デジタル庁、マイナカードの「認証アプリ」公開　オンラインの本人確認にICチップ活用　何が変わる？

　デジタル庁は6月21日、オンラインサービスの本人確認にマイナンバーカードのICチップを使えるようにする「デジタル認証アプリ」をリリースした。オンラインでの本人確認は、券面やカードの厚みを撮影して送るのが一般的だったが、手間がかかる上に偽造カードを利用されるリスクもあったが、カード内のIC情報を使うことで、より正確な本人確認ができるようになる。

　例えば、オンラインで銀行口座の開設や限定商品の販売、マッチングアプリなど本人であることが重要なサービスで、手軽かつ正確な本人確認が実現する。デジタル認証アプリに対応する無料のAPIも公開するので、これを組み込むことで、オンラインサービス側は強固な本人確認の仕組みを低コストで導入できるようになる。

　すでに横浜市の子育て応援アプリ「パマトコ」や、三菱UFJ銀行の「スマート口座開設」での導入が予定されている。パマトコであれば、横浜市で子育てしている人を確認するための仕組みが必要になるが、デジタル認証アプリを使えば、そうした問題も解決する。

　今回の発表は、マイナンバーカードを使った本人認証の仕組みだが、その前にマイナンバーカードについても解説しておきたい。

　「マイナンバーカードのICチップにはいろいろな個人情報が内蔵されている」と考えている人が多いようだが、実際にはマイナンバーと暗号キー、氏名、住所、生年月日、性別の4情報と、顔写真のみ内蔵されている。それぞれの省庁や役所では、そのマイナンバーに対してデータが保持されるだけだ。

　空き領域もあるが、市区町村であれば印鑑登録証、コンビニ交付、証明書自動交付機、都道府県なら都道府県立図書館の利用者カード、行政機関であれば国家公務員の身分証明機能（入退館管理）に使うことを想定している。多くの人が考えるような、地方税関係や年金給付関係などの情報はここには入っていない。

　マイナンバーカードは、これを持っている人が、この当人であるということを立証することだけが機能なのだ。このカードを所持しているという所持認証と、パスワードを知っているという知識認証をもって、本人性を立証する。

公開鍵と秘密鍵

　マイナンバーの本人性の認証を理解するには、「公開鍵」「秘密鍵」という概念を理解する必要がある。マイナンバーカードには、この公開鍵と秘密鍵の両方が入っている。

　公開鍵と秘密鍵は、南京錠と鍵のペアのようなもので、公開鍵を使って暗号化したものは、秘密鍵がないと復号できない。秘密鍵はマイナンバーカードにしか入っておらず、パスワードがないと機能しないから、マイナンバーカードを持っている当人しか、この暗号を復号できないということになる。

　逆に、秘密鍵を使ってサインすれば、公開鍵を持っている人ならこの鍵が合うかどうかを検証でき、このサインが本当にマイナンバーカードを持っている人が行ったものだということを証明する。

　ここで有効性確認というのを行うが、この確認をJ-LIS（地方公共団体情報システム機構）という機関が行っている。というのも、公開鍵と秘密鍵が、本当に現時点でも有効なものかどうか確認しなければならないからだ。公開鍵と秘密鍵だけだと、例えば当人が亡くなっていたり、マイナンバーカードの記載事項が変更されていたりしている可能性もあるからだ。

　J-LISがその公開鍵と秘密鍵が現在も有効なものであるということを確認しているというわけだ。