鈴木淳也のPay Attention

第63回

銀行口座不正アクセス事件にみる「デジタルID」の重要性

東京の永田町にある首相官邸の外観

9月16日、第99代内閣総理大臣に就任した菅義偉氏を中心とした内閣が発足した。前任の安倍晋三氏の路線を引き継ぐ内閣ではあるが、新内閣ならではの特色として、菅氏が官房長官時代にたびたび言及していた携帯電話料金の引き下げのほか、国のデジタル戦略を強化するために省庁の縦割りを取り払って横串の連携を可能にする「デジタル庁」創設が掲げられている点が挙げられる。

デジタル庁創設の中心にいるとみられるのが、新内閣でデジタル改革相に就任した香川県出身の平井卓也氏で、複数の報道によればマイナンバーカードを「デジタル社会のパスポートとして普及させていく」方針を示しており、筆者が本連載で触れた「マイナンバーカード普及の難しさ」を国の指針として乗り越えつつ、最終的に国内共通のデジタルIDとして活用していく意向とみられる。

また運転免許証についても、マイナンバーカードとの一体化やスマートフォンへの搭載も可能なデジタル化に向けた工程表を年内にもまとめる方針(日経新聞)とのことだ。

筆者は2010年に「『NFC(Near Field Communication)』技術を使った携帯電話とID(と鍵)のデジタル活用」を中心とした取材に軸を切り始めたが、紆余曲折を経て10年越しの展望がようやく実現に向かうのを目にしており、なかなか感慨深い。

2011年にフランスのニースで取材した「Cityzi(シティジィ)」サービス。街中のあちこちにNFCタグがあり、例えばトラムの停留所でタグを読み込むと最新の運行情報がWebを通じて得られる。今から考えると非常に原始的なアプリケーションだ

NFCという技術は外部の機器と通信を行なうためのトリガーにしか過ぎないが、「タッチする」というアクションを組み合わせることでさまざまなことが可能になる。また、NFC機能を持つスマートフォン内部のセキュアエレメント(SE)にさまざまな情報を格納することで、決済やドアロックの解錠、あるいは身分証の提示に使ったりと、アプリケーションとしての応用範囲が広い。

残念ながら、2010年に最初のNFC搭載携帯やスマートフォンが多数登場したころはめぼしいアプリケーションもなく、事業者間で「誰がSEを管理するのか」という、「セキュアエレメント論争」が発生したことで普及に際して互いに足を引っ張り合う状況が続き、なかなかアプリケーションが立ち上がらない状況が続いていた。

この問題を最初に解決したのは2014年に登場したApple Payだが、以後、少しずつ「SEとID」に対する取り組みは進展しつつあり、今回の流れへとつながっている。

冒頭が長くなったが、今回のテーマはNFCに限らずスマートデバイスにおいて重要となる「デジタルID」の話だ。

スマートフォンで実現する「デジタルID」の世界

デジタル化された財布がスマートフォンに格納された状態のものを「モバイルウォレット」などと呼んでいるが、これが進むと文字通り財布を持たずとも同じ役割をスマートフォンだけでこなせるようになる。現状では決済に使うカードやポイントカードを保持したり、あるいは交通チケットを格納する程度にとどまっているが、最終的には家や車の鍵であったり、身分証などもすべて持ち歩けるようになっていくだろう。

モバイルウォレットのメリットは主に2つあると考えており、1つは安全性、もう1つは利便性だ。安全性について、人によっては「スマートフォンに身分証を含め何から何まで突っ込んだら、紛失時や故障時に危なくない?」と思うかもしれない。

だが実際には、スマートフォンにロックをかけておけば本人以外がSE内に格納された情報にアクセスするのは難しいし、盗難時や紛失時はリモートワイプなどの機能を使って遠隔消去することもできる。そして何より、デジタルの特徴として「再発行」が容易な点がある。例えばデジタル運転免許証は米国の一部州などで実験がスタートしているが、通常の運転免許証に付随する形でスマートフォンに格納するためのデジタル運転免許証が発行される。

つまり、従来の紙とプラスチックの運転免許証は家で大事に保管しつつ、日々の運転や年齢確認のための身分証の携帯にはスマートフォン内のデジタル運転免許証があればいい。ただし州で限定されるため、通常の運転免許証なしで州境を越えた段階で免許不携帯になる。

デジタルIDの例。これはQualcommのイベントで見かけた米国のデジタル身分証のデモ

そして利便性で大きいのが、これらID情報が格納されているのがスマートフォンというインテリジェントなデバイスであることだ。

仮にSuicaのようなスマートカードに身分証が格納されたとして、専用の読み取り機がなければ単なる券面に情報が印刷された身分証でしかない。ところがスマートフォンであれば、格納された認証情報を使ってインターネット経由でさまざまなサービスが利用できる。つまり身分証明書のデジタル化とは、従来までIDとパスワードに依存していたようなWebアクセスにおいて、より安全で簡便な認証手段を提供するものになり得るというわけだ。

決済サービスを通じた銀行口座不正アクセスにみる「デジタルID」の重要性

なぜスマートフォンなどに格納されるデジタルIDが重要なのかは、今回話題になっている一連の「ドコモ口座」や「ゆうちょ銀行口座」の問題が示してくれている。最新報告としては、ケータイWatch関口氏がまとめているゆうちょ銀行の緊急会見の話題のほか、筆者が別誌で寄稿した「問題はドコモ口座の外に拡大している(Business Insider Japan)」という話と、「本人認証に関する業界の根本的な問題」(Engadget)についてまとめた記事が詳しいので、興味ある方は参照してほしい。

一連の問題の根本は「銀行口座接続をもって本人確認を終了したとする決済サービス事業者(資金移動業者)の認識の甘さ」と「Web口座振替における銀行ごとのセキュリティレベルの開き」という2点にある。

特に後者について、今回ドコモ口座で被害が集中していたのは、「口座番号」や「暗証番号」、「生年月日」など比較的類推や入手が容易な情報のみでWeb口座振替を許可していた銀行だった。一方で比較的強固な認証を行なっている銀行での被害はゼロだった。

この問題を紐解くと「銀行自体が本人確認を行なうための充分な個人情報を持っていない」「本人確認におけるセキュリティレベルを担保するような(銀行)業界を横断するガイドラインが存在しない」という2点に行き着く。

つまり、安全性を確保する最も手っ取り早い方法は「統一的な本人認証を可能にするデジタルIDを用意する」ことではないかと筆者は考える。

ドコモ口座での不正アクセス事件について緊急会見で謝罪するNTTドコモ幹部

個人的にスマートフォンとデジタルIDをうまく組み合わせていると感じているのが、スウェーデンの「Swish」だ。決済や送金が可能なスマートフォンアプリであり、基本的にスウェーデン国内で発行される国民IDと地元の銀行口座さえあれば誰でも利用できる。地元銀行ではSwishなどモバイルバンキングサービスを利用するユーザーに対して共通の「BankID」を発行しており、これを利用することでアプリを通じて銀行口座へとアクセスが可能だ。例えばSwishで送金する場合、アプリ上で相手の電話番号と金額を入力すると、いったんBankIDの認証用ページへと遷移し、ここで暗証番号を入力して正しいと認識されれば送金が完了する仕組みとなっている。

BankIDは基本的にデバイスごとに発行されるため、デバイス+暗証番号の組み合わせが一致しないと利用できない。利用方法自体シンプルなうえ、別の銀行を利用しても基本的には共通で発行されるBankIDの仕組みを使うため、銀行間の差もない。またBankID自体はSwish以外にも利用される認証方法のため、こういった仕組みが日本にもあっていいのではと思う。

Swish送金の最中にBankIDの認証画面が起動するところ

共通のID基盤の重要性

スウェーデンのように銀行共通IDであるBankIDであったり、マイナンバーカードのように日本という国がIDを用意するという方法もあるが、認証サービスを専門に行なう事業者が存在してもおかしくない。

日本でいえばYahoo、Google、Apple、MicrosoftなどIDをOAuthの認証の仕組みとして提供するサービスがあるが、今回の一連のサービス群に利用できるような「ID銀行」のような仕組みも当然出てくるだろう。

例えばLINEは、9月10日の主催イベントで「LINE ID Passport」という構想を発表している。eKYCで本人確認が行なわれたLINE IDを自社サービスだけでなく、サードパーティも利用できる仕組みということで、これも一種のID銀行だろう。

紐付くサービスが多ければ、それだけIDの利便性も向上する。この構想だが、ドコモ口座の緊急会見が開かれたのと同日の発表であり、発表直前にスライドをねじ込んだのではないかと筆者は想像している。それだけタイムリーな話題であり、問題の本質を突いた内容だったからだ。

LINE Pay 3.0として、eKYCを通じて本人確認が行なわれたLINE IDを公共の認証基盤とする構想
構想の名称は「LINE ID Passport」。プレスリリース中でも触れられていないため、このスライドはおそらく急遽用意されたものと予想する
自社サービスだけでなく、サードパーティ開放も視野に入れたID
LINE ID基盤を使ってさまざまなサービスを結びつける

いずれにせよ、今後数年は日本国内においてデジタルIDに関する議論が活発化すると予想する。LINEの発表はその先陣を切った形だが、今回の一連の事件の反省を踏まえ、金融業界や政府は皆が利用できて安全性の高いデジタルIDの仕組みを早急に整備してほしいところだ。

鈴木 淳也/Junya Suzuki

国内SIerでシステムエンジニアとして勤務後、1997年よりアスキー(現KADOKAWA)で雑誌編集、2000年にプロフェッショナル向けIT情報サイト「@IT」の立ち上げに参画。渡米を機に2002年からフリーランスとしてサンフランシスコからシリコンバレーのIT情報発信を行なう。2011年以降は、取材分野を「NFCとモバイル決済」とし、リテール向けソリューションや公共インフラ、Fintechなどをテーマに取材活動を続けている。Twitter(@j17sf)