コラム第868号:「新年度のご挨拶:利用者認証と本人認証」

第868号コラム:上原 哲太郎 理事(IDF会長、立命館大学 情報理工学部 教授)
題:「新年度のご挨拶:利用者認証と本人認証」

4月になり、IDFの活動は22期目を迎えました。IDFの活動をここまで支えてきて下さいました会員の皆様に改めて御礼を申し上げると共に、今期もよろしくお願い申し上げます。22期の活動計画につきましては既に事務局長から前回のコラムで皆様にご紹介いたしましたが、私の抱負と致しましては、IDFのプレゼンスの一層の向上と共に、会員の皆様同士の交流の活性化に力を入れていきたいという想いがございます。IDFでは活動の場をオンラインからオフラインに徐々に戻して参りましたが、コロナ禍以降、多くの方がオンライン慣れしたせいか、参会形式のイベントへの参加が少し振るわないという状況が続いているように思います。それが会員の皆様同士の出会いの機会を減らし、交流を少し疎にしてしまったのではないかという反省を踏まえ、分科会活動を中心により参会方式のイベントを増やして行ければと考えております。まずは5月16日の総会にて、会員の皆様に21期の活動成果と22期の計画をご報告し、予算を含めご承認いただきますが、この場では特別講演として、名和理事による「証拠保全ガイドライン第10版」のご紹介もございますので、奮ってご参加頂きますようよろしくお願い致します。

さて新年度になりますと色々な動きがありますが、社会で話題になっていることの一つにマイナンバーカードの機能強化があります。昨年本格化した健康保険証のマイナンバーカードとの一体化(マイナ保険証)に続き、3月24日からは運転免許証もマイナンバーカードとの一体化(マイナ免許証)が始まりました。さらに同じ日から、マイナンバーカードを用いたパスポート取得のオンライン申請も全都道府県で可能になりました。昨年から段階的に進められているマイナンバーと国家資格等との紐付けと各種申請手続のオンライン化も、今年は資格証明のデジタル化が本格化し、デジタル資格者証の発行と運用が今年秋以降順次始まる予定です。例えば、医師免許や教員免許のように、異動や転職にあたり受入側組織が確認することが必要な資格の証明が、メールに添付されたデジタル資格者証を用いて行えるようになります。資格や権利にかかる証明がデジタルで完結するようになるのは業務効率化に大いに資する上に、電子署名等の力を借りて適切に運用されれば偽造防止にも役立つことが期待されます。一方、活用が進むにつれて不幸にも起きてしまうであろう不正や事故に備え、デジタル・フォレンジックが重要になりますので、会員の皆様も制度の進展にご注目いただければと思います。

ところで、このような制度の中心にあるマイナンバーとマイナンバーカードですが、特にカードについては様々なご批判があります。例えば、機能強化すればするほど紛失や盗難時の影響・被害が大きくなる問題や、そもそもICカードが比較的古い技術であることから、さらに多くの機能を備えようにも現在の急速な技術の進展に追随することが難しく、かといって一度発行されたカードが新カードに入れ替わるには(有効期限である)最低10年かかってしまう問題へのご批判は時折耳にします。一方、マイナンバーカードの機能の一部は現在Androidスマートフォンに取り込むことができ、今年はいよいよiPhoneにも拡大される予定になっています。それならば、スマートフォンさえあればマイナンバーカードは不要なのではないか、マイナンバーカードを利用する機能は全てマイナポータルをはじめとするクラウドサービスとスマホで完結可能ではないかというご意見も散見されます。

このようなご意見も一理あるのですが、ただ時々気になるのは、議論の中に「利用者認証」と「本人認証」という異なる話が混濁したものがあることです。利用者認証とは、例えばあるクラウドサービスにおいて、その利用者が提示した識別子(例えばアカウント名、会員番号やメールアドレス)に対し、認証要素(例えばパスワード)を確認することで、確かに利用者がその識別子の持ち主であることを確認することです。これに対し、その識別子が特定の個人(例えば上原哲太郎)であることを何らかの手段で確認するのが本人認証です。本人認証を済ませた識別子に対して利用者認証を行うことで、はじめてオンラインサービスにおける本人確認が完結するわけですが、このことが忘れられた議論が時々あるのが気になります。マイナンバーカードはその(面倒な)発行手続を通じて、自治体担当者による対面の確認を通じてそのカードの所有者が確かにカード記載の個人であることの認証、つまり本人認証を済ませています。つまりマイナンバーカードを認証要素として用いることは、行政窓口における本人確認と同義になります。現在のスマホのマイナンバーカード代替機能は、このマイナンバーカードの存在を前提にして実装されているので、結局はカードの発行手順における本人認証に依拠しているから本人確認が必要な行政サービスにも利用できる、ということになります。カードなしでは何らかの代替の本人認証手続を経て電子証明書等の認証要素をスマートフォンに組み込むことが必要になりますが、それは容易ではありません。

オンライン手続きにおいて利用者認証と本人認証がどのような手順で行われた場合、どれほど信頼できると見なすかについて定めた有名な文書に、米国NISTが定めたSpecial Publication 800-63-3 Digital Identity Guideline (SP800-63-3)があります。これはデジタル庁の「DS-500 行政手続におけるオンラインによる本人確認の手法に関するガイドライン」でも参照されているガイドラインです。SP800-63-3では、利用者認証と本人認証の信頼度についてそれぞれAuthenticator Assurance Level (AAL)およびIdentity Assurance Level(IAL)と呼び、それぞれAAL1~3, IAL1~3の3段階にレベルを分けています(数字が大きいほど信頼度が高いということになります)。例えば本人認証の中で最も重要なIAL3では、特別の訓練を受け資格を持つ係員による対面の本人確認など、厳格な手続を求めています。このような文書を読めば、利用者認証と本人認証の違いや、マイナンバーカードのように厳格な手続を経た認証要素を所持する意味などについての理解が深まると思いますので、興味がある方は是非ご覧下さい。

民間サービスではしばしば、対面において顧客の本人確認を行うことをKYC(Know Your Customer)と呼び、これをオンラインにしたものをeKYCと呼んでいます。法的に本人確認が求められている金融サービスや携帯電話回線の契約、一部の古物取引などにおいては、オンラインでの手続はeKYCを用いた本人確認が行われていますが、契約の当事者として実際のeKYCサービスに触れてみると、免許証など身分証の画像と顔動画の送信だけで済ませるような、なりすまし耐性に不安があるものにしばしば出会います。これらも結局はIALをどのレベルで実現するにはどのような手段で行うべきなのかが十分精査されていないからだと感じますので、こちらについても業界標準の信頼性評価基準が整備されることと、基準としてははっきりしているマイナンバーカードの活用が進むことを期待したいと思います。

ところで、本人認証ではなく利用者認証の方では、その認証要素として暗証番号というものが広く使われています。マイナンバーカードにおいても4桁の暗証番号が使われていますが、その暗証番号がなぜ4桁なのか、皆様はご存知でしょうか。暗証番号の業界標準がなぜ4桁になったのかについては面白い逸話がありますので、ご興味があれば是非調べて頂きたいと思います。認証に関わる人がこの逸話を知らないとなると、某5歳児に「ボーッと生きてんじゃねーよ!」って叱られますよ?!(これは予告です)。
【著作権は、上原氏に属します】