見出し画像
Photo by volmoto

アイデンティティ2

Sayaka Ishizuka

今まであまりnoteのダッシュボードとか見たことなかったのですが、久々に見てみたら4番目に多くの方に読まれているのがこちらの記事でした。

こちらの記事ではマイナンバー制度の経緯などを書いたのですが、今回は「アイデンティティ」についてもうちょい掘り下げてみようかなーと思います。

というのも、オンラインを前提とした時の「本人を確認するってどういうこと?」という問いに対する様々な認識の違いや誤解がオンライン化を進める際にも障害になっているなぁと、ここ1年くらいの間にしみじみと感じたからです。
知識のあるなしという「情報の非対称性」が起こるのは一定程度は仕方がないのですが、あまりに行き過ぎると「よくわかんないけどとにかく危ないからイヤ」という過剰な反応や、逆に「専門家に任せておきゃええだろう」という思考停止に繋がっていき、個人的には「百害あって一利なしだな」といつも感じていることもあり、今後の社会のアップデートのためにもできる限り解消しておきたいところです。

参考にしたのは、以下のサイトにあるガイドラインのうち、平成31年2月25日にアップされた行政手続におけるオンラインによる本人確認の手法に関するガイドラインと経済産業省によるオンラインサービスにおける身元確認手法の整理に関する検討報告書(概要版)の2つです。
こちらの記事では、この内容を(できるだけ)わかりやすく嚙み砕いていこうと思います。

前のnoteにも書きましたが、ものすごく根源的な話としては「あなたが『あなた』であることを誰が証明できるのか」という超哲学的な話がスタートになります。
しかし、哲学レベルのままではいつまで経っても理解が進まないので、今回は「あなたが『あなた』であることを誰が”どのように”証明できるのか」という点をもうちょっと掘り下げていきたいと思います。
ちなみに、本人確認には、自然人(個人)向けと法人向けがありますが、ややこしくなるので今回は「自然人(個人)」のみを対象とします。

本人確認ってなに?

まず最初の前提としてオンラインにおける本人確認というのは「身元確認」と「当人認証」の2つに分類されます。

本人確認は身元確認と当人認証に分かれることを示した図
本人確認とは

通常は、両方の組み合わせで本人確認をするのが普通ですが、単なるアンケート調査で住民票を取らせるようなことは現実的ではありませんので、手続におけるリスク影響度によって求めるべきレベルを選択することとなります。

身元確認の場合

身元確認は3段階の保証レベルがあります。

身元確認の保証レベル1~3
身元確認の保証レベル

スピード違反などで捕まった時に警察の人に「運転免許証を見せてください。」と言われて提示した経験のある方は多いと思いますが、氏名や住所を口頭で聞き取りするのではなく、免許証を見せるだけで確認できることを不思議に思ったことはないですか?
あんな単なるプラスチックカードに書いてあることなんて本当かどうかわからないのに、警察の人はそれを「本当」だという前提で求めてくるのはなぜでしょう?

当然ながら、免許証は取得時に住民票など「相当程度の信用度のある身元確認書類」を提示した上で交付を受けており、しかも顔写真まで載せているという、予め織り込まれた保証レベルがあります。
また、転居等に伴う住所変更があった場合にも道路交通法により速やかな記載事項変更が義務付けられているという背景があることで、免許証の記載事項確認をすることは身元確認における保証レベルの高い手段ということになるのです。(まぁもちろん超精巧な偽造とか細かいシチュエーションを考えれば色々穴はありますが、ややこしくなるのでとりあえず忘れることにします。笑)

当人認証の場合

当人認証はオンライン化に伴って必要とされるようになったプロセスですが、こちらも3段階の保証レベルがあります。

当人認証の保証レベル1~3
当人認証の保証レベル

当人認証については、認証要素というものが関係しますが、要素ごとの発行プロセス、1つだけ使うか、複数を組み合わせて使うかなどによって保障レベルが変わります
免許証と同様に交付時に住民票など「相当程度の信用度のある身元確認書類」を行っているかどうかなど、認証要素発行のプロセスの違いでもレベルが変化してしまうので、なにをどう組み合わせるかは「手続の内容」に応じて選択する必要があります。

認証の3要素の図
認証の3要素

マイナンバーカード最強説!?

マイナンバーカードは、マイナポイントなどを払ってまで普及促進を行っていますが、なぜそこまでするのだろうと思ったことはありますか?

マイナンバーとマイナンバーカードの区別がついていない方はまだ多いのですが、実はオンライン手続を行うにあたってマイナンバーカードは「日本における最強の本人確認ツール」です。

理由その1は、発行時の本人確認が厳格であり、身元確認保証レベルが高いことです。
マイナンバーカード申請には、住民票の住所地に簡易書留で送付される「個人番号カード交付申請書」に記載されたQRコード又は申請IDが必須です。
また、受取時にも申請後に住所地に送付される交付通知書(はがき)と一定レベルの本人確認書類の提示が必要という、かなりしつこく身元確認を行った上で発行されるカードです。
そのため、受取については必ず窓口での交付となってしまいますが、身元確認保証レベルは相当高くなっています。

理由その2は、1枚でレベル3の当人認証レベルを持つことです。
マイナンバーカードは、データの記録や演算をするための集積回路 (ICチップ)が組み込まれたICカードです。
15歳以下や交付時に電子証明書の発行を希望されない方などを除き、ICチップには「身元確認」と「当人認証」を行うための2種類の証明書が組み込まれており、その証明書の呼び出しにはそれぞれ異なる暗証番号を使用します。(こうした仕組みを「公的個人認証サービス」と呼びます。)
これら2点から、マイナンバーカード1枚で認証の3要素のうち「所有物認証」と「知識認証」を満たしていることになります。

署名用電子証明書
インターネット等で電子文書を作成・送信する際に利用します(例 e-Tax等の電子申請)。「作成・送信した電子文書が、利用者が作成した真正なものであり、利用者が送信したものであること」を証明することができます。

利用者証明用電子証明書
インターネットサイトやコンビニ等のキオスク端末等にログインする際に利用します(例 マイナポータルへのログイン、コンビニでの公的な証明書の交付)。「ログインした者が、利用者本人であること」を証明することができます。
出典:公的個人認証サービスによる電子証明書(総務省)
https://www.soumu.go.jp/kojinbango_card/kojinninshou-01.html
出典:公的個人認証サービスによる電子証明書(総務省)https://www.soumu.go.jp/kojinbango_card/kojinninshou-01.html

さらに、マイナンバーカードのICチップには、情報が不正に読み出されたり解析されようとした場合、自動的に内容が消去される等のセキュリティが施されており、ICチップ自体が「攻撃が困難であるハードウェア」となっています。(これを耐タンパ性と言います。)

こうしたことから、マイナンバーカード1枚で様々なオンライン申請の道が開けること、それに応じて長期的に見た時に膨大な行政事務コストの削減可能性があることから、マイナポイントのようなコストをかけてもマイナンバーカード取得を推進しているのです。

まとめ

他にも手続時に台帳照合をしたり、通信経路を暗号化するなどの様々な対策を施す必要がありますが、ちょっと疲れてきましたのでw、もっと詳しく知りたい場合は元情報にあたっていただければと思います。

セキュリティとコストや利便性はトレードオフの関係にあるというのは一般的な話で、保証レベルを高めるほどそのためのコストがかかったり、必ず来庁を必要とするなど市民の利便性が低くなる要因となったりします。

保証レベルによって選択するオンライン手法の例
保証レベルごとのオンライン手法例
出典:行政手続におけるオンラインによる本人確認の手法に関するガイドラインhttps://www.kantei.go.jp/jp/singi/it2/cio/kettei/20190225kettei1-1.pdf

デジタルデバイドへの対応を考慮すればオンライン一辺倒にすることが良いこととも思いませんが、オンラインで済ませたいと思っている人に来庁を強要するなどして、人間にとって最も貴重な「時間」という資源を浪費させることも最悪なので、手段の多様化という意味でのオンライン活用は進められる方が良いでしょう。
そのため、無駄に恐れすぎることも楽観的になりすぎることもないように、本人確認手法をはじめとして、きちんとした知識をわかりやすく普及することが必要だなーと思いました。