IAL (身元確認保証レベル) とは？ レベル1, 2, 3 の違いと具体的な要件

IAL (Identity Assurance Level) とは？

**IAL（身元確認保証レベル：Identity Assurance Level）とは、NIST SP 800-63-3 において定義された、「システムにアクセスしようとしているユーザーが、現実世界の誰（どの身元）に紐付いているのか、その確認プロセスがどれくらい信頼できるか」**を示す指標です。

簡単に言えば、「アカウント作成時に、どれくらい厳重に本人確認（KYC）を行ったか」のレベル付けです。システムが扱うデータやサービスの重要度（リスク）に応じて、IAL1〜3の3段階から適切なレベルを選択して実装します。

3つのレベル（IAL1, IAL2, IAL3）の違い

IAL1: 身元確認が不要なレベル

• 概要: ユーザーが「現実世界の誰であるか」をシステムが知る必要がない、または自己申告で構わないレベルです。
• 特徴: いわゆる「匿名」や「仮名（ペンネーム）」での利用が前提となります。
• 具体例: 一般的なSNSアカウント（TwitterやInstagram）、ニュースサイトの無料会員登録、ゲームのアカウントなど。メールアドレスさえあれば登録できるサービスはすべてIAL1に該当します。

IAL2: 証拠書類に基づく身元確認（中程度の保証）

• 概要: ユーザーが主張する身元を、信頼できる「身元確認書類（クレデンシャル）」を用いてリモートまたは対面で検証するレベルです。
• 特徴: 提出された身分証が偽造されていないか、そしてその身分証の持ち主と申請者が同一人物であるか（顔写真の照合など）を確認する義務があります。
• 具体例: 銀行のオンライン口座開設、クレジットカードの申し込み、仮想通貨取引所の開設など。（犯収法に基づく eKYCの手続きは、概ねこの IAL2 を満たすように設計されています）。運転免許証やパスポートの画像アップロードと顔写真の撮影（ホ方式）などがこれに当たります。

IAL3: 対面による厳格な身元確認（高い保証）

• 概要: 最も厳格な身元確認レベルであり、原則として「訓練を受けた担当者による物理的な対面での審査」が求められます。
• 特徴: 身分証の確認に加え、指紋や顔などの生体情報（バイオメトリクス）の登録が必須となります。
• 具体例: パスポートの新規発行申請、マイナンバーカードの交付手続き（役所の窓口での受け取り）、極秘情報を扱う政府機関職員や重要インフラ管理者の登録など。 ※近年では、高解像度のビデオ通話（リモート対面）によってIAL3相当の要件を満たす方法も議論されています。

IALを適切に選定する重要性

システム設計者は、「とりあえず最も安全なIAL3にしておこう」と考えてはいけません。IALが高くなればなるほど、ユーザーにとっては登録の手間（摩擦）が増え、サービス提供者にとっては多大な審査コストが発生します。

自社のサービスで「もし不正なアカウントが作られた場合、どのような被害（金銭的被害、個人情報漏洩、ブランド毀損など）が発生するか」を冷静にリスクアセスメント（評価）し、過剰でも過小でもない適切なIALを設定することが、セキュリティとUX（ユーザー体験）を両立する鍵となります。