

以下の要件は、Identity Proofingプロセスの一部としてBiometricメカニズムを採用する CSP に適用される:

1. CSP は、Biometricsのすべての利用について、収集されるBiometricデータが何であるか、その保存方法、加えて適用法と規制に照らしたBiometric情報の削除の方法について明確で公開された情報を提供するものとする(SHALL)。
2. CSPは、Biometric情報を収集する前に、すべてのApplicantから明示的にBiometricについての同意を得るものとする(SHALL)。
3. CSPは、Biometricについての同意を、Subscriberのアカウントに保管するものとする(SHALL)。
4. CSPは、すべてのBiometric情報の削除プロセスとデフォルトの保存期間を文書化し、公開するものとする(SHALL)。
5. CSPは、規制、法律、または制定法によって別途制限される場合を除き、個人がいつでも自分のBiometric情報の削除を要求するのを認めるものとする(SHALL)。
6. CSPは、すべてのBiometricアルゴリズムについて、独立したエンティティ（例：認定ラボラトリや研究機関）による性能テスト（人口統計グループ間の性能を含む）を実施するものとする(SHALL)。
7. すべてのアルゴリズムのテストは、所定の評価様式が、公開されている ISO/IEC 標準との一貫性を有するものとする(SHALL)。
8. CSPは、Biometricの使用に際して最低性能基準値を満たすものとする(SHALL):
   • 他人受入率(False match rate): 1:10,000 または、さらに優れている。
   • 本人拒否率(False non-match rate): 1:10,000 または、さらに優れている。
9. CSP は、異なる人口統計学的グループ（人種的背景、性別、民族性など）のApplicantに対して同様の性能特性を提供するBiometricテクノロジーを採用するものとする(SHALL)。人口統計学的グループ間で性能に差があることが判明した場合、CSP は、影響を受ける個人に救済オプションを提供し、性能の差を解消するために迅速に行動するものとする(SHALL)。
10. CSPは、すべての性能テストおよび運用テストの結果を公開するものとする(SHALL)。
11. CSPは、システムの運用環境およびユーザー母集団と高い類似性のある条件下で、採用したBiometric技術の性能と人口統計学的な影響を評価するものとする(SHALL)。このような評価に実在するユーザーが含まれる場合、ユーザーの参加は任意であるものとする(SHALL)。
12. CSPは、すべての性能および運用テストの結果を公開するものとする(SHALL)。

以下の要件は、ApplicantからBiometricの特徴を収集する CSP に適用される:

1. CSP は、BiometricはApplicantから収集されたものであり、別の対象から取得したものではないことを保証する方法で、Biometricsを収集するものとする(SHALL）。
2. BiometricsをRemote で収集し比較する場合、CSP は、生存する人間が本当にそこに存在していることを確認し、スプーフィングとなりすましの試みを軽減するために、生存検出機能を実装するものとする(SHALL)。
3. 対面でBiometricsを収集する場合、CSPはオペレータにBiometricsソース（例：指、顔）にnon-naturalな物質が存在するかどうかを確認させ、Proofingプロセスの一環としてそのような検査を実行するものとする(SHALL)。

Trusted Referees と Applicant References

Access 性を向上させ、オンライン政府サービスへの平等な Access を促進するために、CSP は Trusted Referees を提供する。Trusted Referee は、特定の IAL へのIdentity Proofing要件を満たすことができない個人が、Identity ProofingおよびEnrollmentを円滑に進めるために利用される。そのような個人および人口統計学的グループは次のような個人が例として挙げられる: 必要なIdentity Evidenceを所有せず入手できない個人、障害者、高齢者、ホームレス状態にある人、オンライン・サービスまたはコンピューティング・ デバイスにほとんどまたは全く Access できない個人、銀行口座を持たないあるいはクレジット履歴が限定されている人、Identity盗難被害者、自然災害で避難したまたは影響を受けた個人、および 18 才未満の児童

Trusted Refereeは、自力でIdentity Proofingプロセスを完了できない、または所定の IAL で指定されている要件を満たせない個人のIdentity ProofingおよびEnrollmentを促進するために、リスクに基づく判断を行う訓練を受けて認可された、CSP またはその パートナーの代理人である。

加えて、Identity ProofingプロセスへのApplicantの積極的な参加を妨げる、あるいは不可能にする状況が存在する場合がありうる。そのような状況は、身体的または精神的な制限、障害、入院、あるいはIdentity Proofingへの積極的な参加を困難にする他の一時的または恒常的な状況によるものである可能性がある。Applicant Reference は、Applicantの特定の状況を裏付け、Identity ProofingプロセスにおいてApplicantを積極的に支援することを想定している。

Applicant Referenceとは、ApplicantがIdentity Proofing要件を満たすことを支援するために、ApplicantのIdentity Proofingに参加する個人をいう。このような支援には、Applicantの状況を裏付けることや、Identity Proofingプロセス完了のためにApplicantを積極的に支援することが含まれる。Applicant Referenceは CSP の代理人ではないが、ApplicantのIdentity ProofingおよびEnrollmentを円滑に進めるために、通常はTrusted Refreeと連動する。Applicant Referenceから提供された情報は、ApplicantのIdentity Proofingで使用され、依拠されることがあるため、Applicant Referenceは、Applicantと同等以上の IAL でIdentity Proofingされる。Applicant Referenceの役割は、Identity Proofingプロセスを円滑に進めることに限定されており、Applicant Referenceは、RP とのTransactionにおいてSubscriberを代理する権限を持たない。指定された IAL での Identity Proofing要件を満たすことができるApplicantにとって、単に物理的、技術的、言語翻訳または他の類似の支援を提供する個人は、Applicant Referenceとはみなされず、Identity Proofingを必要としない。

Trusted Referees の要件

CSPは、IAL 1および2で、Remote で実施するIdentity Proofingにおいて、Trusted Refereeを利用するオプションを提供するものとする(SHALL)。

以下の要件は、Trusted Refereeが提供される場面において、その利用に適用される:

1. CSP は、Sec. 5.1.1 で指定するように、Trusted Refereeの使用に関するポリシーと手続きを、Practice Statementの一部として文書で確立するものとする(SHALL)。
2. CSP は、Applicant固有の状況に基づいてApplicantのIdentity Proofingが成功するよう、リスクベースの判断を行うためにTrusted Refereeを訓練するものとする(SHALL)。
3. CSP は、Trusted Refereeサービスが利用できるかどうか、さらに当該サービスをどのように得ることができるのかについて、公に通知するものとする(SHALL)。

Applicant References の要件{#ApplicantRefs}

CSPはApplicant Referenceの利用を許可すべきである(SHOULD)。

以下の要件は、任意のIALにおいてApplicant Referenceの利用に対して適用される:

1. CSP は、Applicant Referenceを使用するための方針と手続きを、Sec. 5.1.1 で指定されているように、Practice Statementの一部として文書で確立するものとする(SHALL)。
2. CSPは、Applicantに実施する予定のものと同じまたはより高いIALにおいてApplicant ReferenceをIdentity Proofingするものとする(SHALL)。
3. CSP がApplicant Referenceの使用を許可する場合、CSP はApplicant Referenceの許容範囲およびReferenceとApplicantの関係要件について、公に通知するものとする(SHALL)。

Requirements for Interacting with Minors

以下の要件は、任意のIALでIdentity Proofingサービスを未成年者に対して提供するすべてのCSPに対して適用される:

1. CSP は、特定の IAL のEvidence要件を満たせない可能性のある未成年者のIdentity Proofingの方針および手順について、Practice Statementの一部として文書で確立するものとする(SHALL)。
2. 13 歳未満の個人とやり取りする際に、CSP は 1998 年のChildren’s Online Privacy Protection Act [COPPA] に確実に準拠するものとする(SHALL)。
3. CSP は、18 歳未満の個人とやり取りする際に、Applicant Referenceの使用をサポートするものとする(SHALL)。

Identity Proofing プロセス

本書はいくつかの異なるIdentity Proofing手法に適用する要件を定める。取りうる手法は次を含む:

• 完全自動化されたRemote プロセス。
• CSPオペレータ支援によるRemote プロセス
• 自動化されたRemote プロセスとオペレーター支援によるRemote プロセスの組み合わせ。
• Applicantとの対面による物理的な対話プロセス、および
• IAL3 Supervised Remote Identity Proofingプロセス

IAL1 および IAL2 でのIdentity Proofingは、これらのプロセスのいずれも使用することができるが、 IAL3 では、Applicantとの直接の物理的対話または IAL3 監視下にあるRemote Identity Proofingを必要とする。

以下のセクションでは、各 IAL でのIdentity Proofingに関する要件を示す。

Identity Assurance Level 1

IAL1 では、Remote および対面でのIdentity Proofingを認めている。IAL1 における Identity Proofing プロセスは、悪意のあるアクターによる不正な Identity の提示を検出するために、許容される様々な技術を認める一方で、ユーザー受け入れを促進し、偽陰性や申請からの離脱（Identity Proofingを正常に完了しない正当なApplicant）を最小化するものである。注目すべきは、IAL1 において、提供されたEvidenceと顔写真との自動比較などのBiometrics照合の使用は任意であり、そのようなEvidenceの収集が実現不可能な場合や、プライバシーおよびEquityリスクがセキュリティの考慮事項を上回るような場合でも、ProofingおよびEnrollmentを進めることができるということである。

以下の要件は、IAL1においてIdentity ProofingおよびEnrollmentサービスを提供するすべての CSP に適用される。

自動化された攻撃の防御

CSP は、Identity Proofing プロセスに対する自動化された攻撃を防ぐための手段を実装するものとする(SHALL)。許容される手段には、ボットの検出・緩和・管理ソリューション、行動分析、Web アプリケーションファイアウォール設定、およびトラフィック分析が含まれるが、これらに限定されない。

Evidence および Core Attributes の収集要件

Evidence 収集

Remote または対面での Identity Proofing の場合、CSP は Applicant から以下のいずれかを収集するものとする(SHALL)。

1. SUPERIOR Evidence 1 つ、または
2. STRONG Evidence 1 つ、およびFAIR Evidence 1 つ。

追加 Attribute の収集

ValidateされたEvidenceが Identity Attribute の Source として好ましい。提示された Identity Evidence に、CSP が Core Attributes と考えるすべてのAttributeが含まれていなければ、CSP はApplicantが自己申告するAttributeを収集してもよい（MAY）。

Evidence および Core Attributes の Validation 要件

CSPは、以下のいずれか 1つ の要件に従って SUPERIOR と STRONG の Evidence の真贋を検証するものとする(SHALL)。

1. 訓練を受けた担当者による目視検査
2. 物理的なセキュリティ機能の Integrity (完全性) を確認する技術の利用、またはEvidenceが詐称されているか不適切に変更されているかを検出することができる技術の利用
3. 存在する場合、デジタルセキュリティ機能の Integrity (完全性) を確認する。

CSPは、訓練を受けた担当者による目視検査によって、FAIR Evidenceが本物であることをValidateするものとする(SHALL)。

CSPは、以下の 両方 の方法ですべての Core Attributes を Validate するものとする(SHALL)。

1. Evidenceの一部から取得したAttribute（口座番号または参照番号、名前、生年月日など）の正確性を、Authoritativeまたは信頼できるSourceと比較することでValidateする。
2. 自己申告のAttributeの正確性を、Authoritativeまたは信頼できるSourceと比較することでValidateする。

さらに Assurance を強めるため、CSP は、さまざまなSourceによってValidateされた Core Attributes を、全体的な一貫性があるかという観点で評価するものとする(SHALL)。

Identity Verification 要件

CSPは、以下のいずれか 1つ の要件に従って Applicant が Claimed IdentityとバインドできるかどうかをVerifyするものとする(SHALL)。

1. Applicantの顔との物理的な比較、またはSUPERIORやSTRONG Evidenceに含まれる顔写真とApplicantの顔画像とのBiometrics比較、または
2. AAL1 Authenticationまたは AAL1 および FAL1 Federation Protocolを介したデジタルアカウントとの関連性の実証、または
3. Applicantが有効なEnrollmentコードを提示してきたことのVerification Sec.5.1.6

Proofing の通知要件

IAL1 での Identity Proofing が正常に完了すると、CSP は Sec. 5.1.7 で指定されているように、Applicantの有効なアドレスにProofing通知を送信するものとする(SHALL)。

Identity Assurance Level 2

IAL1 と同様に、IAL2の Identity Proofingでは、なりすまし攻撃やその他のIdentity Proofingのエラーを軽減しながら、アクセシビリティを最大化するために、Remote および対面でのIdentity Proofingプロセスの両方が認められる。CSPは、Remote でのIAL2 Identity Proofingを、完全に自動化されたプロセス、CSP オペレータが参加するプロセス、またはその 2 つの組み合わせにより、達成することができる。

自動化された攻撃の防御

CSP は、Identity Proofing プロセスに対する自動化された攻撃を防ぐための手段を実装するものとする(SHALL)。許容される手段には、ボットの検出、緩和、および管理ソリューション、行動分析、Web アプリケーションファイアウォール設定、およびトラフィック分析が含まれるが、これらに限定されない。

Evidence および Core Attributes の収集要件

Evidence 収集

Remote または対面での Identity Proofing の場合、CSP は Applicant から以下のいずれかを収集するものとする(SHALL)。

1. SUPERIOR Evidence 1 つ、または
2. STRONG Evidence 1 つ、およびFAIR Evidence 1 つ。

Attribute の収集

ValidateされたEvidenceが Identity Attribute の Source として好ましい。提示された Identity Evidence に、CSP が Core Attributes と考えるすべてのAttributeが含まれていなければ、CSP はApplicantが自己申告するAttributeを収集してもよい（MAY）。

Evidence および Core Attributes の Validation 要件

CSPは、以下のいずれか 1つ の要件に従って SUPERIOR と STRONG の Evidence の真贋を検証するものとする(SHALL)。

1. 訓練を受けた担当者による目視検査
2. 物理的なセキュリティ機能の Integrity (完全性) を確認する技術の利用、またはEvidenceが詐称されているか不適切に変更されているかを検出することができる技術の利用
3. 存在する場合、デジタルセキュリティ機能の Integrity (完全性) を確認する。

CSPは、以下の方法ですべての Core Attributes を Validate するものとする(SHALL)。

1. Evidenceの一部から取得したAttribute（口座番号または参照番号、名前、生年月日など）の正確性を、Authoritativeまたは信頼できるSourceと比較することでValidateする。
2. 自己申告のAttributeの正確性を、Authoritativeまたは信頼できるSourceと比較することでValidateする。

さらに Assurance を強めるため、CSP は、さまざまなSourceによってValidateされた Core Attributes を、全体的な一貫性があるかという観点で評価するものとする(SHALL)。

Identity Verification 要件

Remote Identity Proofing

CSPは、以下のいずれか 1つ の要件に従って Applicant が Claimed IdentityとバインドできるかどうかをVerifyするものとする(SHALL)。

1. 顔画像など収集したBiometrics特性と、SUPERIORやSTRONG Evidenceに含まれており、関連付けられているリファレンスのBiometricsとの比較、または
2. AAL2 Authenticationまたは AAL2 および FAL2 Federation Protocolを介したデジタルアカウントとの関連性の実証

対面での Identity Proofing

CSPは、提示されたSUPERIOR または STRONG Evidenceに含まれる顔写真と、Applicantの顔画像の物理的またはBiometrics比較によって、Applicant が Claimed IdentityとバインドできるかどうかをVerifyするものとする(SHALL)。

Proofing の通知要件

IAL2 での Identity Proofing が正常に完了すると、CSP は Sec. 5.1.7 で指定されているように、ApplicantのValidateされたアドレスにProofing通知を送信するものとする(SHALL)。

Identity Assurance Level 3

IAL3 は、IAL2 で要求される手順にさらなる厳密さを加えたもので、Identity と RP をなりすまし、詐欺、 または他の著しく有害な損害から一層保護するための追加的かつ特定のプロセス（Biometrics情報の 比較、収集、保持の実施を含む）が対象となる。さらに、IAL3 における Identity Proofingは、対面で行われる（ただし Sec. 5.5.8に定義される Supervised Remote Identity Proofingを含む）。

自動化された攻撃の防御

CSP は、Identity Proofing プロセスに対する自動化された攻撃を防ぐための手段を実装するものとする(SHALL)。許容される手段には、ボットの検出、緩和、および管理ソリューション、行動分析、Web アプリケーションファイアウォール設定、およびトラフィック分析が含まれるが、これらに限定されない。

Evidence および Core Attributes の収集要件

Evidence 収集

CSP は以下のいずれかに従い、ApplicantからEvidenceを収集するものとする(SHALL)。

1. SUPERIOR Evidence 2 つ、または
2. SUPERIOR Evidence 1 つ、およびSTRONG Evidence 1 つ、または
3. STRONG Evidence 2 つ、およびFAIR Evidence 1 つ

Attribute の収集

ValidateされたEvidenceが Identity Attribute の Source として好ましい。提示された Identity Evidence に、CSP が Core Attributes と考えるすべての Attribute が含まれていなければ、CSP はApplicant が自己申告する Attribute を収集してもよい（MAY）。

Validation 要件

Evidence Validation 要件

CSPは、暗号セキュリティ機能の Integrity (完全性) を確認し、何らかのDigital SignatureをValidateすることによって、SUPERIOR Evidence の真贋を検証するものとする(SHALL)。

CSPは、以下のいずれか 1つ の要件に従って STRONG の Evidence の真贋を検証するものとする(SHALL)。

1. 訓練を受けた担当者による目視検査
2. 物理的なセキュリティ機能の Integrity (完全性) を確認する技術の利用、またはEvidenceが詐称されているか不適切に変更されているかを検出することができる技術の利用
3. 存在する場合、デジタルセキュリティ機能の Integrity (完全性) を確認する。これには、発行者のDigital SignatureのValidationが含まれる。

Core Attributes Validation 要件

CSPは、以下の 両方 の方法ですべての Core Attributes を Validate するものとする(SHALL)。

1. Evidenceから、あるいは自己申告で取得したAttributeの正確性を、Authoritativeまたは信頼できるSourceと比較することでValidateする。
2. 前述したような方法で、提示されたデジタルEvidenceの暗号機能をValidateする。

さらに Assurance を強めるため、CSP は、さまざまなSourceによってValidateされた Core Attributes を、全体的な一貫性があるかという観点で評価するものとする(SHALL)。

Identity Verification 要件

CSPは、以下のいずれか 1つ の要件に従って Applicant が Claimed IdentityとバインドできるかどうかをVerifyするものとする(SHALL)。

1. 顔画像など収集したBiometrics特性と、提示されたSUPERIORやSTRONG Evidenceに含まれており、関連付けられているリファレンスのBiometricsとの比較、または
2. 少なくとも AAL2 Authenticationまたは AAL2 および FAL2 Federation Protocolを介したデジタルアカウントとの関連性の実証

Proofing の通知要件

IAL3 での Identity Proofing が正常に完了すると、CSP は Sec. 5.1.7 で指定されているように、ApplicantのValidateされたアドレスにProofing通知を送信するものとする(SHALL)。

Biometricの収集

CSPは、非否認と再Proofingを目的として、Proofing時にBiometricサンプル（例：顔画像、指紋）を収集、記録するものとする(SHALL)

対面での Proofing 要件

IAL3 における対面でのProofingは、以下の 2 つの方法のうち 1つ の方法で実施されるものとする(SHALL)。

• Applicantと CSP オペレーターとの対面での対話、または
• Sec. 5.5.8 IAL3 Supervised Remote Identity Proofing の要件に基づき、オペレータ監視下でのApplicantとのRemote での対話

CSP がどちらの方法を採用するかにかかわらず、IAL3 での Identity Proofing には以下の要件が適用される。

1. CSP は、Biometricsソース（例：指、顔）にnon-naturalな物質が存在するかどうかをオペレーターに確認させるものとする(SHALL)。
2. CSP は、BiometricがApplicantから収集されたものであり、別の対象から取得したものではないことを保証する方法で、Biometricsを収集するものとする(SHALL）。

IAL3 Supervised Remote Identity Proofing 要件

IAL3 Supervised Remote Identity Proofing は、Applicantとの直接の対話に匹敵するレベルの信頼性とセキュリティを達成することを意図している。

以下の要件は、すべての IAL3 Supervised Remote Identity Proofing Session に適用される。

1. CSP は、Identity Proofing Session 全体を監視し、Applicantが Identity Proofing Session 全体にわたって継続的に存在していることを確認するものとする(SHALL)。たとえば、Applicantの高解像度ビデオ伝送を継続的に実施する方法が挙げられる。
2. CSP は、Identity Proofing Session の全期間中、Applicantと一緒に生身のオペレータをRemote から参加させるものとする(SHALL)。
3. CSP は、Identity Proofing中にApplicantが取ったすべての行動が、Remote のオペレータにはっきりと見えるようにすることを要求するものとする(SHALL)。
4. CSP は、EvidenceのすべてのデジタルVerification（例：チップまたは無線技術を介したもの）が、統合されたスキャナおよびセンサ（例：組み込み指紋リーダ）によって実行されることを要求するものとする(SHALL)。
5. CSP は、オペレーターが、潜在的な不正行為を検出し、Supervised Remote Proofing Session を適切に実行するためのトレーニング・プログラムの受講を必須とする(SHALL)。
6. CSP は、配置される環境に適した物理的な改ざん検出および耐タンパ機能を採用するものとする(SHALL)。例えば、制限エリアまたは信頼できる個人によって監視されている場所にあるキオスクは、ショッピングモールのコンコースなどの半公共エリアにあるものよりも改ざん検出の必要性が低い。
7. CSP は、すべての通信が、Mutually Authenticated Protected Channelで行われることを保証するものとする(SHALL)。

Summary of Requirements

表 1 は、各Identity Assurance Levelの要件のサマリーである:

表 1 IAL 要件サマリ

Identity Assurance Level Requirements

This section is normative.

This section provides requirements for CSPs that operate identity proofing and enrollment services, including requirements for identity proofing at each of the IALs. This section also includes additional requirements for Federal Agencies regardless of whether they operate their own identity service or use an external CSP.

General Requirements

The requirements in this section apply to all CSPs performing identity proofing at any IAL.

Identity Service Documentation and Records

The CSP SHALL conduct its operations according to a practice statement that details all identity proofing processes as they are implemented to achieve the defined IAL. The practice statement SHALL include, at a minimum:

1. A complete service description including the particular steps the CSP follows to identity proof applicants at each offered assurance level;
2. Types of identity evidence the CSP accepts to meet the evidence strength requirements;
3. If applicable, alternative ways for an individual applicant who does not possess the required identity evidence to complete the identity proofing process¹;
4. The attributes the CSP considers to be core attributes. Core attributes include the minimum set of attributes the CSP needs to perform identity resolution as well as any additional attributes the CSP collects and validates for the purposes of identity proofing, fraud mitigation, complying with laws or legal process, or conveying to relying parties (RPs) through attribute assertions;
5. The CSP’s policy and process for dealing with identity proofing errors;
6. The CSP’s policy and process for identifying and communicating suspected or confirmed fraudulent accounts to RPs and affected individuals;
7. The CSP’s policy for managing and communicating service changes (e.g., change in data sources, integrated vendors, or biometric algorithms) to RPs;
8. The CSP’s policy for conducting privacy risk assessments, including the timing of its periodic reviews and specific conditions that will trigger an updated privacy risk assessment (see Section 5.1.2);
9. The CSP’s policy for conducting assessments to determine potential equity impacts, including the timing of its periodic reviews and any specific conditions that will trigger an out-of-cycle review (see Section 5.1.3); and

Ceasing Operations

1. The CSP SHALL document its policy and plan for when it ceases its operations.
2. This plan SHALL include whether the CSP’s identity service is subject to retention requirements and how it will protect any sensitive data (including identity attributes, and information contained in subscriber accounts and audit logs) during the period of retention.
3. At the end of any required retention period, the CSP SHALL be responsible for fully disposing of or destroying all sensitive data.

Fraud Mitigation Measures

1. The CSP SHOULD obtain additional confidence in identity proofing using fraud mitigation measures (e.g., examining the device characteristics of the applicant, evaluating behavioral characteristics, and checking vital statistic repositories such as the Death Master File ([DMF]).
2. In the event the CSP uses fraud mitigation measures, the CSP SHALL conduct a privacy risk assessment for these mitigation measures.
3. Such assessments SHALL include any privacy risk mitigations (e.g., risk acceptance or transfer, limited retention, use limitations, notice) or other technological mitigations (e.g., cryptography), and be documented per these guidelines.

General Privacy Requirements

The following privacy requirements apply to all CSPs providing identity services at any IAL.

Privacy Risk Assessment

1. The CSP SHALL conduct and document a privacy risk assessment for the processes used for identity proofing and enrollment.² At a minimum, the privacy risk assessment SHALL assess the risks associated with:

   1. Any processing of PII for the purpose of identity proofing and enrollment, including identity attributes, biometrics, images, video, scans, or copies of identity evidence;
   2. Any additional steps the CSP takes to verify the identity of an applicant beyond the mandatory requirements specified herein;
   3. Any processing of PII for purposes outside the scope of identity proofing and enrollment except to comply with law or legal process;
   4. The retention schedule for identity records and PII; and,
   5. Any PII that is processed by a third party service on behalf of the CSP.
2. Based on the results of its privacy risk assessment, the CSP SHALL document the measures it takes to maintain the disassociability, predictability, manageability, confidentiality, integrity, and availability of the PII it processes. In determining such measures, the CSP SHALL consult the NIST Privacy Framework [NIST-Privacy] and NIST Special Publication [SP800-53].
3. The CSP SHALL re-assess privacy risks and update its privacy risk assessment any time it makes changes to its identity service that affect the processing of PII.
4. The CSP SHALL review its privacy risk assessment periodically, as documented in its practice statement, to ensure it accurately reflects the current risks associated with the processing of PII.
5. The CSP SHALL make a summary of its privacy risk assessment available to any organizations that use its services. The summary SHALL be in sufficient detail to enable such organizations to do due dilligence.

Additional Privacy Protective Measures

1. Processing of PII SHALL be limited to the minimum necessary to validate the existence of the claimed identity, associate the claimed identity with the applicant, and provide RPs with attributes they may use to make authorization decisions.
2. The CSP MAY collect the Social Security Number (SSN) as an attribute when necessary for identity resolution, in accordance with the privacy requirements in Sec. 5.1.2. Additionally, CSPs SHALL implement privacy protective techniques (e.g., transmitting and accepting derived attribute values rather than full attribute values themselves) to limit the proliferation and retention of SSN data. Knowledge of the SSN SHALL NOT be considered identity evidence.
3. At the time of collection, the CSP SHALL provide explicit notice to the applicant regarding the purpose for collecting attributes necessary for identity proofing, including whether such attributes are voluntary or mandatory to complete the identity proofing process, the specific attributes and other sensitive data that the CSP intends to store in the applicant’s subsequent subscriber account, the consequences for not providing the attributes, and the details of any records retention requirement if one is in place.
4. The CSP SHALL provide mechanisms for redress of applicant complaints and for problems arising from the identity proofing. These mechanisms SHALL be easy for applicants to find and use. The CSP SHALL assess the mechanisms for their efficacy in achieving resolution of complaints or problems.

General Equity Requirements

In support of the goal of improved equity, and as part of its overall risk assessment process, the CSP SHALL assess the elements of its identity service to identify processes or technologies that can possibly result in inequitable access, treatment, or outcomes for members of one group as compared to others. See Sec. 10 for a non-exhaustive list of identity proofing processes and technologies that may be subject to inequitable access or outcomes.

Note that executive order 13985 [EO13985], Advancing Racial Equity and Support for Underserved Communities Through the Federal Government, requires each federal agency to assess whether, and to what extent, its programs and policies perpetuate systemic barriers to opportunities and benefits for people of color and other underserved groups.

When assessing the risk of inequitable access, treatment, or outcomes, the following requirements apply:

1. Based on the results of its risk assessment, the CSP SHALL document the measures it takes to mitigate the possibility of inequitable access, treatment, or outcomes.
2. The CSP SHALL re-assess the risks to equitable access, treatment, or outcomes any time it makes changes to its identity service that affect the processes or technologies.
3. The CSP SHALL re-assess the risks to equitable access, treatment, or outcomes periodically to ensure it accurately reflects the current risks associated with its service.
4. The CSP SHALL NOT make applicant participation in these risk assessments mandatory.
5. The CSP SHALL make the results of its assessment of risks associated with inequitable access, treatment, or outcomes, and any associated mitigations, available to any organizations or individuals that use its service.
6. The CSP SHALL also make the results of its assessment publicly available.

General Security Requirements

1. Each online transaction within the identity proofing process, including transactions that involve third parties, SHALL occur over an authenticated protected channel.
2. All PII, in the form of identity attributes, collected as part of the identity proofing process SHALL be protected to ensure the confidentiality and integrity of the information.
3. The CSP SHALL assess the risks associated with operating its identity service, according to the NIST risk management framework [NIST-RMF], and apply an appropriate baseline security controls.

Additional Requirements for Federal Agencies

The following requirements apply to federal agencies, regardless of whether they operate their own identity service or use an external CSP as part of their identity service:

1. The agency SHALL consult with their Senior Agency Official for Privacy (SAOP) to conduct an analysis determining whether the collection of PII, including biometrics, to conduct identity proofing triggers Privacy Act requirements.
2. The agency SHALL consult with their SAOP to conduct an analysis determining whether the collection of PII, including biometrics, to conduct identity proofing triggers E-Government Act of 2002 [E-Gov] requirements.
3. The agency SHALL publish a System of Records Notice (SORN) to cover such collection, as applicable.
4. The agency SHALL publish a Privacy Impact Assessment (PIA) to cover such collection, as applicable.
5. The agency SHALL consult with the senior official, office, or governance body responsible for diversity, equity, inclusion, and accessibility (DEIA) for their agency to determine how the identity proofing service should be designed, resourced, and administered to meet the needs of all served populations.
6. The agency SHOULD consult with public affairs and communications professionals within their organization to determine if a communications or public awareness strategy should be developed to accompany the roll-out of any new process, or an update to an existing process, including requirements associated with identity proofing. This may include materials detailing information about how to use the technology associated with the service, a Frequently Asked Questions (FAQs) page, prerequisites to participate in the identity proofing process (such as required evidence), webinars or other live or pre-recorded information sessions, or other media to support adoption and provide applicants with a mechanism to communicate questions, issues, and feedback.
7. If the agency uses a third-party CSP, the agency SHALL be responsible for conducting its own privacy risk assessments or doing due diligence before relying on the CSP’s privacy risk assessment as part of its PIA process.
8. If the agency uses a third-party CSP, the agency SHALL incorporate the CSP’s assessment of equity risks into its own assessment of equity risks.

Requirements for Enrollment Codes

Enrollment codes are used to confirm an applicant has access to a validated address. If identity proofing and enrollment are not completed in a single session, an enrollment code can also be used to re-establish an applicant’s binding to their enrollment record for the purposes of completing the enrollment process.

The following requirements apply to all CSPs that employ enrollment codes at any IAL:

1. Enrollment codes SHALL be sent to a validated address (e.g., postal address, telephone number, or email address).
2. The applicant SHALL present a valid enrollment code to complete the identity proofing process.
3. Enrollment codes SHALL be comprised of one of the following:
   1. A random six digit number generated by an approved random number generator with at least 20 bits of entropy;
   2. A secure link delivered to a uniquely identified address containing an appropriately constructed session ID (at least 64 bits of entropy); or
   3. A machine readable optical label (such as a QR code) that contains a random secret with at least 20 bits of entropy.
4. Enrollment codes SHALL be valid for at most:
   1. 21 days, when sent to a validated postal address within the contiguous United States;
   2. 30 days, when sent to a validated postal address outside the contiguous United States;
   3. 10 minutes, when sent to a validated telephone number (SMS or voice); or
   4. 24 hours, when sent to a validated email address.
5. The enrollment code SHALL NOT be used as an authentication factor.

Requirements for Notifications of Identity Proofing

Notifications of proofing are sent to the applicant’s validated address notifying them that they have been successfully identity proofed. These notices provide added assurance that the person who underwent identity proofing is the owner of the claimed identity.

The following requirements apply to all CSPs that send notifications of proofing as part of their identity proofing processes at any IAL.

Notifications of proofing:

1. SHALL be sent to a validated address (e.g., postal address, telephone number, or email address) of record. Whenever possible, CSPs SHOULD send notifications of proofing and enrollment codes to different validated addresses.
2. SHALL include details about the identity proofing event, such as the name of the identity service and the date the identity proofing was completed.
3. SHALL provide clear instructions, including contact information, on actions to take in the case the recipient repudiates the identity proofing event.
4. SHOULD provide additional information, such as how the organization or CSP protects the security and privacy of the information it collects and any responsibilities the recipient has as a subscriber of the identity service.

Requirements for Use of Biometrics

Biometrics is the automated recognition of individuals based on their biological and behavioral characteristics such as, but not limited to, fingerprints, iris structures, or facial features that can be used to recognize an individual. As used in these guidelines, biometric data refers to any analog or digital representation of biological and behavioral characteristics at any stage of their capture, storage, or processing. This includes live biometric samples from applicants (e.g., facial images, fingerprint), as well as biometric references obtained from evidence (e.g., facial image on a driver’s license, fingerprint minutiae template on identification cards). As applied to the identity proofing process, CSPs may use biometrics to uniquely resolve an individual identity within a given population or context, verify that an individual is the rightful subject of identity evidence, and/or bind that individual to a new piece of identity evidence or credential.

The following requirements apply to CSPs that employ biometric mechanisms as part of their identity proofing process:

1. CSPs SHALL provide clear, publicly available information about all uses of biometrics, what biometric data is collected, how it is stored, and information on how to remove biometric information consistent with applicable laws and regulations.
2. CSPs SHALL collect an explicit biometric consent from all applicants before collecting biometric information.
3. CSPs SHALL store the biometric consent with the subscriber’s account.
4. CSPs SHALL have a documented, and publicly available, deletion process and default retention period for all biometric information.
5. CSPs SHALL allow individuals to request deletion of their biometric information at any time, except where otherwise restricted by regulation, law, or statute.
6. CSPs SHALL have all biometric algorithms tested by an independent entity (e.g., accredited laboratory or research institution) for performance, including performance across demographic groups.
7. Testing of all algorithms SHALL be consistent with published ISO/IEC standards for the given modality.
8. CSPs SHALL meet the minimum performance thresholds for biometric usage:
   • False match rate: 1:10,000 or better; and
   • False non-match rate: 1:100 or better
9. CSPs SHALL employ biometric technologies that provide similar performance characteristics for applicants of different demographic groups (racial background, gender, ethnicity, etc.). If performance differences across demographic groups are discovered, CSPs SHALL act expeditiously to provide redress options to affected individuals and to close performance gaps.
10. CSPs SHALL make all performance and operational test results publicly available.
11. CSPs SHALL assess the performance and demographic impacts of employed biometric technologies in conditions substantially similar to the operational environment and user base of the system. When such assessments include real-world users, participation by users SHALL be voluntary.
12. CSPs SHALL make all performance and operational test results publicly available.

The following requirements apply to CSPs who collect biometric characteristics from applicants:

1. CSP SHALL collect biometrics in such a way that ensures that the biometric is collected from the applicant, and not another subject.
2. When collecting and comparing biometrics remotely, the CSP SHALL implement liveness detection capabilities to confirm the genuine presence of a live human being and to mitigate spoofing and impersonation attempts.
3. When collecting biometrics in person, the CSP SHALL have the operator view the biometric source (e.g., fingers, face) for presence of non-natural materials and perform such inspections as part of the proofing process.

Trusted Referees and Applicant References

To increase accessibility and promote equal access to online government services, CSPs provide trusted referees. Trusted referees are used to facilitate the identity proofing and enrollment of individuals who are otherwise unable to meet the requirements for identity proofing to a specific IAL. Examples of such individuals and demographic groups include: individuals who do not possess and cannot obtain the required identity evidence; persons with disabilities; older individuals; persons experiencing homelessness; individuals with little or no access to online services or computing devices; persons without a bank account or with limited credit history; victims of identity theft; individuals displaced or affected by natural disasters; and children under 18.

Trusted referees are agents of the CSP or its partners who are trained and authorized to make risk-based decisions to facilitate the identity proofing and enrollment of individuals who are unable to complete the identity proofing process on their own or meet the specified requirements for a given IAL.

Additionally, there may be circumstances that encumber or preclude the active participation of an applicant in the identity proofing process. Such circumstances may be due to physical or mental limitations, disabilities, hospitalization, or other temporary or permanent conditions that make active participation in the identity proofing difficult. An applicant reference may vouch for an applicant’s particular circumstances and may also actively assist the applicant in the identity proofing process.

Applicant references are individuals who participate in the identity proofing of an applicant in order to assist the applicant in meeting the identity proofing requirements. Such assistance may include vouching for the applicant’s circumstances and actively assisting the applicant in completing the identity proofing process. Applicant references are not agents of the CSP but they would typically work in conjunction with a trusted referee to facilitate the identity proofing and enrollment of an applicant. Since information provided by the applicant reference may be used and relied upon in the identity proofing of the applicant, the applicant reference is identity proofed to the same or higher IAL as the applicant. The role of applicant reference is limited to facilitating the identity proofing process and applicant references are not authorized to represent subscribers in transactions with RPs. Persons who simply provide physical, technical, language translation or other similar assistance to an applicant who is otherwise able to meet the requirements for identity proofing to the specified IAL are not considered to be applicant references and do not require identity proofing.

Requirements for Trusted Referees

CSPs SHALL provide the option for the use of trusted referees for remote identity proofing at IALs 1 and 2.

Where trusted referees are offered, the following requirements apply to their use:

1. The CSP SHALL establish written policies and procedures for the use of trusted referees as part of its practice statement, as specified in Sec. 5.1.1.
2. The CSP SHALL train its trusted referees to make risk-based decisions that allow applicants to be successfully identity proofed based on their unique circumstances.
3. The CSP SHALL provide notification to the public of the availability of trusted referee services and how such services are obtained.

Requirements for Applicant References

CSPs SHOULD allow the use of applicant references.

The following requirements apply to the use of applicant references at any IAL:

1. The CSP SHALL establish written policies and procedures for the use of applicant references as part of its practice statement, as specified in Sec. 5.1.1.
2. The CSP SHALL identity proof an applicant reference to the same or higher IAL intended for the applicant.
3. If the CSP allows for the use of applicant references, it SHALL provide notification to the public of the allowability of applicant references and any requirements for the relationship between the reference and the applicant.

Requirements for Interacting with Minors

The following requirements apply to all CSPs providing identity proofing services to minors at any IAL.

1. The CSP SHALL establish written policy and procedures as part of its practice statement for identity proofing minors who may not be able to meet the evidence requirements for a given IAL.
2. When interacting with persons under the age of 13, the CSP SHALL ensure compliance with the Children’s Online Privacy Protection Act of 1998 [COPPA].
3. CSPs SHALL support the use of applicant references when interacting with individuals under the age or 18.

Identity Proofing Process

This document provides requirements that apply to several different identity proofing methods. These possible methods include:

• A fully automated, remote process;
• A CSP operator-assisted remote process;
• A combination of automated and operator-assisted remote process;
• An in-person, physical interaction with the applicant process; and
• An IAL3 Supervised Remote Identity Proofing process.

Identity proofing at IAL1 and IAL2 allow for any of the these processes to be used, while IAL3 requires in-person, physical interaction with the applicant or IAL3 Supervised Remote Identity Proofing.

The following sections provide requirements for identity proofing at each IAL.

Identity Assurance Level 1

IAL1 permits both remote and in-person identity proofing. Identity proofing processes at IAL1 allow for a range of acceptable techniques in order to detect the presentation of fraudulent identities by a malicious actor while facilitating user adoption and minimizing false negatives and application departures (legitimate applicants who do not successfully complete identity proofing). Notably, the use of biometric matching, such as the automated comparison of a facial portrait to supplied evidence, at IAL1 is optional, providing pathways to proofing and enrollment where such collection may not be viable or where privacy and equity risks outweigh security considerations.

The following requirements apply to all CSPs providing identity proofing and enrollment services at IAL1.

Automated Attack Prevention

The CSP SHALL implement a means to prevent automated attacks on the identity proofing process. Acceptable means include, but are not limited to: bot detection, mitigation, and management solutions; behavioral analytics; web application firewall settings; and traffic analysis.

Evidence and Core Attributes Collection Requirements

Evidence Collection

For remote or in-person identity proofing, the CSP SHALL collect one of the following from the applicant:

1. One piece of SUPERIOR evidence, or
2. One piece of STRONG evidence and one piece of FAIR evidence

Collection of Additional Attributes

Validated evidence is the preferred source of identity attributes. If the presented identity evidence does not provide all the attributes the CSP considers core attributes, it MAY collect attributes that are self-asserted by the applicant.

Evidence and Core Attributes Validation Requirements

The CSP SHALL validate the genuineness of each piece of SUPERIOR and STRONG evidence by one of the following:

1. Visual inspection by trained personnel
2. The use of technologies that can confirm the integrity of physical security features or detect if the evidence is fraudulent or has been inappropriately modified
3. If present, confirming the integrity of digital security features

The CSP SHALL validate the genuineness of each piece of FAIR evidence by visual inspection by trained personnel.

The CSP SHALL validate all core attributes by both:

1. Validating the accuracy of attributes (such as account or reference number, name, and date of birth) obtained from pieces of evidence by comparison with authoritative or credible sources, and
2. Validating the accuracy of self-asserted attributes by comparison with authoritative or credible sources.

For added assurance, the CSP SHALL evaluate the core attributes, as validated by various sources, for overall consistency.

Identity Verification Requirements

The CSP SHALL verify the binding of the applicant to the claimed identity by one of the following:

1. Physical comparison of the applicant’s face or biometric comparison of the facial image of the applicant to the facial portrait included on a piece of SUPERIOR or STRONG evidence, or
2. Demonstrated association with a digital account through an AAL1 authentication or an AAL1 and FAL1 federation protocol, or
3. Verification of the applicant’s return of a valid enrollment code Sec. 5.1.6

Notification of Proofing Requirement

Upon the successful completion of identity proofing at IAL1, the CSP SHOULD send a notification of proofing to a validated address for the applicant, as specified in Sec. 5.1.7.

Identity Assurance Level 2

Like IAL1, IAL2 identity proofing allows for both remote and in-person identity proofing processes in order to maximize accessibility while still mitigating against impersonation attacks and other identity proofing errors. Remote IAL2 identity proofing can be accomplished by the CSP via a fully automated process, a CSP operator attended process, or a combination of the two.

Automated Attack Prevention

The CSP SHALL implement a means to prevent automated attacks on the identity proofing process. Acceptable means include, but are not limited to: bot detection, mitigation, and management solutions; behavioral analytics; web application firewall settings; and traffic analysis.

Evidence and Core Attribute Collection Requirements

Evidence Collection

For remote or in-person identity proofing, the CSP SHALL collect one of the following from the applicant:

1. One piece of SUPERIOR evidence
2. One piece of STRONG evidence and one piece of FAIR evidence

Collection of Attributes

Validated evidence is the preferred source of identity attributes. If the presented identity evidence does not provide all the attributes the CSP considers core attributes, it MAY collect attributes that are self-asserted by the applicant.

Evidence and Core Attributes Validation Requirements

The CSP SHALL validate the genuineness of each piece of SUPERIOR and STRONG evidence by one of the following:

1. Visual inspection by trained personnel
2. The use of technologies that can confirm the integrity of physical security features or detect if the evidence is fraudulent or has been inappropriately modified
3. If present, confirming the integrity of digital security features

The CSP SHALL validate the genuineness of each piece of FAIR evidence by visual inspection by trained personnel.

The CSP SHALL validate all core attributes by:

1. Validating the accuracy of attributes (such as account or reference number, name, and date of birth) obtained from pieces of evidence by comparison with authoritative or credible sources, and

2. validating the accuracy of self-asserted attributes by comparison with authoritative or credible sources

For added assurance, the CSP SHALL evaluate the core attributes, as validated by various sources, for overall consistency.

Identity Verification Requirements

Remote Identity Proofing

The CSP SHALL verify the binding of the applicant to the claimed identity by one of the following:

1. Comparison of a collected biometric characteristic, such as a facial image, to the associated reference biometric contained on a piece of presented SUPERIOR or STRONG evidence
2. Demonstrated association with a digital account through an AAL2 authentication or an AAL2 and FAL2 federation protocol

In-person Identity Proofing

The CSP SHALL verify the binding of the applicant to the claimed identity by physical or biometric comparison of the facial image of the applicant to the facial portrait contained on a piece of presented SUPERIOR or STRONG evidence.

Notification of Proofing Requirement

Upon the successful completion of identity proofing at IAL2, the CSP SHALL send a notification of proofing to a validated address for the applicant, as specified in Sec. 5.1.7.

Identity Assurance Level 3

IAL3 adds additional rigor to the steps required at IAL2 and is subject to additional and specific processes (including the use of biometric information comparison, collection, and retention) to further protect the identity and RP from impersonation, fraud, or other significantly harmful damages. In addition, identity proofing at IAL3 is performed in person (to include supervised remote identity proofing defined in Sec. 5.5.8).

Automated Attack Prevention

The CSP SHALL implement a means to prevent automated attacks on the identity proofing process. Acceptable means include, but are not limited to: bot detection, mitigation, and management solutions; behavioral analytics; web application firewall settings; and traffic analysis.

Evidence and Core Attributes Collection Requirements

Evidence Collection

The CSP SHALL collect evidence from the applicant according to one of the following options:

1. Two pieces of SUPERIOR evidence, or
2. One piece of SUPERIOR evidence and one piece of STRONG evidence, or
3. Two pieces of STRONG evidence and one piece of FAIR evidence

Collection of Attributes

Validated evidence is the preferred source of identity attributes. If the presented identity evidence does not provide all the attributes the CSP considers core attributes, it MAY collect attributes that are self-asserted by the applicant.

Validation Requirements

Evidence Validation Requirements

The CSP SHALL validate the genuineness of each piece of SUPERIOR evidence by confirming the integrity of its cryptographic security features and validating any digital signatures.

The CSP SHALL validate the genuineness of each piece of STRONG evidence by one of the following:

1. Visual inspection by trained personnel
2. The use of technologies that can confirm the integrity of physical security features and detect if the evidence is fraudulent or has been inappropriately modified
3. If present, confirming the integrity of digital security features, including the validity of the issuer’s digital signature

Core Attribute Validation Requirements

The CSP SHALL validate all core attributes by both:

1. Validating the accuracy of attributes obtained from pieces of evidence or applicant self-assertion by comparison with authoritative or credible sources
2. Validating the cryptographic features of any presented digital evidence, as described above

For added assurance, the CSP SHALL evaluate the core attributes, as validated by various sources, for overall consistency.

Identity Verification Requirements

The CSP SHALL verify the binding of the applicant to the claimed identity by one of the following:

1. Comparison of a collected biometric characteristic, such as a facial image, to the associated reference biometric characteristic contained on a piece of presented SUPERIOR or STRONG evidence
2. Demonstrated association with a digital account through, at a minimum, an AAL2 authentication or an AAL2 and FAL2 federation protocol

Notification of Proofing Requirement

Upon the successful completion of identity proofing at IAL3, the CSP SHALL send a notification of proofing to a validated address for the applicant, as specified in Sec. 5.1.7.

Biometric Collection

The CSP SHALL collect and record a biometric sample at the time of proofing (e.g., facial image, fingerprints) for the purposes of non-repudiation and re-proofing.

In-person Proofing Requirements

In-person proofing at IAL3 SHALL be conducted in one of two ways:

• An in-person interaction between the applicant and a CSP operator, or
• A remote interaction with the applicant, supervised by an operator, based on the requirements in Sec. 5.5.8, IAL3 Supervised Remote Identity Proofing.

Regardless of which of the two methods the CSP employs, the following requirements apply to identity proofing at IAL3:

1. The CSP SHALL have the operator view the biometric source (e.g., fingers, face) for the presence of any non-natural materials.
2. The CSP SHALL collect biometrics in such a way that ensures that the biometric is collected from the applicant, and not another subject.

Requirements for IAL3 Supervised Remote Identity Proofing

IAL3 Supervised Remote Identity Proofing is intended to achieve comparable levels of confidence and security to an in-person interaction with the applicant.

The following requirements apply to all IAL3 Supervised Remote Identity Proofing sessions:

1. The CSP SHALL monitor the entire identity proofing session, and SHALL ensure the applicant is continuously present during the entire identity proofing session — for example, by a continuous high-resolution video transmission of the applicant.
2. The CSP SHALL have a live operator participate remotely with the applicant for the entirety of the identity proofing session.
3. The CSP SHALL require all actions taken by the applicant during the identity proofing session to be clearly visible to the remote operator.
4. The CSP SHALL require that all digital verification of evidence (e.g., via chip or wireless technologies) be performed by integrated scanners and sensors (e.g., embedded fingerprint reader).
5. The CSP SHALL require operators to have undergone a training program to detect potential fraud and to properly perform a supervised remote proofing session.
6. The CSP SHALL employ physical tamper detection and resistance features appropriate for the environment in which it is located. For example, a kiosk located in a restricted area or one where it is monitored by a trusted individual requires less tamper detection than one that is located in a semi-public area such as a shopping mall concourse.
7. The CSP SHALL ensure that all communications occur over a mutually authenticated protected channel.

Summary of Requirements

Table 1 summarizes the requirements for each of the identity assurance levels:

Table 1 IAL Requirements Summary

Subscriber Accounts

This section is normative.

Subscriber Accounts

オンラインサービスへの 1 回限りの Access を提供する目的の Identity Proofing、または Applicant がアカウントへの Enrollment を拒否した場合を除き、CSP は Applicant を自身の Identity サービスの Subscriber として Enroll し、 Applicant の Identity Proofing の成功後にその Subscriber 用の固有の Subscriber Account を確立するものとする（SHALL）。

CSP は、各 Subscriber Account に一意の識別子を割り当てるものとする（SHALL）。

少なくとも、CSP は各 Subscriber Account に以下の情報を含めるものとする。（SHALL）。

• Subscriberのために確立された一意の識別子。
• Sec. 5.1.1 に従って Subscriber のために完了した Identity Proofing ステップの記録
• Subscriber の Identity Proofing が無事に達成された際の最大 IAL
• Subscriber Account に保持されている個人情報または機微情報の処理、保持、または開示に対して提供された Subscriber の同意。
• Subscriber Account に現在バインドされているすべてのAuthenticator。それが Enrollment時に登録されたか、Enrollment後に登録されたかに関わらない。
• RP への Access をサポートするために、Identity Proofing プロセス中またはその後のトランザクションでValidateされたすべてのAttribute。

CSP は、各 Subscriber の Identity Proofing プロセス中に収集された、またはその後更新された、以下を含む情報を Subscriber Account に記録するものとする:

• Validate された Identity Evidence
• Validate された Attribute情報
• CSP の Identity サービスへの Enrollment のために収集された Attribute 情報（Identity Proofing の目的では Validate されていない）

CSP は、Sec. 5.1.2 に従って、Subscriber Account に保持されるあらゆる個人情報の処理、保持、または開示についてプライバシーリスク評価を実施するものとする（SHALL）。

Subscriber Account Access

PII を含むアカウントを Multi-Factor Authentication (MFA) で保護するという要件を満たすために、CSP は、Subscriber Account に登録されたAuthenticatorを使用して、AAL2 または AAL3 Authenticationプロセスにより Subscriber Accountの 情報に Access する方法を提供するものとする(SHALL)。

CSP は、Subscriber が Subscriber Account に含まれる個人情報を変更または更新するための機能を提供するものとする（SHALL）。

Subscriber Account Lifecycle

Subscriber Account Activity

CSP は、以下で説明するように、Enrollment 時からアカウント閉鎖時まで、CSP Identity システム内のアクティブな各 Subscriber について一意の Subscriber Account を設け、維持するものとする(SHALL)。 アカウントが閉鎖されるまで、CSP は、Subscriber Account、アカウントに含まれる情報、および 登録された Authenticator の使用を提供するものとする(SHALL)。

Subscriber Account Termination

CSP は、以下のいずれかが発生した場合、Subscriber Account を終了させ、その使用を中止するものとする(SHALL)。

• Subscriber が CSP の Subscriber Account の終了を選択した場合
• CSP が、CSP の定める任意の期限付き通知期間および要件に従って、Subscriber Account が侵害されたと判断した場合
• CSP が、CSP の定める任意の期限付き通知期間および要件に従って、Subscriber が CSP Identity サービスへの参加に関するポリシーまたは規則に違反したと判断した場合
• CSP が、CSP の定める任意の期限付き通知期間および要件に従って、Subscriber Account が非アクティブであることを、CSP の定めるポリシーまたは規則に従って判断した場合
• CSP が、Identity システムおよびサービスの運用を停止する場合

CSP は、アカウント終了後に、Subscriber Account の記録から個人情報または機微情報を、記録保持と廃棄の要件に従ってすべて削除するものとする(SHALL)

Subscriber Accounts

This section is normative.

Subscriber Accounts

With the exception of identity proofing for the purposes of providing one-time access to an online service, or when an applicant declines enrollment into an account, the CSP SHALL enroll the applicant as a subscriber into its identity service and establish a unique subscriber account for that subscriber following the successful identity proofing of an applicant.

The CSP SHALL assign a unique identifier to each subscriber account.

At a minimum the CSP SHALL include the following information in each subscriber account:

• Unique identifier established for the subscriber
• A record of the identity proofing steps completed for the subscriber in accordance with Sec. 5.1.1
• Maximum IAL successfully achieved for the identity proofing of the subscriber
• Subscriber consent provided for the processing, retention, or disclosure of any personal or sensitive information maintained in the subscriber account
• All authenticators currently bound to the subscriber account, whether registered at enrollment or subsequent to enrollment
• All attributes that were validated during the identity proofing process or in subsequent transactions to support RP access

The CSP SHALL record information in the subscriber account that was collected during the identity proofing process or subsequently updated for each subscriber, including:

• Validated identity evidence
• Validated attribute information
• Attribute information that was collected for enrollment in the CSP identity service that was not validated for identity proofing purposes

The CSP SHALL perform a privacy risk assessment for the processing, retention, or disclosure of any personal information maintained in the subscriber account in accordance with Sec. 5.1.2.

Subscriber Account Access

In order to meet the requirement that accounts containing PII be protected by multi-factor authentication (MFA), the CSP SHALL provide a way for subscribers to access the information in their subscriber account through AAL2 or AAL3 authentication processes using authenticators registered to the subscriber account.

The CSP SHALL provide the capability for subscribers to change or update the personal information contained in their subscriber account.

Subscriber Account Lifecycle

Subscriber Account Activity

The CSP SHALL establish and maintain a unique subscriber account for each active subscriber in the CSP identity system from the time of enrollment to the time of account closure, as described below. Until the account is closed, the CSP SHALL provide for the use of the subscriber account, information contained in the account, and registered authenticators.

Subscriber Account Termination

The CSP SHALL terminate the subscriber account and discontinue its use when one of the following occur:

• The subscriber elects to terminate their subscriber account with the CSP.
• The CSP determines, following any due notice period and requirements established by the CSP, that the subscriber account has been compromised.
• The CSP determines, following any due notice period and requirements established by the CSP, that the subscriber has violated the policies or rules for participation in the CSP identity service.
• The CSP determines, following any due notice period and requirements established by the CSP, that the subscriber account is inactive in accordance with the policies or rules established by the CSP.
• The CSP ceases identity system and services operations.

The CSP SHALL delete any personal or sensitive information from the subscriber account records following account termination in accordance with the record retention and disposal requirements.

Threats and Security Considerations

This section is informative.

効果的にIdentity Proofingプロセスを保護するには、特定のApplicantとのTransaction全体を通じてセキュリティコントロールとプロセスを重ね合わせていくことが必要である。これを達成するためには、脅威がどこでどのように発生し、Enrollmentを危殆化するかを理解する必要がある。Identity Proofingプロセスに対する脅威には、3 つの一般的なカテゴリがある:

• なりすまし: Attacker が他の正当な個人を騙る試み(例：Identity 盗難)

• 虚偽・詐称表現: Attacker が虚偽のIdentityを作り出す、あるいはIdentityについての虚偽のClaimを行う可能性(例: 合成 Identity 詐称)

• インフラストラクチャ: Attacker がインフラストラクチャ、データ、ソフトウェア、あるいは CSP による Identity Proofing プロセスを支える人たちを危殆化させる可能性

このセクションでは、なりすましと虚偽・詐称表現の脅威を中心に説明する。インフラストラクチャの脅威は、従来のコンピュータセキュリティコントロール（例：侵入防御、記録保持、独立監査）によって考慮されており、このドキュメントの範囲外であるためである。セキュリティ対策の詳細については、[[SP800-53] Recommended Security and Privacy Controls for Federal Information Systems and Organizations を参照すること。

表 2 Enrollment と Identity Proofing の脅威

脅威の緩和戦略

Enrollment および Identity Proofing プロセスに対する脅威を 表 2にまとめている。上記で特定された脅威の緩和を支援する関連メカニズムは、表 3 にまとめられている。これらの緩和策は包括的なものではなく、各Identity Assurance Levelにおいてより徹底的に詳細化され、[SP800-63] 5 章に詳述されているリスク評価プロセスに基づいて適用されている緩和策のサマリーと認識すべきである。

表 3 Enrollment と発行における脅威の緩和戦略

隣接するプログラムとのコラボレーション

Identity Proofingサービスは、通常、重要なビジネスやサービス機能のフロントドアとして機能する。したがって、これらのサービスは他と関わりを持たない形で運用されるべきではない。Identity Proofingおよび CSP 機能をサイバーセキュリティチーム、脅威インテリジェンス チーム、およびプログラムインテグリティチームと緊密に連携させることにより、Identity Proofing機能を常に改善しながらビジネス機能をより完全に保護することが可能になる。たとえば、プログラム・インテグリティ・チームが収集した支払詐欺データは、漏洩したSubscriberアカウントおよびIdentity Proofing実装の潜在的弱点の指標を提供することができる。同様に、脅威インテリジェンスチームは、Identity Proofingプロセスに影響を与える可能性のある新しい戦術、技術、および手順に関する指標を受け取ることもあるだろう。CSP および RP は、重要なセキュリティおよび詐欺に関するステークホルダー間での情報交換のための一貫したメカニズムを確立するよう努力すべきである。CSP が外部の場合、これは複雑かもしれないが、契約上および法律上の仕組みで考慮されるべきである。収集、送信、または共有されるすべてのデータは最小化され、詳細なプライバシー及び法的評価の対象となるべきである。

Threats and Security Considerations

This section is informative.

Effective protection of identity proofing processes requires the layering of security controls and processes throughout a transaction with a given applicant. To achieve this, it is necessary to understand where and how threats can arise and compromise enrollments. There are three general categories of threats to the identity proofing process:

• Impersonation: where an attacker attempts to pose as another, legitimate, individual (e.g., identity theft)

• False or Fraudulent Representation: where an attacker may create a false identity or false claims about an identity (e.g., synthetic identity fraud)

• Infrastructure: where attackers may seek to compromise confidentiality, availability, and integrity of the infrastructure, data, software, or people supporting the CSPs identity proofing process (e.g., distributed denial of service, insider threats)

This section focuses on impersonation and false or fraudulent representation threats, as infrastructure threats are addressed by traditional computer security controls (e.g., intrusion protection, record keeping, independent audits) and are outside the scope of this document. For more information on security controls, see [SP800-53], Recommended Security and Privacy Controls for Federal Information Systems and Organizations.

Table 2 Enrollment and Identity Proofing Threats

Threat Mitigation Strategies

Threats to the enrollment and identity proofing process are summarized in Table 2. Related mechanisms that assist in mitigating the threats identified above are summarized in Table 3. These mitigations should not be considered comprehensive but a summary of mitigations detailed more thoroughly at each Identity Assurance Level and applied based on the risk assessment processes detailed in [SP800-63] Sec. 5.

Table 3 Enrollment and Issuance Threat Mitigation Strategies

Collaboration with Adjacent Programs

Identity proofing services typically serve as the front door for critical business or service functions. Accordingly, these services should not operate in a vacuum. Close coordination of identity proofing and CSP functions with cybersecurity teams, threat intelligence teams, and program integrity teams can enable a more complete protection of business capabilities while constantly improving identity proofing capabilities. For example, payment fraud data collected by program integrity teams could provide indicators of compromised subscriber accounts and potential weaknesses in identity proofing implementations. Similarly, threat intelligence teams may receive indications of new tactics, techniques, and procedures that may impact identity proofing processes. CSPs and RPs should seek to establish consistent mechanisms for the exchange of information between critical security and fraud stakeholders. Where the CSP is external, this may be complicated, but should be considered in contractual and legal mechanisms. All data collected, transmitted, or shared should be minimized and subject to a detailed privacy and legal assessment.

プライバシーの考慮事項

This section is informative.

これらのプライバシーの考慮事項は Sec. 5.1.2で規定された要件を実装する際に、追加情報を提供する。

収集とデータ最小化

ガイドラインは、適切な Identity Resolution、Validation および Verification のための利用可能な最善の方法に基づいて、Claim された Identity の存在を Validate し、Claim された Identity を Applicant と関連付けるために必要な PII のみを収集することを認めている。不必要な PII を収集すると、Identity Proofing サービスに使用されない情報がなぜ収集されるのかについて混乱が生じる恐れがある。これは侵襲性または行き過ぎた懸念につながり、Applicant からの信頼を失う可能性がある。さらに、PII の保持は許可されていない Access または使用に対して脆弱になる可能性がある。データの最小化により、許可されていない Access または使用の恐れがある PII の量を減らし、Identity Proofing プロセスに対する信頼を高めることができる。

Social Security Numbers

これらのガイドラインは、Identity Resolution で使用するための Attribute として CSP が SSN を収集することを認めている。しかし、SSN への過度の依存は誤用を助長し、Applicant を Identity 盗難 などによる危害のリスクにさらす可能性がある。それでも、SSN は CSP、特に Applicant を機関記録に関連付けるために SSN を使用する連邦機関にとって、Identity Resolution を円滑にする場合がある。本書は、Attribute としての SSN の役割を認識しており、その使用について適切な許容を行う。SSN の知識は Identity Evidence として機能するのに十分ではない。

可能な場合、CSP および機関は、Identity Proofingプロセス中の SSN の拡散および露呈を制限するメカニズムを検討する必要がある。これは、Attribute の Validation プロセス中に、SSN が第三者のプロバイダに伝達される場合に特に適切である。可能な限り、プライバシー保護技術およびテクノロジーを適用して、個人の SSN が第三者システムで露呈、保存、または維持されるリスクを軽減する必要がある。この例としては、第三者によって不必要に送信および格納されることを要しない SSN の Validity を確認するための Attribute 要求（たとえば、Validator からの、はい/いいえの回答）の使用が考えられる。Identity Proofing プロセスのすべての Attribute と同様に、処理される各 Attribute の価値とリスクは、プライバシーリスク評価および連邦機関の場合は PIA および SORN の対象となる。SSN は、申請の Assurance、およびリスクレベルに関連する解決をサポートする目的で必要な場合にだけ収集されるべきである。

通知と同意

ガイドラインは、CSP が収集時に、Identity Proofing に必要な Attribute の記録を収集し維持する目的、Attribute が Identity Proofing トランザクションを完了するために任意であるか必須であるかどうか、および Attribute を提供しない場合の結果について Applicant に明示的に通知することを要求している。

効果的な通知は、ユーザーエクスペリエンス設計基準と研究、および収集から生じる可能性のあるプライバシーリスクの評価を考慮に入れている。Applicant が Attribute が収集される理由を理解していると誤った推論をすること、収集された情報が他のデータソースと組み合わされる可能性があることなど、さまざまな要素を考慮すべきである。効果的な通知は、Applicant が読んだり理解したりする可能性の低い、複雑で法律的なプライバシーポリシーや一般利用規約へと導くポインタだけでは決してない。

利用制限

このガイドラインは、CSP に対して、Identity Proofing、Authentiation、Authorization、または Attribute Assertion、関連する詐欺の軽減、あるいは法律または法的プロセスを遵守する以外の目的で Attribute を処理 (Processing) することから生じ得るプライバシーリスクに見合った、Predictability（PII および情報システムによるその処理 (Processing) について、個人、所有者、および運用者による信頼性の高い推測を可能にすること）およびManageability（PII の変更、削除、選択的開示など、粒度の細かい管理のための機能を提供すること）の目標を維持する手段を用いることを求めている [NISTIR8062].。

CSP は、Subscriber に 非 Identity サービスを提供することを含め、Attribute を処理 (Processing) することのために様々なビジネス目的を持っているかもしれない。しかし、Subject に開示される目的以外のために Attribute を処理 (Processing) することは、さらなるプライバシーリスクを生じさせる可能性がある。CSP は、追加的な処理 (Processing) から生じるプライバシーリスクに見合った適切な手段を決定することができる。たとえば、適用される法律、規制、またはポリシーがない場合、Subscriber が要求する非 Identity サービスを提供するために Attribute を処理 (Processing) する際に同意を得る必要はない場合があるが、通知によって Subscriber が処理 (Processing) について信頼性の高い仮定（Predictability）を維持することは可能であろう。その他の Attribute の処理 (Processing) には、同意を得ること、または特定の Attribute の使用または開示について Subscriber がよりコントロールできるようにすること（Manageability）を必要とする、異なるプライバシーリスクが伴う場合がある。Subscriber の同意は意味がある必要がある。したがって、CSP が同意手段を使用する場合、追加的な使用に対する Subscriber の承諾を Identity サービス提供の条件とすることはできない。

提案された処理 (Processing) が認められている処理 (Processing) の範囲外であるかどうか、または適切なプライバシーリスク緩和策について疑問がある場合は、SAOP に相談する。

再掲

ガイドラインは、CSP が Identity Proofing から生じる Applicant の苦情または問題を救済するための効果的なメカニズムを提供し、加えてメカニズムは Applicant にとって見つけやすい、 Access しやすいようにすることを要求してい る。

Privacy Act は、記録システムを維持する連邦政府 CSP に対し、Applicant が記録に Access し、誤っている場合は修正できるようにする手順に従うことを求めている。Privacy Actのいずれのステートメントにも、該当する SORN(s) (Sec. 5.1.2参照)への参照を含める必要があり、これには Access または修正の要求を行う方法に関する指示が Applicant に提示される。連邦政府以外の CSP は、第三者が情報源である場合の連絡先情報を含め、同等の手順を用意すべきである。

CSP は、Applicant がオンラインで Identity Proofing および Enrollment プロセスを完了できない場合、プロセスを完了するための代替手法（例：顧客サービスセンターでの対面）の利用可能性を Applicant に明示する必要がある。

注：Identity Proofing プロセスが成功しなかった場合、CSP は問題に対処するための手順を Applicant に通知する必要があるが、Enrollment が失敗した理由の詳細を Applicant に通知すべきではない（たとえば、「あなたの SSN は当社が記録しているものと一致しませんでした」と Applicant に通知しない）。それをしてしまうと、不正な Applicant が PII の正確性についてさらに知識を得ることができる。

プライバシーリスク評価

本ガイドラインでは、CSP がプライバシーリスク評価を実施することを求めている。プライバシーリスク評価の実施において、CSP は以下を考慮する必要がある。

1. CSP が取る行動（追加の Verification ステップや記録の保持など）が、情報への侵襲や許可されていない Access など、Applicant にとっての問題を生じさせる可能性；および
2. 問題が発生した場合の影響。CSP は、リスクの受容、リスクの軽減、およびリスクの共有を含め、特定されたプライバシーリスクに対して取るあらゆる対応を正当化できるようにすべきである。Applicant の同意の使用は、リスク共有の一つの形式と見なされるべきであり、したがって Applicant が共有リスクを評価・受容する能力を有すると合理的に予想される場合にのみ使用すべきである。

政府機関特有のプライバシーコンプライアンス

このガイドラインは、連邦政府 CSP の特定のコンプライアンス義務をカバーしている。Digital Authentication システム開発の初期段階で機関の SAOP を関与させ、プライバシーリスクを評価および軽減し、Ientity Proofing を実施するための PII 収集が 1974 年 Privacy Act[PrivacyAct] や 2002 年の E-Government Act [E-Gov] がプライバシー影響評価実施を求めるきっかけになるかどうか、準拠要件について機関に助言することが重要である。たとえば、Identity Proofing に関して、Identity Proofing を行うのに必要な PII または他の Attribute の収集および保守のために、Privacy Act の要件がトリガされ、新規または既存の Privacy Act の記録システムによるカバーが必要になると思われる。

SAOP は同様に、PIA が必要かどうかを判断する際に機関を支援することができる。 これらの考慮事項は、Identity Proofing だけのために Privacy Act SORN または PIA を行う要件として読よみとるべきではない。多くの場合、Digital Identity ライフサイクル全体を包含する PIA および SORN を起草する、あるいは機関がオンライン Access を確立しているプログラムまたは便益について議論する、より大きなプログラム的 PIA の一部として Identity Proofing プロセスを含めることが最も理にかなっている。

Digital Identity ライフサイクルには多くの構成要素があるため、SAOP が個々の構成要素について認識し理解することが重要である。たとえば、データ使用合意、コンピュータ・マッチング合意などの Proofing サービスを提供または使用する機関には、他のプライバシー成果物が適用される場合がある。SAOP は、どのような追加要件が適用されるかを判断する上で、機関を支援することができる。さらに、Digital Authentication の個々の構成要素を十分に理解することで、SAOP は、コンプライアンスプロセスまたは他の手段で、プライバシーリスクを徹底的に評価し、軽減することができる。

Privacy Considerations

This section is informative.

These privacy considerations provide additional information in implementing the requirements set forth in Sec. 5.1.2.

Collection and Data Minimization

The guidelines permit the collection of only the PII necessary to validate the existence of the claimed identity and associate the claimed identity to the applicant, based on best available practices for appropriate identity resolution, validation, and verification. Collecting unnecessary PII can create confusion regarding why information not being used for the identity proofing service is being collected. This leads to invasiveness or overreach concerns, which can lead to loss of applicant trust. Further, PII retention can become vulnerable to unauthorized access or use. Data minimization reduces the amount of PII vulnerable to unauthorized access or use, and encourages trust in the identity proofing process.

Social Security Numbers

These guidelines permit the CSP collection of the SSN as an attribute for use in identity resolution. However, over-reliance on the SSN can contribute to misuse and place the applicant at risk of harm, such as through identity theft. Nonetheless, the SSN may facilitate identity resolution for CSPs, in particular federal agencies that use the SSN to correlate an applicant to agency records. This document recognizes the role of the SSN as an attribute and makes appropriate allowance for its use. Knowledge of the SSN is not sufficient to serve as identity evidence.

Where possible, CSPs and agencies should consider mechanisms to limit the proliferation and exposure of SSNs during the identity proofing process. This is particularly pertinent where the SSN is communicated to third party providers during attribute validation processes. To the extent possible, privacy protective techniques and technologies should be applied to reduce the risk of an individual’s SSN being exposed, stored, or maintained by third party systems. Examples of this could be the use of attribute claims (e.g., yes/no responses from a validator) to confirm the validity of a SSN without requiring it to be unnecessarily transmitted and stored by the third party. As with all attributes in the identity proofing process, the value and risk of each attribute being processed is subject to a privacy risk assessment and for federal agencies the PIA and SORN. The SSN should only be collected where it is necessary to support resolution associated with the applications assurance and risk levels.

Notice and Consent

The guidelines require the CSP to provide explicit notice to the applicant at the time of collection regarding the purpose for collecting and maintaining a record of the attributes necessary for identity proofing, including whether such attributes are voluntary or mandatory in order to complete the identity proofing transactions, and the consequences for not providing the attributes.

An effective notice will take into account user experience design standards and research, and an assessment of privacy risks that may arise from the collection. Various factors should be considered, including incorrectly inferring that applicants understand why attributes are collected, that collected information may be combined with other data sources, etc. An effective notice is never only a pointer leading to a complex, legalistic privacy policy or general terms and conditions that applicants are unlikely to read or understand.

Use Limitation

The guidelines require CSPs to use measures to maintain the objectives of predictability (enabling reliable assumptions by individuals, owners, and operators about PII and its processing by an information system) and manageability (providing the capability for granular administration of PII, including alteration, deletion, and selective disclosure) commensurate with privacy risks that can arise from the processing of attributes for purposes other than identity proofing, authentication, authorization, or attribute assertion, related fraud mitigation, or to comply with law or legal process [NISTIR8062].

CSPs may have various business purposes for processing attributes, including providing non-identity services to subscribers. However, processing attributes for other purposes than those disclosed to a subject can create additional privacy risks. CSPs can determine appropriate measures commensurate with the privacy risk arising from the additional processing. For example, absent applicable law, regulation or policy, it may not be necessary to get consent when processing attributes to provide non-identity services requested by subscribers, although notices may help subscribers maintain reliable assumptions about the processing (predictability). Other processing of attributes may carry different privacy risks that call for obtaining consent or allowing subscribers more control over the use or disclosure of specific attributes (manageability). Subscriber consent needs to be meaningful; therefore, when CSPs do use consent measures, they cannot make acceptance by the subscriber of additional uses a condition of providing the identity service.

Consult your SAOP if there are questions about whether the proposed processing falls outside the scope of the permitted processing or the appropriate privacy risk mitigation measures.

Redress

The guidelines require the CSP to provide effective mechanisms for redressing applicant complaints or problems arising from the identity proofing, and make the mechanisms easy for applicants to find and access.

The Privacy Act requires federal CSPs that maintain a system of records to follow procedures to enable applicants to access and, if incorrect, amend their records. Any Privacy Act Statement should include a reference to the applicable SORN(s) (see Sec. 5.1.2), which provide the applicant with instructions on how to make a request for access or correction. Non-federal CSPs should have comparable procedures, including contact information for any third parties if they are the source of the information.

CSPs should make the availability of alternative methods for completing the process clear to applicants (e.g., in person at a customer service center) in the event an applicant is unable to establish their identity and complete the registration process online.

Note: If the identity proofing process is not successful, CSPs should inform the applicant of the procedures to address the issue but should not inform the applicant of the specifics of why the registration failed (e.g., do not inform the applicant, “Your SSN did not match the one that we have on record for you”), as doing so could allow fraudulent applicants to gain more knowledge about the accuracy of the PII.

Privacy Risk Assessment

The guidelines require the CSP to conduct a privacy risk assessment. In conducting a privacy risk assessment, CSPs should consider:

1. The likelihood that the action it takes (e.g., additional verification steps or records retention) could create a problem for the applicant, such as invasiveness or unauthorized access to the information; and
2. The impact if a problem did occur. CSPs should be able to justify any response it takes to identified privacy risks, including accepting the risk, mitigating the risk, and sharing the risk. The use of applicant consent should be considered a form of sharing the risk, and therefore should only be used when an applicant could reasonably be expected to have the capacity to assess and accept the shared risk.

Agency-Specific Privacy Compliance

The guidelines cover specific compliance obligations for federal CSPs. It is critical to involve your agency’s SAOP in the earliest stages of digital authentication system development to assess and mitigate privacy risks and advise the agency on compliance requirements, such as whether or not the PII collection to conduct identity proofing triggers the Privacy Act of 1974 [PrivacyAct] or the E-Government Act of 2002 [E-Gov] requirement to conduct a Privacy Impact Assessment. For example, with respect to identity proofing, it is likely that the Privacy Act requirements will be triggered and require coverage by either a new or existing Privacy Act system of records due to the collection and maintenance of PII or other attributes necessary to conduct identity proofing.

The SAOP can similarly assist the agency in determining whether a PIA is required. These considerations should not be read as a requirement to develop a Privacy Act SORN or PIA for identity proofing alone; in many cases it will make the most sense to draft a PIA and SORN that encompasses the entire digital identity lifecycle or includes the identity proofing process as part of a larger, programmatic PIA that discusses the program or benefit to which the the agency is establishing online access.

Due to the many components of the digital identity lifecycle, it is important for the SAOP to have an awareness and understanding of each individual component. For example, other privacy artifacts may be applicable to an agency offering or using proofing services such as Data Use Agreements, Computer Matching Agreements, etc. The SAOP can assist the agency in determining what additional requirements apply. Moreover, a thorough understanding of the individual components of digital authentication will enable the SAOP to thoroughly assess and mitigate privacy risks either through compliance processes or by other means.

Usability 考慮事項

This section is informative.

備考: 本セクションでは、ユーザーは Applicant または Subscriber のことを意味する。

このセクションは、Enrollment および Identity Proofing に関連する Usability の考慮事項に対する実装者の意識を高めることを目的としている（典型的な Authenticator の使用および断続的なイベントに対する Usability の考慮事項については、[SP800-63B]）の Sec. 10を参照。

[ISO/IEC9241-11]] (sec11_references.md#ref-ISO9241) では、 Usability を「システム、製品、またはサービスが、特定のユーザーによって、特定の使用状況において、効果、効率、満足を伴って特定の目標を達成できる度合い」と定義している。この定義では、効果、効率、満足を達成するために必要な要素として、ユーザー、目標、使用状況に着目している。 Usability の実現には、これらのキーとなる要素を考慮する全体的なアプローチが必要である。

Enrollment および Identity Proofing における Usability の包括的な目標は、ユーザーの負担（例：時間、フラストレーション） および Enrollment の摩擦（例：完了すべきステップの数、追跡すべき情報の量）を最小限に抑えることにより、ユーザーにとって円滑かつポジティブなEnrollmentプロセスを促進することである。この目標を達成するために、組織はまずユーザーのことをよく知らなければならない。

Enrollment および Identity Proofing のプロセスは、ユーザーと特定の CSP およびユーザーが Access するオンラインサービスとやりとりする前準備である。ネガティブな第一印象は、その後のやりとりに対するユーザーの認識に影響するため、組織はプロセスを通じてポジティブなユーザーエクスペリエンスを促進する必要がある。

Usability は、断片的な方法で達成できない。Enrollment および Identity Proofing のプロセスに関する Usability 評価を実施することは非常に重要である。代表的なユーザー、現実的なゴールやタスク、および適切な使用状況で Usability 評価を実施することが重要である。Enrollment および Identity Proofing プロセスは、ユーザーが正しいことを行うのは簡単で、間違ったことを行うのは困難であり、間違ったことが起こったときに回復するのが簡単であるように設計および実装されるべきである。

ユーザーの視点から見ると、Enrollment および Identity Proofing の 3 つの主要なステップは、Enrollment 前の準備、 Enrollment および Proofing の Session 、および Enrollment 後のアクションである。これらのステップは 1 回の Session で行われることもあれば、各 Session の間にかなりの時間（例えば、数日または数週間）が経過することもありうる。

一般的な Usability と各ステップ固有の Usability の考慮事項については、以下のサブセクションで説明する。

ガイドラインおよび考慮事項は、ユーザーの視点から記述されている。

アクセシビリティは Usability と異なるため、このドキュメントの対象外である。[Section508]](/800-63-4/sp800-63a/references/#ref-Section508)は、情報技術におけるバリアーを取り除き、連邦機関が電子および情報技術の公共コンテンツを障害者が利用できるようにするために制定されたものである。アクセシビリティの指針としては、Section 508 の法律と規格を参照すること。

Enrollment および Identity Proofing における一般的なユーザー考慮事項

このサブセクションでは、Enrollment プロセスのすべてのステップに適用される Usability に関する考慮事項を提供する。各ステップに固有の Usability に関する考慮事項は、Sec. 9.2 から Sec. 9.4 で詳細化されている。

• Enrollment に必要なプロセスをできるだけ明確かつ容易にし、ユーザーの不満を解消する。

• 技術的な支援を受ける方法と場所を明確に伝える。例えば、オンライン・セルフサービス機能へのリンク、チャット Session 、ヘルプデスクサポートの電話番号など、役に立つ情報を提供する。理想的には、外部からの干渉なしに、ユーザーが自分で Enrollment の準備の質問に答えられる十分な情報が提供されてるべきである。

• 誰がなぜデータを収集するのかを明確に説明すること。また、データがどのような経路をたどるのか、特にデータがどこに保存されるのかを示すこと。

• 提示されたすべての情報が利用可能であることを確認する。
  • すべてのユーザー向け資料（例：データ収集の通知や記入フォーム）について、優れた情報デザインのプラクティスに従うこと。
  • 資料は平易な言葉で書き、専門用語は避けること。適切な場合は、対象者の識字レベルに合わせて言語を調整すること。能動態かつ会話調を利用すること、理論的に主要なポイントを並べること、混乱を避けるため同義語ではなく同じ単語を一貫して使用すること、読みやすくするために必要に応じて箇条書き、数字、書式を使用すること。
  • フォントのスタイル、サイズ、色、周囲の背景とのコントラストなど、テキストの読みやすさを考慮すること。最もコントラストが高いのは白地に黒である。ユーザーの視力はそれぞれ異なるため、テキストの読みやすさは重要である。読みにくいテキストは、ユーザーの理解誤りや入力ミスの原因となる（例：記入フォームの記入時）。電子資料には Sans Serif 体のフォントを、紙資料には Serif 体のフォントを使用ること。可能な限り、混同しやすい文字（例えば、文字「O」と数字「0」）を明確に区別できないフォントは避けること。これは、特に Enrollment コードにおいて重要である。文字サイズは12ポイント以上とし、ディスプレイのサイズに合うようにする。
• 各ステップについて、代表的なユーザーによる Usability 評価を実施すること。 Usability 評価では、現実的なゴールやタスク、適切な使用状況を設定すること。

Enrollment 前準備

このセクションでは、ユーザーが、難しく苛立たしい Enrollment Session を回避できるように、Enrollment 前の十分な準備を促進する効果的なアプローチについて記載する。ユーザーが Enrollment Session に対して可能な限り準備できるようにすることは、Enrollment および Identity Proofing プロセスの全体的な成功と Usability にとって重要である。

このような準備のためには、ユーザーが必要な情報（例：必要な文書など）を使いやすい形式で適切なタイミングで受け取ることが不可欠である。これには、どのような Identity Evidence が必要とされるかをユーザに正確に認識させることが含まれる。ユーザは IAL について何も知る必要はなく、要求される Identity Evidence が「FIAR」、「STRONG」、 「SUPERIOR」のいずれと類されるかどうかも知る必要はないが、組織は特定のシステムへの Access にどの IAL が要求されるかを知る必要がある。

Enrollment プロセスを進めるかどうか、および Session に何が必要かについて、ユーザーが十分な情報を得た上で判断できるようにするため、ユーザーに以下の情報を提供する:

• 各ステップで何を期待するかなど、プロセス全体に関する情報。
  • ユーザーの計画の参考となるように、予想される時間枠を明確に説明する。

• なぜ意味があることなのかを理解できるように、ユーザーに対して Identity Proofing の必要性および利点を説明する。

• 金額、許容可能な支払い方法、および Enrollment 費用があるかどうかについての情報。許容可能な支払方法の種類を増やすことで、ユーザーは自分の好きな支払方法を選択することができる。

• ユーザーの Enrollment Session が対面式か Remote チャネルでの対面式か、またユーザーが選択できるかどうかについての情報。Session の許可されたオプションに関連する情報のみを提供する。
  • 対面式または Remote チャネルでの対面式の Session に必要な、場所に関する情報について、ユーザーが希望する場所を選択できるかどうか、必要なロジスティック情報を提供する。紛失や盗難の危険性が増すため、ユーザーは Identity Proofing を特定の公共の場所（銀行とスーパーマーケットの違い） に持参することを嫌がる場合があることに注意すること。
  • Remote Session の技術要件（例：インターネット Access の要件）に関する情報。
  • 待ち時間を最小限にするために、対面または Remote チャネルでの対面 Identity Proofing Session の予約を設定するオプションがあること。立ち寄りが許可されている場合、予約なしでは待ち時間が長くなる可能性があることをユーザーに明確にする。
    • Enrollment Session の予約、リマインダー、および既存の予約の再スケジュール方法について、明確な指示を提供する。
    • 予約のリマインダーを提供し、ユーザーが希望する予約のリマインダー形式（郵便、ボイスメール、電子メール、テキストメッセージなど）を指定できるようにする。ユーザーは、日付、時間、場所、および必要な Identity Evidence の説明などの情報を必要とする。
• 許容される、要求される Identity EvidenceおよびAttribute、それぞれの部分が任意か必須か、および Identity Evidence の完全なセットを提供しない場合の結果に関する情報。ユーザーは、Identity Evidenceの一部に固有の要件（例えば出生証明書のエンボス印）など、Identity Evidenceの具体的な組み合わせを知る必要がある。これは、必要なIdentity Evidenceの調達が困難になる可能性があるため、特に重要である。
  • 可能な場合は、必要な Identity Evidence の入手を容易にするためのツールを実装する。
  • 未成年者や特殊なニーズを持つ人々に対する特別な要件について、ユーザーに通知する。たとえば、Applicant Reference および／または Trusted Referee のプロセスが利用可能かどうか、 およびそれらのプロセスを使用するために必要な情報をユーザーに提供する（Sec. 5.1.9 を参照）。
  • フォームが必要な場合は:
    • Enrollment Session の事前、またはその際に記入可能なフォームを提供する。プリンターへの Access をユーザーに要求しない。
    • フォームが長いと、ユーザーは苛だちやすく、ミスを起こしやすいため、ユーザーがフォームに入力しなければならない情報量を最小限に抑える。可能であれば、フォームにあらかじめ情報を入力する。

Enrollment and Proofing Session

Enrollment Session に特有の Usability の考慮事項は以下を含む:

• Identity Proofing Session の開始時に、ユーザーに手続きをリマインドする。Enrollment 前準備の段階で説明した手順を覚えていることを期待してはいけない。Enrollment Session がEnrollment 前準備の直後に行われない場合は、Proofing と Enrollment のステップの完了に要する標準的な時間をユーザーに明確に思い出させることが特に重要である。
• 対面、または Remote チャネルを介した対面のための予約変更のオプションを提供する。
• Enrollment Session を進めるために必要な Identity Evidence (Enrollment コードを含む) をユーザーが所持していることを確認するために、許容されており、かつ必須の Identity Evidence を記載したチェックリストを提供する（該当する場合）。ユーザーが完全な Identity Evidence 一式を持っていない場合、Identity Proofing Session を部分的に完了できるかどうかに関して通知する必要がある。
• どの情報が破棄されるか、どの情報が将来のフォローアップ Session のために保持されるか、将来の Session を完了するためにどのような Identity Evidence を持参する必要があるかについて、ユーザーに通知する。理想的には、ユーザーが Identity Proofing Session を部分的に完了したいかどうかを選択できる。
• 過去の Identity Verification の体験がユーザーの期待値を左右することがあるものとして、Enrollment Session の結果に関するユーザーの期待値を設定すること（例：対面で運転免許証を受け取る、パスポートを郵便で受け取る）。

• Enrollment Session が無事に終了した際に、ユーザーがすぐに Authenticator を受領できるのか、対面で受領するために予約を取る必要があるのか、郵便で受け取れるのか、いつ受け取れるかを明確に示す。

• Enrollment Session を通じて、どのようなデータが CSP によって保持されるかなど、Identity Proofing の際にユーザーに明示的な通知を行う必要がある（通知に関する詳細な要件については、Sec. 5.1 と Sec. 8 を参照）。4.2 要件 (5) に従って、CSP が Identity Proofing、Authentication、Authorization、または Attribute Assertion 以外の目的で、追加の Attribute またはその Attribute の使用についてユーザーから同意を求める場合、追加の Attribute またはその使用を要求することをユーザーは希望しない、あるいはそれがユーザーを不快に感じさせる可能性があることを CSP は認識すること。ユーザーが追加の収集または使用に利点を感じず、余計なリスクであると受け止める場合、同意の提供やプロセスの継続を嫌がったりためらったりするかもしれない。利用者に対して、追加要件について明示的に通知すること。

• Enrollment コードが発行された場合:
  • 先立って、Enrollment コードを受け取ること、それを期待する時期、コードの有効期間、およびそれらの配達方法（例：物理的な所在地への郵便、SMS、固定電話、電子メール、または郵便の送り先住所）を事前にユーザーに通知すること。
  • Enrollment コードをユーザーに配布する際には、コードの使用方法、コードの有効期限を記載すること。Sec. 5.1.6 で規定されているように、有効期間が短いため、特に重要である。
  • QR コードのような機械読み取り可能な光学ラベルを発行する場合 (Sec. 5.1.6 参照)、QR コード読み取り機能を得るための情報をユーザーに提供すること (例: 使用可能な QR コードアプリケーション)。
  • Enrollment コードの有効期限が切れたり、利用前に紛失した場合は、再度 Enrollment 手続きが必要であることを利用者に伝えること。
  • すべてのユーザーが公平に技術に Access し利用できるわけではないことを踏まえ、ユーザーに代替手段を提供すること。例えば、このアプローチの実現に求められる技術をユーザーが有していない可能性がある、ということを想定するということである。
• Enrollment Session の終了時に:
  • Enrollment が成功した場合、ユーザーに対して、Enrollment の成功に関する確認と次のステップに関する情報（例：いつどこで Authenticator を受け取るか、いつ郵送されるか）を伝える。
  • ユーザーが完全な Identity Evidence 一式を持っていない、ユーザーが手続きの停止を選択した、または Session のタイムアウトが発生したことにより、Enrollment が部分的に完了した場合、ユーザーに次のことを連絡する:
    • どのような情報が破棄されるのか。
    • 今後のフォローアップ Session のために保持される情報がある場合は、その内容。
    • 情報が保持される期間。
    • 将来の Session に持参する必要のある Identity Evidence について。
  • Enrollment が失敗した場合、代替の Enrollment Session タイプについて明確な指示をユーザーに提供する。例えば、Remote での Proofing を完了できないユーザーに対して対面での Proofing を提供するといったことである。

• Enrollment Session の中でユーザーが Authenticator を受け取る場合、Authenticator の使用および保守に関する情報を提供する。例えば、情報としては、使用方法（特に、初回使用または初期化について異なる要件がある場合）、Authenticator の有効期限に関する情報、Authenticator の保護方法、Authenticator の紛失または盗難時の対処方法などを含めることができる。

• 対面および遠隔での Identity Proofing 双方について、追加の Usability の考慮事項が適用される:
  • Enrollment Session の開始時に、オペレータまたは係員はその役割をユーザーに説明する必要がある （例：オペレータまたは係員が Enrollment Session を通じてユーザーを案内するか、静かに見守り必要な場合のみ対話するか）。
  • Enrollment Session の開始時に、ユーザーに対して、Enrollment 中に離席してはならないこと、Enrollment 中の行動が見えるようにすることを、伝える。
  • Enrollment Session を通じてBiometricsを収集する場合は、収集プロセスを完了するための明確な指示をユーザーに提供する。この指示は、プロセスの直前に与えるのが最適である。生身のオペレーターからの口頭で指示、修正フィードバックを行うのが最も効果的です（例：Biometricセンサーがどこにあるか、いつ開始するか、センサーとどのように対話するか、Biometricsの収集がいつ完了するかをユーザーに指示する）。
• Remote Identity Proofing はオンラインで行われるため、一般的なWeb Usability の原則に従うこと。例えば:
  • Enrollment プロセスを通じてユーザーを案内するユーザーインターフェイスを設計する。
  • ユーザーが記憶する負荷を軽減する。
  • インターフェイスに一貫性を持たせる。
  • 連続するステップを明確に表示する。
  • スタート地点を明確にする。
  • 複数のプラットフォームやデバイスのサイズに対応したデザインを行う
  • ナビゲーションに一貫性を持たせ、見つけやすく、分かりやすくする。

Enrollment 後

Enrollment 後とは、Enrollment 直後から、Authenticator の典型的な利用の前のステップを指す(Authenticator の典型的な利用と、断続的なイベントに対する Usability の考慮については、[SP800-63B], Sec. 10. を参照。前述の通り、ユーザーはEnrollment Session の完了時に、Authenticator を受け取るために期待される配送（またはピックアップ）メカニズムについて、既に通知されている。

Enrollment 後の Usability に関する考慮事項は以下を含む:

• Authenticator が到着するまでの待ち時間を最小限にする。待ち時間を短くすることで、情報システムやサービスに素早く Access できるようになる。

• Authenticator をピックアップするために、現地に行く必要があるかどうかをユーザーに知らせる。予約とリマインダに関して前述の Usability の考慮事項が適用される。

• Authenticator とともに、その使用と維持に関連する情報をユーザーに提供する。これには、特に初回使用時または初期化時に異なる要件がある場合の使用説明、Authenticator の有効期限に関する情報、Authenticator が紛失または盗難にあった場合の対処方法が含まれることがある。

Usability Considerations

This section is informative.

Note: In this section, the term “users” means “applicants” or “subscribers.”

This section is intended to raise implementers’ awareness of the usability considerations associated with enrollment and identity proofing (for usability considerations for typical authenticator usage and intermittent events, see [SP800-63B] Sec. 10.

[ISO/IEC9241-11] defines usability as the “extent to which a system, product, or service can be used by specified users to achieve specified goals with effectiveness, efficiency and satisfaction in a specified context of use.” This definition focuses on users, goals, and context of use as the necessary elements for achieving effectiveness, efficiency, and satisfaction. A holistic approach considering these key elements is necessary to achieve usability.

The overarching goal of usability for enrollment and identity proofing is to promote a smooth, positive enrollment process for users by minimizing user burden (e.g., time and frustration) and enrollment friction (e.g., the number of steps to complete and amount of information to track). To achieve this goal, organizations have to first familiarize themselves with their users.

The enrollment and identity proofing process sets the stage for a user’s interactions with a given CSP and the online services that the user will access; as negative first impressions can influence user perception of subsequent interactions, organizations need to promote a positive user experience throughout the process.

Usability cannot be achieved in a piecemeal manner. Performing a usability evaluation on the enrollment and identity proofing process is critical. It is important to conduct usability evaluation with representative users, realistic goals and tasks, and appropriate contexts of use. The enrollment and identity proofing process should be designed and implemented so it is easy for users to do the right thing, hard to do the wrong thing, and easy to recover when the wrong thing happens.

From the user’s perspective, the three main steps of enrollment and identity proofing are pre-enrollment preparation, the enrollment and proofing session, and post-enrollment actions. These steps may occur in a single session or there could be significant time elapsed between each one (e.g., days or weeks).

General and step-specific usability considerations are described in sub-sections below.

Guidelines and considerations are described from the users’ perspective.

Accessibility differs from usability and is out of scope for this document. [Section508] was enacted to eliminate barriers in information technology and require federal agencies to make their electronic and information technology public content accessible to people with disabilities. Refer to Section 508 law and standards for accessibility guidance.

General User Considerations During Enrollment and Identity Proofing

This sub-section provides usability considerations that are applicable across all steps of the enrollment process. Usability considerations specific to each step are detailed in Secs. 9.2 to 9.4.

• To avoid user frustration, streamline the process required for enrollment to make each step as clear and easy as possible.

• Clearly communicate how and where to acquire technical assistance. For example, provide helpful information such as a link to online self-service feature, chat sessions, and a phone number for help desk support. Ideally, sufficient information should be provided to enable users to answer their own enrollment preparation questions without outside intervention.

• Clearly explain who is collecting their data and why. Also indicate the path their data will take, in particular where the data is being stored.

• Ensure all information presented is usable.
  • Follow good information design practice for all user-facing materials (e.g., data collection notices and fillable forms).
  • Write materials in plain language and avoid technical jargon. If appropriate, tailor language to the literacy level of the intended population. Use active voice and conversational style, logically sequence main points, use the same word consistently rather than synonyms to avoid confusion, and use bullets, numbers, and formatting where appropriate to aid readability.
  • Consider text legibility, such as font style, size, color, and contrast with surrounding background. The highest contrast is black on white. Text legibility is important because users have different levels of visual acuity. Illegible text will contribute to user comprehension errors or user entry errors (e.g., when completing fillable forms). Use sans serif font styles for electronic materials and serif fonts for paper materials. When possible, avoid fonts that do not clearly distinguish between easily confusable characters (such as the letter “O” and the number “0”). This is especially important for enrollment codes. Use a minimum font size of 12 points, as long as the text fits the display.
• Perform a usability evaluation for each step with representative users. Establish realistic goals and tasks, and appropriate contexts of use for the usability evaluation.

Pre-Enrollment Preparation

This section describes an effective approach to facilitate sufficient pre-enrollment preparation so users can avoid challenging, frustrating enrollment sessions. Ensuring users are as prepared as possible for their enrollment sessions is critical to the overall success and usability of the enrollment and identity proofing process.

Such preparation is only possible if users receive the necessary information (e.g., required documentation) in a usable format in an appropriate timeframe. This includes making users aware of exactly what identity evidence will be required. Users do not need to know anything about IALs or whether the identity evidence required is scored as “fair,” “strong,” or “superior,” whereas organizations need to know what IAL is required for access to a particular system.

To ensure users are equipped to make informed decisions about whether to proceed with the enrollment process, and what will be needed for their session, provide users:

• Information about the entire process, such as what to expect in each step.
  • Clear explanations of the expected timeframes to allow users to plan accordingly.

• Explanation of the need for — and benefits of — identity proofing to allow users to understand the value proposition.

• Information on the monetary amount and acceptable forms of payment, and if there is an enrollment fee. Offering a larger variety of acceptable forms of payment allows users to choose their preferred payment operation.

• Information on whether the user’s enrollment session will be in-person or in-person over remote channels, and whether a user can choose. Only provide information relevant to the allowable session option(s).
  • Information on the location(s), whether a user can choose their preferred location, and necessary logistical information for in-person or in-person over remote channels session. Note that users may be reluctant to bring identity evidence to certain public places (bank versus supermarket), as it increases exposure to loss or theft.
  • Information on the technical requirements (e.g., requirements for internet access) for remote sessions.
  • An option to set an appointment for in-person or in-person over remote channels identity proofing sessions to minimize wait times. If walk-ins are allowed, make it clear to users that their wait times may be greater without an appointment.
    • Provide clear instructions for setting up an enrollment session appointment, reminders, and how to reschedule existing appointments.
    • Offer appointment reminders and allow users to specify their preferred appointment reminder format(s) (e.g., postal mail, voicemail, email, text message). Users need information such as date, time, location, and a description of required identity evidence.
• Information on the allowed and required identity evidence and attributes, whether each piece is voluntary or mandatory, and the consequences for not providing the complete set of identity evidence. Users need to know the specific combinations of identity evidence, including requirements specific to a piece of identity evidence (e.g., a raised seal on a birth certificate). This is especially important due to potential difficulties procuring the necessary identity evidence.
  • Where possible, implement tools to make it easier to obtain the necessary identity evidence.
  • Inform users of any special requirements for minors and people with unique needs. For example, provide users with the information on whether applicant reference and/or trusted referee processes are available and information necessary to use those processes (see Sec. 5.1.9).
  • If forms are required:
    • Provide fillable forms before and at the enrollment session. Do not require users to have access to a printer.
    • Minimize the amount of information users must enter on a form, as users are easily frustrated and more error-prone with longer forms. Where possible, pre-populate forms.

Enrollment and Proofing Session

Usability considerations specific to the enrollment session include:

• At the start of the identity proofing session, remind users of the procedure. Do not expect them to remember the procedures described during the pre-enrollment preparation step. If the enrollment session does not immediately follow pre-enrollment preparation, it is especially important to clearly remind users of the typical timeframe to complete the proofing and enrollment phase.
• Provide rescheduling options for in-person or in-person over remote channels.
• Provide a checklist with the allowed and required identity evidence to ensure users have the requisite identity evidence to proceed with the enrollment session, including enrollment codes, if applicable. If users do not have the complete set of identity evidence, they must be informed regarding whether they can complete a partial identity proofing session.
• Notify users regarding what information will be destroyed, what, if any, information will be retained for future follow-up sessions, and what identity evidence they will need to bring to complete a future session. Ideally, users can choose whether they would like to complete a partial identity proofing session.
• Set user expectations regarding the outcome of the enrollment session as prior identity verification experiences may drive their expectations (e.g., receiving a driver’s license in person, receiving a passport in the mail).

• Clearly indicate whether users will receive an authenticator immediately at the end of a successful enrollment session, if users have to schedule an appointment to pick it up in person, or if users will receive it in the mail and when they can expect to receive it.

• During the enrollment session, there are several requirements to provide users with explicit notice at the time of identity proofing, such as what data will be retained on record by the CSP (see Sec. 5.1 and Sec. 8 for detailed requirements on notices). If CSPs seek consent from a user for additional attributes or uses of their attributes for any purpose other than identity proofing, authentication, authorization or attribute assertions, per 4.2 requirement (5), make CSPs aware that requesting additional attributes or uses may be unexpected or may make users uncomfortable. If users do not perceive benefit(s) to the additional collection or uses, but perceive extra risk, they may be unwilling or hesitant to provide consent or continue the process. Provide users with explicit notice of the additional requirements.

• If an enrollment code is issued:
  • Notify users in advance that they will receive an enrollment code, when to expect it, the length of time for which the code is valid, and how it will arrive (e.g., physical mail, SMS, landline telephone, email, or physical mailing address).
  • When an enrollment code is delivered to a user, include instructions on how to use the code, and the length of time for which the code is valid. This is especially important given the short validity timeframes specified in Sec. 5.1.6.
  • If issuing a machine-readable optical label, such as a QR Code (see Sec. 5.1.6), provide users with information on how to obtain QR code scanning capabilities (e.g., acceptable QR code applications).
  • Inform users that they will be required to repeat the enrollment process if enrollment codes expire or are lost before use.
  • Provide users with alternative options as not all users are able to access and use technology equitably. For example, users may not have the technology needed for this approach to be feasible.
• At the end of the enrollment session,
  • If enrollment is successful, send users confirmation regarding the successful enrollment and information on next steps (e.g., when and where to pick up their authenticator, when it will arrive in the mail).
  • If enrollment is partially complete (due to users not having the complete set of identity evidence, users choosing to stop the process, or session timeouts), communicate to users:
    • what information will be destroyed;
    • what, if any, information will be retained for future follow-up sessions;
    • how long the information will be retained; and
    • what identity evidence they will need to bring to a future session.
  • If enrollment is unsuccessful, provide users with clear instructions for alternative enrollment session types, for example, offering in-person proofing for users that can not complete remote proofing.

• If users receive the authenticator during the enrollment session, provide users information on the use and maintenance of the authenticator. For example, information could include instructions for use (especially if there are different requirements for first-time use or initialization), information on authenticator expiration, how to protect the authenticator, and what to do if the authenticator is lost or stolen.

• For both in-person and remote identity proofing, additional usability considerations apply:
  • At the start of the enrollment session, operators or attendants need to explain their role to users (e.g., whether operators or attendants will walk users through the enrollment session or observe silently and only interact as needed).
  • At the start of the enrollment session, inform users that they must not depart during the session, and that their actions must be visible throughout the session.
  • When biometrics are collected during the enrollment session, provide users clear instructions on how to complete the collection process. The instructions are best given just prior to the process. Verbal instructions with corrective feedback from a live operator are the most effective (e.g., instruct users where the biometric sensor is, when to start, how to interact with the sensor, and when the biometric collection is completed).
• Since remote identity proofing is conducted online, follow general web usability principles. For example:
  • Design the user interface to walk users through the enrollment process.
  • Reduce users’ memory load.
  • Make the interface consistent.
  • Clearly label sequential steps.
  • Make the starting point clear.
  • Design to support multiple platforms and device sizes.
  • Make the navigation consistent, easy to find, and easy to follow.

Post-Enrollment

Post-enrollment refers to the step immediately after enrollment but prior to typical usage of an authenticator (for usability considerations for typical authenticator usage and intermittent events, see [SP800-63B], Sec. 10. As described above, users have already been informed at the end of their enrollment session regarding the expected delivery (or pick-up) mechanism by which they will receive their authenticator.

Usability considerations for post-enrollment include:

• Minimize the amount of time that users wait for their authenticator to arrive. Shorter wait times will allow users to access information systems and services more quickly.

• Inform users whether they need to go to a physical location to pick up their authenticators. The previously identified usability considerations for appointments and reminders still apply.

• Along with the authenticator, give users information relevant to the use and maintenance of the authenticator; this may include instructions for use, especially if there are different requirements for first-time use or initialization, information on authenticator expiration, and what to do if the authenticator is lost or stolen.

Equity Considerations

This section is informative.

このセクションは、Identity Proofing プロセスにおいて不公平な Access、処遇、または結果に関連するリスクの影響を評価する目的（Sec. 5.1.3で要求されている）での指針を提供することを意図している。これは、Identity Proofing プロセスにおいて、不公平の対象となり得る領域と、それに対して適用可能な緩和策を、非網羅的にリストアップしている。CSP はこのセクションを、自身の Identity サービスに存在する不公平な Access 、処置、または結果のリスクの所在を考慮するためのスタート地点として活用できる。以下の指針が、Identity サービスに関連する決定的で包括的なリストである、とみなすことを意図したものではない。

Equity リスクの評価において、CSP は、Identity Proofing および Enrollment サービスが対象とする利用者母集団の検討から始める。さらに、CSP は、そのサービスを使用する際に不公平な Access 、処遇、または結果の原因となり得る、共通の特性を持った集団内の利用者のグループをさらに特定する。CSP は、影響を受けるユーザー、グループへの影響を評価することによって、あらゆる緩和策の有効性を評価することが推奨される。Identity サービスを使用するすべての人にとっての全体的な Usability と Equity の改善に役立つ Equity リスク緩和を適用する際に、Sec. 9 で提供されている Usability の考慮事項も考慮すべきである。

Equity and Identity Resolution

Identity Resolution には、Identity サービスが対象とする集団内で、Claim された Identity を単一の一意の個人として識別できるようにするための最小限の Attribute のセットを収集することが含まれる。Attribute は、提示された Identity Proofing、Applicant の自己申告、および／またはバックエンドの Attribute プロバイダから取得される。

このセクションでは、Identity Resolution プロセスに関連する不公平な Access 、処遇、または結果について、考えられる一連の問題および緩和策を提供する:

問題の説明： Identity サービスの設計で、Applicant に対して西洋の名前形式（例：ファーストネーム、ラストネーム、オプションのミドルネーム）を使用して自分の名前を入力することを求める。

緩和策としては、以下が考えられる:

1. 考えられる名前の構成を分析し、名前フィールドを使用してすべての名前を正確に収容する方法を決定する。
2. ユーザーが名前フィールドを使用してすべての名前を入力する方法について、わかりやすく、使いやすいガイダンスを提供する。

問題の説明： 名前、性別、またはその他の Attribute が変更されたため、提示された Identity Evidence に一貫性がない、または Attribute Verifier の記録と一致しない Applicant を Identity サービスで受け入れることができない。

緩和策としては、以下が考えられる:

1. 特定の Applicant の状況に基づいてリスクベースの判断を行うことができる Trusted Referee（Sec. 5.1.9.1) を提供する。
2. Applicant の Attribute の差異を裏付ける Applicant Reference (Sec. 5.1.9.2) を使用することができるようにする。

Equity and Identity Validation

Identity Evidence および Core Attributes の Validation には、提示された Identity Evidence および追加 Attribute の真贋性、最新性および正確性を確認することが含まれる。これらの結果は、Authoritative または信頼できる Source が保持するデータに対して Evidence および Attribute を比較することによって達成される。Identity Resolution フェーズと合わせて考えると、成功した Validation フェーズの結果は、Claim された Identity が現実世界に存在することをある程度の確からしさで確認することである。

このセクションでは、Evidence および Attribute の Validation プロセスに関連する不公平な Access 、処遇、 または結果について、考えられる一連の問題および緩和策を提供する:

問題の説明： 特定のユーザーグループは、与えられた IAL の要件を満たすために必要な最小限の Evidence を持っていない。

緩和策としては、以下が考えられる:

1. 特定の Applicant の状況に基づいてリスクベースの判断を行うことができる Trusted Referee (Sec. 5.1.9.1) を提供する。
2. Applicant を裏付ける Applicant Reference (Sec. 5.1.9.2) を使用できるようにする。

問題の説明： 特定のユーザーグループに属する Applicant について、Authoritative または信頼できる Source （例： モバイルネットワークオペレーターや電話番号検証機関など）が保持する記録が不十分であり、Core Attributes の Validation や提示された Evidence をサポートできない。

緩和策としては、以下が考えられる:

1. 特定の Applicant の状況に基づいてリスクベースの判断を行うことができる Trusted Referee (Sec. 5.1.9.1) を提供する。
2. 代替となる Authoritative または信頼できる Source を採用する。

問題の説明： Authoritative または信頼できる Source が保持する記録には、Identity 詐称の被害者である人物に関する不正確または誤った情報が含まれている可能性がある。

緩和策としては、以下が考えられる:

1. 特定の Applicant の状況に基づいてリスクベースの判断を行うことができる Trusted Referee (Sec. 5.1.9.1) を提供する。
2. Applicant の Attribute の差異を裏付ける Applicant Reference (Sec. 5.1.9.2) を使用することができるようにする。

Equity and Identity Verification

Identity Verification には、Identity Evidence プロセスを進めている Applicant と、Identity Resolution および Validation のステップを通じて確立された有効な現実世界の Identity との間の Binding を証明することが含まれる。多くの場合、Identity Proofing イベントで撮影されたApplicant の写真（顔画像キャプチャ）を収集し、提示され Validate された Identity Evidence の一部に含まれる写真と比較することを伴う。

このセクションでは、Identity Verification フェーズに関連する不公平な処遇や結果について、考えられる一連の問題と緩和策を提供する。

問題の説明： 画像キャプチャ技術では、特定の肌色や顔の特徴を比較するのに十分な品質でキャプチャする能力がない。

緩和策としては、以下が考えられる:

1. 異なる肌色、顔の特徴、および照明状況に対応できる、堅牢な画像キャプチャ技術を採用する。
2. 画像キャプチャ技術によって、意図しないバイアスが生じていないかどうかを判断するための運用テストを実施する。
3. 残存するバイアスと技術的な限界を補う、リスクベースの代替プロセスを提供する。

問題の説明： 宗教上の理由で着用されている顔の覆いにより、Applicant の顔画像が撮影できなくなってしまう。

緩和策としては、以下が考えられる:

1. 特定の Applicant の状況に基づいてリスクベースの判断を行うことができる Trusted Referee (Sec. 5.1.9.1) を提供する。
2. 対面での Profing など、Identity Verification を完了するための代替手段を提供する。

問題の説明： 1対1の顔画像比較技術を使用する場合、偏った顔比較アルゴリズムにより、本人拒否(false non-match)が発生する可能性がある。

緩和策としては、以下が考えられる:

1. 人口統計グループや画像の種類によらない一貫した性能を確保するために、独自にテストされたアルゴリズムを使用する。
2. 残存するバイアスと技術的な限界を補うための代替プロセスをサポートする。
3. 継続的な品質モニタリングと運用テストを実施し、人口統計グループ間で性能のばらつきを把握し、必要に応じて是正措置を実行する（例：アルゴリズムの更新、機械学習など）。

問題の説明： CSP オペレータが物理的な顔画像比較を行う場合、顔比較における人間のバイアスや一貫性の無さによって、本人拒否(false non-match)が生じる可能性がある。

緩和策としては、以下が考えられる:

1. CSP オペレーター／エージェントによる Applicant の不公平な処遇を低減／排除することを目的としたポリシーと手続きを定める。
2. オペレーターの教育・認定の厳格化
3. 継続的な品質監視を行い、バイアスや不公平な処遇、結果が把握された場合には、是正措置を講じる。

Equity and User Experience

本文書の「Usability 考慮事項」(Sec. 9) では、Applicant に円滑でポジティブな Identity Proofing 体験を提供する方法について CSP に指針を提供する。このセクションでは、Sec. 9 で提供される特定の考慮事項に加え、CSP に対してユーザー体験の Equity を考慮する際の追加的な考慮事項を提供する。

問題の説明： 必要な技術（例： コネクテッドモバイルデバイスやコンピューター）への Access ができない、または利用の困難さによって、一部のユーザーグループに過度な負担がかかっている。

緩和策としては、以下が考えられる:

1. Identity Proofing の要件を満たすことができる Applicant が、必要な技術や活動を使用する際に支援するヘルパーの使用を許可する。
2. 公的に利用可能なデバイス（コンピュータまたはタブレットなど）の使用を許可し、Applicant が所有していないコンピュータまたはデバイスで Identity Proofing プロセスを完了するためのオンライン・ヘルプ・リソースを提供する。
3. 対面での Proofing オプションを提供する。

問題の説明： Remote または対面での Identity Proofing プロセスは、障害のある人にとって課題がある。

Remote での Identity Proofing の緩和策としては、以下が考えられる:

1. Trusted Referee (Sec. 5.1.9.1) を提供する。
2. Applicant Reference (Sec. 5.1.9.2) を使用することができるようにする。
3. 音声ガイド、スクリーン リーダー、音声認識技術など、アクセシビリティやその他の技術の使用をサポートする。

対面での Identity Proofing の緩和策としては、以下が考えられる:

1. さまざまなニーズや障害を持つ人々 とコミュニケーションを取り、支援を行う、訓練を受けたオペレーター (例: 手話に堪能な人)を提供する。
2. さまざまな高さと角度に調整できる機器とワークステーションを選択する。
3. ADA アクセシビリティガイドラインに準拠した利便性の高い場所を選択する。

Equity Considerations

This section is informative.

This section is intended to provide guidance to CSPs for assessing the risks associated with inequitable access, treatment, or outcomes for individuals using its identity services, as required in Sec. 5.1.3. It provides a non-exhaustive list of potential areas in the identity proofing process that may be subject to inequities, as well as possible mitigations that can be applied. CSPs can use this section as a starting point for considering where the risks for inequitable access, treatment, or outcomes exist within its identity service. It is not intended that the below guidance be considered a definitive, all-inclusive list of associated equity risks to identity services.

In assessing equity risks, a CSP starts by considering the overall user population served by its identity proofing and enrollment service. Additionally, the CSP further identifies groups of users within the population whose shared characteristic(s) can cause them to be subject to inequitable access, treatment, or outcomes when using that service. CSPs are encouraged to assess the effectiveness of any mitigations by evaluating their impacts on the affected user group(s). The usability considerations provided in Sec. 9 should also be considered when applying equity risk mitigations to help improve the overall usability and equity for all persons using an identity service.

Equity and Identity Resolution

Identity resolution involves collecting the minimum set of attributes to be able to distinguish the claimed identity as a single, unique individual within the population served by the identity service. Attributes are obtained from presented identity evidence, applicant self-assertion, and/or back-end attribute providers.

This section provides a set of possible problems and mitigations with the inequitable access, treatment, or outcomes associated with the identity resolution process:

Description: The identity service design requires an applicant to enter their name using a Western name format (e.g., first name, last name, optional middle name).

Possible mitigations include:

1. Analyzing possible name configurations and determine how all names can be accurately accommodated using the name fields
2. Providing easy-to-find and use guidance to users on how to enter all names using the name fields

Description: The identity service cannot accommodate applicants whose name, gender, or other attributes have changed and are not consistently reflected on the presented identity evidence or match what is in the attribute verifier’s records.

Possible mitigations include:

1. Providing Trusted Referees (Sec. 5.1.9.1) who can make risk-based decisions based on the specific applicant circumstances
2. Allowing for the use of Applicant References (Sec. 5.1.9.2) who can vouch for the difference in attributes

Equity and Identity Validation

Identity evidence and core attribute validation involves confirming the genuineness, currency, and accuracy of presented identity evidence and the accuracy of any additional attributes. These outcomes are accomplished by comparison of the evidence and attributes against data held by authoritative or credible sources. When considered together with the identity resolution phase, the result of successful validation phase is the confirmation, to some level of confidence, that the claimed identity exists in the real world.

This section provides a set of possible problems and mitigations with the inequitable access, treatment, or outcomes associated with the evidence and attribute validation process:

Description: Certain user groups do not possess the necessary minimum evidence to meet the requirements of a given IAL.

Possible mitigations include:

1. Providing Trusted Referees (Sec. 5.1.9.1) who can make risk-based decisions based on the specific applicant circumstances
2. Allowing for the use of Applicant References (Sec. 5.1.9.2) who can vouch for the applicant

Description: Records held by authoritative and credible sources (e.g., mobile network operators and phone number verifiers) are insufficient to support the validation of core attributes or presented evidence for applicants belonging to certain user groups.

Possible mitigations include:

1. Providing Trusted Referees (Sec. 5.1.9.1) who can make risk-based decisions based on the specific applicant circumstances
2. Employing alternative authoritative or credible sources

Description: Records held by authoritative and credible sources may include inaccurate or false information about persons who are the victims of identity fraud.

Possible mitigations include:

1. Providing Trusted Referees (Sec. 5.1.9.1) who can make risk-based decisions based on the specific applicant circumstances
2. Allowing for the use of Applicant References (Sec. 5.1.9.2) who can vouch for the difference in attributes

Equity and Identity Verification

Identity verification involves proving the binding between the applicant undergoing the identity proofing process and the validated, real-world identity established through the identity resolution and validation steps. It most often involves collecting a picture (facial image capture) of the applicant taken during the identity proofing event and comparing it a photograph contained on a presented and validated piece of identity evidence.

This section provides a set of possible problems and mitigations with the inequitable treatment or outcomes associated with the identity verification phase:

Description: Image capture technologies lack the ability to capture certain skin tones or facial features of sufficient quality to perform a comparison.

Possible mitigations include:

1. Employing robust image capture technologies that are able to accommodate different skin tones, facial features, and lighting situations
2. Conducting operational testing to determine if the image capture technologies have introduced unintentional biases
3. Providing risk-based alternative processes that compensate for residual bias and technological limitations

Description: Facial coverings worn for religious purposes impede the ability to capture a facial image of an applicant.

Possible mitigations include:

1. Providing Trusted Referees (Sec. 5.1.9.1) who can make risk-based decisions based on the specific applicant circumstances.
2. Providing alternative ways to accomplish identity verification, such as an in-person proofing.

Description: When using 1:1 facial image comparison technologies, biased facial comparison algorithms may result in false non-matches.

Possible mitigations include:

1. Using algorithms that are independently tested for consistent performance across demographic groups and image types
2. Supporting alternative processes to compensate for residual bias and technological limitations
3. Conducting ongoing quality monitoring and operational testing to identify performance variances are identified across demographic groups and implementing corrective actions as needed (e.g., updated algorithms, machine learning, etc.)

Description: When employing physical facial image comparison performed by CSP operators, human biases and inconsistencies in making facial comparisons may result in false non-matches.

Possible mitigations include:

1. Defining policy and procedures aimed at reducing/eliminating the inequitable treatment of applicants by CSP operators/agents
2. Rigorously training and certifying of operators
3. Conducting ongoing quality monitoring and taking corrective actions when biases, or inequitable treatments or outcomes, are identified

Equity and User Experience

The Usability Considerations section of this document (Sec. 9) provides CSPs with guidance on how to provide applicants with a smooth, positive identity proofing experience. In addition to the specific considerations provided in Sec. 9, this section provides CSPs with additional considerations when considering the equity of their user experience.

Description: Lack of access to needed technology (e.g. connected mobile device or computer), or difficulties in using required technologies, unduly burdens some user groups.

Possible mitigations include:

1. Allowing the use of helpers who assist applicants, who are otherwise able to meet the identity proofing requirements, in the use of the required technologies and activities
2. Allowing the use of publicly-available devices (e.g., computers or tablets) and providing online help resources for completing the identity proofing process on a non-applicant-owned computer or device
3. Providing in-person proofing options

Description: The remote or in-person identity proofing process presents challenges for persons with disabilities.

Possible mitigations for remote identity proofing include:

1. Providing Trusted Referees (Sec. 5.1.9.1) who are trained to communicate and assist people with a variety of needs or disabilities (e.g., fluent in sign language)
2. Allowing for the use of Applicant References (Sec. 5.1.9.2)
3. Supporting the use of accessibility and other technologies, such as audible instructions, screen readers and voice recognition technologies

Possible mitigations for in-person identity proofing include:

1. Providing trained operators who are trained to communicate and assist people with a variety of needs or disabilities (e.g., fluent in sign language)
2. Choosing equipment and workstations that can be adjusted to different heights and angles
3. Selecting locations that are convenient and comply with ADA accessibility guidelines

References

This section is informative.

General References

[A-130] OMB Circular A-130, Managing Federal Information as a Strategic Resource, July 28, 2016, available at: https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf.

[COPPA] Children’s Online Privacy Protection Act of 1998 (“COPPA”), 15 U.S.C. 6501-6505, 16 CFR Part 312, available at: https://www.law.cornell.edu/uscode/text/15/chapter-91.

[EO13985] Executive Order 13985, Executive Order On Advancing Racial Equity and Support for Underserved Communities Through the Federal Government, January 20, 2021, available at: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/01/20/executive-order-advancing-racial-equity-and-support-for-underserved-communities-through-the-federal-government/.

[DMF] National Technical Information Service, Social Security Death Master File, available at: https://www.ssdmf.com/Library/InfoManage/Guide.asp?FolderID=1.

[E-Gov] E-Government Act of 2002 (includes FISMA) (P.L. 107-347), December 2002, available at: https://www.gpo.gov/fdsys/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf.

[FBCACP] X.509 Certificate Policy For The Federal Bridge Certification Authority (FBCA), Version 2.30, October 5, 2016, available at: https://www.idmanagement.gov/wp-content/uploads/sites/1171/uploads/FBCA_CP.pdf.

[FBCASUP] FBCA Supplementary Antecedent, In-Person Definition, July 16, 2009.

[FEDRAMP] General Services Administration, Federal Risk and Authorization Management Program, available at: https://www.fedramp.gov/.

[GPG45] UK Cabinet Office, Good Practice Guide 45, Identity proofing and verification of an individual, November 3, 2014, available at: https://www.gov.uk/government/publications/identity-proofing-and-verification-of-an-individual.

[M-03-22] OMB Memorandum M-03-22, OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002, September 26, 2003, available at: https://georgewbush-whitehouse.archives.gov/omb/memoranda/m03-22.html.

[M-04-04] OMB Memorandum M-04-04, E-Authentication Guidance for Federal Agencies, December 16, 2003, available at: https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf.

[NISTIR8062] NIST Internal Report 8062, An Introduction to Privacy Engineering and Risk Management in Federal Systems, January 2017, available at: https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf.

[NIST-Privacy] NIST Privacy Framework, available at: https://www.nist.gov/privacy-framework.

[NIST-RMF] NIST Risk Management Framework, available at: https://csrc.nist.gov/Projects/risk-management/about-rmf.

[PatriotAct] Patriot Act of 2001, available at: https://www.justice.gov/archive/ll/what_is_the_patriot_act.pdf.

[PrivacyAct] Privacy Act of 1974 (P.L. 93-579), December 1974, available at: https://www.justice.gov/opcl/privacy-act-1974.

[RedFlagsRule] 15 U.S.C. 1681m(e)(4), Pub. L. 111-319, 124 Stat. 3457, Fair and Accurate Credit Transaction Act of 2003, December 18, 2010, available at: https://www.ftc.gov/sites/default/files/documents/federal_register_notices/identity-theft-red-flags-and-address-discrepancies-under-fair-and-accurate-credit-transactions-act/071109redflags.pdf.

[Section508] Section 508 Law and Related Laws and Policies (January 30, 2017), available at: https://www.section508.gov/manage/laws-and-policies/.

Standards

[Canada] Government of Canada, Guideline on Identity Assurance, available at: https://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=30678&section=HTML.

[ISO9241-11] International Standards Organization, ISO/IEC 9241-11 Ergonomic requirements for office work with visual display terminals (VDTs) — Part 11: Guidance on usability, March 1998, available at: https://www.iso.org/standard/16883.html.

[OIDC] Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, OpenID Connect Core 1.0 incorporating errata set 1, November, 2014. Available at: https://openid.net/specs/openid-connect-core-1_0.html.

NIST Special Publications

NIST 800 Series Special Publications はこちら: < https://csrc.nist.gov/publications/sp800>. 本ガイドラインを実装する方は、特に以下の出版物が参考になる場合がある。

[SP800-53] NIST Special Publication 800-53 Revision 5, Security and Privacy Controls for Information Systems and Organizations, September 2020 (includes updates as of Dec. 10, 2020), https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.

[SP800-63] NIST Special Publication 800-63-4, Digital Identity Guidelines, December 2022, https://doi.org/10.6028/NIST.SP.800-63-4.ipd.

[SP800-63B] NIST Special Publication 800-63B-4, Digital Identity Guidelines: Authentication and Lifecycle Management, December 2022, https://doi.org/10.6028/NIST.SP.800-63b-4.ipd.

[SP800-63C] NIST Special Publication 800-63C-4, Digital Identity Guidelines: Assertions and Federation, December 2022, https://doi.org/10.6028/NIST.SP.800-63c-4.ipd.

[SP800-157] NIST Special Publication 800-157, Guidelines for Derived Personal Identity Verification (PIV) Credentials, December 2014, https://dx.doi.org/10.6028/NIST.SP.800-157.

References

This section is informative.

General References

[A-130] OMB Circular A-130, Managing Federal Information as a Strategic Resource, July 28, 2016, available at: https://obamawhitehouse.archives.gov/sites/default/files/omb/assets/OMB/circulars/a130/a130revised.pdf.

[COPPA] Children’s Online Privacy Protection Act of 1998 (“COPPA”), 15 U.S.C. 6501-6505, 16 CFR Part 312, available at: https://www.law.cornell.edu/uscode/text/15/chapter-91.

[EO13985] Executive Order 13985, Executive Order On Advancing Racial Equity and Support for Underserved Communities Through the Federal Government, January 20, 2021, available at: https://www.whitehouse.gov/briefing-room/presidential-actions/2021/01/20/executive-order-advancing-racial-equity-and-support-for-underserved-communities-through-the-federal-government/.

[DMF] National Technical Information Service, Social Security Death Master File, available at: https://www.ssdmf.com/Library/InfoManage/Guide.asp?FolderID=1.

[E-Gov] E-Government Act of 2002 (includes FISMA) (P.L. 107-347), December 2002, available at: https://www.gpo.gov/fdsys/pkg/PLAW-107publ347/pdf/PLAW-107publ347.pdf.

[FBCACP] X.509 Certificate Policy For The Federal Bridge Certification Authority (FBCA), Version 2.30, October 5, 2016, available at: https://www.idmanagement.gov/wp-content/uploads/sites/1171/uploads/FBCA_CP.pdf.

[FBCASUP] FBCA Supplementary Antecedent, In-Person Definition, July 16, 2009.

[FEDRAMP] General Services Administration, Federal Risk and Authorization Management Program, available at: https://www.fedramp.gov/.

[GPG45] UK Cabinet Office, Good Practice Guide 45, Identity proofing and verification of an individual, November 3, 2014, available at: https://www.gov.uk/government/publications/identity-proofing-and-verification-of-an-individual.

[M-03-22] OMB Memorandum M-03-22, OMB Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002, September 26, 2003, available at: https://georgewbush-whitehouse.archives.gov/omb/memoranda/m03-22.html.

[M-04-04] OMB Memorandum M-04-04, E-Authentication Guidance for Federal Agencies, December 16, 2003, available at: https://georgewbush-whitehouse.archives.gov/omb/memoranda/fy04/m04-04.pdf.

[NISTIR8062] NIST Internal Report 8062, An Introduction to Privacy Engineering and Risk Management in Federal Systems, January 2017, available at: https://nvlpubs.nist.gov/nistpubs/ir/2017/NIST.IR.8062.pdf.

[NIST-Privacy] NIST Privacy Framework, available at: https://www.nist.gov/privacy-framework.

[NIST-RMF] NIST Risk Management Framework, available at: https://csrc.nist.gov/Projects/risk-management/about-rmf.

[PatriotAct] Patriot Act of 2001, available at: https://www.justice.gov/archive/ll/what_is_the_patriot_act.pdf.

[PrivacyAct] Privacy Act of 1974 (P.L. 93-579), December 1974, available at: https://www.justice.gov/opcl/privacy-act-1974.

[RedFlagsRule] 15 U.S.C. 1681m(e)(4), Pub. L. 111-319, 124 Stat. 3457, Fair and Accurate Credit Transaction Act of 2003, December 18, 2010, available at: https://www.ftc.gov/sites/default/files/documents/federal_register_notices/identity-theft-red-flags-and-address-discrepancies-under-fair-and-accurate-credit-transactions-act/071109redflags.pdf.

[Section508] Section 508 Law and Related Laws and Policies (January 30, 2017), available at: https://www.section508.gov/manage/laws-and-policies/.

Standards

[Canada] Government of Canada, Guideline on Identity Assurance, available at: https://www.tbs-sct.gc.ca/pol/doc-eng.aspx?id=30678&section=HTML.

[ISO9241-11] International Standards Organization, ISO/IEC 9241-11 Ergonomic requirements for office work with visual display terminals (VDTs) — Part 11: Guidance on usability, March 1998, available at: https://www.iso.org/standard/16883.html.

[OIDC] Sakimura, N., Bradley, J., Jones, M., de Medeiros, B., and C. Mortimore, OpenID Connect Core 1.0 incorporating errata set 1, November, 2014. Available at: https://openid.net/specs/openid-connect-core-1_0.html.

NIST Special Publications

NIST 800 Series Special Publications are available at: < https://csrc.nist.gov/publications/sp800>. The following publications may be of particular interest to those implementing these guidelines.

[SP800-53] NIST Special Publication 800-53 Revision 5, Security and Privacy Controls for Information Systems and Organizations, September 2020 (includes updates as of Dec. 10, 2020), https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final.

[SP800-63] NIST Special Publication 800-63-4, Digital Identity Guidelines, December 2022, https://doi.org/10.6028/NIST.SP.800-63-4.ipd.

[SP800-63B] NIST Special Publication 800-63B-4, Digital Identity Guidelines: Authentication and Lifecycle Management, December 2022, https://doi.org/10.6028/NIST.SP.800-63b-4.ipd.

[SP800-63C] NIST Special Publication 800-63C-4, Digital Identity Guidelines: Assertions and Federation, December 2022, https://doi.org/10.6028/NIST.SP.800-63c-4.ipd.

[SP800-157] NIST Special Publication 800-157, Guidelines for Derived Personal Identity Verification (PIV) Credentials, December 2014, https://dx.doi.org/10.6028/NIST.SP.800-157.

Change Log

This appendix is informative.

この付録は、SP 800-63A の最初のリリースからの変更点の概略を示すものである。

• 低リスクのアプリケーションのための新しい IAL1 の要件を追加している。
• 関連要件に言及する前に Identity Proofing の概念を紹介しやすくするため、セクション 4 と 5 の内容を入れ替える。
• 物理的文書および Digital Evidence を含む、許容可能な Identity Evidence の特性についての指針および要件を提供する。
• Identity Attribute の収集と Identity Evidence の収集を切り離す。
• Core Attributes の概念を導入する。
• 許容される Evidence および Attribute Validation の Source を拡張し、信頼できる Source を含める。
• CSP 固有のプライバシーリスク評価の要件と、その結果を省庁の PIA に統合するための考慮事項が追加する。
• Identity Proofing プロセスに関連する Equity リスクの検討に関する新しいガイダンスと要件を追加する。
• Trusted Referee および Applicant Reference を使用するためのガイダンスおよび要件を提供する。

Change Log

This appendix is informative.

This appendix provides a high-level overview of the changes to SP 800-63A since its initial release.

• Adds requirements for a new IAL1 for lower-risk applications
• Swaps the content in sections 4 and 5 to facilitate the introduction of identity proofing concepts before providing related requirements
• Provides guidance and requirements for characteristics of acceptable identity evidence, including physical documents and digital evidence
• Decouples the collection of identity attributes from the collection of identity evidence
• Introduces the concept of core attributes
• Expands acceptable evidence and attribute validation sources to include credible sources
• Adds requirements for CSP-specific privacy risk assessments and considerations for integrating the results into agency PIAs
• Adds new guidance and requirements for the consideration of equity risks associated with identity proofing processes
• Provides guidance and requirements for the use of Trusted Referees and Applicant References