2017年1月にアカウントの開設が可能になった、マイナンバー制度の個人向けポータルサイト「マイナポータル」。ログインするのに手間がかかるという批判を受けて、政府は改善策を検討中だ。どう改善していくべきか、ICカードによる電子署名に詳しいラング・エッジの宮地直人氏に聞いた。

 マイナポータルは、主にマイナンバー制度で行政機関や自治体がどのような個人情報を保有して、マイナンバーを基にどのようなやり取りがなされたかを誰でも確認できるようにするものだ。

 マイナポータルにログインするには、プライバシーの保護やなりすまし防止のために、マイナンバーカードのICチップに搭載した公的個人認証(JPKI)を使い、一人ひとりを認証する。これによって行政手続きを電子化するほか、官民の外部サイトとの連携も可能になる予定だ。

 当初の予定では、マイナポータルは2017年1月に稼働する予定だった。日本年金機構など他の機関との情報連携の開始が遅れた影響で、本格稼働が2017年7月にずれ込んだ。2017年1月からアカウント開設が可能になったのは、「サイトをオープンしておくことで、どのような攻撃があるかなどの情報を収集する」(政府関係者)という狙いがある。

 ただ、開設されたマイナポータルは、ログインするのにJava実行環境やJPKI利用者クライアントソフト、マイナポータル環境設定プログラムのインストールが必須だ。

 利用できるブラウザーはWindowsの場合はInternet Explorer 11(32bit版)、Macintoshの場合Safariに限られる。複数のプログラムのインストールなどに手間がかかり、ITリテラシーの高いユーザーでもログインするまでのハードルが高いと批判を集めた。

 こうした複雑な仕様となる恐れはかねてから指摘されてきた。マイナンバーカードの利用者クライアントソフトを提供している地方公共団体情報システム機構(J-LIS)は2016年8月から「利用者クライアントソフトに係る技術仕様」などの公開を始め、1月に最新版を公開した。政府もマイナポータルの仕様の改善策を検討中だ。

技術よりもポリシーの問題

 マイナポータルのようなサイトは、海外に先行例がある。電子政府の模範として知られるエストニアでは、国民向けにICチップを内蔵したIDカードや普段利用しているブラウザーでポータルサイトへのログインができる。ログインをするには、公式サイトから主なOSやブラウザーに対応する標準ソフトウエアやICカードリーダーのドライバーなどをダウンロードして、インストールするだけで済む。

 電子署名に詳しいラング・エッジの宮地直人氏によると、エストニアではカード利用のためのソフトウエアやドライバーがオープンソースで開発され、仕様なども全て公開されている。エストニアのIDカードのドライバーは図のような構成だ()。

図●エストニアのIDカードのドライバー構成
図●エストニアのIDカードのドライバー構成
(出所:ラング・エッジ宮地直人氏)
[画像のクリックで拡大表示]

 Windowsではデータの暗号化や復号を行うモジュールであるCSP (Cryptographic Service Provider)や、米RSAセキュリティが策定・公表した公開鍵暗号標準(Public-Key Cryptography Standards、PKCS)のうち一般的な暗号化ができるPKCS#11という規定のAPI(アプリケーション・プログラミング・インタフェース)が提供され、「WindowsやMac、Linuxなど全ての環境で使える」(宮地氏)。

 では、なぜ日本とエストニアの間で違いが生まれたのか。宮地氏は「技術の問題ではなくポリシーの問題」と話す。設計段階でどのような仕様が望ましいかという検討が不足していたという。