本人確認って、そんなに甘くない - 問われるeKYCの真価(3) 公的個人認証(JPKI)だけでは不十分？求められる本人確認とは？

最終回の今回は、公的個人認証(JPKI)の概要と、JPKIの課題、さらには理想の認証方式について触れたいと思います。。「本人確認って、そんなに甘くない - 問われるeKYCの真価」の過去の回はこちら。

公的個人認証サービスとは、マイナンバーカードのICに格納された電子証明書を活用しオンライン上で利用者本人であることの確認や契約書等の文書が改ざんされていないことの確認を公的に行うためのサービスです。

マイナンバーカードと、6桁から16桁の英数字の署名用電子証明書パスワードを用いて、本人確認することになります。マイナンバーカードのICチップに読み取られた情報をもとに、J-LISと言われる地方公共団体情報システム機構に照会して、本当にマイナンバーカードの電子証明書は有効なのかを確認する処理になります。

カ(旧ワ)方式(公的個人認証サービス、JPKI)のイメージ(出典:Liquid)

気をつけなければならないのは、J-LISから個人情報を取得しているのではなく、あくまで有効性の確認で、個人情報はマイナンバーカードのICチップに入っている情報を参照することになります。

JPKIの課題

JPKIにはメリットがある一方で、いくつかのデメリットもあります。1つは、マイナンバーカードを所持している人しか利用できない点です。つまり、すべてのユーザーが利用できないことになります。別の言い方をすると、ユーザーカバレッジが100%ではないため、申請利用者の離脱率が低くないという言い方になります。

2つ目が、パスワードを覚えている必要性があるということです。パスワードは、6桁から16桁の英数字になりますので、それをちゃんと覚えておくか、保管しておく必要があります。そのため、パスワードを失念するリスクが出てくることになります。

3つ目が公的個人認証に必要な証明書が失効している場合があるということです。マイナンバーカードには、2つの有効期限があります。1つはマイナンバーカード自体の有効期限で、10年間です。署名用電子証明書にも有効期限があり、こちらは5年です。マイナンバーカードの有効期限が期限内にあれば良いのではなく、署名用電子証明書の有効期限が失効していないというところが重要になります。

マイナンバーカードの有効期限について(出典:Liquid)

そのほか、マイナンバーカードがあり、パスワードが分かれば、公的個人認証ができてしまうことから、不正譲渡のリスクがあります。実際、訪日外国人が他国に移る際に、金銭目的でマイナンバーカードを売却するケースが存在しています。訪日外国人だけでなく、日本人でも生活に困窮している人が金銭目的で売却する恐れもあります。

理想の認証方式

犯収法(犯罪による収益の移転防止に関する法律)の改正により、今後は口座開設や携帯契約などの法的義務のある場面では、ICチップ読取方式に一本化される見通しです。

ICチップ読取に対応する方式としては「ヘ」方式、「カ(旧ワ)」方式(JPKI)、「ル」方式の3つが認められた主な方式になります。

ICチップ読取に対応する方式(赤字部分)(出典:Liquid)

3つの中では、「ヘ」方式が存在することが非常に重要なポイントになります。「ヘ」方式は、シンプルにカバレッジ書類が多いということになります。公的個人認証ではマイナンバーカードを所持している必要性があるというところが制約としてありましたが、「ヘ」方式に関しては、運転免許証、在留カード、特別永住者証明書も本人確認書類として認められています。