マイナンバーカード機能のスマホ内蔵で何が変わる？ 「誤解」と「期待されること」（2/3 ページ）

[小山安博，ITmedia]

2つの電子証明書を使って個人認証を行う

　マイナンバーカードのICチップに2つの電子証明書を使った認証機能を公的個人認証サービス（JPKI）という。

JPKIの仕組み。地方公共団体情報システム機構（J-LIS）に有効性確認をすることで証明書を検証する

　マイナンバーカードのICチップ内には2つの電子証明書が保管されている。この電子証明書をスマホに内蔵するのだが、ICチップ内の電子証明書は一意のものなので、複製するのではなく、「カード内の電子証明書を使ってスマホ用電子証明書を新たに発行して保管する」という形になる見込み。この発行自体は、マイナンバーカードと対応スマホを使えば、24時間、オンラインで発行できるようになる予定。

マイナンバーカードの構造。ICチップ内に2つの電子証明書が含まれる

　この電子証明書は、1つは利用者証明用電子証明書。この証明書には住所、氏名、性別、生年月日という基本4情報が含まれないので、サイト側にとっては個人を特定することはできないが、アクセスした人が電子証明書の利用者本人であることが証明できる。確実に他人のアクセスと区別する認証のための機能だ。

　これに対して、もう1つの署名用電子証明書は、送信されるデータが改ざんされていないかなどを検証できる仕組みで、e-Taxでの確定申告などに活用されている。この証明書には基本4情報が含まれており、本人確認として利用できる。

【訂正：2022年10月31日15時40分 初出時、署名用電子証明書に顔写真データが含まれている旨の記述がありましたが、誤りでした。おわびして訂正いたします。】

署名用電子証明書と利用者証明用電子証明書の詳細

　会員登録時に署名用電子証明書で自身の情報を登録すれば、本人確認をした上でアカウント登録ができる。現在もeKYCとして決済サービスの本人確認などでも使われている機能だ。今まではマイナンバーカードが必要だったが、スマホに内蔵されれば、スマートフォンだけで本人確認をした上での会員登録ができる。

　署名用電子証明書と暗証番号を使った本人確認は、犯罪収益移転防止法（犯収法）でも認められた方式（いわゆる「ワ」方式）なので、このeKYC方式が広まれば、「マイナンバーカードと自分の顔を撮影する」といった手間も不要になる。

署名用電子証明書を使った本人確認は、犯収法規則6条1項1号ワで規定されている。ちなみによくある「身分証を撮影して本人の自撮りを撮影して送る」方式は同ホで規定された「ホ」方式

　これによって、金融機関の口座開設など、本人確認が必要なサービスを、スマホとその生体認証機能を使うだけで、簡単に安全に利用できる、というのが1つのメリットだ。その後のサービスへのログインも、利用者証明用電子証明書を使うことでIDとパスワードも必要がない。パスワードがないので、パスワードリスト攻撃をはじめとした外部からの攻撃にも強い。

　基本的に、スマホ内の証明書を読み取れるのはマイナポータルアプリに限定される見込みで、さらにマイナポータル経由で証明書を取得できるサービスもホワイトリスト方式で管理される予定。そのため、フィッシングサイトで他のURLにアクセスさせようとしても、マイナポータルアプリでブロックされて証明書を読み取れないので、フィッシングサイトがログイン情報を盗むこともできない。

他のアプリやサイトは、マイナポータルアプリ経由でマイナンバーカードの電子証明書を活用する