マイナンバーカードを使った本人確認
~基本4情報の提供で何が変わるか?~
デジタル庁は、2023年6月「デジタル社会の実現に向けた重点計画」にて、オンライン口座開設など非対面における本人確認はマイナンバーカードへ集約していく意向であると発表し、大きな注目が集まっています。マイナンバーカードを使った本人確認は、公的個人認証サービス(JPKI=Japanese Public Key Infrastructure)と呼ばれており、マイナンバーカードのICチップに搭載された電子証明書を利用するため、セキュリティの高い本人確認の方法だと言われています。
DNPは、サイバートラスト株式会社(CTJ)を協業パートナーとして、公的個人認証サービス(JPKI)を使ったオンライン本人確認サービスを提供しています。長年認証領域におけるビジネスを展開し、マイナンバーカードの発行が開始された当初からサービス開発に取り組んできた両社から見た、マイナンバーカードを取り巻く状況や基本4情報の提供サービスについてじっくり話を伺いました。
2023年6月26日公開
|
サイバートラスト株式会社
PKI技術本部 トラストサービスマネジメント部 部長
金子 大輔 様
2012年サイバートラスト入社。PKI商材の技術サポート、品質保証に従事し、2020年よりiTrust本人確認サービスのプロダクトマネージャー兼プロジェクトマネージャーを担当。2022年よりトラストサービスを統括するトラストサービスマネジメント部部長に就任。米国PMI認定PMP。
大日本印刷株式会社
情報イノベーション事業部 PFサービスセンター
デジタルトラストプラットフォーム本部
盛田 雄介
2009年DNP入社。IoT・RFID・デジタルキーなどさまざまな最新IT技術分野で、セキュリティサービスの企画・開発に従事。現在は金融業界を中心に、本人確認・本人認証領域で企業の課題解決に取り組む。
1.マイナンバーカードを取り巻く状況
──まずは、デジタル庁の動向・マイナンバーカードの状況について伺いたいと思います。
【DNP盛田】マイナンバーカードの交付は2016年にスタートし、マイナポイント施策以降、発行枚数が急速に伸びてきました。運転免許証の発行枚数を上回ったインパクトは大きかったですよね。今後、マイナンバーカードが身分証明書として使われていく機会が増えていくだろうと思っています。
【CTJ金子氏】そうですね、日本国内で一番普及している顔写真付き身分証明書になったことは間違いありません。DNP様と一緒に公的個人認証サービス(JPKI)の取組みを開始した当初、マイナンバーカードは10%程度しか普及しておらず、“今後、公的個人認証サービスが本人確認のメインになる”と説明しても、なかなか理解が得られにくかったのを思い出します。
【DNP盛田】導入率や交付率がやはりネックになりましたよね。
【CTJ金子氏】今はもう普及率で断られることはまずなくなりました。今後、運転免許証も在留カードもマイナンバーカードに一本化していくという政府の意向もあります。
【DNP盛田】運転免許証との一体化に向けた取組みは、前倒しができないか検討しているようですね。
【CTJ金子氏】運転免許証との一体化については、警察庁でもマイナンバーカードから運転免許証の情報を呼び出したり書き込んだりするアプリケーションの開発について調達をかけておりまして、実現に向けて急ピッチで動いているようです。
【DNP盛田】あとは、在留カードとの一体化ですね。
【CTJ金子氏】はい、在留外国人の方も今や300万人を超えておりますし、やはりその人々にも利便性や精度の高い本人確認を提供する、ということは必要だと思っています。
【DNP盛田】今はまだ、マイナンバーカードを普段から持ち歩いている人は少ないと思うのですが、運転免許証との一体化などが進めば、お財布にマイナンバーカードを入れて持ち歩くということが普通のことになるのでは?と思っています。
【CTJ金子氏】政府も“マイナンバーカードは持ち歩いても大丈夫なものですよ、むしろ積極的に持ち歩いてください”と啓発活動をしています。万が一、マイナンバーカードを落として他者の手に渡ってしまったとしても、そこから個人情報が引っ張られてしまうというものではありませんので、そこをしっかり訴求していくことも必要ですね。
【DNP盛田】持ち歩くという点でいうと、マイナンバーカード機能のスマートフォンへの搭載も5月からスタートしました。対応機種や利用できるサービスが今後増えていくことで、携帯することがごく当たり前となっていくかと思っています。
【CTJ金子氏】アメリカなどで一部始まっている、スマートフォンのアプリに運転免許証の情報を記録する「モバイルドライバーライセンス(mDL)」についても、デジタル庁で情報収集を始めていて、どうすれば日本になじむ仕組みになるか検討していると聞いています。
【DNP盛田】そうですね、まさに安全性がしっかりと担保され、マイナンバーカードを街中で提示する機会が増えていけば、抵抗感はどんどんなくなっていくでしょうし、逆にないと困るものになってほしいものです。
|
2.「基本4情報の提供サービス」でできること
──5月にスタートしたサービスとして「基本4情報の提供」がありますが、どのようなサービスなのでしょうか?
企業側のメリットや気を付けるべき点についても教えてください。
【CTJ金子氏】まず、基本4情報というのは「氏名・住所・生年月日・性別」のことで、これはマイナンバーカードの表面券面に記載されていますし、ICチップの中にも格納されている情報です。さらに言うと、署名用電子証明書という公的個人認証サービスで使う証明書の中にも、同じ基本4情報が入っています。この最新の基本4情報について、所定の手続き・利用者同意が得られれば、金融機関などがその情報を入手できるサービスになります。
【DNP盛田】5月に政府から発表された内容ですと、あたかもこのサービスを利用すれば、銀行などの利用企業側は何かアクションをしなくても、この基本4情報が自動的にプッシュされるような印象を持った方もいるのではないかと思いますが、ちょっとこの点は誤解がありますよね。
【CTJ金子氏】はい、このあたりはしっかりと理解しなくてはならないかと思います。利用者としても本人でないところからどうやって基本4情報が渡されるのかもちろん気になりますし、利用企業側も非常にセンシティブに扱わなくてはならない情報かと思います。
利用にあたっては、利用者同意が必要となります。マイナンバーカードの署名用電子証明書という機能を使って同意申請を行わなくてはなりません。さらにその申請はいつでも利用者の意思で、同意取消しなどの変更ができなくてはなりません。
【DNP盛田】提供するかしないかは、私たち利用者が自由に選択できるということですよね。
【CTJ金子氏】また、基本4情報は「氏名・住所・生年月日・性別」がありますが、どの情報の提供に同意するかも利用者が選べるようにしなければなりません。
【DNP盛田】全部セットで一括ではないよ、ということもポイントですよね。
【CTJ金子氏】はい、ここは企業側が期待するところと、実際に提供が受けられる情報との乖離(かいり)が出てしまうところかと思います。一度、基本4情報の提供を受けてしまえば無条件で情報をもらえるのかというと決してそうではありません。同意があるということを、われわれ主務大臣認定を受けている事業者を通して地方公共団体情報システム機構(J-LIS)に、“このサービスでこの情報を提供してもいいという同意をもらいました”と都度届け出る必要があります。
【DNP盛田】プッシュで自動的に情報が送られてくるわけではなく、企業が任意のタイミングで同意の得られた情報を取得しにいくプル型のサービスですよね。
【CTJ金子氏】あとは企業側としては申請管理が必要になります。当然、本人同意を得たという同意書を保管する必要もありますし、取消しも自由に受け付けられるような仕組みを作らなくてはなりません。もちろん、この基本4情報の提供サービスで便利にはなっていきますが、初期の投資はどうしても必要になります。
当社では今後まず、本番での提供に先駆けてトライアル環境でPoC(※)を提供していこうと考えています。8月末にはご提供できたら、と考えています。
- ※PoCとは、Proof of Concept(プルーフ・オブ・コンセプト)の略で、新しい手法や技術などが実現可能であるか検証すること。
【DNP盛田】このサービスを利用すると期待する効果が得られるか、PoCでまず確かめるイメージですよね。実サービスに組み込む前にどのような運用になるか、イメージを掴めるのは非常に心強いと思います。こうしたトライアル環境を利用していく中で、企業の利用実態に合った仕組みになってくれたらと思います。まず、中心となるのは金融機関での利用ですよね?
【CTJ金子氏】どこ向けにと限定しているわけではないと思いますが、政府の発表を聞くと最新基本4情報を一番欲しいであろう金融機関をまずターゲットに、ということだと理解しています。機能としては、どこの業界でなくては提供できないということはありません。
【DNP盛田】継続的顧客管理という面で金融機関にはニーズがありますからね。継続的顧客管理に使えるのかを見ながら、サービス面での改善点をデジタル庁へ提言していきたいと考えています。
【CTJ金子氏】あと基本4情報の提供に関しては、同意は利用企業に対して届け出るのですが、その後の取消しについては利用者が地方公共団体情報システム機構(J-LIS)に直接届け出ることもできます。電話ないしは利用者クライアントソフトを使って、利用者は自分がどこに対して基本4情報のどの情報を提供しているのかを閲覧・確認することができます。同意の有効期限は10年と決められています。
【DNP盛田】なるほど、そうなんですね。10年経って有効期限が切れた時には、更新という手続きをするのか、それともまた同意を取り直すのか、そのあたりはどうなっているのですか?
【CTJ金子氏】同意を取り直すことになります。企業側が利用者に同意許諾を再度アプローチする形ですね。その管理も含め、最初に利用者同意を取って終わりではなく、先ほどお話しした申請管理が必要になってきます。
また、最新基本4情報の取得は、地方公共団体情報システム機構(J-LIS)に決められた手数料を利用企業が支払う形になります。公的個人認証サービス(JPKI)の利用手数料については政府から発表があった通り、費用はかからなくなりました。
今私がちょっと気になっているのは、最新基本4情報を取得するのがいいのか、変更があった時に公的個人認証サービス(JPKI)で都度本人確認を求めるのがいいのか、お話ししたコストのこともあるので企業によって変わってくるだろうと思っています。
【DNP盛田】このあたりもどちらのケースが自社に合うのか、トライアル環境でのPoCで試していってもらいたいですね。
●「基本4情報の提供サービス」まとめ
基本4情報とは「氏名・住所・生年月日・性別」のことを指す。
【利用者同意について】
・基本4情報提供にあたっては、利用者同意が必要。
・4つの情報のうち、どの情報の提供に同意するかも利用者が選ぶ。
・同意は利用企業に対して届け出る。
・一度同意しても、いつでも利用者側で取消しができる。
・取消しの方法は以下の2つがある。
(1)利用企業に対して届け出る。
(2)地方公共団体情報システム機構(J-LIS)に届け出る。
【企業の申請管理について】
・企業側としては、申請管理が必要。
・利用者に対して、どの情報の提供に同意をしているか閲覧・確認・変更ができる機能が必要。
【同意の有効期限について】
・同意の有効期限は10年。期限が切れたら再度利用者に同意を取る必要がある。
【サービス利用料について】
・最新基本4情報の取得は、地方公共団体情報システム機構(J-LIS)に決められた手数料を利用企業が支払う。
・上記以外に、申請管理の仕組みを構築・運用するための費用が必要。
3.DNPとサイバートラスト株式会社だからこその強み
──2016年から公的個人認証サービス(JPKI)で協業している両社ですが、両社だからこそ提供できる価値・強みについて教えてください。
【DNP盛田】私たちDNPは口座開設アプリなどのアプリケーションのフロント側を見ていて、サイバートラスト様はセキュリティ領域のバックエンド側を見ています。DNPと御社が組んでいるからこそできる価値提供を強みにしていきたいですよね。
【CTJ金子氏】マイナンバーカードを含め情報の取扱いには、国民が非常に敏感になっている側面があると思います。2016年のマイナンバー制度開始時から当社はプラットフォーム事業者としてやってきていますので、そのナレッジ・ノウハウは強みになると思います。DNP様とも2016年から一緒にタッグを組ませていただいておりまして、課題や不便さなどをしっかりとフォローアップしてきましたので、そこはぜひ私たち2社を信頼していただきたいなと思っています。
【DNP盛田】ご存じのように私たちがよく使う言葉に“DX for CX”というコンセプトがありまして、DXは手段でしかなく、あくまでもお客様の体験価値=CXをいかに上げていくかをキーワードとしています。セキュリティや安全面はもちろん、使いやすさや便利さにもこだわっていけたらと思っています。
【CTJ金子氏】この部分もPoCでぜひ試していただきたい点になります。PoCで何かもうちょっとこうしたいというような、画面なりバックエンドの仕組みなりの改善要望を見つけていきたいと考えています。DNP様と一緒に、一気通貫のサービスとして立てつけていくことができるのは大きな強みになると思っています。
【DNP盛田】同意の有効期限10年という長いスパンの中で、企業側の業務スキームと照らし合わせた上で、何ができるのかをしっかりと考えて支援していくことが求められるかと思っています。私たちは金融機関様とはキャッシュカードや通帳、各種帳票の製造を始め、非常に長いお付き合いをさせていただいており、業務スキームを理解しているというメリットがあります。この点を活かして、価値あるサービスを提供していきたいと思います。
今まで以上に、情報共有・連携を密にして、より良いサービスを提供していきましょう。
「公的個人認証サービス(JPKI)」へのお問合わせ(URL別ウィンドウで開く)
今回は、マイナンバーカードが持つ本人確認・認証機能をデジタル社会の基盤として徹底的に利活用していくためデジタル庁が発表している「基本4情報の提供サービス」について、サイバートラスト株式会社の金子様にお話を伺いました。
第2弾では、「スマートフォンへの搭載」「スーパーアプリ構想」について、詳しく解説をしていきます。
DNP×サイバートラスト株式会社 スペシャル対談企画
- [vol.1]マイナンバーカードを使った本人確認 ~基本4情報の提供で何が変わるか?~
- [vol.2] マイナンバーカードを使った本人確認 ~スマートフォン搭載、認証スーパーアプリで何が変わるか?~
- [vol.3] マイナンバーカードを使った本人確認 ~次期マイナンバーカードはどうなるか?~
- [vol.4] マイナンバーカードを使った本人確認 ~これからの本人確認はどうなるか?~
このコラムで紹介した製品・サービス
-
金融機関を中心に、本人確認機能を提供
オンライン本人確認(eKYC)総合サービス
eKYC(electronic Know Your Customer)は、オンライン上で安全に本人確認が完結する仕組みのことです。DNPは本人確認や本人認証が必要となるさまざまな場面で、最適な認証の仕組みを組み合わせ、セキュアで安心なサービスとして総合的に提供する「認証DX」を推進しています。 その一環として、2019年より「オンライン本人確認(eKYC)総合サービス」を提供しています。インターネットでの銀行口座開設やシェアリングサービス利用時の本人確認など、さまざまなシーンで本人確認機能をご導入いただけます。 -
【バックオフィスサービス】~オンライン申請での本人確認(eKYC)に対応したバックオフィスサービス~
eKYC審査業務
2018年11月30日に犯収法の施行規則が改正となり、オンラインで完結する本人確認(eKYC)が可能となりました。利用者の利便性が向上する反面、システムの構築や運用環境の整備など、事業者には大きな負担にもなっています。
本人確認アプリの作成、目視による審査業務など、盤石のセキュリティ対策の下、ワンストップで実現できるのが、DNPのeKYCサービスの特長です。
サービス開始以来、複数企業様にご採用いただき、すでに2,000万件以上のeKYC審査を実施しました。