日本スマートフォンセキュリティ協会
1.はじめに
総務省庁のホームページ(1)によると、2023年6月現在で、マイナンバーカード(MNC)の申請枚数は約9707万枚(77.1%)、発行枚数は約87865万枚(69.8%)と急速に普及が進んでいます。また、2023年6月5日に開催された「第4回デジタル社会推進会議」(2)において、犯罪収益移転防止法(犯収法)および携帯電話利用不正防止法での身元確認において、現在主流である運転免許証やMNCの券面の顔写真の照合を使った方法(犯収法施行規則6条1項1号ホ方式(3))等は廃止され、JPKI認証(6~16文字の署名用電子証明書暗証番号を使用、以降パスワードと記載)を使った方法(同ワ方式)に原則一本化する方針が示されました。誰でも持てるMNCがあれば厳格な身元確認や様々なオンラインサービスの提供により便利さが増す一方で、筆者が考える懸念点と対策について記載します。
2.JPKI認証の懸念点
このコラムを読んでいる方でMNCをすでにもっている人も多いと思いますが、MNC交付時に役所でパスワードおよびPIN(4桁)を紙に手で記載し職員に渡して設定してもらったのではないかと思います。以降、これらをどのように保管していますか?「MNCといっしょにパスワード記載の紙をケース等に入れて保管」したり、あまり使うことがないので忘れないようにと「MNCにパスワード/PINを付箋で貼って保管」したりしていないでしょうか?またはそのような方が近くにいらっしゃらないでしょうか?
これは、よく考えると外に持ち出して落としてしまうと簡単に不正利用をされてしまいますし、身内や訪問者、さらには家に侵入されて本人以外の人がこっそりと不正利用できてしまいます。また、2023年の5月からAndroidでMNC機能のスマートフォン登載が開始されていますが、これも登録する際はMNCとパスワード/PINがあれば良いので、身内、侵入者、さらには訪問者が何かしら理由を付けて自身のMNCの情報を悪意のある他人のスマートフォンに保管されてしまう可能性があります(例えば、MNCが不正利用されていないのかすぐに確認できるのでちょっと検証しますと言って渡してしまうと、他人のスマートフォンにMNCが登録されてしまいます)。
3.対策について
では、どのような対策をとればよいのでしょうか?
筆者は、MNCの所持、パスワードPIN/入力(記憶)に加えて顔照合を加えることでより安全性が高まると考えます。具体的には、MNCには既に顔写真が入っており電子署名も改ざんができないようになっています。JPKI認証やスマートフォンへのMNC登録時にスマートフォンのカメラに「本人の容貌」を映してもらい、「顔写真」と顔照合を行うことで本人以外の人が使えないようにする対策が有効だと考えます。また、事前になりすます人の写真や動画を入手・生成しておき顔照合時にこれらを写すことでなりすましを行うことも考えられますので、これらのなりすましを見破る機能も必要です。
より具体的な対応策ですが、筆者は日本電気株式会社でeKYC(Digital KYC(4))の製品開発を担当していますが、犯収法の施行規則6条1項1号の「へ方式(IC本人確認書類を使うパターン)」でMNCの読み取り時にこれらの機能を既に提供しています(実はこれらの機能は「ホ」や「へ」では必要な機能です)。このDigital KYCのようなMNCの顔写真と本人の容貌との照合をJPKI認証と組み合わせてセキュリティを高めていくことが必要だと考えます。なお、Digital KYCではMNCのICチップ読み取りから顔照合まですべてスマートフォン内で処理を行うSDKを提供しておりますので導入が簡単です(かつ顔照合時にネットワーク上にはデータを流さないので利用者も安心かつスムーズに照合ができます)
4.誰もがMNCの読み取りをし易く
不正利用を防止するには、MNCの読み取りを誰もが簡単にできることも重要です(操作が面倒になって誰かにやってもらうことが当たり前になってしまう等が考えられます)。スマートフォンでMNCを読み取る際、機種ごとにMNCのICチップをあてる位置が異なっており、スマートフォン初心者や高齢者にはICチップを読み取ることは比較的難しいと思われます。対策として何らかの読み取りのガイドを出す等が考えられますが、上記で紹介しましたDigital KYCではビデオガイドを付ける(特許出願済)ことで誰もが簡単にICチップを読めるように工夫を行っています。
5.おわりに
本コラムではJPKI認証と筆者が考える課題と対策について記載しました。デジタル化が進みますます世の中が便利になっていくなか、これを悪用した不正も増えていくことが想定されますのでセキュリティ対策の面でもしっかりと考えていきたいと思います。
(引用)
(1)マイナンバー交付状況について
https://www.soumu.go.jp/kojinbango_card/kofujokyo.html
(2)今回の「デジタル社会の実現に向けた重点計画」の主なポイント
https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/38606249-07b3-4176-a538-58e0c64a488a/dd76edf1/20230606_meeting_conception_outline_01.pdf
(3) 金融庁 参考資料 [犯罪収益移転防止法におけるオンラインで完結可能な本人確認の方法]
https://www.fsa.go.jp/common/law/guide/kakunin-qa/2.pdf
(4) NEC Digital KYC 本人照合SDK
https://jpn.nec.com/fintech/kyc/service/index.html