マイナンバーカードのチップ内にある「マイキー」を活用して、企業や個人にもメリットがある仕組み作りが進行中だ。その実態とは。
今回のテーマは、マイナンバー制度で1人に1枚交付されるマイナンバーカードをさまざまなサービスでの個人認証に役立てるための基盤「マイキープラットフォーム」だ。マイナンバー制度は行政がラクになるだけ、企業や個人がトクすることは極めて限定的かと思ったら、そうでもないかもしれない。
国が推進する「公的個人認証サービス」の民間活用がスタートし、マイナンバーカードの普及に従って利用範囲がどんどん拡大するだろう。このサービスを利用して、オンラインサービスの本人確認などに活用するための取り組みが始動した。
マイキープラットフォームとは、マイナンバーカードを各種の行政サービスばかりでなく、民間オンラインサービスの本人認証や商店街のポイントカードなどの幅広い用途に使えるようにするための仕組みだ。
地方公共団体情報システム機構が運営する「公的個人認証サービス」をベースに総務省が着々と構想を具体化し、プラットフォームを事業として提供する民間業者も名乗りを上げた。さまざまな検討要素があり、未定部分も多いのだが、骨組みは固まりつつあり、2017年には実用が本格化しそうだ。
なお、マイナンバーカードを利用するので、マイナンバーの漏えいを心配されるかもしれないが、公的個人認証サービスおよびマイキープラットフォームはマイナンバーそのものと全く関係がなく、ナンバーを利用する部分は皆無だ。
もし、ナンバーが漏れるとすれば、店頭などでカードリーダーにかざす時に裏面を見られることだが、カードケースを装着した状態でも利用できる。また、店員がカードを預かってコピーすることは法的に禁じられているので、あまり心配することはなさそうだ。
マイナンバーカードの裏面には、国や自治体などが税、社会保障、災害の場合にのみ使用するマイナンバーが記載され、その横にICチップが埋め込まれる。チップの中には、本人が申し込めばその人専用の「署名用電子証明書」と「利用者証明用電子証明書」という2つのデジタル証明書が入れられる。
これを利用して、カードを利用する人が本当に本人であるかどうかや、送信されてきた電子文書が改ざんされていないかどうかを確認する仕組みが公的個人認証サービス(JPKI)だ。
当然ながら、マイナンバーカード内の証明書は1つとして同じものはない。マイナンバーカードは1人1枚しか持てないので、2つの証明書はどちらも世界で唯一のものになる。証明書の生成には秘密鍵が必要になるが、これもカードのICチップ内部にあり、そこから外には決して出ないようになっている。電子署名や電子利用者証明はICチップ内部で行われる。カードそのものと同様に証明書の有効期間は5年(またはカードの失効まで)だ。
もともとe-Taxなどの公的機関に対する電子申請で住民基本台帳カード上のICチップが利用できた。署名用電子証明書だけが利用されたが、これはいわば「実印」のようなもので、署名された申請書などの文書の真正性を証明する。
それが本物かどうかを確認するのは、総務大臣が認定した署名検証者だ。この仕組みはマイナンバーカードも同様で、電子文書が提出者本人が作成したものであることを証明(成りすましの防止)し、かつ第三者による改変が行われていないことを確認(改ざんの防止)できる。
マイナンバーカード提供に伴って新しく加わったのが利用者認証用電子証明書だ。署名用電子証明書との大きな違いは氏名、住所、性別、生年月日(基本4情報)が記載されるかどうかだ(表1)。
利用者証明用電子証明書が簡略化されるのは、Webシステムへのログイン認証などの目的に使うことを意図したからだ。ログイン認証では正確な住所などの確認を行う必要がなく、本人であることさえ確認できれば良い。必要以上の情報を記載しないようにしたわけだ。
これにより、ログインID/パスワードによる認証に加えて「持ち物」による認証も行えるなり、場合によってはパスワードを不要にすることもできると考えられる。サービス事業者にとってはセキュリティ向上が図れ、パスワード運用コストを削減できる。企業独自に認証局を運営するのに比べれば、はるかにコストが削減できる。
マイナンバーカード利用のためのパスワードは必要だが、これに関する問い合わせは地方公共団体、または情報システム機構が対応するので、サービス提供をする民間会社の手間が増えることはない。利用者にはカードリーダーの導入が必要になるものの、複数のサービス利用におけるパスワード管理の煩雑さから解放されるメリットがある。
マイナンバーカードのICチップ内部は「マイナンバー部分」と「マイキー部分」とに分かれる。マイナンバー部分は行政機関などだけが利用し、公的個人認証サービスやマイキープラットフォームでは使われない。マイキー部分に含まれるのが上記2種類の証明書と「空き領域」だ。この部分の民間活用が2016年1月から可能になった。
Copyright © ITmedia, Inc. All Rights Reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。