マイナンバーカード機能のスマホ搭載と生体認証の利用について
マイナンバー制度及び国と地方のデジタル基盤抜本改善ワーキンググループについて
令和2年6月30日(火)午後 官房長官記者会見
http://www.kantei.go.jp/jp/tyoukanpress/202006/30_p.html
この会見の中で、「マイナンバー制度や政府・自治体のシステムに関して、若手を中心とする専門家のメンバーの方々による幅広い問題提起を33項目の課題に整理してとりまとめた。例えば、マイナンバーカードの機能をスマホに搭載することや、生体認証などの暗証番号に依存しない仕組みを検討すること、引越しに際して、市役所などで手続をすれば、本人同意の下で銀行や携帯電話会社で住所変更を不要とするなど、マイナンバーカードの民間利用を推進することなどを盛り込んでいる。今後、年内に工程表を策定するとともに、政府として、できるものから実施していきたい」と話されています。
マイナンバーカードと生体認証の関係
マイナンバーカードと生体認証の組合せは、マイナンバー制度の初期の段階から検討されており、実際の活用事例として「個人番号カード交付窓口用顔認証システム」があります。
NECの「マイナンバーカードのICチップ内の顔写真データを活用した実証実験(ボランティアの顔認証入場に利用)」や、つくば市の「インターネット投票の実証」では、券面アプリケーション(券面AP)が使われています。
マイナンバーカードのICチップには、いくつかのアプリケーションが搭載されていますが、券面APにはカードの表面情報である「4情報(住所・氏名・生年月日・性別)+顔写真」と、裏面情報である「個人番号の画像データ」が記録されています。
参考:マイナンバーカードを活用したオンライン取引等の可能性について(令和2年4月 総務省自治行政局住民制度課)
参考:マイナンバーカードの技術仕様と利活用方式(富士通)
このうち、カードの表面情報である「4情報(住所・氏名・生年月日・性別)+顔写真」は、マイナンバーや電子証明書のような利用制限が無いため、官民問わず誰でも利用することができます。
ただし、券面APの情報にアクセスするためには、特別な番号「照合番号B(生年月日6桁+有効期限西暦部分4桁+セキュリティコード4桁)」が必要になります。セキュリティコードは、マイナンバーカードの表面の顔写真の下に記載されている4桁の番号です(カード製造番号16桁とセキュリティコード4桁がある)。
2021年3月からは、マイナンバーカードが健康保険証として利用できるようになりますが、この時に「顔認証付きカードリーダー」の利用も想定されています。
顔写真データ利用の留意点
マイナンバーカードのICチップにある顔写真データの利用には、いくつかの留意点があります。それは、
1 顔写真データの利用について、本人の同意または法令による規定が必要になる
2 顔写真データにアクセスするための照合番号が必要になる
3 顔写真データはネットワークに流通させない
生体情報は、その性質上、基本的にインターネット等のネットワーク上に流通させることはNGなので、PINの代わりとしては使えても、パスワードの代わりに使うことは困難です。
参考:PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ
マイナンバーカードの暗証番号
個人的には、マイナンバーカードの暗証番号(PIN)は、パスワードと混同されているように思います。総務省と地方公共団体情報システム機構とでも整合性が取れていません。マイナンバーカードの電子証明書の暗証番号は、認証用であっても署名用であっても、4-6桁の数字だけで十分でしょう。
特に電子署名用の暗証番号が、オンラインサービスのログインで使われるパスワードのように「最大16桁の英数字」となっていると、利用者の混乱を招くだけでなく、役所の側でも大きな負担になります。安易に生体情報を利用する前に、まず暗証番号の基準について、速やかに見直した方が良いでしょう。
なお、「マイナンバーカードを活用したチケットレスサービス」などにおける、いわゆる「PIN無し認証」については、認証業務及びこれに附帯する業務の実施に関する技術的基準(平成15年総務省告示第706号)の第4条(暗証番号の基準等)第2号に、次のような規定があります。
『利用者証明検証者は、利用者証明利用者から規則第四十二条第二項の規定により利用者証明利用者符号を利用するために設定した暗証番号の入力を受けないことが利用者証明利用者の利便性の向上の観点から適当であると認める場合には、総務大臣が指定する方法により、当該利用者証明利用者符号が記録された法第二十二条第四項の電磁的記録媒体と当該利用者証明検証者の使用に係る業務サーバとの間で相互に正当性を確認する措置を講じることにより、当該暗証番号の入力を求めることなく、当該利用者証明利用者符号を用いて行った電子利用者証明に関する利用者証明用電子証明書の通知を受けることができる。』
わかりにくいですが、利用者証明用電子証明書を利用する際に、暗証番号の代わりに「マイナンバーカードに表示及び記録された顔写真を用いる方法」も認められるということです。
マイナンバーカード機能のスマホ搭載
マイナンバーカード機能のスマホ搭載については、「公的個人認証サービスのスマートフォンでの利活用の実現に向けた実証」があり、経済産業省が進める「モバイル機器での身分証明管理」もあります。いずれにしても、実利用までには、時間がかかりそうです。
比較的簡単にできそうなのは、マイナンバーカードを使って、エストニアの「スマートID」のようなサービスを始めることです。
エストニアでは、スマホのアプリ型のデジタルIDである「スマートID(Smart-ID)」が人気ですが、最近になって生体認証の使用を始めました。
これは、「スマートIDの利用時にPINの代わりに生体情報を利用する」というものではなくて、「スマートIDの登録時に、ICチップ付き身分証明書を利用して、オンライン上で本人確認を行う」というものです。利用できるのは、18歳以上で、すでにスマートIDを持っている人に限られます。
具体的には、次のようになります。
1 新しいスマートIDを生成する(スマートデバイスの変更や既存アカウントの更新など)
2 生体情報の処理と保存を許可し、ユーザー同意書に署名する
3 生体認証に使用する身分証明書を選択する
4 スマホのカメラ機能でパスポートのMRZコード(機械読取領域)を読み取る
5 スマホのNFC機能(近距離無線通信)でパスポートのICチップ情報(顔写真等)を読み取る
6 スマホのカメラ機能でスマホ利用者の顔情報を読み取る
7 スマホ利用者の顔情報とパスポートの顔写真を比較して、本人であることを確認する(生体認証の実行)
8 新しいアカウントのPINコードを設定する
こうした方法であれば、スマホの中だけで、生体認証を完了することができます。
日本のマイナンバーカード機能が、どのようにスマホに搭載されて、そこで生体認証がどのように使用されるのか、今後の検討が待たれるところです。