デジタル庁「認証アプリ」が目指す「オンライン本人確認の基盤」

デジタル認証アプリ(イメージ)

デジタル庁がかねてより提供を予定していた「デジタル認証アプリ」が6月中にリリースされることになった。App StoreとGoogle Playからアプリをダウンロードすることで利用が可能になり、様々なアプリやWebサービスで、マイナンバーカードを使った安全なログインが実現できるようになる。

当初、横浜市の子育て応援アプリ「パマトコ」、三菱UFJ銀行「スマート口座開設」アプリが対応を表明しており、今後順次対応サービスは拡大していく見込みだ。

認証アプリについて説明するデジタル庁の村上敬亮国民向けサービスグループ長(左)、CPOの水島壮太氏(中央)、国民向けサービスグループ鳥山高典参事官補佐

安全なログインを実現する認証アプリ

デジタル認証アプリは、マイナンバーカードの電子証明書を活用して非対面(オンライン)における本人確認の基盤となることを目指したアプリ。これを使うことで、IDとパスワードを使わずに安全にWebサイトやアプリのログインを行なえるようになる、というのが特徴。

安心・安全の社会実現のためにはオンラインの本人確認は必要不可欠とデジタル庁

今まで、マイナポータルアプリやe-Taxにログインする際にマイナンバーカードをかざしてログインできたが、いわばこのログインのための機能を切り出して、民間企業なども簡単に使えるようにしたのが、今回の認証アプリだ。

政府や市役所、金融、SNSなど様々な場面で本人確認機能を提供するのが認証アプリ。サービス側でIDとマイナンバーカードの電子証明書を紐付けることで、本人確認が可能になる

利用するためには、あらかじめApp StoreやGoogle Playからアプリをダウンロードし、iPhone、Androidスマートフォンにインストールしておく。対応するWebサービスやアプリは、ログイン時などにAPI経由で認証アプリを呼び出すので、マイナンバーカードを使ったログイン操作を行なう形になる。

技術的には「JPKI(公的個人認証サービス)」を活用する。

もともとマイナンバーカードは自治体の窓口で厳正な本人確認を元に交付されている。そのマイナンバーカードのICチップ内には電子証明書が含まれており、これを利用するJPKIは、技術的に偽造やなりすましが難しく、より確実にマイナンバーカードを持っている本人であると考えられる。

電子証明書の場合、マイナンバーは使わず、IDとパスワードのように漏えいして他人が勝手にログインしてしまう、といったこともできない。マイナンバーカードと暗証番号がなければログインできないため、なりすましで個人情報や金銭が盗まれるといった被害は発生しづらい。

認証アプリにおけるマイナンバーカードを使ったログインの流れ。暗証番号を入力してマイナンバーカードをかざせばログインできる。必要に応じて券面の4情報を送信することもできる

認証アプリを使う場合は、例えばWebサイトに「マイナンバーカードでログイン」のようなボタンが表示される。それをタッチすると認証アプリが起動してマイナンバーカードの読み取りとなり、利用者証明用電子証明書用の暗証番号(数字4ケタ)を入力するとログインができる、という流れになる。

認証アプリはAPI経由で様々なサービスに組み込みが可能。スマートフォンの場合は認証時にアプリが起動し、PCなどの場合はQRコードが表示されるので、スマホの認証アプリでそれを読み込んでログインを行なう

IDとパスワードを記憶する必要もなく、正しいURLでないとログイン画面にならないため、偽サイトでIDとパスワードを盗むフィッシング詐欺攻撃に強い。技術的にはOpenID Connect / OAuth 2.0を使った「認証API」を使うため、既存のECサイト、オンラインバンキングなど、様々なログイン画面に組み込むことが可能だ。

既存のIDやパスワードでログインしているサービスであっても、認証アプリを紐付けることでマイナンバーカードでのログインが利用できるようになる。これによって、ログインしようとしているのが本人であるかどうか、より確実に分かるようになる。

まずは横浜市の子育て応援アプリ「パマトコ」、三菱UFJ銀行「スマート口座開設」アプリの2サービスが対応予定

名寄せができない仕組みでプライバシーにも配慮

認証APIは、例えばWebサービスにログインしようとするとそのサービスのサーバーに対して認証リクエストが送信される。このリクエストがデジタル庁のデジタル認証アプリサーバーに送信され、そこからデジタル認証アプリに対して指令が飛んで、マイナンバーカードを使った認証を行なう。

より詳細な認証APIの動作。これは行政機関のサービスの場合。民間事業者であれば、「行政機関サーバー」がそれぞれの事業者などのサーバーになる

これを受けてデジタル認証アプリサーバーは地方公共団体情報システム機構(J-LIS)に電子証明書の有効性確認を行なったうえで認証結果をサービスのサーバーに返す。その結果サーバー側がログイン処理を行なう、という流れになる。

こうした仕組みを検証するためのテスト環境をデジタル庁が提供。テスト用にカードも提供する

この時、デジタル認証アプリとデジタル庁の間では電子証明書情報がやりとりされ、シリアル番号も通知されるが、この一意のIDはサービス側には送信されない。そのサービス用の仮名IDを返すため、サービス側は複数のサービス間で同じマイナンバーカードが使われたかどうかを認識することもできない。

もちろん、複数のサービスにまたがってマイナンバーやシリアル番号が送信されることもないので、事業者側がSNSの会員情報と銀行の口座情報と医療情報データベースなど、複数のサービスをまたがって利用者を名寄せすることはできない。

デジタル庁側にはどのサービスからリクエストがあって認証結果をどのように返したかのデータは残るが、あくまで認証するためのデータであり、有効性確認で最長1時間かかることもあることから、1時間で一連のデータを削除する仕組みになっている、という。

対面の本人確認にも　認証アプリの「使われ方」

認証アプリでは、ログインのための電子証明書だけでなく、券面事項入力補助APを用いた基本4情報(氏名・住所・生年月日・性別)の連携も可能になる。これにより、例えば会員登録時に氏名や住所を入力する場合も、手入力をせずに確実に正しい情報が入力できる。

普段の会員登録では個人情報を求めずに認証アプリでのログインだけを提供しつつ、限定商品の販売時のみ、個人を特定するために券面事項の入力を求めて「一人ひとつ」の販売を行なう、といった使い方もできる。

これを応用すると、対面での本人確認にも利用できる。例えば認証アプリでログインして券面事項を入力した人にのみチケットを販売してQRコードを配布。そのQRコードを店頭で読み込んで商品を手渡す、会場への入場を許可する、といった使い方ができる。単に生年月日を読み込んで酒類の販売を許可する、という使い方も可能だ。

認証アプリを使うことで、会員登録時の本人確認、ログイン時の当人認証を確実にすることができる。犯罪収益移転防止法と携帯電話不正利用防止法では、非対面での本人確認がマイナンバーカードのJPKIに一本化されるが、認証アプリでそれが実現できる。

認証アプリ自体は毎回マイナンバーカードの読み取りと暗証番号入力が必要だが、最初の会員登録時などに、生体認証によるログインを行なうパスキーを発行すれば、安全性を維持しながら毎回マイナンバーカードを使わずに生体認証だけで本人確認ができる。

こうした設計は事業者次第。OpenID Connect / OAuth 2.0によるサービスへの組み込みが可能なので、事業者も特別な設計が不要なので導入の負担が少ない。デジタル庁では、オンラインでの「認証」において、民間で特にビジネス化が進んでいないという認識で、デジタル庁が基盤となる認証アプリを用意することで、安全な認証環境を整備したい考えだ。

単なる「認証」の環境は民間事業者がビジネス化できておらず、競争も発生していない。デジタル庁が安全な認証基盤を提供することで、デジタル署名を活用したビジネスの拡大などに繋げていきたい考え

さらに、現状の認証アプリはマイナンバーカードの物理カードが必要だが、2025年以降にはマイナポータルアプリと統合される予定だ。これによってスマホ用電子証明書が利用できるようになるため、その時点でAndroid、iPhoneともにスマートフォンの証明書を使った認証アプリのログイン機能が使えるようになる見込み。

なお、JPKIを使った本人確認の場合、J-LISへの証明書検証を行なう際に1件ごとに料金が必要となる。現在、普及を目指して3年間の無料化(政府がJ-LISに補助)施策が実施されている状況だが、認証アプリに関しては、期間を定めず無料で利用できるようにする。デジタル庁では、これも認証基盤を整備して多くの事業者などに利用してもらうためだとしている。