限定公開( 24 )
デジタル庁は6月21日、オンラインサービスの本人確認にマイナンバーカードのICチップを使えるようにする「デジタル認証アプリ」を発表した。24日に公開する。オンラインでの本人確認は、券面やカードの厚みを撮影して送る方法が一般的だが、手間がかかる上に偽造カードを利用されるリスクもあった。カード内のIC情報を使うことで、より正確な本人確認ができるようになる。
【画像を見る】マイナンバーカードで本人確認できるようになる「デジタル認証アプリ」
例えば、オンラインで銀行口座の開設や限定商品の販売、マッチングアプリなど本人であることが重要なサービスで、手軽かつ正確な本人確認が実現する。デジタル認証アプリに対応する無料のAPIも公開するので、これを組み込むことで、オンラインサービス側は強固な本人確認の仕組みを低コストで導入できるようになる。
すでに横浜市の子育て応援アプリ「パマトコ」や、三菱UFJ銀行の「スマート口座開設」での導入が予定されている。パマトコであれば、横浜市で子育てしている人を確認するための仕組みが必要になるが、デジタル認証アプリを使えば、そうした問題も解決する。
●「マイナンバーカードで本人確認」の基本
|
|
今回の発表は、マイナンバーカードを使った本人認証の仕組みだが、その前にマイナンバーカードについても解説しておきたい。
「マイナンバーカードのICチップにはいろいろな個人情報が内蔵されている」と考えている人が多いようだが、実際にはマイナンバーと暗号キー、氏名、住所、生年月日、性別の4情報と、顔写真のみ内蔵されている。それぞれの省庁や役所では、そのマイナンバーに対してデータが保持されるだけだ。
空き領域もあるが、市区町村であれば印鑑登録証、コンビニ交付、証明書自動交付機、都道府県なら都道府県立図書館の利用者カード、行政機関であれば国家公務員の身分証明機能(入退館管理)に使うことを想定している。多くの人が考えるような、地方税関係や年金給付関係などの情報はここには入っていない。
マイナンバーカードは、これを持っている人が、この当人であるということを立証することだけが機能なのだ。このカードを所持しているという所持認証と、パスワードを知っているという知識認証をもって、本人性を立証する。
公開鍵と秘密鍵
|
|
マイナンバーの本人性の認証を理解するには、「公開鍵」「秘密鍵」という概念を理解する必要がある。マイナンバーカードには、この公開鍵と秘密鍵の両方が入っている。
公開鍵と秘密鍵は、南京錠と鍵のペアのようなもので、公開鍵を使って暗号化したものは、秘密鍵がないと復号できない。秘密鍵はマイナンバーカードにしか入っておらず、パスワードがないと機能しないから、マイナンバーカードを持っている当人しか、この暗号を復号できないということになる。
逆に、秘密鍵を使ってサインすれば、公開鍵を持っている人ならこの鍵が合うかどうかを検証でき、このサインが本当にマイナンバーカードを持っている人が行ったものだということを証明する。
ここで有効性確認というのを行うが、この確認をJ-LIS(地方公共団体情報システム機構)という機関が手掛けている。というのも、公開鍵と秘密鍵が、本当に現時点でも有効なものかどうか確認しなければならないからだ。公開鍵と秘密鍵だけだと、例えば当人が亡くなっていたり、マイナンバーカードの記載事項が変更されていたりしている可能性もあるからだ。
J-LISがその公開鍵と秘密鍵が現在も有効なものであるということを確認しているというわけだ。
|
|
●スマホにマイナンバーカードをタッチするだけ
今回公開された「デジタル認証アプリ」は、スマートフォン側で、このマイナンバーカードの仕組みを使って、本人であることを認証するという仕組みだ。
もちろん、これまでのマイナンバーカードを使った認証は可能だったが、民間事業者が別途アプリを開発する負担なくこの機能を利用できるようになる。また、利用証明電子証明書(カードによる認証)については、認証コストの問題があり普及が進んでいなかったが、このアプリにより事業者負担なく利用できるようになるので、そちらについても利用が広まることが期待される。
利用方法を説明しよう。まず暗証番号を入力し、マイナンバーカードをタッチする。すると、どの情報がやりとりされるかが表示される。先ほど説明した氏名、住所、生年月日、性別の4情報の全部、もしくはいずれかが渡されるか、それとも何も渡されないかが表示される。そして、それでOKなら認証ボタンを押す。
この認証は、アプリだけではなくAPIとしても提供されるので、今後この仕組みはさまざまなサービスのアプリにも組み込まれる。このAPIは誰でも利用できるというわけではなく、申請と契約が必要だ。
これにより、スマホにマイナンバーカードをタッチすることで、政府や市役所のサービスを受けたり、金融機関に口座を開設したり、なんらかのアカウントを作成したりする際に、本人であるということを証明することができるようになる。
本人認証が容易、かつ確実になると、われわれの生活のさまざまな部分で活用できる。従来であれば、マイナンバーカードや免許証など、本人確認書類の画像やコピーといった曖昧なもの(その真正性をどうやって確認するというのだろう?)で行われたり、戸籍抄本や、別途の本人確認書類が必要だったりする手続きも、マイナンバーカードとスマートフォンを使うことで行えるようになる。
●銀行やチケットの販売などで活用。詐欺や転売も防げる
例えば、市役所のサービスにログインする時に。例えば、銀行の口座を開設する時に。今後、対応サービスが増えてきたら、本日公開された認証アプリを使う「あなたが、あなたであること」を立証できる。
ライブのコンサートチケットや人気商品でも、自分の身元を証明したうえで買えるようにすることで、「1人1枚」「1人1個」など、オンラインでの限定販売がしやすくなる。一般のユーザーが欲しがっているのに、転売ヤーがガンプラを買い占めて手に入らない……なんていう問題もようやく解決しそうだ。
もしSNSやマッチングアプリの登録に使われるようになれば、なりすましなどの詐欺アカウント作成防止につながるし、携帯回線をオンラインで契約する際の本人確認に利用すれば、今話題の「SIMスワップ詐欺」という問題も(非対面なら)解消する。
認証の重要さに応じて、マイナンバーカードと対面での認証、パスワード認証などをどのように組み合わせるか? 氏名、住所、生年月日、性別の4情報をどこまで提供するか? などについてガイドラインがあるが、それが正しく運用されているかどうかは、我々ユーザーもチェックの目を光らせておく必要がある。
●「マイナカードのスマホ搭載」が本命に
先日、iPhoneのマイナンバーカード搭載が発表されたが、これは認証アプリにも効果がある。今回のアプリだと、内部にマイナンバーカードのIC情報を保持するわけではないので、銀行口座の開設やアカウントの登録など、都度マイナンバーカードを読み取る必要がある。
しかし、マイナンバーカード機能がスマホに搭載されるようになれば、アプリは認証時にスマホに搭載されたデジタルなマイナンバーカードを使って認証することができるという。この連携については、iOS/Androidともに2025年のiPhone搭載以降になるという。当面は、認証ごとに物理カードが必要になるので覚えておきたい。
スマホへのマイナンバーカードの取り込みで、スマホだけ持っていれば対面と非対面どちらの認証も完了できる世界になってくる。そうなれば、マイナンバーカードは大切に収納しておいて問題ない。一方、認証時に「その情報はここで渡して良いのか?」など、ユーザーが認証システムを導入した企業の運用をキチンとチェックする必要もあるだろう。今後もシステムをよく理解して、上手に活用していきたい。
【訂正:2024年6月21日午後0時40分 初出時、21日にリリースと記載しておりましたが、正しくは21日発表、24日公開だったため表記を修正しました】
|
|
|
|
Copyright(C) 2024 ITmedia Inc. All rights reserved. 記事・写真の無断転載を禁じます。
掲載情報の著作権は提供元企業に帰属します。