新たな本人確認サービスとして、マイナンバーカードを利用する「マイナンバーカード認証」が注目を集めています。2016年1月に公的個人認証法が改正され、民間企業でも「公的個人認証サービス」の利用が可能になった結果、マイナンバーカード認証を導入する企業が増加しました。これまでのSMS認証や着信電話認証と比べて、マイナンバーカード認証にはどのようなメリットがあるのでしょうか。また、マイナンバーカード認証を利用したサービスを提供する際は、どのような点に注意すべきでしょうか。この記事では、民間企業がマイナンバーカード認証を利用するメリットや注意点、マイナンバーカード認証の基礎となる公的個人認証サービスの特徴について解説します。
目次
民間企業がマイナンバーカード認証を利用する4つのメリット
マイナンバーカード認証といっても、重要な個人情報であるマイナンバーカードを認証に使うわけではなく、マイナンバーカードに格納されている「署名用電子証明書」、「利用者証明用電子証明書」を使います。マイナンバーカード認証を利用することで、セキュアかつスピーディーに本人確認が可能になります。民間企業がマイナンバーカード認証を利用する4つのメリットを紹介します。
本人確認がオンラインで完結する
これまで、銀行の口座開設などにおける本人確認では、運転免許証などの本人確認書類を郵送する必要がありました。マイナンバーカード認証では、地方公共団体情報システム機構(J-LIS)が提供する「公的個人認証サービス(JPKI)」を利用し、マイナンバーカードに格納された電子証明書を本人確認に利用するため、手続きがすべてオンラインで完結します。また、運転免許証などの郵送や画像をアップロードするといったオンライン本人確認(eKYC)と比べて、リアルタイムに手続きが可能な点もポイントです。認証サービスを利用する顧客にとって、「郵送コストがかからない」、「手続きに時間がかからない」といった競争優位性をアピールできます。
顧客情報の変更を確認できる
マイナンバーカードを登録した顧客の住所や氏名が変更された場合、マイナンバーカードに格納された「署名用電子証明書」が失効します。署名用電子証明書を利用する認証サービスの場合は、電子証明書の失効記録を確認することで、顧客情報の「更新」や「変更なし」を判断することが可能です。生命保険サービスなど、毎年顧客の住所や氏名を確認する必要があるサービスの場合は、失効記録を確認することで、郵送などで確認をおこなう対象者を抽出できるため、手間やコストを削減できます。
確実にユーザー認証をおこなえる
公的個人認証サービスを利用してマイナンバーカード認証をおこなう場合、NFCリーダーなどのICカードリーダーで、マイナンバーカードの電子証明書を読み取ります。マイナンバーカード本体がなければ本人確認ができないため、IDとパスワードを用いた従来の本人確認方法と比べ、安全かつ確実にユーザー認証が可能です。
新たにお客様カードを発行する手間がかからない
お客様カードを発行し、本人確認をおこなう認証サービスを想定している場合、マイナンバーカードそのものをお客様カードとして活用できます。新たにICカードを発行したり、顧客がお客様カードを紛失した際の対応をおこなう必要がないため、運用上の負担を削減できます。
公的個人認証サービスとは?マイナンバーカードの「電子証明書」を使うセキュアな本人確認方法
マイナンバーカード認証サービスの多くは、地方公共団体情報システム機構が提供する「公的個人認証サービス」を利用しています。公的個人認証サービスとは、マイナンバーカードに格納された「署名用電子証明書」、「利用者証明用電子証明書」の2種類の電子証明書を使い、セキュアに本人確認をおこなうシステムです。署名用電子証明書と利用者証明用電子証明書には、次のような違いがあります。
| 署名用電子証明書 | 利用者証明用電子証明書 | |
| 証明書情報 | 住所、氏名、性別、生年月日の4つの基本情報が記録される | 4つの基本情報は記録されない |
| 発行対象 | 15歳以上の者に発行される | すべての者に発行される |
| 電子証明書の失効 | 4つの基本情報に変更があった場合は失効する | 4つの基本情報に変更があった場合も失効しない |
| 利用用途 | e-Tax(国税電子申告・納税システム) の電子申請など、電子文書の本人確認に利用される |
マイナポータルやコンビニのキオスク端末など、ログイン時の本人確認に利用される |
いずれの電子証明書を使う場合も、マイナンバーカード本体をICカードリーダーで読み取る必要があるため、他人によるなりすましを防げます。
マイナンバーカード認証を利用する際の2つの注意点
マイナンバーカード認証は、安全かつ確実な認証方法ですが、本人確認に利用する際には注意したい点もあります。よりセキュアな本人確認をおこなうには、マイナンバーカード認証と他の認証方法を組み合わせる「多要素認証」の仕組みが必要です。また、公的個人認証サービスではなくマイナンバーカードの「拡張利用領域」を使う認証サービスの場合、あらかじめ総理大臣への認可申請が必要です。
よりセキュアな本人確認には「多要素認証」の仕組みが必要
マイナンバーカード認証では、カードに格納された唯一無二の電子証明書を利用するため、他人によるなりすましやデータの改ざんを防げます。しかし、すぐに届け出れば電子証明書を無効化できるとはいえ、万が一マイナンバーカードを紛失した場合、カードが悪用されるリスクが存在します。そのため、よりセキュアに本人確認をおこなう場合は、「多要素認証」の仕組みが必要です。多要素認証とは、「知識要素」、「所有要素」、「生体要素」の3つの認証要素を組み合わせ、1つの認証要素が突破されても、別の認証要素でブロックできる認証方式です。マイナンバーカード認証は、マイナンバーカード内の電子証明書を利用するため、認証要素としては「所有要素」に該当します。これにIDやパスワードなどの「知識要素」や、指紋認証や顔認証などの「生体要素」を組み合わせることで、さらに安全な本人確認が可能です。
「拡張利用領域」を利用するには総理大臣への認可申請が必要
マイナンバーカードには、独自の利用者IDやカードAP(アプリケーション)を格納できる「拡張利用領域」が存在します。[注1]
拡張利用領域に格納された利用者IDは、電子証明書を使う公的個人認証サービスよりも迅速に本人確認が可能なため、独自の認証サービスを提供する事業者が増えてきました。ただし、民間企業が拡張利用領域を利用する場合は、事前に総理大臣への認可申請が必要なので注意しましょう。マイナンバーカードの拡張利用領域を利用したサービスを提供する場合、「行政手続における特定の個人を識別するための番号の利用等に関する法律(番号法)」によって、あらかじめ許可申請をおこなうことが義務づけられているためです。
[注1]マイナンバーカードアプリケーション搭載システム
https://www.j-lis.go.jp/data/open/cnt/3/1984/1/aptousai_panfu.pdf
【まとめ】
マイナンバーカード認証なら、安全かつ確実な本人確認が可能
SMS認証や着信電話認証に代わる本人確認方法として、マイナンバーカードの電子証明書を利用する「マイナンバーカード認証」が注目を集めています。マイナンバーカード認証は、地方公共団体情報システム機構が提供する「公的個人認証サービス」が基礎となっています。マイナンバーカード認証には、「本人確認がオンラインで完結する」、「安全かつ確実に本人確認がおこなえる」といったメリットがあります。IDやパスワード、指紋認証といった他の認証方式と組み合わせ、多要素認証の仕組みを実現することで、さらにセキュアな本人確認が可能です。
