スマホの電話番号を乗っ取られる「SIMスワップ」被害が増加 求められる対策とは？：房野麻子の「モバイル新時代」（2/3 ページ）

ここ最近、「SIMスワップ」「SIMハイジャック」といった言葉が世間を騒がせている。一般に知られるようになったきっかけは、4月に起こった東京都の都議会議員と、大阪府八尾市の市議会議員の被害だ。

[房野麻子，ITmedia]

根本的な解決は「JPKI」か

　今回のSIMスワップの被害では、本人確認にマイナンバーカードが使われたことから、マイナンバーカードそのものに原因があるかのような報道も一部あったようだが、原因は本人確認が徹底していなかったことだ。本人確認がしっかりしていなければ、運転免許証でも同様の犯罪が起こる可能性がある。

　事件を受けて、デジタル庁は、偽造マイナンバーカードを見分ける方法を盛り込んだ文書を民間事業者向けに配布した。本物のマイナンバーカードは、カード右上の「マイナちゃん」の背景がパールインキで印刷されており、見る角度によって緑色と桃色に見えることなどが文書には書かれている。

　しかし、総務省の「不適正利用対策に関するワーキンググループ」の第3回会合で警察庁が配布した資料を見ると、携帯電話の不正契約では、一見して本物と見分けが付かないほど精巧に偽変造された本人確認書類が用いられることが多いとある。身分証偽造は国際的な犯罪組織が大掛かりに行っているようだ。

　同ワーキンググループは、携帯電話の契約時、券面を偽変造した本人確認書類を使って不正に契約されることを防ぐため、マイナンバーカードの「公的個人認証（JPKI）」を活用する方向で検討を進めている。SIMスワップ詐欺について、多くの記事で識者が対応策として提言しているICチップを読み取る方法だ。

2023年に閣議決定された「デジタル社会の実現に向けた重点計画」を踏まえ、本人確認方法の見直しを進めている

　公的個人認証とは、マイナンバーカードのICチップに搭載された電子証明書を利用して、オンラインで利用者本人の認証や契約書などの文書が改ざんされていないことの確認を公的に行うこと。公的個人認証サービスの仕組みは、地方公共団体情報システム機構（J-LIS）によって運営されており、行政機関だけでなく、民間事業者（2023年6月1日時点で477社）の各種サービスにも導入されている。

　ただ、公的個人認証サービスは、これまではオンラインでの本人確認を強化するために導入されてきた。

　例えば現在、携帯電話のオンライン契約では、運転免許証やマイナンバーカードと自分の顔を撮影して本人確認する画像解析型本人確認の「eKYC」が採用されているが、デジタルアイデンティティ推進コンソーシアムは、eKYCには本人確認書類の真正性検証（validation）のプロセスがなく、身元確認の意味をなしていないと問題点を指摘している。今後、オンライン契約でeKYCは廃止され、公的個人認証で本人確認が行われていくことになる。

eKYCでは身元の偽装が容易。過渡期の技術として近い将来淘汰されていくとしている（デジタルアイデンティティ推進コンソーシアムが不適正利用対策に関するワーキンググループ（第4回）に提出した資料より）

　その一方で、対面での本人確認が不正のターゲットになる可能性も指摘されている。対面での本人確認にもICチップを読み取る公的個人認証サービスを導入するべきなのだが、読み取り機器やシステム開発が必要になる。