鈴木淳也のPay Attention

第199回

暗証番号を設定不要なマイナンバーカードと2026年の新カード

神奈川県茅ヶ崎市役所の市民課窓口。マイナンバーカード関連業務を取り扱う

NHKをはじめ複数のメディアが11月22日に「暗証番号 設定必要ないマイナンバーカード 12月中に導入へ」と報じた。認知症の人や高齢者など、マイナンバーカードでの暗証番号の取り扱いが難しい、あるいは(番号を覚えられないといった理由で)不安を感じる人を対象に、暗証番号設定のないマイナンバーカード提供を可能にするという。総務省に改めて確認したところ、閣議決定のような形で大々的に発表された事案ではないが、事務連絡の形で「(2023年の)12月中に実施するのが望ましい」との通達が出ており、そのタイミングに向けて現在動いているという。

今回の措置は、主に医療機関などでマイナンバーカードをオンライン資格確認する際の手段として、4桁数字のPINコードを入力する代わりに、顔認証などを用いることを想定したものだ。「それならば従来の保険証でいいじゃないか」という声も聞くが、認証手段のない従来型の保険証では本人確認が十分ではない。保険証のみの場合、窓口が保険番号などの情報を端末に入力することで資格の有無などはオンライン経由で確認できるが、(利用者が同意した場合に)薬剤や診療情報の共有や限度額認定証の申請が不要といったマイナンバーカード特有のメリットは得られない。

【訂正】記事初出時に、「従来型の保険証ではオンライン資格確認の仕組みが利用できない」と書かれていましたが、正しい表現に改めました(11月30日)

この“暗証番号設定のないマイナンバーカード”は前述のような人に対し、変わらずオンライン資格確認の仕組みを提供することを目的としている。

暗証番号設定のないマイナンバーカードのメリット

“暗証番号設定のないマイナンバーカード”の従来のものとの技術的な違いは、下図にあるJPKI-APの利用者証明用の電子証明書について、その利用に4桁数字の暗証番号を利用できない点にある。

例を挙げると、マイナポータルへのアクセスや、コンビニ等での各種証明書発行に(暗証番号を用いて)マイナンバーカードを利用できないことを意味する。ただし、このままでは本人確認の際にマイナンバーカードが券面情報のみを参照するための単なるプラスチックカードになりかねない。

今回の措置で“暗証番号設定のないマイナンバーカード”から除外されるのは赤枠の部分。このカードにおける本人確認作業は赤線の「照合番号B」で行なわれる

そこで、医療機関など顔認証の仕組みが利用できる施設での本人確認にあたっては、以前にも紹介した「照合番号B」の仕組みを使ってマイナンバーカード内のICチップに記録された券面情報にアクセスし、記録情報に改ざんがないかの確認を行なう。

ICチップ内の券面情報では顔写真が記録されているため、これを取り出して目の前にいる本人と照合するのが医療機関における顔認証の仕組みだ。

なお、これをモバイルアプリ上に実装して、オンラインで本人確認するための仕組みに利用しているも存在する。

機能の一部を除外して「マイナンバーカードを利用して好きなタイミングで情報にアクセスできる」という仕組みこそ利用できなくなったものの、本人確認手段としてのマイナンバーカードは引き続き有効であることが分かるだろう。

また各種報道ではあまり触れられていないが、この“暗証番号設定のないマイナンバーカード”により「マイナンバーカードの代理人受け取りが(幾分か)容易になる」。

従来のマイナンバーカードの場合、確定申告等で利用する「署名用電子証明書」用の暗証番号(6-16桁の英数字)の設定は必須ではないものの、今回のテーマである「利用者証明用電子証明書」用の暗証番号(4桁の数字)については設定が必須であり、本人が市役所等に出向いて対面での受け取りを行なう必要があった。この場合、代理人受け取りのネックとなるのが暗証番号の入力だ。

以前のルールでも必要な書類等を用意することで代理人受け取りは可能だったが、暗証番号だけは交付申請者またはその法定代理人の決定が必要で、その意思をきちんと確認したうえで代行入力を行なうという方法を採っていた(参考リンク)。

令和4年1月31日付総務省自治行政局長通知における「個人番号カードの交付等に関する事務処理要領新旧対照表」から抜粋

総務省の説明によれば、“暗証番号設定のないマイナンバーカード”では基本的な代理人交付のフローはそのままに、従来まで必要だった暗証番号にまつわる作業がそのまま不要となるため、受け取りの際の利便性向上になると説明する。これは、マイナンバーカードが当初の想定を超えて利用範囲を拡大しつつあること、特に健康保険証の一体化が間近に迫って窓口等での混乱を回避するためにも、受け取り手段の柔軟性や多様化を行なうべく議論が進んだことも背後にある(参考リンク)。前述のように直接役所に出向くのが難しいケースにおいて、代理交付を適用する範囲を広げ、確認書類についても対象となる書類の幅を増やすなど柔軟性を高めている。

例えば高齢者や各種障害、あるいは傷病の治療等で本人の移動が困難なケースであっても、マイナンバーカードを受け取って利用することが比較的容易になる。このほか、受取窓口として郵便局の活用も視野に入っており、より生活圏に近い窓口ができるのみならず、郵送交付という手段も選択可能になるようだ。

マイナンバーカードの代理交付の見直し状況
郵便局の活用や郵送交付も視野に

筆者の経験でいえば、母親が現在施設に入所しており、車椅子移動で要介護という状況もあり、本人を市役所に連れて行くことが難しい。施設入所にあたって住所変更の必要があったが、本人を連れ出すことが困難だったため、代理人として筆者が各種作業を行なった。マイナンバーカードについても、本来であれば本人が出向いての更新作業が必要だったが、代理人依頼署名を持参して住所の書き換えは行なえたが、前述2種類の暗証番号については再設定できず、電子証明書自体を削除ということで同意した。

ただ、後に総務省に確認したところ、この手続きを行なった2023年4月時点では「利用者証明用電子証明書」の削除は法令上行なえないとのことで、実際には従来設定した暗証番号をそのまま流用している可能性があるとの見解だった。

確認のためにコンビニで母親の戸籍抄本取得を試したところ、以前に設定した暗証番号がそのまま利用できたため、現在も「利用者証明用電子証明書」はそのまま生きているようだ。

高齢者等、役所に出向いてマイナンバーカード関連の手続きを本人が行なうのが困難なケースもあり、“暗証番号設定のないマイナンバーカード”はその際の代理人の負担を軽減する

【更新】代理人受け取りについての記載を修正(12月5日)

2026年の新マイナンバーカードに向けて

現在政府では2026年に“新”マイナンバーカードの発行に向けた取り組みを続けており、「次期個人番号カードタスクフォース」において、第2回目の会議が11月21日に実施され、27日には同タスクフォースによる中間とりまとめが公開。12月8日まで意見募集が行なわれており、「マイナンバーカード」に変わる名称も含めて、意見を集めている

「利権のためにカードを更新するのか」という声が聞こえたりもするが、実際には制度を運用してみて初めて分かる前項のような不都合もあり、少しずつ微修正を加えて制度を強化していく必要がある。

また技術の発展もあり、搭載しているテクノロジーが実情に合わなかったり、ハッキング側の計算能力の向上でセキュリティ対策が不十分になったりと、更新をせざるを得ない逼迫した事情もある。特にマイナンバーカードは10年間有効なため、10年先のトレンドを見据えて発行しなければならない点で難しいといえる。

タスクフォースにおける現在の“新”マイナンバーカードに関する議論だが、主要ポイントは「券面の整理」「ICチップ内のAPの整理」「発行体制の見直しや更新手段について」といった部分にある。

まずは順番に見ていく。

マイナンバーカードに印刷される券面情報だが、目視確認で利用されるケースが現状で多く、氏名、生年月日、住所、顔写真について現行のままでいくことになりそうだ。ただし性別については、各省庁へのアンケート調査で記載不要との意見が多数派で、現状ではICチップ内に記録されるのみに留まる可能性が高いようだ。

一方で、券面からマイナンバーの情報を削除することについては反対意見も多く、各種手続きでマイナンバー提出を求められる際にカード券面が利用されるケースが多いことを鑑みて、こちらはそのまま残る可能性が高い。このほか券面情報については、補足欄が狭く必要事項を記載しきれずに再発行となるケースがあることから、拡充される方向にある。

また保険機関での紐付け作業ミスなどの理由もあるのか、名前へのフリガナの付与に加え、希望者に対して生年月日の西暦表示やローマ字表記も可能になるという。いずれにせよ、実情に沿った形で券面が変更されることになる。

新マイナンバーカードにおける券面情報の検討事項

また内部的な変化では、ICチップ内に記録される4つの“AP”を2つの新しい“AP”に統合し(「認証AP」「券面等AP」)、AP内への記録情報のアクセス手段も見直す。

基本的な役割は従来と変わらないが、券面情報の入力補助を司るAPにおいては券面から「性別」が削除されたことを鑑み、4情報ではなく「3情報+顔写真」となっている。また6-16桁の英数字で示される「署名用電子証明書」用の暗証番号を用いての券面事項入力補助APのデータへのアクセスが可能になり、照合番号Bで必要な券面情報の読み取りの必要なしにICチップ内の記載事項へのアクセスが可能になる。

これが意味するのは、OCRなしでの券面情報の取得が可能になるため、マイナンバーカードを利用する各種手続き用の端末の設計の自由度が上がるほか、スマートフォン利用を身分証としても活用できるようになるなどのメリットだ。

各種APの整理とアクセスコントロールの変革

このほか、顔認証で用いられる顔画像だが、現状のマイナンバーカードではモノクロでかつ低容量のものとなっている。タスクフォースの検討事項としてこの画像のカラー化も挙がっていたが、現状で認証に特に問題がなく、むしろ撮影時の条件やチェックの厳格化の方が重要との意見が出ている。

カラー化を避けた理由の1つに「ICチップの空き容量不足」があり、マイナンバーカードが当初の予想を超えて各種機能を包含して、かつ民間利用を想定した開放が進められたこと。また後述の新暗号方式の採用による“鍵”データの増大等への対応により、将来的な容量不足が見込まれることもある。前述のAP再編も容量節約策の一環であり、この問題は後々にも響くことになりそうだ。

10年間の有効期限の難しさ

新マイナンバーカード導入における技術的な大きな変更点の1つとみられるのが、電子証明書の更新サイクルの5年→10年への延長だ。

現在のマイナンバーカードでは10年後の誕生日がカード本体の有効期限とされており(18歳未満は5年更新で新カードでも同様)、その中間にあたる5年後に電子証明書の更新を行なわなければならない。

更新期限 3カ月前のタイミングになると、自治体から封筒が郵送されてくる、あるいは医療機関でオンライン資格確認のためにマイナンバーカードを読み込ませると、更新を促すメッセージが表示される。更新期限を迎える前に、役所に出向いて更新作業を行なわなければならない。

5年後の電子証明書の更新期限が近付くと、更新を促す封筒が郵送されてくる

5年→10年への延長と簡単に書いているが、実はそれほど容易な話ではない。技術は日進月歩のため、当時は最良と思って採用した暗号化技術が計算処理能力の向上によって比較的簡単に破られるようになるケースは珍しくない。暗号処理を扱うデジタル機器に有効期限や更新期限が設定される理由の1つでもある。

一方で、マイナンバーカードの有効期限が10年間に設定されていることを鑑みると、2026年までに発行された現行方式の物理カードは少なくとも2036年まで有効となる可能性があり、新方式についても発行日からさらに10年先まで使われ続けることになる。下の資料でも触れられているが、2040年から2050年までの技術的進化を考えれば、以前にデジタル庁の河野太郎大臣が答弁で触れたように、量子コンピュータによる暗号解読の可能性があるため、「将来的なPQC(耐量子計算機暗号)の採用を否定するものではない」といった表現が出てくるようになる。

新カードにおける暗号技術の取り扱いに対する考察

これが暗号技術に定期的なアップデートが必要となる理由だが、移行期には最大で5年程度の併用期間が存在するため、新暗号方式を採用した場合には2種類の暗号技術に対応したマイナンバーカードが存在する形になり、これを用いたサービスを提供する側では両方式に対応しなければならない。ハードウェアの更新は現状で特に必要ないとしているが、ソフトウェア側の更新は必要となるため、混乱を避けるために事前に準備しておく必要がある。

また混乱を少しでも回避し、暗号強度を上げるため、2026年の新マイナンバーカードを導入後は、現行カードの電子証明書の更新のタイミングで電子証明書の更新のみならず、積極的に新カード取得を促す方策の検討されているようだ。

当面は更新作業で自治体窓口での混乱が予想されるが、マイナポイントでの窓口混雑を鑑みて、この更新作業についても簡略化が検討されている。

例えば10年目のカード更新では郵便局の積極活用による窓口の分散を検討するほか、現行カードの電子証明書の更新についてはオンラインでの更新を可能にする方法を検討する。現状で5,000万枚以上のカード更新が今後数年間で一度にやってくることを見据えた対策が進められることになる。

それ以外にタスクフォースの検討課題で挙がっていたポイントとしては、物理カードの磁気ストライプについては図書館カードや印鑑登録証での活用事例があることから搭載を継続し、また暗証番号がロックされた場合に自ら解除が可能なPUK(PIN Unlock Key)の発行の検討が挙げられる。後者について、現状ではロック解除のために自治体窓口まで出向く必要があったが、PUK採用後はマイナポータルアプリを経由してロック解除と暗証番号の再設定が可能になる。全体に、過去2-3年ほどでの窓口業務の混乱を見据えての見直しが盛り込まれている印象だ。

国内SIerでシステムエンジニアとして勤務後、1997年よりアスキー(現KADOKAWA)で雑誌編集、2000年にプロフェッショナル向けIT情報サイト「@IT」の立ち上げに参画。渡米を機に2002年からフリーランスとしてサンフランシスコからシリコンバレーのIT情報発信を行なう。2011年以降は、取材分野を「NFCとモバイル決済」とし、リテール向けソリューションや公共インフラ、Fintechなどをテーマに取材活動を続けている。Twitter(@j17sf)