2025年4月18日8:00
将来的に人々の生活を変える可能性のある「マイナンバーカード」を活用したJPKI(公的個人認証サービス)の仕組み、身元確認や当人認証、スマートフォンへの搭載、今後の展望について、同分野に詳しい小山安博氏に解説してもらった。
小山 安博
日本における国民IDカードである「マイナンバーカード」は、2024年12月末の段階で保有枚数が9,631万4,449枚に達し、人口に対する保有割合は77.1%に達した。死亡や有効期限切れで廃止されているカードもあるため、実際に交付された枚数で言えば1億617万985枚(2025年1月19日時点)で、人口に対しては85%の割合となった。
運転免許証の保有枚数は2023年末で8,168万人であり、マイナンバーカードが国で最も普及した公的な身分証明書となっている。
公的身分証明書として店頭などで提示する本人確認の用途に加えて、インターネット上でも厳密な本人確認が行えるJPKI(公的個人認証)の機能を搭載している点も、他の身分証明書にはない機能で、国はマイナンバーカードを「デジタル社会のパスポート」と表現。利用範囲は広がってきており、今後もさまざまなシーンで活用されることが期待されている。
提供:デジタル庁
本人確認とは何か
JPKI(公的個人認証)とは、PKI技術を活用したオンラインの本人確認の仕組み。日本における公的な仕組みとしてJ(Japanese)が付けられており、マイナンバーカードのICチップ内に保管された電子証明書を使うことで、インターネット経由でも確実な本人の確認が可能になるというもの。
インターネットのサービスを利用する際など、オンライン環境で送信元から送信先に対してデータを送信する場合に、そのデータが確かに本人のもので、途中経路で改ざんされていないかどうかを保証するのがPKI技術だ。技術的な詳細は省くが、送信元で電子署名をして送信先で検証することでそれが可能になる。国際標準の安全な仕組みだ。
出典:総務省「公的個人認証サービスによる電子証明書」
ここでいう本人確認とは、会員登録などの際に本人の身元が確かで、確かに本人であるかどうかを確認する手法のこと。オフラインでは、店頭で身分証明書と自分の情報を記載した書類を提出すると、担当者が身分証明書を目で見て記載内容と相違ないか確認し、写真と本人の顔を見比べて当人であることを確認する、という作業のことを指す。
正式には「身元確認」と「当人認証」の2種類に分類され、その人が確かに存在しているかどうかを確認するのが身元確認で、その人が確かに本人であるかを確認するのが当人認証になる。
存在を証明するのは、公的身分証明書の場合はその国家になり、マイナンバーカードも日本政府が、その氏名、住所、生年月日、性別、顔写真の人物が確かに日本国民として存在することを証明している。そしてその証明書を持ってきた人が確かにその人であるかを確認するために、例えば写真と本人の顔を見比べることで検証する。
証明書によって本人確認強度は変わり、例えば学生証や社員証なら、その学校や企業に所属していることは保証されても、国が保証しているほどの確実さはないので銀行口座は開設できない。しかし、校舎やオフィスに入るだけであれば、学生証や社員証で十分、という判断になる。
こうした身分証明書の現物を目視で確認するなどして、それが偽造されておらず、目の前の本人が写真と一致するか、記載された書類の情報が一致するかを確認するのが、一般的なオフラインでの身元確認だ。
これに対して当人認証とは、登録した当人がアクセスしてきているかを確認する仕組みで、基本的にはオンラインでの作業を指す。例えばユーザー登録時にIDとパスワードを設定して、同じIDとパスワードを使ってログインした人は、ユーザー登録した人と同じ、と判定する。
日本語では、この身元確認と当人認証をあわせて「本人確認」と呼ぶ。そして、この2つの本人確認を確実に実行できるのがJPKIだ。
より確実なJPKIによる身元確認とは
身元確認は、マイナンバーカードや運転免許証などの公的な身分証明書と、記載された書類を目視で確認して照合するというのが一般的だが、オンラインの場合、本人が目の前にいないため、入力されたデータが、確かに本人のものか確認することが難しい。身分証明書の現物もないため、会員登録時に入力された氏名や住所などが、実際に身分証明書に記載されたものと同一か確認する術がない。
そのため、従来であれば身分証明書のコピーを送付する手法や、登録時に入力された住所に書類を送付して配達人が身分証明書と本人を見比べて確認する手法などが用いられてきた。ただし、この場合は登録までの時間がかかって利便性が低いこと、手入力・目視確認でミスが発生しやすいなどといった問題があった。
そこで生まれたのがeKYCと呼ばれる手法だ。KYC(Know Your Customer)とは、金融機関などの店頭における本人確認の手法を指す。これを電磁的に行うことからeKYC(electronic KYC)と呼ぶ。
このeKYCとして一般に広まっている手法は、身分証明書をスマートフォンのカメラで撮影して、さらに自撮り写真を撮影して送信すると、AIなどを使って偽造されていない本物の身分証明書か、写真と同じ本人かどうかを確認して、入力されたデータとの相違も検証することで身元確認を行うというもの。
eKYCとして広く使われているが、生成AIの進化でこの写真を偽造するといった攻撃も起こりえる。
このeKYCの手法として活用されるのがJPKIだ。JPKIでは、マイナンバーカードのICチップをスマートフォンで読み取り、パスワードを使ってICチップ内に保管された「署名用電子証明書」を読み出す。署名用電子証明書には氏名、住所、性別、生年月日の基本4情報が含まれており、その情報を読み取って会員登録の情報と照合でき、さらに電子署名が行われる。
この電子署名によって、データを入力したのが確かに本人であることを確認でき、さらにそのデータはインターネット上で改ざんされていないことが保証される。電子署名が現実世界の実印と同じといわれる理由だ。
マイナンバーカードのICチップは偽造ができず、電子証明書をコピーして他人が使うことは不可能と言っていい。AIが発達してもなりすましができないので、eKYCとしては最も強力だ。
こうしたことから、政府はマイナンバーカードを使ったJPKIを推進する方針で、銀行口座の開設などにおける本人確認を規定した犯罪収益移転防止法、携帯電話の契約での規定である携帯電話不正利用防止法において、オンラインにおいてはJPKIに一本化する方針で、オフラインでもICチップの利用を推進する。
出典:総務省「公的個人認証サービスによる電子証明書」
銀行口座以外でも、例えばキャッシュレス決済サービスのクレジットカード、QRコード決済などの契約でマイナンバーカードのJPKIを利用する例が増えている。
オフラインでは、店頭でもマイナンバーカードのICチップを読み取り、券面と同じ氏名や住所などの4情報と顔写真が読み取れるかを確認することで、偽造されたマイナンバーカードでないことを検証できる。これまでもICチップをチェックして身分証明書の偽造チェックはできたが、専用の機械が必要だった。
それに対してデジタル庁がスマートフォン用のマイナンバーカード読み取りアプリ「マイナンバーカード対面確認アプリ」を提供。店舗で簡単にマイナンバーカードのデータを読み取ることが可能になった。
マイナンバーカードを使ったJPKIでは、「物理的なマイナンバーカード」と「パスワード」という2つの要素を使って認証することから、「マイナンバーカードが手元にある」状況であれば、他人が遠隔からなりすましをすることは不可能だ。
仮にパスワードが他人に知られても、物理カードがなければICチップは読み出せない。逆にマイナンバーカードが盗まれても、パスワードが分からなければ同じく読み出せない。パスワードの入力自体、5回までしか試すことができないため、カードを盗まれてパスワードを総当たりで見破られる危険性もない。
マイナンバーカードとパスワードの双方が盗まれたらなりすましもできるが、キャッシュカードでATMから現金を下ろされる、クレジットカードで多額の買い物をされるというのと同じ。普通は放置せずに停止処置を行うはずで、そうすればJPKIは使えなくなる。
こうした機能によって、JPKIは確実で安全な身元確認の手法となっている。
安全で簡単な当人認証
身元確認だけでなく、当人認証にもマイナンバーカードが利用できる。この場合、マイナンバーカードのICチップに保管された「利用者証明用電子証明書」を使う。
当人認証では、何らかのサービスのユーザー登録時に、マイナンバーカードの利用者証明用電子証明書の情報も同時に登録する。この時点でマイナンバーカードと利用者証明用電子証明書の暗証番号(4桁)を使って登録するため、物理カードと暗証番号を知る人しか登録ができない。
実際にログインする際には、再びマイナンバーカードの利用者証明用電子証明書を読み出して認証を行う。サービス側はあらかじめ登録された利用者証明用電子証明書の情報と照合することで、同じ電子証明書であればログイン許可をする。
身元確認でも説明したとおり、マイナンバーカードのICチップは偽造できず、電子証明書を他人が悪用することはできない。利用者証明用電子証明書でも同様で、マイナンバーカードと暗証番号が同時に盗まれなければ、他人がログインすることはできない。
IDとパスワードも存在しないため、他人が外部から侵入することはできないし、サービスごとに異なるパスワードを設定する必要もなくなるため、利便性も向上する。
最近は、「クレジットカードが不正に利用された」などといった偽メールなどで被害者を誘導し、IDとパスワードなどを入力させてカード情報や金銭を奪うフィッシング詐欺攻撃が多大な被害を生んでいる。
こうした攻撃では、本物そっくりの偽サイトを構築してユーザーを騙そうとする。利用者証明用電子証明書を使ったログインの場合、そもそもあらかじめ登録されたサイト(URL)へのアクセスでなければ、マイナンバーカードの読み取りが発生しない。どんなに見た目が似ていても、URLが一致しなければログインができないため、偽サイトにアクセスしてしまう心配がない。
こうしたことから、パスワード漏洩だけでなくフィッシング詐欺にも強いのがマイナンバーカードを使った当人認証となっていて、安全性の高い手法とされている。
現状は日本で発売されているNFC対応のスマートフォンであれば、多くがマイナンバーカードの読み取りに対応している。PCなど、スマートフォン以外の環境でも、QRコードをスマートフォンで読み取ってマイナンバーカードを使えばログインできるので、幅広い環境で利用できるのも便利な点だ。
なお、マイナンバーカードを健康保険証として利用する「マイナ保険証」だが、カードを病院受付のリーダーに置いて顔認証を使うことで読み出しているのは、この利用者証明用電子証明書。上記と同じ仕組みを用いて安全に当人認証を行って、保険情報をオンライン経由で取得する仕組みになっている。
真価を発揮する電子証明書の
スマートフォン搭載
こうしたメリットのあるマイナンバーカードのJPKIだが、最大の欠点が「物理カードが常に必要になる点」だ。当人認証であればログインのたびに使うし、会員登録などで署名用電子証明書を使う場合も同様。
IDとパスワードが存在しない代わりに、物理カードによって本人かどうかを担保しているため、常にカードを持ち歩き、使用の際にはカードを取り出してスマートフォンにタッチする必要がある。
こうした課題を解消するのが、「スマホ用電子証明書搭載サービス」だ。これは、マイナンバーカードのICチップ内に保管された電子証明書と同じ機能の証明書をスマートフォン内の安全な領域に保管し、その電子証明書を使って本人確認を行うというもの。これによって、マイナンバーカード自体を使う必要がなくなる。
使い方としては、あらかじめマイナンバーカードをスマートフォンにタッチしてスマホ用電子証明書の発行を行っておき、電子証明書を求められた際に利用するだけ。署名用電子証明書、利用者証明用電子証明書の双方が作成できるので、オンラインの本人確認用途としては問題なく利用できる。
カード自体を使わずに、スマートフォン単体で利用できるため利便性がさらに向上。ログインに使う利用者証明用電子証明書の場合、4桁の暗証番号を入力する代わりに、スマートフォンの生体認証も使えるので、さらに利便性が高い。つまり、あるサービスにログインしようとして、指紋認証なり顔認証をするだけで、JPKIの安全なログインができるわけだ。
使い勝手が良くなるため、今後の普及が期待できるが、問題点もいくつかある。まず、スマホ用電子証明書搭載サービスは、現時点でAndroidにしか対応していない。また、その中でも一部の端末に限られており、すべての端末で利用できるわけではない。
国内のスマートフォンユーザーで約半数が利用するiPhoneに対応していない点が最大の欠点だろう。これについては、今年の春の終わり頃に対応する予定で、そうすればiPhoneユーザーも同じように利用できるようになる。
出典:デジタル庁「マイナンバーカードのスマートフォン搭載について」
もう1つの欠点は、電子証明書を発行した端末でしか利用できない点。マイナンバーカードを使う場合は複数の端末で利用できるが、スマホ用電子証明書搭載サービスの場合は1つの端末でしか利用できない。
現時点で、JPKI対応サービスは決して多くはない点も課題だ。口座開設や携帯電話の契約では多くのサービスが対応しているが、特に当人認証での利用はあまり多くはない。また、スマホ用電子証明書に対応したサービスが少ないのも問題となっている。
こうした課題については、今後iPhoneへの機能搭載によって利用者がさらに増えるので、対応サービスが増える可能性はある。
今後は、オンラインで携帯電話の契約や銀行口座の開設をする場合、基本的にはJPKIによる本人確認(身元確認)が求められる。そのほかにも、一定の本人確認が必要なサービスではJPKIが求められるようになってきており、今まで使ったことがない人も、使う機会が増えるだろう。
マイナンバーカードを使った本人確認が増えれば、ユーザーが使い方に慣れて利用者が増え、JPKI を使ったログイン(当人認証)の普及も進むかもしれない。そうした場合、利便性向上のため、複数の端末でログインができるパスキーと呼ばれる技術とJPKI を併用することで、パスワードレスで安全・確実な当人認証も可能になるだろう。
オンラインの犯罪が増え続ける中、一定の対策となりうるマイナンバーカードのJPKI は、今後の普及が期待されている。
「決済・金融・流通サービスの強化書2025」より
