「個人番号カードの公的個人認証サービスを使える民間サービスの業態に、制限はありません。オンラインバンキングからネットゲームまで、ほぼ『なんでもあり』です」。総務省自治行政局住民制度課 企画官の上仮屋尚氏はこう強調する。

 マイナンバー制度が始まる2016年1月から、希望者に無償で配布される「個人番号カード」()。その最大の目玉は、カード内のICチップに埋め込まれた電子証明書を使って個人を認証する公的個人認証サービスが、総務大臣の認定を前提に、民間企業にも開放されることだ。

図●個人番号カードの様式。公的個人認証サービスは、ICチップ中の公的個人認証AP(アプリ)を通じて提供される(出典:総務省)
図●個人番号カードの様式。公的個人認証サービスは、ICチップ中の公的個人認証AP(アプリ)を通じて提供される(出典:総務省)
[画像のクリックで拡大表示]

 公的個人認証サービスは、元々は住民基本台帳カード(住基カード)に組み込まれる形で、2004年1月から始まった。とはいえ、用途が行政サービスに限られていたこともあり、用途の開拓はあまり進まなかった。個人向け用途では、国税電子申告・納税システム(e-Tax) の確定申告用に使われるのがせいぜい。発行された電子証明書は、2014年末時点で約288万件にとどまっていた。

 今回の公的個人認証サービスには、民間開放に合わせ、多彩な機能が追加された。氏名・住所などの身元を証明するオンライン身元確認から、ID/パスワードに代わるログイン認証、住所変更の有無のチェック、年齢判定の機能まである。

 カード保有者は、1台2000円ほどのカードリーダー端末を自分のPCにつなげるか、あるいは公的機関や民間企業の窓口に設置されたカードリーダー端末を通じ、これらの公的個人認証サービスを利用できる。将来は、スマートフォンに搭載するNFCリーダーを通じて利用できるようになりそうだ。

 カードリーダー端末を通じた利用方法についても、カードをかざすと同時に身元証明など6文字以上のパスワードを入力するものから、4桁の暗証番号(PIN)で済むもの、「カードをリーダー端末にかざすだけ」で使えるものまで、必要なセキュリティ強度に応じて使い分けることが可能だ。これらのパスワードや暗証番号は、自治体の窓口などでカードを受領する際に設定することになる。

 公的個人認証サービスの民間開放に向けた法的枠組みの整備も、ここにきて急速に進んでいる。総務省は、民間開放を前提とした「認証業務及びこれに附帯する業務の実施に関する技術的基準」の改正版を2015年9月18日に公開した。電子証明書を扱う民間企業は、この技術的基準に沿ったセキュリティ体制の遵守が求められる。

 個人番号カードが提供する公的個人認証サービスは、オンラインで個人をほぼ一意に特定できる点で、極めて強力なものだ。利用者にとっては、認証に使われる様々なもの、例えば印章や運転免許証、保険証などを持ち歩かずに済むようになる。企業にとっては、顧客情報の登録や更新にかかるコストを大幅に削減できる。

 ただし、強力であるがゆえに、ひとたび民間企業がカードから取得できるデータの扱いを誤れば、個人番号カードそのものの信用失墜につながりかねない。カード保有者にとっても、用途ごとに設定した暗証番号を使い分けられるか、カードをかざす際に「どのサービスを使っているか」を認識できるかなど、多目的カードならではの難しさに直面することになるだろう。

 本連載では、現状で明らかになっている個人番号カードの技術仕様と法的枠組みをひもときながら、民間企業にとって有効な活用法を考える。