個別アプリでのマイナンバーカード読み取り、実は「12桁の番号」は使っていない?(法的、技術的な裏側を整理)

IC

マイナンバーカード
2つの情報

最近、通信キャリアのオンライン契約やアプリを利用する際、「マイナンバーカードをスマホにかざして本人確認」を求められる機会が急速に増えましたよね。
ITやシステムに関わる方であれば、「12桁のマイナンバーを民間企業のアプリに読み取らせて、セキュリティやコンプライアンス的に大丈夫なのだろうか?」「そもそも法律的に認められていないのでは?」と、データ連携の裏側に疑問を持ったことでしょう。

しかし結論から言うと、民間企業のアプリは「12桁のマイナンバー(個人番号)」そのものを読み取っているわけではありません。

今回は、ビジネスパーソンとして知っておきたい「通信アプリにおけるマイナンバーカード活用の法的根拠と、その技術的な仕組み」を分かりやすく整理してご紹介します。

日本通信アプリが進化

この話の発端は、手元の日本通信アプリのアップデートです。
2週間ぶりくらいで起動したところ、これまでのちょっとイマイチなアプリから、最新のインターフェースに切り替わっていました。

そして、マイナンバーカードを読み取る流れになっているのです。

アプリ
日本通信アプリ

ちなみに、画面の下のほうには「アカウントを作らずマイページのみ閲覧したいお客様はこちら」という記載もあり、「こちら」の部分をタップすると、標準ブラウザーでマイページへのログイン画面に遷移します。
マイナンバーカードの読み取り操作なしに、これまでどおりの利用状況確認は可能です。

アプリが取得しているのは「電子証明書」

アプリにカードをかざした際、事業者が取得しているのは12桁のマイナンバーではなく、カードのICチップ内に格納されている「公的個人認証サービス(JPKI)の電子証明書」です。

12桁のマイナンバーは「番号法(マイナンバー法)」によって、税・社会保障・災害対策以外の目的で民間企業が収集・保管することが厳しく禁じられています。

一方で、電子証明書を用いた本人確認公的個人認証法」という別の法律に基づく仕組みです。主務大臣の認定を受けた民間事業者(通信会社など)は、この仕組みを利用して、適法かつ安全にオンラインでの厳格な本人確認を行うことができます。

つまり、用途に応じて「アクセスしてよい領域」がICチップ内で明確に分離されているのがです。

なぜ今、カード読み取りが急増しているのか?

これまでのように「運転免許証の写真をスマホで撮影してアップロードする」方式ではなく、なぜわざわざICチップの読み取りが求められるようになっているのでしょうか。
その背景には、「携帯電話不正利用防止法」および「犯罪収益移転防止法」の改正に向けた政府の動きがあります。

IC

近年、偽造された身分証を使った不正契約や、それに伴う特殊詐欺闇バイトが深刻な社会問題化しています。
券面画像のアップロード方式では、高度な画像加工による偽造を見抜くのが困難になってきました。

そこで、偽造が極めて困難な「ICチップの読み取り(公的個人認証)」を原則として義務化する方針が脚光を浴びることになりました。
カードの普及率が8割を超えているという数字も後押ししていることでしょう。(運転免許証の保有率より高いのですから!)
各通信会社がこぞってアプリでのカード読み取りを導入しているのは、この法改正の動きを先取りしたコンプライアンス対応なのです。

どのような技術要素で成り立っているのか?

では、アプリを通じた本人確認は、どのような技術的プロセスで実行されているのでしょうか。大まかなアーキテクチャは以下の3ステップです。

  1. NFCによるICチップ読み取り: 最新のiPhoneをはじめとするNFC(近距離無線通信)対応スマートフォンを利用し、アプリの指示に従ってカードを密着させます。これにより、非接触でICチップ内のデータを読み出します。
  2. 暗証番号(PIN)によるガード: データの読み出しには、ユーザー自身が設定した「署名用電子証明書暗証番号(英数字6〜16桁)」などの入力が必須です。これにより、万が一カードを紛失しても、物理的な所持だけではデータを引き出せない設計になっています。
  3. API経由での署名検証: アプリは読み取った暗号化データを、直接自社のサーバーで判定するのではなく、「公的個人認証API」を通じて認証基盤(J-LIS等)へ送信します。認証基盤側で「証明書が有効か」「改ざんされていないか」を検証し、その結果(および最新の基本4情報)だけが通信会社に安全に返却されます。

民間事業者がマイナンバーカードの公的個人認証サービス(JPKI)を利用するためには、大きく分けて「自らが認定を取得する方式(プラットフォーム事業者)」と、「すでに認定を受けている事業者のシステムを利用する方式(サービスプロバイダ事業者)」の2つのアプローチがあります。
前者は認定手続きがあり、厳しい要件を満たす必要があります。たとえば、24時間365日の安定稼働や厳格なセキュリティー対応などです。
単に「自社アプリの本人確認やログイン機能としてマイナンバーカードを読み取りたい」という目的であれば、すでに認定済みのプラットフォーム事業者のAPIを活用する「サービスプロバイダ事業者」になるのが、現在のシステム開発におけるデファクトスタンダードとなっています。

マイナンバーと公的個人認証がある

通信キャリアのアプリでマイナンバーカードを使うのは、「マイナンバーを収集するため」ではなく、「最高レベルのセキュリティを持つICチップを利用して、偽造不可能な本人確認を行うため」です。

「番号法による制限」と「公的個人認証法による活用」、この2つの境界線を正確に理解しておくと、新しいデジタルサービスを利用する際や、自社で認証システムを検討する際にも、不要な不安を抱くことなく技術を活用できるはずです。

今後のスマホ契約や金融サービスの口座開設では、この「かざすだけ」のプロセスが当たり前のスタンダードになっていくでしょう。

アプリ

ご意見やご感想などお聞かせください! コメント機能です。

タイトルとURLをコピーしました