マイナンバーカードのICチップを読み取ることで本人確認を行う「対面確認アプリ」をデジタル庁が開発しました。これまで目視確認をしていた本人確認書類を厳密にチェックすることで、偽造カードを使った不正を排除したいという考えです。

基本的に対象となるのは、金融機関や携帯電話事業者となりますが、これによって不正は減少するのでしょうか。

  • 対面でもICカードを読み取って本人確認する時代に

    対面でもICカードを読み取って本人確認する時代に

対面確認アプリの導入について携帯キャリア4社は、以下のように回答しています。

  • 現在も専用の機器を用いて対策。アプリは(臨時店舗など)受付場所などに応じ検討(ドコモ)
  • (本人確認の見直しは)今後の議論を踏まえ、適切な対応となるように検討する。アプリについても仕様などを踏まえ検討。(KDDI)
  • 全てのソフトバンク/ワイモバイル取扱店でICチップ読取機によるマイナンバーカードのICチップの確認を7月中旬から開始していることもあり、現段階ではアプリの導入は予定していない(ソフトバンク) ・対面確認アプリ等の導入を含め検討段階のため、具体的な方針や対応方法は現在社内で検討(楽天モバイル)

対面確認アプリは、7月29日から8月1日まで、三井住友銀行が実証実験を行いを行い、8月中に正式リリース予定とされています。

求められるようになった「厳格な本人確認」

対面確認アプリが開発されることになったもともとのきっかけは、「偽造マイナンバーカードで携帯電話の契約が乗っ取られた」という市議会議員の訴えが話題となったことでした。これはキャリアの店頭で偽造マイナンバーカードによって機種変更が行われ、再発行されたSIMカードを使って犯人が携帯電話を悪用。PayPayにログインして金銭も窃取したという問題でした。

このあたりの詳細は本連載の第51回「SIMスワップの対策と対面でのJPKI」で解説しています。

対面での本人確認は本人確認書類(いわゆる身分証)を目視確認するというのが一般的です。顔写真と本人の一致を調べ、偽造されていないかどうかを調べるのが本来の作業ですが、目視する人間の能力などに左右されるという欠点があります。

  • 目視確認

    これまでの目視確認は、本人確認書類を目で見て、本人と見比べる、というものでした

そのため、携帯キャリアの場合は目視確認だけではない対策もしていました。例えばドコモは機械によるチェックを導入しています。

ソフトバンクは機種変更時に元のSIMカードの持ち込みを求めるなどの対策をしていましたが、先述の事例ではこの対応を怠っていたそうです。そこでマイナンバーカードでもシステム的に偽造チェックを行うことになり、7月中旬には対応が完了。従来の運転免許証に加えてマイナンバーカードの機械チェックもできるようなったそうです。

携帯キャリアは、携帯電話不正利用防止法によって本人確認が求められています。金融機関も犯罪収益移転防止法によって本人確認が義務付けられていますし、他には古物商も古物営業法で本人確認が必要となっています。

こうした法律の施行規則では本人確認の方法が定められており、対面の場合は指定の本人確認書類の提示を受けて目視確認するという運用になっています。そのため、法的には目視だけで問題はないのですが、SIMスワップの事件が話題になったことで厳格な本人確認を求める声が強まったというわけです。

厳格な本人確認を求めると、厳格ではない本人確認手法にしわ寄せがいきます。偽造防止の観点から言えば、「ICチップを搭載した本人確認書類のICを読み取る」ことで偽造かどうかの確認を行うことができるわけですが、逆に言えば、ICチップを搭載しない本人確認書類は確実な偽造チェックができないので、本人確認書類として使うべきではないということになります。それでいいのかという気がしなくもないですが、世論が厳格さを求めるのならば仕方ありません。

ICチップ読み取りをどうするか

ICチップの読み取りには何らかの機器が必要になります。すでにこうしたICチップの機械チェック用の機器は存在しており、携帯キャリアや金融機関でも導入されています(本連載の第43回でもそのあたりの話をご紹介しています)。まだ導入していない環境では、新たに何らかの機器を導入する必要があります。

現在、在留カードについては出入国在留管理庁がスマートフォン/PC向けに読み取りアプリを提供しています。在留カードはICチップ読み取りの際に暗証番号が不要なため、容易に読み取りが可能です。

それに対してマイナンバーカードと運転免許証は、ICチップの読み取りに暗証番号が必要です。特に運転免許証は2つの4ケタ暗証番号が必要です。専用機器では、内容は読み取らずに偽造かどうかを判別するアルゴリズムを入れることで、暗証番号なしでの運用に対処しているといいます。

マイナンバーカードの場合、券面にある情報を入力することでICチップにアクセスする“照合番号B”という仕組みがあります。これをOCR機能で読み取れば、暗証番号不要でICチップにアクセスできます。

  • マイナンバーカード内の情報の利用方法

    マイナンバーカードは券面にある生年月日6ケタ+有効期限の西暦4ケタ+セキュリティコード4ケタという「照合番号B」を使うことで、ICチップ内のデータにアクセスできます

暗証番号を前提とするならば、OSSTechがiOS/Android向けに提供する「IDリーダー」アプリにより、ICチップ内の情報の読み取りは可能です。これは同社が開発する読み取り用ライブラリ「LibJeID」のサンプルとして提供されているものです。これならマイナンバーカードや在留カード、運転免許証も読み取れます。

ただ、暗証番号は忘れている人も多いといわれます。マイナンバーカードの4ケタ暗証番号ですら多くの人が忘れている中、4ケタ暗証番号が2つ必要な運転免許証を覚えている人がどれだけいるかは未知数。その場合、「IDリーダー」アプリでは対処できません。

マイナ保険証では照合番号Bと顔認証を組み合わせていますが、これは無人受付を実現するため。対面で目の前にいる人物から確認書類の提示を受ける本人確認の場合、顔認証は目視で行えばよく、ICチップ読み取りさえできればチェックは可能になります。

そこでデジタル庁が開発したのが、スマートフォンのカメラを使ってマイナンバーカードの照合番号Bを読み取り、それを使ってICチップにアクセスする対面確認アプリ。このアプリによってICチップ内の情報が確認できるので、あとは券面の情報と照合し、顔写真と本人を見比べれば偽造チェックをしたうえで本人確認ができるというわけです。

同じスマホ内に在留カードの確認アプリもインストールしておけば、マイナンバーカードと在留カードのICチップのチェックが可能になります。運転免許証は、前述のIDリーダーを入れればいい(在留カードも対応できます)のですが、暗証番号を忘れたと言われたら本人確認ができません。

そのため、「厳格な本人確認が必要でICチップの読み取りが必須」ということになると、運転免許証が本人確認書類として使えなくなってしまう可能性があるわけです。もちろん専用機器を導入しているキャリアや大手金融機関では運転免許証を使えますが、そうでない場合、携帯電話の契約も口座の開設もできないというのはさすがに問題がありそうです。

バランスの取れた「厳格な本人確認」

(普通は)費用を支払って教習所に通って取得する運転免許証は、お金と時間がないと取得できません。それよりは、国民全員が無料で発行できるマイナンバーカードの方が、懐にも優しい身分証ではあります。実際、都市部の若者では運転免許証を持たずにマイナンバーカードを身分証として使う例もよく聞きますが、自動車が必須の地域では運転免許証の方が身近でしょう。

運転免許証を本人確認書類として維持するには、ICチップ読み取りの装置導入を義務化する、所持者に暗証番号を2つ覚えることを強制する、補助書類を使うなどしてICチップを使わない本人確認書類として認める、運転免許証のICチップを暗証番号なしで読み取れるようにする……のいずれかの手法が考えられます。

例えば携帯電話不正利用防止法施行規則では、本人確認の方法(対面)として、「本人確認書類の提示を受ける方法」が規定されています(第3条第1項第1号イ)。ここに「ICチップの読み取りに限る」という規定が入った場合、世論の望みどおり厳格にはなるかもしれませんが、利用できる本人確認書類が一気に減ります。

規定では、本人確認書類の提示を受けた後、その住所に宛てて書留郵便のような転送不要郵便物などを送付するという方法もあります(第3条第1項第1号ロ)。これはかなり手間とコストのかかる方法なので、上記イ方式においてICチップ読み取りだけでなく補助書類を併用する方法を認めるしかないのではないかとは思います。

  • 施行規則の見直し方針

    総務省は施行規則の見直し方針で検討を重ねています

7月26日には、デジタル庁が「犯罪収益移転防止法と携帯電話不正利用防止法における対面での本人確認に関しては、マイナンバーカード/運転免許証等のICチップ情報の読み取りを義務付ける」とコメント。「そのために必要なICチップ読み取りアプリ等の開発について、現在各省庁と連携し検討している」としています。

とはいえ、運転免許証向けのICチップ読み取りアプリが新たに開発されても、暗証番号が必要なものであればすでに既存のアプリがありますし、あまり意味はありません。この点をどうするのかという検討も必要でしょう。

マイナンバーカードと在留カードはICチップ読み取りをした場合にのみ単独で本人確認書類として利用可能、それ以外は補助書類が必要……という形だと、なんとかバランスが取れそうな印象です。

ちなみに補助書類は、例えばドコモだと公共料金領収書や住民票が利用できます(ドコモの場合、逆に在留カードはパスポートの併用が必要です)。金融機関だと、三井住友銀行が指定の本人確認書類以外だと2つの本人確認書類の原本を提示することを求めています。

こうした補助書類は施行規則自体には定められておらず、安全性を高める各社の工夫なので、同様に「ICチップ読み取りは単独、それ以外は補助書類必須」ということを規則に定めないようにして、運用でカバーする形になるかもしれません。

まあ、国境を越えるにはパスポート、車の運転には運転免許証という「資格証明書」として考えれば、本人確認ができる資格証明書としてマイナンバーカード(のICチップ読み取り)に限定する、という考え方もできるかもしれません。

「厳格な本人確認を求める」というのはそういうことですが、やはりそこまで求めるのは難しいと思うので、このあたりのバランスをどのようにするか、今後の議論が注目されます。