マイナンバーカード・公的個人認証サービスの安全性は?セキュリティ対策について解説
はじめに
2023年12月に自宅でマイナンバーカードを偽装したとして中国籍女性が逮捕される事件がありました。
「マイナンバーカードは本当に安全なんだろうか?」「マイナンバーカードを使った公的個人認証サービスでなりすましをされる危険性はないのか?」と疑問を持たれている方もいるかと思いますので、本記事ではその事件の概要に触れつつ、マイナンバーカード及びマイナンバーカードのICチップを活用するオンライン本人確認サービス「公的個人認証サービス」の安全性・セキュリティについて解説していきます。
マイナンバーカード偽装事件とは
2023年12月、中国から送られてきた情報を基にマイナンバーカードを9枚偽装したとして中国籍の女性が逮捕されました。
警視庁によると、容疑者は中国から贈られてくる顔写真や住所の情報を使ってマイナンバーカードを作成し、日本国内の指定場所に郵送して報酬を受け取っていたということです。
パソコンには、在留カード情報も含めて、3,000件の個人データが残されており、自宅からはICチップ付きの白紙カード750枚も見つかりました。
河野太郎デジタル相によりますと、偽装カードは単純なものでICチップに情報などは入っていないとのことです。
マイナンバーカードの安全性・セキュリティ対策
マイナンバーカードは様々な偽装対策が取られています。
総務省が公開している「マイナンバーカードの安全性」という資料の内容を基に順番に解説していきます。
- 落としても他人が使うことができない
- プライバシー性の高い個人情報は入っていない
- 24時間365日一時停止を受付ている
- ICチップは耐タンパー性を有している
- ISO/IEC 15408認証を取得している
1.落としても他人が使うことができない
・顔写真付きの本人確認書類の為、対面での悪用が困難です。
・マイナンバーカードに関連するオンライン上のサービス(マイナポータルや公的個人認証サービス等)を利用する場合は暗証番号が必要です。
アプリケーション毎に暗証番号が設定されており、一定回数間違うと機能がロックされる仕組みになっています。
・不正にICチップの情報を読みだそうとすると、ICチップが壊れる仕組みになっています。
2.プライバシー性の高い個人情報は入っていない
・税や年金等のプライバシー性の高い情報はマイナンバーカードのICチップには入っていません。
・税や年金等の情報は各行政機関において分散して管理されています。
万が一マイナンバーが他人に知られても芋づる式に個人情報が洩れることはありません。また、マイナンバーを利用するには顔写真付き身分証明書等での本人確認があるので悪用は困難です。
3.24時間365日一時停止を受付ている
・もしマイナンバーカードや電子証明書を搭載したスマートフォンを紛失してしまっても、コールセンターに電話すれば一時停止依頼を24時間365日受け付けています。
4.ICチップは耐タンパー性を有している
※タンパー(tamper):「干渉する」「いじくる」「いたずらする」「勝手に変える」の意
①ICチップを電気的に又は物理的に取り出し、情報を不正に読み出そうとすると・・・
・光が当たるとメモリ内容の消去
・メモリ回路素子が表面から観察できない
・電圧異常、クロック異常等の検知で動作停止
・メモリ素子の物理配置ランダム化&暗号化により解読不可
②ICチップの電力消費量や処理時間等を測定・解析し、情報を推測しようとすると・・・
・消費電力・処理時間をかくはんすることで、読み取った信号の統計的な解析は困難
5.ISO/IEC 15408認証を取得している
・セキュリティ機能評価の国際水準の認証を取得しています。
ISO/IEC 15408とは?
・コンピュータシステムや製品のセキュリティ機能の評価を行うための基準であるCC(Common Criteria)の国際標準
・スマートカードが必要とするセキュリティの要件を記述・スマートカードの製品調達者は、CCに基づき、PP(Protection Profile:利用者のセキュリティ要件を記述した要件仕様書)を作成
・開発者は、PPに基づき、ST(Security Target:セキュリティ開発方針を厳密に記述したセキュリティ設計仕様書)を作成し、これを実装した製品を開発
・評価機関が以上の課程を評価し、認証機関が認証
公的個人認証サービスとは・公的個人認証サービスの仕組み
■公的個人認証サービスとは
公的個人認証サービスとは、マイナンバーカードのICチップに搭載された電子証明書を利用して、オンライン上で利用者本人の認証を公的に行うための安全・確実なオンライン本人確認サービスです。
■電子証明書とは
マイナンバーカードには「署名用電子証明書」と「利用者証明用電子証明書」という2つの電子証明書が標準搭載されています。
電子証明書は、市町村が管理する「住民票」に基づき、市町村での対面による厳格な本人確認を経て発行することができるものです。
・署名用電子証明書
オンライン上で申込や契約等の電子文書を作成・送信する際に利用されます。
その利用者が作成・送信した電子文書が「利用者が作成した真正なものであり、利用者が送信したものであること」を証明することができます。
・利用者証明用電子証明書
マイナポータルやコンビニのキオスク端末などにログインする際に利用されます。
ログインをした者が、本人であることを証明することができます。
■公的個人認証サービスの仕組み(署名用電子証明書)
公的個人認証サービスを使ったオンライン本人確認では、マイナンバーカードのICチップに搭載された電子証明書のうち「署名用電子証明書」を利用します。
電子証明書の発行者であるJ-LIS(地方公共団体情報システム機構)がトラストアンカー(信頼性の基点)となり、その有効性を証明します。
【確定申告における例】
- 発信者がマイナンバーカードに格納されている秘密鍵で文書を暗号化
- 発信者は文書本体と併せ、暗号化された文書と公開鍵・電子証明書を送付
- 受信者は発信者から送付された公開鍵で暗号化された文書を復号化
- 受信者は文書本体と突合し、改ざん有無を検知
- 受信者はJ-LIS(地方公共団体情報システム機構)に電子証明書の有効性を照会
- J-LIS(地方公共団体情報システム機構)は電子証明書の有効性を回答
- 有効であれば、認証成功となりオンライン上での本人確認が完了します。
■公的個人認証サービスの仕組み(利用者証明用電子証明書)
【マイナポータルにおける例】
- 受信者から乱数を送付
- 発信者がマイナンバーカードに格納されている秘密鍵を用いて文書を暗号化
- 発信者が乱数本体と併せ、暗号文と公開鍵・電子証明書を送付
- 受信者は発信者から送付された公開鍵で暗号化された乱数を復号化
- 受信者は乱数本体と突合し、改ざんの有無を検知
- 受信者はJ-LIS(地方公共団体情報システム機構)に電子証明書の有効性を照会
- 有効であれば、認証成功となりマイナポータル等にログインすることができます。
従来のオンライン本人確認方法と公的個人認証サービスの比較
従来のオンライン本人確認方法である犯罪収益移転防止法の6条1項1号ホ方式(以降、ホ方式)と本記事で解説している公的個人認証サービスを利用する犯罪収益移転防止法の6条1項1号ワ方式(以降、ワ方式)を比較してそれぞれの安全性について解説します。
■本人の容貌画像+写真付き本人確認書類画像の送信する方法
(犯罪収益移転防止法 6条1項1号ホ方式)
公的個人認証サービスが利用できるようになる前は、オンライン本人確認の方法としては本人の容貌画像+写真付き本人確認書類画像の送信する方法が最も活用されており、今現在もこの確認方法を採用しているサービスは多いです。
犯罪収益移転防止法では6条1項1号ホ方式(以降、ホ方式)がこの確認方法に該当します。
本人の容貌画像は端末に保存されているデータを使用することはできないので、サービスの申込時にその場で撮影を行う必要があります。
また本人確認書類の厚みや外形、構造、機能等の本人確認の真正性を確認できることや、容貌の撮影時にランダムなポーズをとらせることで本人が撮影していることを確認できる必要があります。
■公的個人認証サービスへの照会をする方法(犯罪収益移転防止法 6条1項1号ワ方式)
マイナンバーカードのICチップに搭載された電子証明書を利用して本人確認をする方法です。
犯罪収益移転防止法では6条1項1号ワ方式(以降、ワ方式)がこの確認方法に該当します。
スマートフォンで本人確認を行う場合、署名用電子証明書パスワードを入力し、スマートフォンにマイナンバーカードをかざすことで本人確認を完了することができます。
上記の2つの方式を様々な項目で比較しました。
・偽装難易度
まず偽装難易度について、ホ方式は本人確認書類を偽装すること自体はできてしまう可能性があります。
ただオンライン本人確認サービスでは本人確認書類の厚みや外形、構造、機能などを確認することで真正性の確認を行うので、不正利用を検知し登録不可の判断ができる可能性が高いです。
ワ方式は偽装が難しいです。本人確認にはマイナンバーカードに搭載されているICチップを利用しますが、このICチップから不正に情報の読み取りをしようとするとICチップが壊れる仕組みになっています。
・なりすまし難易度
次になりすまし難易度について、ホ方式はリアルタイムで本人容貌の撮影が必要な為、別人に成りすますことが難しいです。
端末に保存されているデータを使用することはできないかつ、容貌の撮影時にランダムなポーズをとらせる等、本人が撮影していることを確認する為別人になりすますことが難しいです。
ワ方式もマイナンバーカードの原本をかざし、署名用電子証明書パスワード(暗証番号)の入力を求める仕組みとなっているので、カードの所持認証とパスワード(暗証番号)の知識認証の2要素認証が必要となり、他人によるなりすましは困難です。
・ユーザビリティ(ユーザー側の使いやすさ)
次にユーザビリティ(ユーザー側の使いやすさ)について、ホ方式はリアルタイムで本人確認書類の表面・裏面・厚みの撮影、本人の容貌の撮影がある為、ユーザーの作業は多いです。
ワ方式は署名用電子証明書パスワードを入力し、スマートフォンにマイナンバーカードをかざすだけなのでユーザーの作業が少なくユーザビリティは高いといえます。
・目視確認
最後に目視確認について、ホ方式では本人確認にあたって事業者側の目視確認が必要になります。サービスにもよっては、本人確認書類と容貌の自動比較判定機能など目視確認の負荷を軽減する機能が搭載されていることもあります。
ワ方式は本人確認にあたって目視確認が不要です。ユーザーの登録情報とICチップの情報を自動突合することができるので、事業者側の作業工数を削減することができます。
公的個人認証サービス機能を搭載したオンライン本人確認/eKYCツール「ProTech ID Checker」
株式会社ショーケースが提供するオンライン本人確認/eKYCツール「ProTech ID Checker」では「公的個人認証サービス機能(マイナンバーカード認証)」を搭載しています。
【サービスの特徴】
・低コスト:月額1万円から導入可能となります。
・最短1週間で導入可能:主な作業はタグを設置するだけで簡単に導入開始することができます。
・カスタマイズ可能:企業様に合わせたページデザインの変更や基幹システムとの連携にも対応しております。
→オンライン本人確認/eKYCツール「ProTech ID Checker」の詳細はこちら
ProTech ID Checkerについてお問い合わせする
オンライン本人確認/カンタンeKYCツール「ProTech ID Checker」
マネー・ローンダリングやテロ資金供与防止を目的とした「犯罪収益移転防止法」に準拠したオンライン本人確認/eKYCツールです。
セキュリティ対策は万全であり、厳しい検証プロセスに基づいたネットワーク・セキュリティを有する金融機関にもご採用いただいております。
サービスの特徴
・導入方法は対象ページにタグを設置するだけ。最短1週間で実装できます。
・また、既存のWEBサイト上で本人確認認証が完結します。
・ユーザーは専用アプリのインストールや別サイトでの確認も不要。
・ProTech ID CheckerはスピーディーかつカンタンにeKYCの導入を可能にします。