デジタル庁は、事業者がスマートフォンで運用する「マイナンバーカード対面確認アプリ」を、8月末をめどに提供する。スマートフォンやSIM購入時、銀行口座開設時などの本人確認に利用することを想定しているが、アプリ自体は一般公開され、誰でもダウンロードして利用できる。現在実施中の実証実験の様子を、河野太郎デジタル大臣が8月1日に視察した。
●ICチップ情報とで本人確認
2024年4月に八尾市市議が遭遇した、偽造されたマイナンバーカードを使ったSIMスワップによる詐欺被害をご存じだろうか。
いまや、多くの決済情報がスマートフォンに集約されている。今使っている端末のSIMカードが乗っ取られると、あらゆる権限を奪われかねない。この事件では券面を偽造されたマイナンバーカードで市議のスマホと同じ電話番号のSIMが再発行された。犯人は、そのSIMを利用して市議のスマホを乗っ取り、約225万円の高級腕時計を購入するなど約240万円を使い込んだ。
これは、市議の住所、電話番号、生年月日などが公開情報であったために、マイナンバーカードの券面が偽造されたというもの。
マイナンバーカードは、NFCに対応したICチップの情報と暗証番号を用いて本人確認することが可能だが、利用時のセキュリティの重要さに応じて、さまざまな認証方式を取ることができるようになっている。携帯電話の契約などは券面情報の目視でも契約できたのだが、券面自体の偽造は画像処理ソフトを使えばさほど難しくない。その点を突いた詐欺だといえる。しかし、より高いセキュリティが必要な場所で使われる、ICチップを読み取るための機材を導入するとなると、それなりにコストがかかる。
そこで、スマートフォンを使って事業者がICチップを読み取り、マイナンバーカードが本物であることを確認できるアプリを、民間専門人材の協力を得てデジタル庁が開発。8月下旬をめどに一般公開する方向で決まった。
今回、河野太郎デジタル大臣が、民間事業者の業務窓口における本人確認実証の視察を東京都渋谷区にある三井住友銀行の新業態店舗である「Olive LOUNGE渋谷店」で行った。その様子をお伝えしよう。
●「読み取りも速くて、驚いた」と河野大臣コメント
実証実験は、同店で7月29日から8月1日にかけて実施。来店した顧客が口座開設するなど本人確認が必要な場合に、顧客の承諾を得て行われている。
Olive LOUNGEでの本人確認の流れはこうだ。まず、店舗担当が「本人確認のために、マイナンバーカードを確認させていただきます」と伝え、顧客のカードを預かり、スマートフォンのカメラにかざす(河野大臣の体験時は、iPhone SE3が使われていた)。
券面情報をカメラから獲得すると(画像を撮影するわけではなく、後述の照合番号だけが取得される)、「スキャンの準備ができました」というメッセージが出る。そこで、スマホの上部(NFCアンテナが内蔵されている場所)にマイナンバーカードをかざす。
瞬時に「読み取りが完了しました」というメッセージが表示され、顔写真と氏名、住所、生年月日、性別(『4情報』と呼ばれる)が、スマホに表示される。
店舗担当が、窓口にいる本人の顔と、マイナンバーカード、スマートフォンに表示されたデータを見比べて、本人かどうかを確認して終了する。
河野大臣は「私のカードで試すのは、ぶっつけ本番だったので若干不安だったんですけど(笑)、カードの券面の読み取りも、チップの読み取りも速いですし、きれいに画像も出てきたので、ちょっとすごいなと思いました。デジ庁のチームがかなり頑張ってくれてましたので、この調子で今月中には使っていただけるようになると思っています」とコメントした。
●「誰でもダウンロード可能」でも大丈夫なのか
セキュリティに関して「一般にダウンロードできるアプリで、ICチップが読み取れるのは不安」という意見に対しては、「このアプリでチップから出てくるのは、券面に書かれているものだけで、本物だと確認するためだけのアプリですので、そこはご安心いただけたらと思います」と語った。
河野大臣が説明したように、このアプリは「マイナンバーカードが本物かどうか?」を確認するためのアプリだ。
前述のように、マイナンバーカードの券面が偽造される可能性があることを考えると、安価に内部のICチップを確認する仕組みを構築できることには意義がある。マイナンバーカードの照合は暗号鍵を使った仕組みで、偽造は現状不可能とされている。
要するに、偽造が不可能なICチップから読み取れる本人情報とマイナンバーカードの券面情報、来店している本人が一致しているかを確認するためのアプリとなる。
このアプリの機能は本人かどうかを確認することなので、チップ内の写真、氏名、住所、生年月日、性別は、その他の受付アプリなどに引き継げないようになっている。場合によっては、改めて記入、入力などの手間が発生するかもしれないが、これはセキュリティを担保するための仕様である。
また、マイナンバーカードをタッチすると個人情報が取得されるのではないかと心配する向きもあると思うが、マイナンバーカード対面確認アプリが読み取るデータは写真と4情報のみだが、いずれもスマートフォン内部には保存はされない。残るのは「確認した日時」「生年月日6桁を除く8桁の照合番号」のみ。あとから写真や4情報を確認することはできない。
ICチップの読み取りも、券面を撮影して照合番号を読み取ってからしか行えないような仕組みになっているので、例えば「電車の中などで近づいただけでチップが読み取られる」というような心配はない。
あくまで、本人の確認のためだけに「このカードが本物である」ということを証明し、顔写真と本人を照合することで、その持ち主が本人であるとの証明するためのものだ。これにより、本人確認がより確実になれば、詐欺被害などの減少が期待される。
今後、銀行の口座開設時や、スマートフォンのSIM購入時などにこのアプリに遭遇することもあるかとは思うが、その仕組みを理解した上で便利に使いたいところだ。