デジタルアイデンティティ推進コンソーシアム(以下、DIPC)はこのほど、「デジタル改革関連法」の成立に合わせた活動の一環として、「マイナンバーカードのスマホ搭載による官民DX(デジタルトランスフォーメーション)の未来」と題したシンポジウムを開催した。本稿では同シンポジウムの中から、マイナンバーカードのスマートフォン(スマホ)搭載について論じた講演の様子をお届けする。

DIPCの理事を務める辻秀典氏は「DIPCの目指す社会」と銘打ち、スマホにマイナンバーを搭載するためのシステム構成について説明した。

  • DIPC 理事 辻秀典氏

そもそもマイナンバーカードは、ご承知の通り、単に12桁の数字を証明するためだけのカードではない。

顔写真などマイナンバーカード券面の情報を持つ「券面AP(アプリケーション)」に加えて、電子申請に利用可能な電子証明書の情報を持つ「公的個人認証サービス(JPKI)AP」、氏名や生年月日などの基本情報とマイナンバーのテキストデータを保有する「券面事項入力補助AP」、住民票コードの情報を持つ「住基AP」の4つの基本的なAPを備える。

マイナンバーカードのようなICカードは、単体の閉じたコンピュータとして機能する。目的とする機能だけが書き込まれており、自由に書き換えができない反面、外部から改ざんされる可能性も低い。

  • マイナンバーカードの安全性を担保する仕組み

辻氏は「スマホの安全性を担保する仕組みとして、SIMとSE(セキュアエレメント)に着目した」と話していた。SIMとSEはスマホと同じ筐体に入っているものの、AndroidやiOSなどOSとは独立して機能するためお互いに実行されるAPは干渉できないのだという。そこで同氏らは、SEを活用したマイナンバーカードのスマホ搭載を提案している。

SEは耐タンパー性を持ち、アプリケーションや暗号データを安全に保管できるICチップだ。OSとは独立に機能するため、ここにマイナンバーカードを搭載することで安全面に配慮した運用が可能になるとのことだ。外部との連携にはスマホに搭載されたNFC(Near Field Communication:近距離無線通信)を用いる。

  • SEの概要とSEを用いたスマホ利用のイメージ

同氏らが提唱するマイナンバーカードのスマホ搭載のセキュリティコンセプトは、マイナンバーカードと同等の安全性を保ちつつ、スマホならではの機能を積極的に活用することである。マイナンバーカードが持つ機能のうち、公的個人認証の機能をスマホで実現するとともに、生体認証機能などスマホに搭載されている機能を活用することで公的個人認証サービスの利便性向上を目指すという。なお、そもそも公的個人認証サービスには個人番号は使われないとのことだ。

  • マイナンバーカードのスマホ搭載のセキュリティコンセプト

先日改正されたデジタル改革関連法には、スマホ用の電子証明書はマイナンバーカードをスマホ筐体にタッチすることで新規の発行が可能になるような規定が盛り込まれている。つまり、マイナンバーカードがなければスマホ用の証明書が発行されない仕組みだ。スマホ用の証明書を利用する際にはPINコードが必要となる運用方法を採用する。

スマホに登録されるマイナンバーカードの情報は、本人を確認するための「利用者証明用電子署名」と電子申請などに利用するための「署名用電子証明書」の2種。日本は実印文化が根強く残っており、電子署名の取り組みは諸外国と比べても議論が進んでいるという。「スマホ内に2種の証明書を搭載し、本人確認だけでなく電子署名まで実現しようとする取り組みは、日本が海外に先行している」と同氏は話した。

  • マイナンバーカードに格納される公的個人認証サービスのイメージ

さらに「セキュリティの原則として安全性と利便性は相反する。安全性を担保するためにユーザーの利便性が下がってしまっては本末転倒であり、両者のバランスを見極めるためにも当コンソーシアムでは今後も活発に議論していきたい」と述べて講演を結んだ。