パスキーのアクセシビリティ

世界保健機関（WHO）は世界人口の15%、あるいは10億人以上が何らかの障がいを抱えて生活していると見積もっています。多くの国では障がい者（PwD）が社会のあらゆる側面へ完全かつ平等に参加できるようにするため、障がい者に対する差別が法律によって禁止されています。たとえば、国連加盟国193カ国の52の憲法では平等性の保証または障がいに基づく差別の禁止が明記されています。デジタルアクセスは教育、雇用、エンターテインメント（ただし、これらに限らない）を含む社会の多くの側面でますます重要になってきています。認証によってこのようなサービスへプライベートかつ安全なアクセスを確保することも同様に重要になってきています。

テキストメッセージやメールを通じて配布されるセキュリティコードは技術的にはアクセシブルですが、障がい者が支援技術を使用してコードを送信するには高度なスキルと知識が往々にして求められます。FIDOテクノロジーは障がい者の非常に多種多様なニーズに対応できる幅広いオプションをサポートしているため、このプロセスを単純化してアクセシブルな認証を実現するのに最適です。

このセクションはさまざまな障がいを抱えるユーザーがFIDOを利用可能にするための計画を立てるための指針を提供し、ハードウェアメーカーがよりアクセシブルな外部認証器を提供する機会を発見するのにも役立ちます。

ウェブコンテンツアクセシビリティガイドライン（WCAG）

WCAGは、長期にわたるウェブの成長を実現するためのオープンな標準を策定している国際的なコミュニティであるW3Cが策定した網羅的なアクセシビリティガイドライン一式です。WCAGは元々はウェブコンテンツの標準として設計されていましたが、その認知度が高まり、非ウェブ製品に適した指針としても受け入れられるようになりました。WCAGは規範的なものですが、さまざまな国の多くの義務的なアクセシビリティ標準はWCAGを直接参照しているか、WCAGの基準を反映しています。

WCAGには認証に関係する次の2つのセクションが掲載されています。

1. WCAGの認証UIの適合性。製品のエクスペリエンスを構成する認証UIは、製品の他の部分とともにWCAGに準じて作成する必要があります。その目標は認証UIが障がい者にとって機能的であり、支援技術との互換性があるという基準を確実に満たすことです。WCAGレベルAAは多くの場合、完全に満たすべき適合レベルです。アクセシブルな設計と開発をサポートする社内のツールやプロセス、不適合を発見して改善策を提示する外部アクセシビリティ監査、さまざまな能力の障がい者による利便性テストなど、企業はさまざまな方法を駆使してWCAGへの適合を達成します。

2. WCAG 3.3.8 Accessible Authentication Conformance. There is a proposed Accessible Authentication guideline in WCAG version 2.2 Success Criterion 3.3.8. The guideline states: “For each step in an authentication process that relies on a cognitive function test, at least one other authentication method is available that does not rely on a cognitive function test, or a mechanism is available to assist the user in completing the cognitive function test." ただし、認知機能テストが物体を認識させるもの、あるいはユーザーがウェブサイトに提供したコンテンツを認識させるものである場合を除く」と書かれています。

note

この例外の物体とコンテンツは画像、テキスト、動画、または音声によって表現される場合があります。メカニズムの例には次が含まれます。

• パスワードマネージャーによるパスワード入力のサポートによって記憶・認知機能テストに対応する
• コピーと貼り付けによって転記・認知機能テストへの対応を支援する

このガイドラインの目的は、サイト固有のパスワードを記憶すること（認知機能テスト）の代替手段を確保することです。WCAGではFIDOが提供するものを含め、このガイドラインに従う方法の例がいくつか提供されています。

WCAGガイドラインに従う方法

• サードパーティーのクレデンシャル・マネージャーによる自動入力を許可する。ウェブサイトは適切にマークアップされたユーザー名（またはメールアドレス）とパスワードのフィールドをサインイン認証に使用する。ユーザーのブラウザ、または組み込みのサードパーティーのクレデンシャル・マネージャー拡張機能は入力の意図を認識し、ユーザー名とパスワードを自動補完できること。
• パスワードの貼り付けを許可する。ウェブサイトは貼り付け機能を妨げないこと。ユーザーがサードパーティーのクレデンシャル・マネージャーを使用して認証資格情報を格納し、コピーし、サインインフォームに直接貼り付け可能であること。
• WebAuthnを使用する。ウェブサイトはWebAuthnを使用し、ユーザーがユーザー名/パスワードの代わりに自身のデバイスを使用して認証できるようにする。ユーザーのデバイスには利用可能な任意のモダリティが採用されている可能性があります。ノートパソコンやスマートフォンで一般的な手段は顔スキャン、指紋、PINです。ウェブサイトは特定の手段の使用を強制しないこと。ユーザーは自身に適した手段をセットアップするものと想定する。
• OAuthを使用する。ウェブサイトはサードパーティープロバイダーのOAuthフレームワークを使用してログインできるようにする。
• 2要素認証を使用する。2要素認証を要求するウェブサイトでは、第2要素にユーザーがボタンを押すだけでタイムベースのトークンを入力できるUSBベースの手段、ユーザーのデバイス上のアプリでスキャンしてアイデンティティを確認できるQRコード、またはユーザーのデバイスに送信される通知などの複数のオプションを使用できるようにし、ユーザーが自身のデバイスの認証メカニズム（ユーザーが定義したPIN、指紋、または顔認証など）を使用してアイデンティティを確認できるようにすること。

W3Cアクセシビリティタスクフォースは以下を明確にしています。

• Providing any current FIDO Authentication methods in addition to the username/password mechanism as an alternative will automatically pass 3.3.8 (assuming FIDO Authentication does not rely on cognitive function testing).
• パスワードレス認証が提供されている場合、そのパスワードレス認証が認知機能テストに依存していない限り、同様にWCAGに準拠しているものとする。

世界のアクセシビリティ法

WCAGは規範的なものですが、さまざまな国の多くの法律にWCAGで採用されているものと同様の原則が反映されています。以下は製品の認証エクスペリエンスを含め、サービス事業者の製品に適用される可能性のあるアクセシビリティ法の例です。

• 障がいを持つアメリカ人法（ADA）。ADAの第III編では、米国内の公共施設における場所は 障がい者にとってアクセシブルであるように要求されています。ADAは規定上は物理的な空間のみに適用されますが、一貫性はないものの、法廷ではADAがウェブサイト、アプリ、オンラインストアに適用されるケースが徐々に増えています。
• 1973年リハビリテーション法の第504条と第508条。第504条では、米国 連邦政府から金銭的援助を受けている任意のプログラムや活動における障がい者に対する差別が禁止されています。第508条では、連邦政府が開発、調達、維持、または使用する任意の電子技術または情報技術はアクセシブルでなければならないと規定されています。その結果、連邦政府関係機関は一般的に自身が技術を購入する企業にも第508条に準拠することを要求します。これを達成するため、企業が各製品のアクセシビリティ対応状況を示すACR（アクセシビリティ適合性レポート）と呼ばれるドキュメントを政府関係機関の顧客に提供するのが通例です。また、第508条の対象となる技術はWCAGの適合性要件に準拠していなければなりません。
• 21世紀における通信および映像アクセシビリティ法（CVAA）。CVAAは 連邦通信委員会（FCC）によって施行される米国の法律で、ボイスオーバーインターネットプロトコル（VoIP、オンライン通話や複数人が参加する音声チャットなど）、メッセージングサービス、ビデオチャット、または会議サービスなどの高度な通信サービスや同様のオンライン通信を提供する製品に適用されます。
• 欧州アクセシビリティ法（EAA）。2019年に立法化されたEAAは、業務コストを削減し、国境を越える取引を容易にし、アクセシブルな製品やサービスに関する機会を市場に提供するため、アクセシビリティに関する共通ルールを欧州全域にわたって導入することを目的としたものです。
• アクセシブル・カナダ法（ACA） ACAは政府機関と規制業界（電気通信/テレコムおよび金融業界など）にアクセシブルな情報技術と通信技術を調達・提供することを要求するカナダの連邦法で、対象となる団体に新たな報告の要件を課します。
• 日本産業規格（JIS）X 8341-3。JIS X8341-3は、公的組織と民間組織の双方に日本でWCAGに準拠するためのガイダンスを提供しています。

最近のアクセシブルなFIDO認証のモデル

最近のサービス事業者のFIDO認証の導入では、主にFIDOの認証プロトコルであるWebAuthnモデルとUAF（ユニバーサル認証フレームワーク）モデルの両方に対応した独自のモデルが採用されています。WebAuthnとUAFの主な違いは、認証モダリティに対するサービス事業者の制御レベルにあります。WebAuthnのコンテキストでは（たとえ技術的に可能であれ）サービス事業者がモダリティに基づく差別を行う可能性は低く、そうすべきではありません。一方、UAFではサービス事業者がエンドユーザーが利用できるモダリティを定義することができます。これら2つのモデルはアクセシブルな導入に関して異なる考慮事項が要求されるため、個別に議論を進めています。

責任モデルとアクセシブルなWebAuthnの導入

ウェブ認証（WebAuthn）はFIDO2の基本コンポーネントであり、W3Cが公開しているウェブ標準でもあります。WebAuthnは、ウェブベースのアプリケーションやサービスで公開鍵暗号技術を使用したユーザー検証を行うための標準化されたインターフェイスを提供します。

WebAuthnのアクセシブルな認証のモデル

アクセシブルな認証責任のWebAuthnモデルには3つの当事者が存在します。

• 障がいを持つエンドユーザー
• ユーザーエージェント: 支援技術を含め、サービス事業者のアプリケーションの取得、レンダリング、対話を支援する任意のソフトウェアまたはハードウェア（携帯電話、ブラウザ、スクリーンリーダー、その他のマウス以外の対話など）
• アプリケーションの認証部分を含むサービス事業者のアプリケーション

各当事者はアクセシブルな認証のエクスペリエンスについて部分的に責任を負います。

• エンドユーザーは自身にとって最もアクセシブルなユーザーエージェントを選択すること。エンドユーザーの責任は、自身が使用できる認証器をサポートするユーザーエージェントを選択することです。
• エンドユーザーは顔認証、指紋認証リーダー、および同様の生体認証コンポーネントを備えたスマートフォンを購入する場合があります。エンドユーザーは自身のアクセシビリティのニーズと好みに合ったデバイスを選択し、認証手段をセットアップすることが想定されています。
• エンドユーザーは市場からセキュリティキーを購入する場合があります。上記と同様に、エンドユーザーは自身に合ったセキュリティキーを選択することが想定されています。
• ユーザーエージェント開発者はUAAGに準拠したユーザーエージェントを作成します。ユーザーエージェント開発者はユーザーエージェントアクセシビリティガイドライン（UAAG）に準拠することで、障がい者に対するユーザーエージェントのアクセシビリティを高め、その支援技術との互換性を確保します。そのようなユーザーエージェントで提供されるWebAuthnも同様にアクセシブルになります。

ユーザーエージェント開発者とW3C WebAuthnワーキンググループは、ユーザーエージェントとWebAuthnとの互換性を確保します。

• WebAuthnは認証モデルとして広く受け入れられるようになっており、大部分の一般的なユーザーエージェントでサポートされています。互換性に問題があることが判明した場合、サービス事業者はW3C WebAuthnワーキンググループに問題を報告し、ユーザーエージェント開発者に通知することが推奨されています。
• サービス事業者の責任
  • サービス事業者は自身のアプリケーションとWebAuthnをサポートするユーザーエージェントとの互換性を確保します。
  • サービス事業者は広く採用されているアクセシビリティガイドライン（WCAG、第508条、EN 301 549など）を実践することで、アクセシブルなハードウェア（ATM、自動券売機）、ソフトウェア（ウェブページ、モバイルアプリ）、トレーニング資料（テキストやマルチメディア）を作成します。サービス事業者は製品がこれらの標準に準拠しているかどうかを明確にした完全なACRの作成を求められる場合があります。認証プロセスの前段階と全体の対話を検証し、最も幅広いオーディエンスがユーザーフロー全体にアクセスできるようにするため、障がい者と支援技術を使用する人にエンドツーエンドのテストを実施することが強く推奨されています。
• Relying parties conform to WCAG 3.3.8 by providing at least one method of authentication not relying on cognitive function tests. Supporting WebAuthn automatically meets WCAG 3.3.8 requirements because WebAuthn is a sufficient technique. See WCAG 3.3.8 Accessible Authentication Conformance.
• ハードウェアをエンドユーザーに直接提供する（従業員にハードウェアを提供する会社やエンドユーザーにハードウェアを提供する金融機関などの）サービス事業者は、エンドユーザーが自身にとってアクセシブルな認証器を選択するオプションを提供する必要があります。ユーザーにとってアクセシブルなオプションがない場合、サービス事業者は代替の認証手段を提供する必要があります。
• サービス事業者がユーザーの選択を求めることが非現実的である場合、サービス事業者は「生体認証が提供される場合、それを唯一のユーザー識別または制御の手段としてはならない。ただし、別々の生物学的特徴を使用する2つ以上の生体認証オプションが提供されている場合、ICTは生体認証を唯一のユーザー識別または制御の手段として使用することが例外的に許可されるものとする」と規定した第508条403項に準拠する必要があります。

責任モデルとアクセシブルなUAFの導入

FIDOのUAFプロトコルは、オンラインサービスでパスワードレスの多要素セキュリティを実現可能にするものです。ユーザーは指によるスワイプ、カメラの目視、マイクへの音声入力、PINの入力といったローカルの認証メカニズムを選択することで、自身のデバイスをオンラインサービスに登録します。

UAFプロトコルを使用することで、ユーザーにどの認証器を選択肢として提示するかをサービスで選択できるようになります。このモデルとWebAuthnモデルの主な違いはこの点にあります。登録が完了した後、ユーザーはサービスの認証が必要な場面でローカルの認証操作を単に繰り返すだけです。ユーザーは認証時にデバイスからパスワードを入力する必要がなくなります。UAFでは、指紋とPINといった複数の認証メカニズムを組み合わせることも可能です。

UAFのアクセシブルな認証のモデル

アクセシブルなUAFの導入に際し、サービス事業者はUAFポリシーの管理に関する以下の推奨事項を採用する必要があります。

1. モバイルアプリは常にスマートフォンロック解除認証をオプションとして使用可能にすべきである。 a. WebAuthnはスマートフォンのロック解除認証をサポートしています。UAFはより柔軟性の高いモデルで、スマートフォンのロック解除モダリティをフォールバックとしてサポートする必要があります。WebAuthnの議論で前述したように、自身が使用できる認証器をサポートするユーザーエージェントを選択するのはエンドユーザーの責任です。
2. モバイルアプリは可能な限りサイレント認証を使用可能にすべきである。パッシブ認証あるいは透明な認証としても知られるサイレント認証は、ユーザーが能動的に認証資格情報を提供したり、何らかの操作を行わなくてもバックグラウンドで行われるものです。その代わり、ユーザーのアイデンティティはCookie、デバイスの指紋、または生体認証データといった確立済みの認証要素を使用して検証されます。 a. スマートフォンやスマートウォッチのサイレント認証では、標準化されたFIDOプロトコルを使用した強力な（フィッシング耐性のある）所有要素認証が提供されます。モバイルネイティブアプリケーションではこの技術を使用してデバイスを信頼することで、ユーザーを認証できます。一部の情報は追加操作を要求することなくユーザーに提供できる場合があります（ユーザーのデバイスに口座の残高を表示する場合など）。 b. サービス事業者にはサイレント認証の利用を推奨しています。なぜなら、障がい者を含むすべての人によりスムーズなUXを提供できるようになるためです。ただし、サイレント認証はアクセシビリティが向上する代わりに安全性に劣るオプションとして障がい者に提供すべきではありません。そうではなく、すべてのユーザーにとって平等にアクセシブルかつ安全なオプションとすべきです。
3. スマートフォンのロック解除認証は比較的安全性の低いモダリティに対するフォールバック/代替手段として使用可能にすべきである。
4. モバイルアプリが1つの生体認証を要求する場合、モバイルアプリは別々の生理学的特徴を要求する2つ以上の生体認証オプションを提供すべきである。 a. 例: 音声認証が要求される場合、モバイルアプリは顔認証や指紋などの音声を要求しない別の生体認証オプションを通してユーザーが認証できるようにする必要があります。
5. モバイルアプリがある数（N個）の生体認証モダリティを要求する場合、モバイルアプリは別々の生理学的特徴を要求するN+1個以上の生体認証オプションを提供すべきである。

note

項目4と5は独自の認証器を搭載するオプションを提供することで実現できます。

UAFプロトコルを使用してサービスでの認証器の選択を可能にするモバイルアプリ（例）

障がい者に関連するFIDO認証の特徴

FIDO認証の各機能は、特定の種類の障がいを持つユーザーにとって障壁となる可能性があります。サービス事業者向けの「障がい者に関するFIDO認証の特徴」マッピングは、各認証モダリティが原因となる可能性がある障壁を理解するのに役立ちます。サービス事業者はこのマッピングを使用することで、可能な限り多くのユーザーにとって現実的にアクセシブルなモダリティの提供方法を発見することもできます。このマッピングは指針であり、網羅的に考慮されたリストではありません。

FIDO認証に関連する障がい

障がいは非常に多様です。FIDO認証の議論を単純化するため、認証との関連性が最も高いと思われる以下の5種類の障がいに触れます。

1. 視覚: 全盲、視力低下、視野欠損、色覚異常、または虹彩欠損
2. 聴覚: 高度難聴、耳閉感、一側性難聴、またはその他の聴覚障がい
3. 身体: 四肢欠損、指の欠損、体力の低下または衰弱、到達範囲の制限、震えまたは麻痺、指紋の欠損、または顔の特徴の欠損
4. 発話: 発話障がい、声量低下、または構音障がい
5. 認知と学習: 読書障がい（失読症）、書字障がい、記憶障がい、識字能力不足、デジタルリテラシー不足、または推論障がい

FIDO認証の機能

ユーザーエクスペリエンスの観点から、FIDO認証は以下のようにユーザーの対話別に分類できます。

• タッチ
  • セキュリティキーのタッチによるユーザープレゼンスチェック
• 入力
  • クライアントPINまたは画面ロック解除PINの入力
• スキャン
  • 指紋スキャン
  • 静脈スキャン
  • 虹彩スキャン（カメラの目視）
  • 顔スキャン
• 発話
  • 音声認識
• 操作
  • USBポートへのセキュリティキーの挿入
  • スマートフォン内蔵のNFCを使用したセキュリティキーのスキャン
  • 画面へのパターン描画によるスマートフォンのロック解除
  • ボタン作動による操作
  • 画面タッチによる操作の選択
  • マウスまたは代替入力デバイスを使用した操作の選択
  • QRコードのスキャンによるデバイスのペアリング
• 読み取り
  • 画面上の説明
• タイマー
  • 制限時間内の認証完了

FIDO認証で発生しうるアクセス障壁

このセクションでは、各ユーザー対話で障がい者が遭遇する困難について要約します。FIDO認証を導入しているサービス事業者は、これらの困難を理解しておく必要があります。FIDO認証と障がいとのマッピングは、障がい者に関するFIDO認証の特徴: 想定される問題の表か、その表の文章版で確認できます。

• タッチ
  • 身体障がいのある人はセキュリティキーに手を伸ばしたり、正確に狙いを定めたりするのが難しい可能性があり、これは小さなキーや小さくへこんだ有効なタッチ領域のあるキーものでは特に顕著です。
• 入力
  • ユーザー名とパスワードを記憶すること（または手で書き写すこと）は一定の認知障がいのある人や支援技術を使用している人の負担になる可能性があります。
  • モバイルデバイスやウェブページでのパスワード入力処理は、WCAGの適合性要件を満たすパスワードインターフェイスを実装することでアクセシビリティを高めることができます。
• スキャン
  • ある生理学的特徴をスキャンすることは、そのような生理学的特徴を持たない人の障壁になる可能性があります。たとえば、指の切断や指紋欠如疾患（指紋の形成を妨げる遺伝性疾患）を持つ人は指紋認証を使用できない可能性があります。極度に乾燥肌の人も指紋スキャンに失敗する恐れがあります。全盲のユーザーには、目を開いたままにすることやカメラの目視を要求する虹彩認識や顔認識を使用できない人がいる可能性があります。
  • 視覚障がいのあるユーザーもスキャナーを視認し、スマートフォン内蔵のNFCを使用してセキュリティキーをスキャンするのが困難な可能性があります。
• 発話
  • 音声認識は発話・言語障がいを持つ人には適切に機能しない可能性があります。口頭での意思伝達をしない聴覚障がい者や難聴の人には、音声認識も使用できない人がいる可能性があります。
• 操作
  • 身体障がいのある人はUSBポートにセキュリティキーを挿入したり、スマートフォンでセキュリティキーをスキャンしたり、スマートフォンにパターンを描画したりできない可能性があります。
  • 一定の認知障がいのある人は、タッチスクリーンで行うパターンジェスチャーを記憶するのが難しい可能性があります。
  • QRコードのスキャンは視覚障がいのあるユーザーには困難な場合があります。そのようなユーザーはQRコードを発見し、カメラをコードをスキャンできる位置に合わせるのが難しい可能性があります。QRコードは単にカメラを持つだけでなく、しっかりと持つことをユーザーに要求するため、身体障がいを持つ人にとっては難しい可能性があります。
• 読み取り
  • 一定の学習障がいのある人、識字能力やデジタル能力が不足している人、記憶力の問題を抱えている人は認証に関する説明を理解するのが難しい可能性があります。説明はWCAGの認知アクセシビリティガイドラインに従ってアクセシビリティを高めることができます。
• タイマー
  • 障がい者には認証を完了するのに比較的多くの時間を要する人もいます。そのような人は身体的な応答に時間がかかったり、読み取りに時間がかかったり、視力が低いせいで視認や読み取りに時間がかかったり、比較的時間を要する支援技術を通してコンテンツにアクセスしたりする場合があります。WCAGはユーザーがコンテンツを読み取って使用するのに十分な時間を提供するためのガイドライン一式を提供しています。時間制限が必須の場合や時間制限を延長することで認証が無効になる場合を除き、サービス事業者はユーザーに時間制限の無効化、調整、延長を許可する場合があります。詳細については、WCAGの達成基準2.2.1タイミング調整可能を参照してください。

障がい者に関するFIDO認証の特徴: 想定される問題

ユーザーのジェスチャー操作	FIDOの機能例	視覚障がいの障壁に遭遇する可能性	聴覚障がいの障壁に遭遇する可能性	発話・言語障がいの障壁に遭遇する可能性	身体障がいの障壁に遭遇する可能性	認知・学習障がいの障壁に遭遇する可能性
タッチ	セキュリティキーのタッチによるユーザープレゼンスチェック	比較的低い	比較的低い	比較的低い	比較的高い	比較的低い
	画面へのパターン描画によるスマートフォンのロック解除	比較的低い	比較的低い	比較的低い	比較的高い	比較的高い
入力	クライアントPINの入力	比較的低い	比較的低い	比較的低い	比較的低い	比較的高い
	画面ロック解除PINの入力	比較的低い	比較的低い	比較的低い	比較的低い	比較的高い
スキャン	スキャナー上の指紋	比較的低い	比較的低い	比較的低い	比較的高い	比較的低い
	静脈	比較的低い	比較的低い	比較的低い	比較的高い	比較的低い
	虹彩（カメラの目視）	比較的高い	比較的低い	比較的低い	比較的低い	比較的低い
	顔（カメラ）	比較的高い	比較的低い	比較的低い	比較的低い	比較的低い
	QRコード（caBLE）の画面とカメラ	比較的高い	比較的低い	比較的低い	比較的高い	比較的高い
発話	音声認識	比較的低い	比較的高い	比較的高い	比較的低い	比較的低い
操作	USBポートへのセキュリティキーの挿入	比較的低い	比較的低い	比較的低い	比較的高い	比較的低い
	スマートフォン内蔵のNFCを使用したセキュリティキーのスキャン	比較的高い	比較的低い	比較的低い	比較的高い	比較的低い
	ボタンクリックによる操作	比較的低い	比較的低い	比較的低い	比較的高い	比較的低い
	画面タッチによる操作の選択	比較的低い	比較的低い	比較的低い	比較的高い	比較的低い
	マウスによる操作の選択	比較的高い	比較的低い	比較的低い	比較的高い	比較的低い
読み取り	画面上の説明	比較的低い	比較的低い	比較的低い	比較的低い	比較的高い
タイマー	登録、登録、または認証の時間制限	比較的高い	比較的低い	比較的低い	比較的高い	比較的高い

障がい者のためのFIDO認証の特徴に関する表の説明

表1には、認証フローに関連する具体的なジェスチャーが人にとってどの程度障壁となる可能性があるかが障がいの種類別に記載されています。以下はこの表を文章によって説明したものです。

視覚障がいのある人は虹彩スキャン、顔スキャン、QRコード（caBLE）の画面とカメラのスキャン、スマートフォン内蔵のNFCを使用したセキュリティキーのスキャン、マウスによる操作の選択、および時間制限が設けられている場合の登録、登録、または認証で苦労する可能性が比較的高くなっています。

視覚障がいのある人はセキュリティキーのタッチによるユーザープレゼンスチェック、画面へのパターン描画によるスマートフォンのロック解除、クライアントPINの入力、指紋または静脈スキャン、音声認識、USBポートへのセキュリティキーの挿入、ボタン選択による操作、画面タッチによる操作の選択、および画面上の説明の読み取りに苦労する可能性が比較的低くなっています。

聴覚、発話、言語障がいのある人は音声認識の障壁に遭遇する可能性が比較的高くなっています。このような人は前述のすべてのユーザーのジェスチャー例で障壁に遭遇する可能性が比較的低くなっています。

身体障がいのある人はセキュリティキーのタッチによるユーザープレゼンスチェック、画面へのパターン描画によるスマートフォンのロック解除、指紋または静脈スキャン、QRコード（caBLE）の画面とカメラのスキャン、USBポートへのセキュリティキーの挿入、画面タッチによる操作の選択、マウスによる操作の選択、および時間制限が設けられている場合の登録、登録、または認証で苦労する可能性が比較的高くなっています。

身体障がいのある人はクライアントPINまたは画面ロック解除PINの入力、虹彩または顔スキャン、音声認識、および画面上の説明の読み取りの障壁に遭遇する可能性が比較的低くなっています。

認知・学習障がいのある人は画面へのパターン描画によるスマートフォンのロック解除、クライアントPINまたは画面ロック解除PINの入力、QRコード（caBLE）の画面とカメラのスキャン、画面上の説明の読み取り、および時間制限が設けられている場合の登録、登録、または認証で苦労する可能性が比較的高くなっています。

認知・学習障がいのある人はセキュリティキーのタッチによるユーザープレゼンスチェック、指紋・静脈・虹彩・顔スキャン、音声認識、USBポートへのセキュリティキーの挿入、スマートフォン内蔵のNFCを使用したセキュリティキーのスキャン、ボタンの選択、画面タッチまたはマウスによる操作の選択で障壁に遭遇する可能性が比較的低くなっています。

表の終わりです。

アクセシビリティ監査

このセクションでは、限られたグループのライブパスキー導入を対象とするスクリーンリーダーの監査を基にパスキーのアクセシビリティに関する調査結果を掲載しています。この調査結果は情報の提供のみを目的としています。World Wide Web Consortium（W3C）が策定した世界的な標準として受け入れられているウェブコンテンツアクセシビリティガイドライン（WCAG）に従ってパスキーの導入をアクセシブルにする責任は、サービスプロバイダーが最終的に負うことになります。

範囲

ライブパスキー導入を対象とするスクリーンリーダー監査は、以下のOS/ブラウザ/スクリーンリーダーの組み合わせで実施されました。

• Windows/Chrome/Jaws
• Windows/Chrome/NVDA
• Windows/Edge/Jaws
• Windows/Edge/NVDA
• Mac/Safari/VoiceOver
• Mac/Chrome/VoiceOver
• iPhone/Chrome/VoiceOver
• iPhone/Safari/VoiceOver

主な調査結果

1. パスキーの登録とサインイン手続は一貫して利用可能でした。

• パスキーの作成と使用に関して各種のOS/ブラウザ/スクリーンリーダーを組み合わせて使用すると、全盲のコンシューマーのエクスペリエンスが改善されました。この手続は主にプラットフォームによって管理されました。

2. パスキーの手続の前後ではアクセシビリティの不備がよく見られました。

• 複数のライブパスキー導入を対象とする監査では、全体としてサービスプロバイダーのサイトでアクセシビリティの不備がよく見られました。この結果は、WebAIMによる2023年版の上位1,000,000ホームページのアクセシビリティレポートで報告されているデジタルアクセシビリティの現状に関する調査結果とも一致しています。

3. オートコンプリートとQRコードを使用すると、アクセシビリティの障壁が発生します。

• テスト対象の実際の導入環境において自動入力の実装に一貫性がなかったため、スクリーンリーダーのユーザーのエクスペリエンスにばらつきが生じていました。ポップアップがあることを伝え、下矢印キーを使用して操作できるコンテンツがあることをスクリーンリーダーのユーザーに通知することでスクリーンリーダーをサポートする実装が求められます。基本的なHTMLのオートコンプリート属性をHTML入力フィールドに使用していたサイトもあれば、ARIA（Accessible Rich Internet Applications Suite）を使用した独自の入力フィールドを使用していたサイトもありました。後者は特殊な属性をコードに追加してスクリーンリーダーなどの支援技術に対応したユーザー操作を利用可能にするものですが、多くの場合は不適切な実装が行われています。現在では多くのブラウザが入力フィールドへの入力時にポップアップがあることを伝える基本的なHTMLのオートコンプリート属性をサポートしているため、補足的なARIAの必要性はなくなっています。QRコードを使用すると、移動能力や視覚に制限のある方にとって障壁が発生します。詳細については、「障がいのあるユーザーがFIDOを利用できるようにするためのガイダンス」を参照してください。 ライブパスキー導入でのスクリーンリーダーのデモを含むアクセシビリティに関する調査結果の概要については、動画プレゼン「パスキーのアクセシビリティに関する基礎」を参照してください。

FIDOアライアンス取締役会メンバー企業であるMetaとVMwareのアクセシビリティ専門家がさまざまな障がいのあるユーザーがFIDOを利用できるようにする方法を論じている「障がいのあるユーザーがFIDOを利用できるようにするためのガイダンス」も参考になります。