暗証番号なしの「マイナンバーカード」に意味はある？ カギは「券面情報」（2/3 ページ）

[井上翔，ITmedia]

マイナ保険証の本人確認は「暗証番号」か「顔認証」か「目視確認」

　マイナ保険証の本人確認は、マイナンバーカードの利用者証明用電子証明書を使うこと、言い換えると同証明書用の暗証番号を使って本人確認することが“本則”とされています。ただ、数字4桁とはいえ、その場で暗証番号を思い出せない事態も考えられます。入れ間違え過ぎて「ロック」が掛かってしまう可能性もあります（※1）。暗証番号自体は覚えていても、病状によっては入力が困難なケースも考えられます。

（※1）利用者証明用電子証明書の暗証番号にロックがかかってしまった場合は、住民登録している市町村／特別区が指定する窓口で解除（再登録）できます

　そこで、マイナ保険証の資格確認では「顔認証」と「目視確認」も許容されています。

顔認証

　マイナンバーカードの券面APは、カード表面に印字されているものと同じ写真を画像データとして保持しています。マイナンバーカードは、市町村／特別区の窓口で受け取る際に券面とデータの顔写真の照合を行ってから手渡すことになっているため、本人確認書類としての精度は高いとされています（※2）。

（※2）一部の市町村／特別区では、照合に必要な情報を事前に確認することでカードを簡易書留などで郵送しています（例外的な措置です）

　そこで、顔認証対応のカードリーダーでは暗証番号の代わりに、リーダーのカメラに写る顔とマイナンバーカードの顔写真データを照合することで本人確認を行えます。その場合の確認フローは以下の通りです（2〜4の手順は並列で処理されます）。

1. 被保険者が「顔認証」による本人確認を選択
2. リーダーの「患者用カメラ」で被保険者の写真を撮影
3. リーダーの「カード用カメラ」でマイナンバーカードの券面を撮影
4. 患者用カメラの写真と券面APの顔写真データとの照合を実施
5. （一致した場合）保険資格の確認に遷移／（一致しない場合）別方法での認証に遷移

　3番目の手順は、カードの顔写真を確認するため……ではなく、基本的に券面APのデータを取得するのに必要な情報を読み取るために行われます。というのも、券面APのデータを読み出すには、以下のいずれかの「照合番号」が必要だからです。

• 照合番号A：マイナンバー（個人番号：12桁）
• 照合番号B：生年月日（6桁）＋有効期限の西暦部分（4桁）＋セキュリティコード（4桁）

　繰り返しですが、医療機関はマイナンバー“そのもの”を取得しません。よって、照合番号A（マイナンバー）を使ったデータ取得はできません。その代わりに、カードの表面をカメラで撮影し、OCR（光学的文字認識）処理によって照合番号Bを生成し、データを取得しています。

　ちなみに、以下のいずれかに当てはまる医療機関では顔認証を行えません。

• マイナンバーカードの読み取りに汎用（はんよう）型カードリーダーを使っている場合
• 顔認証対応リーダーの顔認証機能を明示的に無効化している場合

そのため、マイナンバーカードの券面APを読み取るためには「生年月日（和暦を含む6桁）」「有効期限（西暦部分）」「セキュリティコード」を14桁の数字として入力する必要があります。顔認証対応カードリーダーには、これらのデータをOCR処理で取得するための券面撮影用カメラを備えています

マイナ保険証用のカードリーダーにおける顔認証には一定の技術的要件があります。顔やマイナンバーカードの写真データは認証処理が終わった段階で消去し、代わりに操作ログ／エラーログを残すようになっています。メモリダンプやデバッグモードの利用も許容しないようになっています（オンライン資格確認・医療情報化支援基金関係医療機関等向けポータルサイトの公開資料より抜粋：PDF形式）

目視確認

　暗証番号による認証ができず、顔写真との照合による認証もできない――そのような場合は、事務員による「目視確認モード」という方法も用意されています。

　その名の通り、目視確認モードでは事務員がマイナンバーカードの顔写真が本人のものであるかどうかを確認した上で、資格確認を実行します。従来の健康保険証に最も近いオペレーションですが、顔写真で本人かどうか確かめられるというメリットはあります。

　なお、目視確認モードを利用する場合もカードリーダーを使ったマイナンバーカードの読み取りは必要です。顔認証対応リーダーを使っている医療機関では、「目視確認モード」に切り替えてカードを読み取ることになります。

マイナンバーカードを健康保険証として利用する場合は、事務員による写真の目視確認も許容されています