マイナンバーカードとJPKIで本人確認の仕組みは普及するか

メルペイではマイナンバーカードで本人確認が可能に

メルペイは3月2日、マイナンバーカードを使った本人確認サービスをスタートしている。

公的個人認証サービス(JPKI)を用いての本人確認の仕組みだが、その最大の特徴は、マイナンバーカードをスマートフォンなどの端末に近付けてパスワードを入力するだけで、リアルタイムですぐに確認作業が完了する点にある。

従来の運転免許証などを用いたeKYCでは、身分証が正規のものであり、かつ本人の姿が偽装でないことを示すために複数の写真や動画の撮影が要求されるなど手順が煩雑だった。さらに、確認作業は最終的に人手を必要とするため、最短で十数分程度で確認が完了する場合もあれば、1週間近く反応がないこともあったりする。

マイナンバーカードでのJKPIを用いた確認作業であれば、こうしたデメリットなく非常に利便性が高い点で優れている。

今回はこの仕組みに踏み込みつつ、マイナンバーの今後について少し考えたい。

メルペイの導入したマイナンバーカードの本人確認とは

前段にもあるように、eKYCでの本人確認作業は以前に比べて非常にシンプルなものになっている。

今回のマイナンバーのJPKIを用いた認証は「スピード本人確認」と別カテゴリになっており、マイナンバーカードの券面を読み取るのではなく、カードのICチップ内に保存されている電子証明書の有効性を確認する仕組みを採用する。

現在まだiOS版(iPhone)アプリのみの対応となっているが、マイナンバーカードで用いられる2種類のパスワード(「利用者証明用の電子証明書」と「署名用の電子証明書」)のうち、e-Taxなどで用いられている英数字を組み合わせた長文パスワードを入力して、あとはiPhone先端のNFC読み取り部にマイナンバーカードを近付けるだけだ。基本的に、これだけですぐに本人確認の結果は通知され、サービスの利用制限が解除される。

マイナンバーカードでKYCを行なう場合の動作フロー

このJPKIでの認証のポイントは、多要素認証における「知識情報」「所持情報」を組み合わせた点にある。

この場合の「知識情報」は「パスワード」であり、「所持情報」は「有効なマイナンバーカードを所持している」ということだ。多要素認証ではこれに加えて「生体情報」を合わせた3つの要素で構成されるが、3つの違うカテゴリの認証要素をうまく組み合わせることで認証強度が高くなり、結果として“安全”な「多要素認証」が実現される(同じカテゴリ同士では多要素認証としての強度は弱くなるとされる)。

つまり、マイナンバーカードを持っているだけではすぐにJPKIの認証は突破できないという点だ。

もしマイナンバーカードを紛失した場合、単純に考えればカードが悪用される可能性が考えられるが、紛失した旨を公的機関に届け出ればすぐに証明書が無効化され、少なくともJPKIを通じた悪用は難しくなる。これは現時点において「有効な証明書はマイナンバーカード内の1つしか存在しない」という点にあり、安全性の担保になっている。これに知識情報である「パスワード」を組み合わせることで、さらに認証精度が向上する。

今回メルペイが導入したJPKIを用いての本人確認サービスは、おそらく決済アプリの世界では業界初のケースとなる。

このタイミングでの導入となった経緯についてメルペイ プロダクトマネージャーの進祐二郎氏は「メルペイは常に新しい本人確認方法を検討しており、確認強度が高く、よりお客様が安全で簡単に利用できる手段としてマイナンバーカードを採用した。従来のeKYCと比べてすぐに結果を返答できることが特徴であり、このタイミングでの導入となったのは普及率との兼ね合いをみつつ判断した結果」と説明している。

JPKIの利用自体は以前から可能であり、法的な問題もなかったものの、実際にある程度普及が進んだ段階を見定めたのがこのタイミングだということだ。

マイナンバーカードの近況については過去の連載でも触れているが、マイナポイントを含む複数の誘導策を経て2020年にある程度普及が加速したという背景がある。

もちろん、それでも現状の交付枚数が全人口の4分の1程度という段階ではあるものの、「サービスとして提供を行なっても問題なし」という判断がメルペイ内で検討される程度には普及したということなのだろう。

進氏によれば、「3月中提供」を目標に現在もAndroid版の開発が進んでいるが、iOS版が先行した理由は「開発の優先順位によるもの」ということで、実装難易度などの面でAndroidとiOSでの違いはないという。とにかく、本人確認強度と審査時間の面の両方でメルペイとユーザーの双方にメリットがあり、JPKIの仕組みは積極的に推進していきたいとしている。

メルペイ プロダクトマネージャーの進祐二郎氏

マイナンバーカードのJPKIで本人確認する仕組み

もう少し具体的に実際の動作をみていく。公的個人認証サービス(JPKI)では、いわゆるPKIの仕組みに則って電子証明書を発行する認証局が存在し、秘密鍵と公開鍵の鍵ペアを作成して認証を行なうようになっている。

JPKIの場合、この認証局に相当するのが「地方公共団体情報システム機構(J-LIS)」であり、個人の登録情報を持つ市町村などの地方自治体の認証関連のフロント業務を一手に引き受けている。このJ-LISに接続して証明書の有効性を確認して本人確認を行なうための民間事業者(「署名検証者」という)が2016年1月に認められるようになったものの、あくまで総務大臣による認定を必要としている。この一覧はJ-LISのページに掲載されており、どのようなサービスに活用されているかが分かるようになっている。

J-LISのページに掲載された総務大臣認定事業者とその顧客の一覧

これを見ると分かるように、メルペイはサイバートラストという事業者の直下に入っている。同社におけるマイナンバーカードでのJPKIを用いた本人確認サービスとは、ユーザーからの本人確認リクエストを受けた段階でサイバートラストにAPI経由で接続を行ない、サイバートラストがJ-LISに証明書の失効情報を確認してその結果をメルペイに通知するという流れで成り立っている。

ここで重要なのは、メルペイがマイナンバーカードにおける証明書などの情報に一切タッチしていない点だ。もともとマイナンバーカードにおける証明書には個人情報そのものは含まれていないが、あくまで認定事業者であるサイバートラストへの橋渡しをユーザーからのリクエストに応えて行なうだけで、メルペイとしてはその判定結果を受け取っているに過ぎない。

メルペイ、総務大臣認定事業者、J-LIS間での本人確認フロー

「お客様によく勘違いされるが、メルペイではマイナンバーの情報自体は保存しておらず、そこからの漏洩はない」(進氏)ということで、仕組み上でそうした懸念はないと説明している。認定事業者はサイバートラスト以外にも存在しているが、このように事業者が認定制度であるということはそれだけ証明書などの取り扱いが厳重ということでもあり、同時にメルペイなどの一般的な事業者にとっては情報を取り扱うリスクそのものの観点からも「なるべく触りたくない」というのが本音だろう。

そしてマイナンバーカードとそれを用いた本人確認サービスの今後という話になるが、総務省の今年2021年3月1日時点での人口に対する交付率は26.3％で、非常に微妙な数字だ。マイナポイント事業が延長されたことを考えても、総務省として満足の行く水準には達していないというのがここからも分かる。

2021年3月1日時点でのマイナンバーカードの交付状況(出典：総務省)

1ついえるのは、マイナポイントなどの“餌”を軸にした普及促進策はそろそろ限界に近付いており、「本当の意味での利便性」を示すことで、国民が自主的にマイナンバーカードを利用していく素地を整えることが必要な段階に達したのではないだろうか。

今年スタートの健康保険証をはじめ、数年内には運転免許証の取り込みやスマートフォンへの搭載のロードマップが見えている。今回のメルペイの新サービスも、そうした流れの中で「従来のeKYCよりも簡単で安全な方式」ということが周知され、他の事業者にも広がっていくのであれば、そうした素地が自然に醸成されるはずだ。

まだまだ数は少ないものの、こうした事業者は徐々に増えているという話が聞こえてきており、総務省もまた普及促進策のもう1つの軸として注目しつつある。このあたりの動向は引き続きレポートしていきたい。