idbok

Appearance

OpenID Foundation DCP WG 活動レポート (2025年9月)

執筆日: 2026-04-25(遡及執筆)

1. 概要

Digital Credentials Protocols Working Group(以下「DCP WG」)は、Issuer-Holder-Verifier モデルに基づく検証可能クレデンシャル(W3C VC / SD-JWT VC / ISO/IEC 18013-5 mDL など)の発行・提示・交換に関わるプロトコル群を策定する OpenID Foundation の WG である。対象仕様は OpenID for Verifiable Credential Issuance (OID4VCI)、OpenID for Verifiable Presentations (OID4VP)、OpenID4VC High Assurance Interoperability Profile (HAIP)、Self-Issued OpenID Provider v2 (SIOPv2) を中核とする。共同議長は Kristina Yasuda(SPRIND)、Joseph Heenan(Authlete)、Dima Postnikov、Brent Zundel(Yubico)の4名。EU・Americas・APAC の3地域で毎週コールを開催する。

2025年9月の DCP WG は、OID4VCI 1.0 Final Specification の承認と公開(9月16日のメンバー投票で可決、9月18日 EU コールで報告)が最大のマイルストーンであった。同月内にはさらに、HAIP Draft 04 の公開(9月19日 Joseph Heenan) と、HAIP Final に向けた多数の normative PR レビュー が並走し、Working Group Last Call(WGLC)目前のラストスパートとなった。

ML 投稿数は週次インデックス5週分で 30件超、地域コールごとに毎週議事録が共有される密度の高さで、議論の主たる場は GitHub PR/Issue と各地域の weekly call の議事録投稿。OpenID4VCI リポジトリでは 9月中に10件の PR がマージ、HAIP リポジトリでは 14件超の PR がマージ される作業ピーク月であった。

並行して、OpenID Foundation 自体が 9月16日に「PRESS RELEASE: OpenID Foundation finalizes global standards for real-time identity security」 を公開し、OID4VCI 1.0 Final を Shared Signals 関連仕様と並ぶ「リアルタイム ID セキュリティの主要標準」として広報した。

2. 公開された仕様・ドラフト改訂

OID4VCI 1.0 Final Specification の承認・公開(2025年9月16日)

DCP WG の中核仕様 OpenID for Verifiable Credential Issuance9月16日にメンバー投票で承認 され、Final Specification として公開された。

Final 公開直前の主要 PR(9月マージ)

PRタイトルマージ日著者
#642Move Encrypted Messages to the top level9月9日GarethCOliver
#643add implementation considerations for batch issuance9月9日Sakurann
#646Fix examples/credential_metadata_ldp_vc.json9月9日AlexanderShenshin
#648Clarification on x5c header in jwt proof type9月11日tlodderstedt
#649clarify PKCE session binding9月11日Sakurann
#651Update VCI references9月15日c2bo
#653preparing the document for the final publication9月16日Sakurann
#654Fix typo: "CSS Color Module Level 37" doesn't exist, it's "Level 3"9月16日jogu
#655Add Paul Bastian to authors list9月16日jogu
#657Initial 1.1 draft9月25日jogu

PR #657(Initial 1.1 draft)のマージは Final 公開直後の 9月25日 で、Final の git history を保ったまま 次期 1.1 draft の起点 として分岐させる戦略が9月25日 EU friendly コールで合意されていた。1.1 では interactive authorization endpoint の追加が当面の主目標として確認された。

HAIP Draft 04 の公開(2025年9月19日)

Joseph Heenan が 2025-09-19 11:44 UTCHAIP draft 04 published を送信。公開趣旨は「外部組織が参照できる安定版へのリンクを提供するため」。Draft 04 の主要な変更点:

  • カスタム URL スキームの分離: 単一の haip:// から haip-vp://(提示用)と haip-vci://(発行用)の2つに分離。同時に従来 mandatory だったカスタムスキーム対応を エコシステム判断(optional) へ緩和
  • クレデンシャル鍵バインディング: 暗号的な holder binding を欠いたクレデンシャルのサポートを許容、OID4VCI フローでの key attestation を必須化
  • X.509 証明書要件: SD-JWT VC 発行者鍵解決の唯一の手段として X.509 証明書を mandatory 化、x509_hash 署名における 自己署名証明書を禁止
  • メタデータ・参照更新: OID4VP 1.0 Final および OID4VCI 1.0 Final 仕様への参照を更新
  • 暗号化要件: VP 交換における ephemeral encryption keys(一時暗号化鍵) の使用を要件化
  • 削除要素: SIOPv2 サポートを Draft 04 で除去(WebAuthn の使用を推奨)、Presentation Exchange への言及を削除
  • mdoc 対応: ISO mdoc クレデンシャルの発行・提示シナリオに関する規定を追加

HAIP リポジトリ(openid/oid4vc-haip-sd-jwt-vc)では 9月中に14件超の PR がマージ され、Draft 04 はこれらの累積を反映したリリースである。代表的な PR は §5 で詳述。

投票・パブリックレビューの動向

  • 9月9日時点で OID4VCI 1.0 Final 投票が継続中(9月15日締め切り、quorum 未達)
  • 9月15日に投票成立、9月16日に正式承認

3. ミーティングと議論

DCP WG は3地域で毎週コールを開催する密度の高い WG で、9月は連休等を挟まず EU・APAC・Americas いずれもほぼ毎週開催 された。議事録は週次 ML への投稿として公開される。9月の主要コール:

日付 (2025年)区分議事録投稿者主要トピック
9月4日(木)APAC + SIOPTorsten Lodderstedt出席者は ML スレッド経由で確認(議事録の詳細は ML への notes 投稿のみ)
9月9日(火)AmericasRajvardhan Deshmukh(11名出席)OID4VCI #648/#649 マージ承認、HAIP custom URL scheme(#240)
9月11日(木)EU friendlyKlaus RoehrleISO mDL WG とのアライメント、OID4VP intent_to_retain の対立論点
9月16日(火)AmericasPaul Bastian(20名出席)OID4VCI 1.0 Final 投票成立、Paul Bastian 共著者追加、HAIP #233/#266
9月18日(木)EUJin Wen(17名出席)VCI 1.0 Final 公開報告、HAIP PR #229/#231/#252/#266 のレビュー進捗
9月18日(木)APACStefan CharsleyEU コールと並行する APAC タイムスロット
9月23日(火)APACChristian Bormann(APAC 火曜枠の議論。HAIP 関連 PR レビュー)
9月25日(木)APACStefan Charsley(7名出席)HAIP WGLC を翌週目標、PR #214/#231/#276〜#288 レビュー、Issue #185 画像形式
9月25日(木)EU friendlyJoseph HeenanVCI 1.0 公開後の 1.1 計画、Issue #98 cross-device security、Issue #233
9月30日(火)APAC + SIOPTorsten Lodderstedt(次月 Pre-WGLC 通知への接続)

9月16日 Americas コール(VCI 1.0 Final 投票成立)

20名出席(Torsten Lodderstedt、Joseph Heenan、Kristina Yasuda 他)。本コールで OID4VCI 1.0 Final の投票成立 が確認され、Paul Bastian の共著者リストへの追加 が異議なしで承認された。同コールでの HAIP 関連の主要決定:

  • Issue #233(intent_to_retain パラメータ): HAIP で必須化するか議論。Lee Campbell が「ISO 18013-5 のすべての機能を online OpenID4VP にミラーする必要はない」と optional 派の論拠を示し、3つの選択肢(HAIP のみ default false、optional だが未指定時の挙動未定義、必須化)を比較した
  • Issue #252(X.509 証明書制限): Oliver Terbu が x5c ヘッダで自己署名証明書を禁止 する変更を実装することに合意
  • Issue #217(Key Attestation 文言): Christian Bormann の提案がプライバシー懸念に対処するものとして承認、追加レビュー1〜2名待ち
  • Issue #231(High Assurance の定義): Torsten Lodderstedt が議論を反映した PR を更新予定。レビュアーが不足
  • Issue #266(カスタムスキーム改訂): haip://haip-vci://haip-vp:// に置換、必須要件を optional に変更することで合意。ただし、Credential Offer / OpenID4VP Request を確実にウォレットへ届けるメカニズムが HAIP に存在しないというギャップが新たに認識
  • Issue #211(ウォレット認証フォーマット): VCI Annex E のウォレット認証フォーマットを必須とするか、代替を許容するかで議論継続。Martijn が現案の明確性に懐疑的
  • Issue #112(必須暗号スイート): 「実質的な議論を要する」項目として10月以降に持ち越し

9月18日 EU コール(17名出席、議事録: Jin Wen)

VCI 1.0 Final の公開を「EC Implementing Acts 対応に向けた重要なマイルストーン」と位置付け、HAIP の WGLC 目前の PR レビューが集中議論となった:

  • PR #252(自己署名証明書禁止): Stefan(NZ)が「他の解決策で代替可能」と同意し、マージ承認
  • PR #266(スキーム分離): HAIP-VCI と HAIP-VP の分離、カスタムスキーム対応を必須から optional へ変更で合意。Joseph Heenan が IANA セクションを更新後マージ
  • PR #231(High Assurance の定義): 「Claims are authentic and holder has been authenticated」と定義。Steve Venema がレビュー担当を志願
  • PR #229(Batch Issuance): ウォレットがどの場合に batch issuance 機能を使うべきかの言語が明確化、コンセンサス到達
  • Issue #112(必須暗号スイート): NIST の Ryan Galluzzo が「米国規制要件では特定デプロイメントで NIST 承認アルゴリズムが必須」と強調。アルゴリズムを制限するか、ISO 18013-5 で定義されたものを許容するかが論点
  • アクションアイテム: Joseph Heenan が FAPI2 除外注記を確定、Kristina に batch language 変更を連絡、暗号スイート提案ドラフトを作成

9月25日 EU friendly コール(議事録: Joseph Heenan)

VCI 1.0 公開直後で、1.1 への移行戦略および HAIP の WGLC 直前課題を整理:

  • VCI 1.0 公開後の 1.1 計画: git history 保持のため VCI 1.0 を as-is で公開、その後 interactive authorization endpoint を 1.1 として別 PR で導入 戦略を確認
  • Issue #98(クロスデバイスフローのセキュリティ): vanilla OpenID4VP の QR コードフローが session fixation 攻撃に脆弱 であることを再確認。「DC API のような仕組みが唯一の緩和策だが、ほとんどのデプロイで未利用」と評価。低保証ユースケースは制約緩和で進められるが、ウォレット側でフロー種別を区別できない問題
  • PR #289 / Issue #109(mDocs Revocation メカニズム): ISO 18013-5 rev 2 で定義される Status List と Identifier List の両方をサポートする方針。両者は「very similar」で IETF エディタとの協働で開発されたため、ISO 仕様への deference(敬譲)を選択
  • Issue #233(intent_to_retain のデフォルト値): VCI 1.0 でデフォルト値がないことが既存実装に法的影響を生む懸念。エコシステム個別にデフォルトを設定可能とする 方針で合意
  • Issue #211(ウォレット認証要件): 高保証ユースケースで client/wallet attestation が必要であることに広範な合意。ただし、必須化と関連フィールドの定義は未解決

9月25日 APAC コール(7名出席、議事録: Stefan Charsley)

参加者: Amineh Akhavan、Philip Halsall、Hiroyuki Sano、Klaus Roehrle、Joseph Heenan、Stefan Charsley、Dima Postnikov。HAIP 1.0 の WGLC を翌週開始することを目標 と確認し、「EU 向けに12月までに Final 化が必要」というスケジュールが共有された。レビュー対象 PR:

  • PR #214(VCI で FAPI2 を要件化): Paul Bastian の承認待ち
  • PR #231(High Assurance の定義): 追加レビュー必要
  • PR #276/#277(SD-JWT クレデンシャル有効性、発行者 URL): 承認待ち
  • PR #278(mandatory セクション/フローの明確化): Martijn の入力を求める
  • PR #280(暗号鍵サイズのガイダンス): レビュー必要、normative ステータスを議論中
  • PR #281(Requirements Notation 標準化): 3 approval 取得、7日後マージ可能
  • PR #282(Key attestation 矛盾解消): 追加レビュー必要
  • PR #288(Status list index 一意性): レビュー中
  • Issue #185(画像フォーマット対応): SVG・PNG 両方の必須サポートが必要かを議論。Joseph Heenan が「issuer がフォーマットを選択する」立場を明確化

9月11日 EU friendly コール(議事録: Klaus Roehrle)

ISO mDL WG とのアライメント問題が中心議題:

  • HAIP は P256 を document signing で必須化するか?: ISO 側からの問い合わせ
  • HPKE の HAIP 1.0 不在: ISO が VP 機能で HPKE を essential と位置付けているが、HAIP 1.0 には含まれない。HAIP 1.1 で組み込み、ISO が11月会議で参照する 案を提案
  • OID4VCI 1.0 マージ済み項目: session binding 明確化と JWT proof handling のエディトリアル改善が4名 approval で合意
  • OID4VP intent_to_retain の論争: ISO は必須としているが OpenID4VP は異なる扱い。デフォルト値を設定するとオンライン提示の柔軟性を失う恐れあり、強制ではなく ISO とのアライメントを再検討する方向で合意
  • HAIP PR 状況: PR #262(エコシステム証明書要件の明確化)が3名 approval でマージ承認、PR #253 はマージ後の更新が必要、PR #229 はレビュー必要

4. メーリングリストの主要スレッド

openid-specs-digital-credentials-protocols ML(親アーカイブ)は週次インデックス形式。9月の週次インデックスは Week-of-Mon-20250901、20250908、20250915、20250922、20250929 の5週分すべてに投稿があり、合計約30件超。技術的に重要なスレッドを以下に詳述:

4.1 HAIP draft 04 published — 2025-09-19(Joseph Heenan)

§2.2 で詳述した HAIP Draft 04 の公開告知。WG 全メンバーへの最重要通知の1つで、カスタム URL スキーム分離・X.509 証明書要件・SIOPv2 削除・Ephemeral 暗号鍵 という大きな構造変更を伴うリリースを宣言。Draft 04 は WGLC のためのレビュー版ではなく「外部組織が参照できる安定版」と位置付けられ、HAIP 1.0 Final 投票直前のリファレンスとして機能する。

4.2 semantic gap in VP? — 2025-09-19(Daniel Hardman)

OpenID4VP の クレデンシャル選択時の UX 問題 の問題提起:

  • 問題: ユーザーが「プロファイルにマッチするクレデンシャルを複数所持」している場合、どれを送信すべきか判断できない
  • DCQL の限界: Verifier が DCQL で受理可能なクレデンシャルを指定できるが、追加のビジネスロジック制約をユーザーへ事前共有する仕組みがない
  • 想定ユースケース:
    • 銀行口座クレデンシャルが「与信限度額が一定額以上」という条件を満たすか
    • 商品受領クレデンシャルが「特定の期間内」に該当するか
  • ギャップ要約: ユーザーには見える要件のみが共有され、Verifier は明示されない制約を適用するため、要件を満たすクレデンシャルを所持していても拒否されるケースが発生

この問題提起は10月以降の議論に持ち越され、12月以降の OID4VP 次期版設計の論点として組み込まれていく。9月時点では未解決の状態でスレッドが開始された。

4.3 First public demo of a German EUDI Wallet — 2025-09-04(Kristina Yasuda)

Kristina Yasuda が SPRIND の ドイツ EUDI Wallet 初の公開デモ を9月4日 16:30〜18:00(ドイツ時間)に告知。返信スレッド:

  • Frederik Krogsdal Jacobsen (Criipto): 他 WG コールと衝突するため参加不可、録画があるかを質問
  • Mirko Mollik (SPRIND): SPRIND の Identity Architect として、「数日以内に GitLab に録画を公開する」 と回答
  • Kristina Yasuda: 「ライブ参加には Q&A の機会という大きな価値がある」とライブ参加を推奨

このスレッドは DCP WG が策定する仕様の代表的実装 であるドイツ EUDI Wallet が初公開された節目を記録する。

4.4 ISO interoperability Test Event Invitation (Nov 16-18, NZ) — 2025-09-26(Kristina Yasuda)

11月16〜18日にニュージーランドで開催される ISO 主催の相互運用テストイベント への招待。ISO/IEC JTC1 SC17 の作業と OpenID4VP 実装の相互テストの場として、ISO mDL ↔ OpenID4VP 相互運用性 の検証が想定された。9月時点ではアナウンス段階で、参加表明・実装準備が始まる。

4.5 DCP WG Meeting Pre-IIW on Mon 20th Oct 2025 - PLEASE REGISTER ASAP — 2025-09-04(Stephanie Meli)

Stephanie Meli(OIDF 事務局)から、IIW 41 直前の10月20日に DCP WG 対面ミーティングを開催する 旨の登録依頼。IIW 41(10月21〜23日)の前後に DCP WG 単独のハイブリッドミーティングを設けることで、Final 化目前の HAIP 1.0 などについて集中議論する場を確保。9月の段階で既に10月のフェイス・トゥ・フェイス活動の地盤が整えられていた。

5. GitHub 上の議論

DCP WG は OID4VCI・OID4VP・HAIP の3リポジトリを並列に維持しており、9月の活動量は以下のとおり:

OpenID4VCI(openid/OpenID4VCI

OpenID4VP(openid/OpenID4VP

  • 9月マージ PR: 0件(VP 側は VCI Final と HAIP に注力するため動きが少ない月)
  • 9月新規 Issue: #669 Clarify intent_to_retain(davidz25、9月10日、ready-for-PR ラベル)— ISO 18013-5 と OID4VP の intent_to_retain 扱いの差異を明確化する要請

HAIP(openid/oid4vc-haip-sd-jwt-vc

  • 9月作成 PR: 28件超(多くは Joseph Heenan / jogu によるエディトリアル・規範修正)。代表的なマージ PR:
PRタイトルマージ日
#262add note on verifier x509 certificate profiles9月中
#263add note that HAIP can also be used for lower assurance credentials9月中
#264Add text explaining that some features rely on browser/OS support9月中
#266Seperate schemes for VP/VCI, make custom uri support ecosystem decision9月19日
#269Fill out history, fix some typos/grammer, update acknowledgements9月19日
#274Increase draft number to 59月22日
#275Remove 'Validity Period of the Signature and the Claim Values' section, again9月中
#276Reword SD-JWT credential validity text + remove requirement for verifiers/wallets to support status list9月中
#277Remove requirement that SD-JWT iss is a https url9月30日
#278Attempt to clarify which sections/flows are mandatory9月中
#279Minor editorial improvements9月30日
#280Add guidance around key sizes9月中
#281Add same 'Requirements Notation and Conventions' as used in VCI9月30日
#282Resolve issue with conflicting 'MUST' & 'SHOULD' for key attestations9月30日

主要 Issue:

6. 関連イベント

ドイツ EUDI Wallet 初の公開デモ(2025年9月4日)

SPRIND が ドイツ連邦の EUDI Wallet プロジェクト の初公開デモを9月4日に実施。Mirko Mollik(SPRIND Identity Architect)が技術リードとして説明、Kristina Yasuda が DCP WG 経由で告知。GitLab に録画が公開された。EU eIDAS Implementing Acts の対象国の中で、初の本格デモケースとして DCP WG メンバーから注目された。

IIW 41 と Pre-IIW DCP WG ミーティング(10月20〜23日、Mountain View)

10月21〜23日 Mountain View Computer History Museum で開催される IIW 41 の前日10月20日に DCP WG 単独の対面ミーティング が予定され、9月4日の Stephanie Meli から登録依頼。9月時点では事前登録段階。OID4VCI 1.0 Final 公開・HAIP 1.0 WGLC 直前の重要な対面協議の場として位置付けられた。

ISO Interoperability Test Event(11月16〜18日、ニュージーランド)

ISO 主催の相互運用テストイベント。9月26日 Kristina Yasuda が ML 経由で招待を共有。ISO mDL と OpenID4VP の相互運用 を実機で検証する目的で、9月時点では参加表明と実装準備が始まる段階。

eIDAS Implementing Acts のデッドライン(背景)

EU eIDAS 2.0 Implementing Acts の Wallet 認証関連スケジュールが背景にあり、9月25日 APAC コールでは「Specs need to be final for EU by December」と HAIP 1.0 Final 化の動機として明確に共有された。

7. 今後の予定(2025年9月末時点の視点)

9月末時点で見えていた継続課題と次月以降の動き:

  • HAIP 1.0 WGLC の開始: 9月25日 APAC コールで「翌週目標」と確認。実際には10月8日に Joseph Heenan が WGLC を正式開始
  • HAIP Draft 05 の公開: WGLC のための統合版(10月9日に公開)
  • Issue #112(必須暗号スイート)の決着: NIST 承認アルゴリズムと ISO 18013-5 既存デプロイの両立を10月以降に決定
  • Issue #98(クロスデバイスフローのセキュリティ): session fixation 攻撃への対処方針の継続議論
  • OID4VCI 1.1 開発開始: interactive authorization endpoint の追加、PR #657 を起点に
  • OID4VP 次期版設計: Daniel Hardman の semantic gap 問題提起への対応
  • 10月20日 Pre-IIW DCP WG ミーティング(Mountain View ハイブリッド)
  • IIW 41(10月21〜23日)での非公式議論
  • 11月16〜18日 ISO 相互運用テスト(ニュージーランド)
  • 12月のEU 向け HAIP 1.0 Final 化: eIDAS Implementing Acts スケジュールに合わせた最終公開目標

8. 参考情報源