公的個人認証とは?
公的個人認証サービスの仕組みもわかりやすく解説
- マイナンバーカード
- eKYC
- JPKI
公開日 2024.09.06
更新日 2024.09.06
警察庁の調査によると、なりすましの代表的な詐欺であるフィッシング詐欺は2023年の上半期には被害額が30億円に上りました。公的個人認証によって通信相手が本人であることの証明ができれば、インターネットを利用する人が安心して通信することができます。この記事では、公的個人認証サービスの概要や仕組み、導入の背景、メリットとデメリットについて詳しく解説します。
目次
公的個人認証サービス(JPKI)とは
公的個人認証サービス(JPKI:Japanese Public Key Infrastructure)とは、マイナンバーカードのICチップに記録されている「署名用電子証明書」や「利用者証明用電子証明書」を利用して、なりすましやデータ改ざんを防止するための本人確認の手段のことです。
マイナンバーカードを使用することで、個人を特定しやすく、オンラインでの本人確認が簡単かつ確実に行える点が特徴です。税務申告、社会保障の手続き、各種証明書の申請など、日常生活で頻繁に必要とされる公的手続きの効率化を図ることができます。
また、行政機関だけでなく、民間事業者のサービスにも導入することが可能です。銀行・証券会社の口座開設や住宅ローンの契約手続きなど、さまざまな場面で利用されています。
2024年7月8日時点では、利用している民間事業者は569社です。将来的には、より多くの地方自治体や民間企業でサービスのオンライン化が進むことが期待されています。
マイナンバーカードに記載される電子証明書の種類
電子証明書とは、オンライン上で個人の身元を証明するためのデータです。マイナンバーカードには、「署名用電子証明書」と「利用者証明用電子証明書」の2種類の電子証明書が記載されています。これらの電子証明書は、対面での厳格な本人確認を経て発行されるため、オンラインでの本人確認に利用できます。
署名用電子証明書 | 利用者証明用電子証明書 | |
---|---|---|
証明される情報 | 基本4情報(氏名、住所、性別、生年月日)の個人情報および証明書のシリアル番号、有効期限 | シリアル番号と有効期限のみ |
発行の対象 | マイナンバーカードを持っている15歳以上の人 | マイナンバーカード所持者全員 |
失効条件 | 基本4情報に変更があった場合 | 有効期限が切れた場合もしくは死亡等により住民票が消除された場合 |
暗証番号 | 6〜16桁の英数字 | 4桁の数字 |
主な利用シーン | e-Taxによる確定申告時 | マイナポータルや民間のWebサイトへのログイン、コンビニ交付サービスの利用時 |
署名用電子証明書
署名用電子証明書は、インターネットで電子文章を作成・送信する際に利用する証明書です。e-Taxなどの電子申請や民間のオンライン取引の登録に利用されます。
署名用電子証明書には、氏名、住所、性別、生年月日の個人情報に加え、証明書のシリアル番号や有効期限が記載されています。15歳以上のマイナンバーカード所持者に発行され、利用時には6〜16桁の英数字で設定した暗証番号の入力が必要です。
なお、氏名や住所などの個人情報に変更があった際には失効するため、再発行が求められます。
利用者証明用電子証明書
利用者証明用電子証明書は、ログインした人物が本人であることを証明するためのものです。行政のマイナポータルや民間のWebサイトへのログイン、コンビニ交付サービスの利用時に使用され、その際には4桁の暗証番号の入力が必要です。
利用者証明用電子証明書は、マイナンバーカード所持者全員が利用でき、発行の年齢制限はありません。この証明書には、個人情報は含まれておらず、シリアル番号と有効期限のみが記載されています。そのため、個人情報に変更があっても失効しないのが特徴です。
公的個人認証サービスの仕組み
公的個人認証サービスでは、マイナンバーカードのICチップに格納されている「署名用電子証明書」を利用します。
本人確認の流れは以下のようになります。
- ユーザーがマイナンバーカードをスマートフォンやパソコンのカードリーダーにかざし、署名用電子証明書とパスワードを入力します。
- ユーザーの署名用電子証明書が、オンラインサービスを提供する事業者に送信されます。
- 事業者は、受け取った署名用電子証明書の有効性を確認するため、電子証明書の発行主体であるJ-LIS(地方公共団体情報システム機構)に照会します。
- J-LISは、事業者から受け取った署名用電子証明書と、自らが管理する失効情報を照合し、電子証明書の有効性を確認します。
- J-LISから有効性の確認結果が事業者に返送されます。
- 事業者は、J-LISから受け取った有効性の確認結果をもとに、ユーザーの本人確認を完了します。
公的個人認証サービスとeKYCの違い
公的個人認証サービスについて調べていると、「eKYC」という言葉を耳にすることがあります。eKYCとは、「electronic Know Your Customer」の略で、オンライン上で本人確認を完了するための仕組みのことです。
犯罪による収益の移転防止に関する法律施行規則の第6条1号1項では、本人確認の方法を複数定めています。その中でeKYCを用いているのは「ホ」「へ」「ト」「ワ」方式です。
方式 | 概要 |
---|---|
ホ | 「写真付き本人確認書類の画像」と「容貌の画像」を用いる方法 |
ヘ | 「写真付き本人確認書類のICチップ情報」と「容貌の画像」を用いる方法 |
ト |
以下いずれか
|
ワ | 「公的個人認証サービスの署名用電子証明書」を用いる方法 |
参考:e-GOV「犯罪による収益の移転防止に関する法律施行規則」
この中で、公的個人認証サービスに該当するのは、「ワ」方式です。つまり、公的個人認証サービスはeKYCを用いた本人確認方法の一つなのです。
公的個人認証サービスの導入が進んでいる背景
公的個人認証サービスの導入が加速している背景には、以下の3つの要因が挙げられます。
- マイナンバーカードの普及
- 犯罪収益移転防止法の存在
- デジタル社会の実現に向けた重点計画の閣議決定
マイナンバーカードの普及
公的個人認証サービスの導入が進んでいる大きな要因の一つが、マイナンバーカードの普及です。2024年4月28日時点で、マイナンバーカードの交付枚数は1億枚を超え、人口に対する交付割合は約80.2%となっています。
また、eKYCの実施時に利用される身分証明書としても、運転免許証だけでなくマイナンバーカードの利用も増加しつつあるなど、本人確認書類としての地位を確立しつつあります。マイナンバーカードの普及に伴い、公的個人認証サービスの利用機会も増加しています。
犯罪収益移転防止法の存在
犯罪収益移転防止法(犯収法)も公的個人認証サービスの導入が進む理由になっています。犯収法は、マネーロンダリングやテロ資金供与対策のための規制を定めた法律で、2007年3月に成立・公布されました。その後、今日に至るまで数回の改正を経て、規制の強化が図られています。
デジタル社会の実現に向けた重点計画の閣議決定
2023年6月9日に閣議決定された「デジタル社会の実現に向けた重点計画」の存在も大きいと言えます。この計画では、目指すべきデジタル社会の実現に向けて、政府が迅速かつ重点的に実施すべき施策が明記されており、その中でマイナンバーカードの機能拡充や安全・安心対策に関する項目が主要トピックの一つとして掲げられています。
現在、犯収法では本人確認の方法として複数の方法が認められていますが、「デジタル社会の実現に向けた重点計画」ではさまざまな民間ビジネスにおけるマイナンバーカードの利用の推進が盛り込まれました。これは、非対面の本人確認手法をマイナンバーカードの公的個人認証に一本化するという内容であり、多くの人に大きなインパクトを与えました。
2024年6月「デジタル社会の実現に向けた重点計画」が閣議決定
2024年6月21日、デジタル庁による「デジタル社会の実現に向けた重点計画」が閣議決定されました。この計画では、デジタル社会の実現に向けた重点課題に対応するためのさまざまな取り組みが盛り込まれています。具体的な取り組みは、以下の通りです。
- デジタル共通基盤構築の強化・加速
- 制度・業務・システムの三位一体での取組
- デジタル行財政改革
- デジタル・ガバメントの強化(システムの最適化)
- デジタル化に係る産業全体のモダン化
- データを活用した課題解決と競争力強化
- セキュリティ強化
- 最先端技術における取組
これらの取り組みを推進することで、社会全体の生産性とデジタル競争力の向上が期待されます。デジタル化を進めるためには、国や地方公共団体だけでなく、民間事業者の連携が不可欠です。官民が一体となってデジタル基盤を強化し、デジタル社会の実現に向けて協力していくことが求められています。
2024年12月からマイナンバーカード一体化
「デジタル社会の実現に向けた重点計画」では、重点課題への取り組みとして、マイナンバーカードと健康保険証の一体化を掲げています。これは、2024年12月2日をもって健康保険証の新規発行が終了し、マイナンバーカードと健康保険証が一定化したマイナ保険証が基本となるというものです。健康保険証の新規発行終了後も、最長1年間は現行の保険証を使用できる猶予期間が設けられています。
マイナンバーカードと保険証が一体化することで、医師は過去の処方箋や健診データを参照しながら診察できるため、医療の質の向上を期待できます。また、不正使用を防止できる、限度額適用認定証が不要になるなど、その他にも多くのメリットがある取組なのです。
政府はマイナンバーの普及と利用の促進に力を入れており、今後も普及率の上昇が見込まれています。これに伴い、公的個人認証サービスの利用機会もますます増加していくことでしょう。
公的個人認証サービスの民間利用の例
公的個人認証サービスの民間利用の例としては、以下のようなものが挙げられます。
- オンラインバンキングにおける本人確認
- オンラインでの証券口座開設
- クレジットカードのオンライン申込
- 住宅ローンのオンライン契約
- 携帯電話のオンライン契約
- 中古品買取サービスにおける本人確認
- カーシェアリングサービスにおけるユーザー認証
- マッチングサービスにおける年齢確認
これらの民間利用では、オンラインで手続きを完結させる際に、公的個人認証サービスを利用して本人確認を行っています。
公的個人認証サービスを利用するメリット
企業が公的個人認証サービスを利用するメリットとして、以下の3つが挙げられます。
- 公開鍵暗号方式で通信の安全性を確保できる
- 対面手続きや本人確認書類の郵送が必要ない
- 本人確認にかかっていた人件費や事務費用を削減できる
それぞれについて解説します。
公開鍵暗号方式で通信の安全性を確保できる
公的個人認証サービスは、「公開鍵暗号方式」と呼ばれる暗号技術を活用しています。暗号化と復号には「秘密鍵」「公開鍵」という異なる2つの鍵を使用し、片方の鍵で暗号化したものは、対になるもう一方の鍵でなければ復号できません。
秘密鍵は、マイナンバーカードのICチップ内に安全に保管されています。万が一、不正にICチップ内の情報が読み出されそうになった場合には、自動的に消去されるなどの対抗措置が講じられるため、外部からのアクセスや不正利用は困難となっています。
対面手続きや本人確認書類の郵送が必要ない
公的個人認証サービスを利用すれば、利用者はスマホとマイナンバーカードさえ手元にあれば手続きを完了できます。このため、利用者が店舗に直接出向いたり、本人確認書類を郵送したりする必要がなくなります。その結果、企業側としても、店舗での対面手続きや書類の受け取り、保管、返送などにかかる時間と手間を大幅に削減することが可能です。
また、利用者は企業の営業時間内に限らず、自分の都合の良いタイミングで手続きを行えます。つまり、企業は営業時間の制約にとらわれることなく、24時間365日いつでも新たな顧客を獲得するチャンスがあるのです。
本人確認にかかっていた人件費や事務費用を削減できる
公的個人認証サービスを導入することで、本人確認に関わる事務作業を大幅に効率化できて、本人確認書類の受付や審査、顧客への通知などの手間を省けます。これにより、本人確認担当者の人件費を削減できるだけでなく、書類の郵送費用や保管費用などのコストも抑えることが可能です。
公的個人認証サービスを利用するデメリット
公的個人認証サービスは利便性が高い反面、いくつかのデメリットも存在します。その中でも企業にとって最も大きなデメリットは、マイナンバーカードのICチップ内の情報を読み取るための専用の機器、またはスマホアプリの準備が必要なことです。ブラウザのみでサービスを提供する企業の場合は、アプリを開発する手間や費用がかかり、さらにはユーザーの離脱も招きかねません。
デメリット解消に向けたデジタル庁の取り組み
デジタル庁ではAndroidユーザー向けに、スマートフォンにスマホ用電子証明書を搭載する「スマホ用電子証明書搭載サービス」を提供しています。手元にマイナンバーカードがなくても手続きできることから、サービス利用者の心理的・物理的ハードルが下がり、ユーザーの離脱を防止できます。現在iOSには未対応ですが、将来的にはリリース予定です。
また、デジタル庁はデジタル認証アプリを提供しており、企業はデジタル認証アプリと連携するAPIを活用することで、マイナンバーカードを使った本人確認・認証や電子申請書類への署名機能を簡単に組み込めます。企業によるアプリ開発は不要であり、手間を大幅に削減できるのです。
これらの取り組みにより、公的個人認証サービスの課題は徐々に解消されつつあり、より利便性の高いサービスへと進化していくことが期待されています。今後もデジタル庁を中心に、利用者と企業双方にとって使いやすいサービスを目指した改善が行われていくでしょう。
公的個人認証サービスを導入する際の流れ
企業が公的個人認証サービスを導入する際の流れは、以下のようになります。
- ICチップ読み取りのためにどのチャネル(自社アプリ、汎用アプリ、OEMアプリ、デジタル認証アプリ、マイナポータルアプリ=スマホ搭載)を使うのかを検討
- JPKIによる本人確認に加えてどのオプション(最新4情報取得、証跡保管など)を利用するかの検討
- 自社が開発する範囲、および委託先にお願いする範囲を検討(特にPF事業者へ接続するサーバー機能)
- JPKIの離脱防止として「へ」方式も併せて導入するかの検討
- JPKI導入による審査業務への影響の検討
- 委託するPF事業者の・JPKIサービス提供者の選定
- 技術仕様などの入手
- 総務大臣認定手続き
- 本番利用開始の準備
民間事業者が総務大臣の認定を受けるまでに要する時間の目安は、5~10か月程度です。事業者が審査事項をどの程度満たしているのかによって期間は変わってくるため一概に言えないものの、目安として把握しておくとよいでしょう。
より詳細な導入手順については、デジタル庁の「公的個人認証サービス利用のための民間事業者向けガイドライン」でご確認ください。
公的個人認証サービスの導入はPolarifyへ
公的個人認証サービスは、J-LISが発行した電子証明書を基点にしてオンラインでの本人確認を行うため、高い信頼性を誇ります。本記事では、公的個人認証サービスを利用するメリット・デメリットだけでなく、民間企業が公的個人認証サービスをプロダクトに取り入れる手順も解説しました。
公的個人認証サービスを取り入れることによって、ユーザーが安心して取引を行うことができるようになります。Polarifyでは、民間利用できる公的個人認証サービス「Polarify 公的個人認証サービス(JPKI)」を提供しています。
「Polarify公的個人認証サービス(JPKI)」では、ユーザーの基本4情報に変更があった場合、事業者側で検知できるため、旧住所宛に郵送物を送付して返送されるなどの浪費コストを防ぐことができます。また、検知できるだけでなく、ユーザーの同意があれば、変更後の基本4情報を事業者側で自動取得し、ユーザー情報を最新に保つことができます。
さらに、セルフィー(顔写真)をマイナンバーカードの顔情報と比較する点も特徴です。公的個人認証後、マイナンバーカードの顔情報とセルフィーを比較し、本人であることを確実に担保します。これにより、たとえ犯罪者がマイナンバーカードを窃取や売買によって入手したとしても、なりすましを防止することが可能です。
自社のプロダクトでも、公的個人認証サービスを活用できるか興味のある場合は、お気軽にお問い合わせください。
本記載の内容は、その時々の環境に応じて変更になる可能性がございます。
技術の進展・改廃等について将来の動向等を保証したり、断定するものではございません。
本記載のサービス等の中には弊社で取扱いできない場合もございます。また弊社として同サービス等の提供をお約束するものではございません。
本記載のサービス等の取り組みを検討される際には、その内容及び貴社が負うこととなる各種リスク等について、必ず貴社自身にてご判断ください。