オーストラリア政府の電子認証に関する資料は、AGIMOのAuthenticationのページにあります。最近の話題としては、スマートカードや職員認証などなど。豪政府の電子認証に関する資料を閲覧するのは、実に３年ぶりぐらいでしたが、電子認証の話題は、やはり英語の方がわかりやすいですね

オーストラリア政府は、認証（電子的な手法に限らない、本人確認、資格や権限の管理など）のレベルを４段階に分けています。レベル分けには、

１　認証の方式（主として技術的なレベル）
２　登録・管理の方式（主として基本方針や運用のレベル）

というの二つの要素を用いています。

本来は２の「登録・管理の方式」が基本であり、より大切なのですが、日本政府の場合、どうも「認証の方式」ばかりがクローズアップされているようで、とても残念に思います。

関連＞＞情報システムの利用者認証の方式に関する調査研究報告書（行政情報システム研究所：目次のみ）

確かに、ベンダーさんから見れば、わかりづらくて面倒な「登録・管理の方式」よりも、説明しやすくてお金になりやすい「認証の方式」の方が魅力的なのでしょうけど。。

「住基カード」を例としてみましょう。

住基カードは、「認証の方式」としては高度なスマートカード（ICカード）＆電子証明書ですが、悪いことをする場合、そういう強い所は狙われません。「脆弱性（ぜいじゃくせい）」という言葉があるように、弱い箇所が狙われるのです。

どこが弱い箇所（あるいは「弱かった」＝改善された点もある）かと言えば、

・住民登録時の本人確認
・住基カード発行時の本人確認
・カード表面に記載される情報

などが挙げられます。これらが狙われると、

・本人に成りすまして住民票（住所）を変更する
・本人に成りすまして住基カードを発行する
・カードを偽造する

となり、最終的には、「他人名義でお金を借りる」などの行為となります。

せっかく高度な「認証方式」である「スマートカード＆電子証明書」でも、「登録・管理の方式」のレベルが低いと、「宝の持ち腐れ」となるのですね。

ではどうしましょう？と考えた場合、「登録・管理の方式」のレベルを上げるために

・住民登録時の本人確認を厳格化する
・住基カード発行時の本人確認を厳格化する
・カード表面に情報を記載しない→オフラインで利用させない（用途の限定）

などを実施します。

作者のおすすめは、「用途の限定」です。

・その年の電子申告だけに使える
・許認可内容の軽微な変更だけ（届出など）に使える

とすれば、「認証方式」は、それほどレベルが高くしなくても（＝お金をかけなくても）良いのですから。

最後に一つ、電子政府の認証に関するヒントを提示しておきましょう。

今後は、「認証の方式」と「登録・管理の方式」に加えて、「許容性」を要素として取り入れましょう。

電子政府における認証は、利用者である国民や行政職員に理解され、受け入れられなければ、「絵に描いた餅＝無駄な投資」に終わります。

利用者が理解し、納得し、実際に使ってもらえるかどうか。これを、作者は「許容性」と考えています。

「許容性」は、国によって異なります。その国の制度や文化・歴史、国民性、ICT活用度などを考慮します。

１　認証の方式
２　登録・管理の方式
３　許容性

この３つのバランスを考えて、本当の意味で「インフラ」と言える認証方法を確立していきましょう

関連書籍＞＞指紋認証技術―バイオメトリクス・セキュリティ｜金融機関における本人確認Q&A