公的個人認証サービス（JPKI）とは｜ネットでウソがつけなくなる仕組み

2024年10月2日

オンラインでの行政手続きやネット通販、金融サービスが加速する中、企業にはより厳格で信頼性の高い本人確認が求められています。

しかし、従来の本人確認手法は時間がかかる上に、書類偽造のリスクを完全には排除できませんでした。このような中で、詐欺や不正取引の増加が企業の大きな課題となりつつあります。

例えば、2022年7月には、ソフトバンクの業務委託先代理店スタッフが、顧客の個人情報を無断で使用し不正に携帯電話を取得していたことが明らかになりました。不正に取得された携帯電話は犯罪に悪用される恐れもあり、利用者のみならず、サービス提供企業の信用毀損にも繋がります。

この課題を解決するために注目されているのが、マイナンバーカードを活用した「公的個人認証サービス（JPKI）」です。JPKIは、マイナンバーカードのICチップに搭載された電子証明書を使って、オンラインでの本人確認をより安全で確実に行うための仕組みです。このICチップは、偽造が非常に困難であり、さらに2種類の暗証番号の入力を組み合わせることで、高度なセキュリティを実現します。

利用者は、自宅や外出先からスマートフォンを使ってオンラインで本人確認を完了できるため、手続きが容易になります。

2024年6月に閣議決定された「デジタル社会の実現に向けた重点計画」にも記載の通り、オンラインでの本人確認はJPKIに原則一本化されていく見通しです。

参考：デジタル社会の実現に向けた重点計画 – デジタル庁

高度なセキュリティと利便性を備えた公的個人認証サービス（JPKI）は、Web上でのなりすましや詐欺を防ぎ、企業の信頼性を高めるためのカギとなるでしょう。

この記事では、オンラインでの本人確認をめぐる課題と、マイナンバーカードを活用した「公的個人認証サービス（JPKI）」の役割について詳しく解説します。

公的個人認証サービス（JPKI）とは

まずは、公的個人認証サービス（JPKI）について詳しく見ておきましょう。

公的個人認証サービスとは、オンラインでの行政手続きやインターネットサイトへのログイン時に、他人による「なりすまし」やデータの改ざんを防ぐための本人確認手段です。このサービスでは、外部から読み取られる心配のないマイナンバーカードなどのICカードに「電子証明書」と呼ばれるデータを記録し、本人確認を行います。

電子証明書には以下の2種類があり、それぞれ異なる目的で使用されます。

署名用電子証明書

電子文書の作成や送信時に使用されます。例えば、e-Taxなどの電子申請で利用されます。

この証明書は、「作成・送信された電子文書が、利用者自身が作成した真正なものであり、利用者が送信したものであること」を証明するために使われます。

利用者証明用電子証明書

インターネットサイトやキオスク端末などでのログイン時に使用されます。例として、マイナポータルへのログインやコンビニでの公的証明書の交付などがあります。

この証明書は、「ログインした者が、利用者本人であること」を確認するために使われます。

公的個人認証サービスは、これらの電子証明書を活用することで、オンライン上の安全性を高め、信頼性のある本人確認を実現しています。

マイナンバーカード不正使用の事例

マイナンバーカードは、オンラインやオフラインでのさまざまな手続きで個人を識別し、本人確認を行うための重要なツールです。

しかし、最近の不正行為の事例から明らかなように、現在の個人認証プロセスには重大な課題が存在します。その中でも、ICチップの読み取りが適切に行われていないことが大きな問題となっています。

まずは実際の事例を見ていきましょう。

携帯電話の不正契約

ソフトバンクでは、業務委託先の代理店スタッフが顧客の個人情報を不正に利用し、無断でスマートフォンの契約を結んでいたことが明らかになりました。

被害者は、携帯料金の過剰請求に気づき、調査を進めたところ、自分の知らない間に契約が行われていた事実が判明しました。契約店舗に問い合わせた結果、担当者が個人情報を利用して勝手に契約や解約を行ったことを認めました。

参考：顧客に無断でスマホ契約、ソフトバンク代理店で発覚　本社は事実認め謝罪　「不適切行為があった」 – ITメディア

高級腕時計の不正購入

偽造されたマイナンバーカードを用いたさらに大規模な不正行為も報告されています。大阪と東京の地方議員が、何者かによって偽造されたマイナンバーカードを使われ、携帯電話の契約を乗っ取られた事例です。この手口では、議員の個人情報が悪用され、マイナンバーカードの目視確認だけで本人確認が行われた店舗が狙われました。

このケースでは、名古屋の店舗で議員になりすました人物がマイナンバーカードを提示し、その後、スマートフォンを使用したネットショッピングで議員の名義を使い、225万円相当の高級腕時計を購入。腕時計が東京・銀座の店舗で受け取られるという被害が発生しました。

公開：個人情報をネット公開の議員、マイナカード偽造されたか…スマホ乗っ取られ決済で被害 – 読売新聞

「偽造マイナンバーカード」という誤解

前述の事例を見て、「やはりマイナンバーカードは偽造されたら終わり。信用できない」と考えるのは早計です。

あまり知られていませんが、本来マイナンバーカードは偽造が困難で不正使用防止に優れた仕組みとなっています。

マイナンバーカードには、ICチップが内蔵されており、このチップには前述した「利用者証明用電子証明書」と「署名用電子証明書」という2種類の電子証明書が搭載されています。

「利用者証明用電子証明書」は、サービス利用者が本人であることを証明するために使用されます。この証明書を読み出すためには、あらかじめ設定した4桁の暗証番号が必要です。例えば、マイナポータルへのログインやコンビニエンスストアでの公的証明書発行サービスなどで使用されます。

もう一方の「署名用電子証明書」は、電子文書の改ざんを防ぎ、提出者の身元を証明するために使われます。この証明書を使用する際には、6文字以上16文字以下のパスワードが必要です。こちらは、e-Tax（国税電子申告・納税システム）での電子書類提出時に使用されます。

さらに、マイナンバーカードは「秘密鍵」と「公開鍵」のペアを持ち、暗号化と認証のプロセスで重要な役割を果たします。たとえカードが偽造されてしまった場合にも、その秘密鍵と公開鍵の正確な対応関係がない限り、認証は失敗します。カードの外観を複製するだけでは、実際の認証プロセスを通過することは不可能だということです。

実際、過去の事件で「偽のIDチップが付いたカード」が押収されたことが報道されたことがあります。しかし、そのようなカードでは、ICチップを使用する認証やサービスにはアクセスできません。マイナンバーカードは単なるIDとパスワードによる保護とは異なり、物理的にも電子的にも多層的なセキュリティが施されているため、偽造や不正使用を防止する仕組みが強固に構築されています。

前述のマイナンバーカード不正使用の事例でも、ICチップの読み取りが業務プロセスに組み込まれていないことが原因でした。

マイナンバーカードの読み取りをしなければ手続きを進められなくするなど、不正が起こり得ない業務プロセスのシステム化が求められます。

冒頭で述べた閣議決定においても、マイナンバーカード等のICチップ読み取りを事業者に義務付ける方針が打ち出されていますので、対策は急務と言えるでしょう。

公的個人認証サービス（JPKI）の導入方法

では、不正が起こり得ない業務プロセスのシステム化を進めるためにはどうすれば良いか。それが、個人認証サービス（JPKI）の導入です。

マイナンバーカードを活用した公的個人認証サービスは、セキュリティ強化と手続きの効率化を実現するうえで非常に有効です。

デジタル庁が提供する「デジタル認証アプリ」を使えば、企業や自治体は開発コストを抑えながら、高い信頼性とセキュリティを備えた認証システムを導入できます。同アプリには、マイナンバーカードの電子証明書を利用した認証APIや署名API、そして「4情報連携機能」といった便利な機能が備わっており、ユーザーの手間を大幅に軽減しながら、不正使用を防ぐ強固なセキュリティを確保することが可能です。

参考：デジタル認証アプリ – デジタル庁

また、同アプリ以外にも認証サービスを提供している民間ベンダーも多数存在します。こうした民間ベンダーの認証サービスには、それぞれ独自の特徴や利点があり、特定の業界や企業規模、業務プロセスに最適化された機能やセキュリティ対策が提供されています。たとえば、より高度なセキュリティ機能を求める金融機関向けの認証システムや、大量のユーザー認証を迅速に処理できる高パフォーマンスなソリューションなど、選択肢は多岐にわたります。

どの認証サービスを選択し、どのようなシステム構成にするべきかは、企業の規模、業務内容、ユーザーの利用頻度やセキュリティ要件などによってケースバイケースになるでしょう。

たとえば、コストを重視したい場合はデジタル認証アプリを活用するのが効果的ですが、高いセキュリティ要件や独自のカスタマイズが必要な場合は民間ベンダーのサービスを組み合わせることも検討すべきです。

また、すでに他のシステムと連携している場合には、それらを活かせる柔軟なシステム設計が求められるでしょう。