なぜ、生体認証なのか？ DDS三吉野社長にセキュリティの最前線を聞く ～ 第1回 マイナンバー制度 ～

最近ではFacebook、少し前ではLINEとソーシャル・ネットワーキング・サービス（SNS）の乗っ取り被害が続発している。ほかにもインターネットバンキングでの不正ログイン、ベネッセの顧客情報漏洩事件など、日々情報漏洩のニュースが世間をにぎわせている。つい先日も、JALこと日本航空株式会社の顧客情報が漏洩した可能性があると発表されたばかりだ。

ここ数年で急激にスマートフォンやタブレットが普及したためインターネットが生活と密接につながり、簡単には切り離せなくなってきた。IoT（Internet of Things：モノのインターネット）により、ありとあらゆる機器がネット接続されるようになると、それぞれの機器でセキュリティ対策が必要になってくる。

IDやパスワードの使い回し、なりすまし、データロガー、キーロガー、スキミング、パスワードリスト型攻撃など様々な手法で、私たちのネット上の安全が脅かされている。その脅威はアナタの目の前まで迫っているかもしれない。そうした脅威に対するセキュリティ対策はどうなっているのだろうか？

そこで、日本におけるセキュリティの第一人者である、株式会社ディー・ディー・エス代表取締役社長三吉野健滋氏に、最新のセキュリティ事情についてうかがった。

第1回目は、2016年1月に運用が始まるマイナンバー制度についてだ。

■マイナンバー制度の可能性とそれに伴うセキュリティ上の課題
2016年1月に運用が始まるマイナンバー制度は、戸籍・旅券事務業務をはじめ、預金口座や医療分野まで制度の利用範囲拡大が新たに盛り込まれた。多くのニュースで取り上げられ始めているが、その報道内容は、ほんの一部分にしかすぎない。いったいどうゆう制度なのだろうか。

「マイナンバーは、戸籍と一緒です。戸籍の情報って、基本的に戸籍地にあるわけですね。今はそれと同時に住基ネットが出来上がったので住民基本台帳は横串で見れるようになった。法務省でも見れるし、国土交通省でも見れる。検察庁でも見れます。だから、そういう戸籍の情報にマイナンバーというIDが付くわけです。」と三吉野氏。

マイナンバー制度が導入されると、IDを問い合わせることで、そのIDについての属性が
行政の中で拾えるようになる。最初は課税と社会保険で使われるが、そののちには別のものに使われるとのこと。犯罪調査や行政からの調書にも使われる可能性があるそうだ。

三吉野氏によると、マイナンバー制度は日本国民にとって大きなメリットがあり、とてもよい仕組みになり得るという。実は、マイナンバー制度はアメリカをはじめ、韓国など、多くの国で使われおり、先進国で使っていないのは日本くらいというから驚きだ。

マイナンバー制度が導入されると、納税の公平化を含め、行政を劇的に変えるという。現在、税金と年金は、それぞれ独立している。身近なところで例をあげれば、保険証とパスポート、本人確認書類は、全部独立しているので、横に紐付けされていない。これらが一元管理されたら、手続きが簡単になる。

たとえば、住所を変更した場合、一箇所に転居届けを出すだけで、すべての情報が更新される。それに対して現在は、ひとつひとつ変更する必要がある。そのように一元管理するための仕組みが、マイナンバー制度というわけだ。

ただし、マイナンバーコードが漏れると、その個人のすべてのデータにタッチできる可能性がある。だから、簡単に情報を見られないようにするために、マイナンバーでは行政側も非常に細かいセキュリティを施す予定だ。

たとえば、自治体の市民課の人が国税の情報を簡単には見られないようにできているし、見たときには、その情報が絶対に残るようにしている。すなわち行政の中での使用者の本人確認があるし、そのログについての本人確認と、それの監査が毎年ある。非常に厳しく扱われる。また、その本人確認の手段として、行政の中で生体認証技術を使う。

「住基カードは、他人事で良かった。でも、マイナンバーは、他人事ではないですよ。自分のマイナンバーがわからないと、仕事ができなくなる。仕事ができないという意味は、バイトもできないし、パートもできないし、正社員なんか、もってのほか、なれません。俺、マイナンバー嫌いだから。マイナンバー制度、反対なので使いませんと言った瞬間に就職できません。」と、三吉野氏はマイナンバー制度の重要性について語ってくれた。

企業は、マイナンバーを使って、その人。就業者、もしくはパートタイマーと、その扶養家族までを含めて管理する。源泉徴収、そのほか社会保険、すべてを管理する必要がある。実は、会社にも法人ナンバーがあり、就業者のマイナンバーを組み合わせて、各自治体と、各関係官庁に届け出ることになる。もし、流出させたら、刑事罰があるので、非常に厳しく管理しなければならない。

マイナンバー制度は、過渡期も含めて、3年で1億枚出ると言われているそうだ。就業人口以外に、扶養家族の分も（子供を含めて）必要となる。扶養もされていない、仕事もしていない、年金ももらってない、という人だけがいらないのだ。

「マイナンバー制度によって税務署が税金をきちんと取れれば、消費税をそれほど上げなくてよくなる。これは、もうトップの人に聞きました。消費税いらないですよねって・・・。」と三吉野氏。

税金が中小事業者から全部取れたら、消費税ゼロでもやっていけるというから驚きだ。それぐらい脱税が多いということの裏返しでもある。ただ税金を払ったら、やっていけない会社もたくさんいるので、微妙なところだ。このようにマイナンバーは、徴税の公平化という意味で、意味がある制度なのだ。

「国は行政の税金で成り立っているわけだから、効率化するためには、そこは一番効率的に作るべきなので、セキュリティは、さっき言ったように、マイナンバーを扱う人、全員に扱うたびにセキュリティが必要になる。これをオープンシステムにするということが、凄く重要なことだと思いますね。」と三吉野氏。

全部オープンにすべき、というのが、今回のマイナンバー制度であり、重要なセキュリティの考え方だという。それが、FIDO（Fast IDentity Organization）という世の中の流れに繋がっている。FIDOとは、指紋や静脈などいろいろな生体認証技術を生かすために、クライアント側のAPIとサーバー側のPKIプロトコルを標準化し、生体認証などパスワードに代わる認証技術の普及を図るものだ。

クライアント側はどんな生体認証を使っても良いが、ネットワークに繋いでサーバーに行くときには、同じやり方で統一する。実は、三吉野氏が社長を務める株式会社ディー・ディー・エスは、日本企業として初めてFIDOに加盟しており、現在、FIDOの規格や標準仕様の認知を広げるため啓蒙活動を行っている。

FIDOによって、爆発的に生体認証のほうに流れていくという。たとえば、PayPalとSamsungの提携によるクレジットカード決済がそうだ。ちなみに、iPhoneが提唱しているApple Payも同様の考え方に基づいているが、アップルは囲い込み戦略なので、アップルだけのやり方で、やっている。

「アップルのやり方も、FIDOの一要素になるような、そういう融合をすると僕はにらんでいます。そっちのほうが、相互に使えるから。アップルの仕組みも使えるし、こっちも使える。そういう流れになるのでは。」と三吉野氏は将来的にFIDOが標準化されることを示唆した。

FIDO関連のイベントとしては、国内では2014 年10 月10 日、FIDO セミナーが開催される。セミナーではFIDO の代表者であり元PayPalのCIO であるマイケル・バレット氏による基調講演に加えYahoo！Japanの講演やGoogle等によるチュートリアルセッションを行う。FIDO の規格の説明や導入事例の紹介により、FIDO について理解を深められる内容となっている。興味を持った人は参加してみるといいだろう。

株式会社ディー・ディー・エス代表取締役社長 三吉野健滋氏
大学卒業後、数年間の証券会社勤務の後、平成7年に大学時代の友人達と起業。10年後の平成17年には東証マザーズへ上場を果たす。 産学連携により指紋の照合に関する独自技術を開発し、PC用の指紋認証機器の出荷台数において国内シェアトップ企業に成長させた。 主に企業、自治体、官公庁など大組織向けの指紋認証事業を展開。

開催概要
名称：FIDO セミナー
開催日時：2014 年10 月10 日（金）13:30～18:00(12:30 開場予定)
開催場所：東京電機大学1 号館2F 丹羽ホール
東京都足立区千住旭町5 番（北千住駅東口より徒歩1 分）
主催：東京電機大学 複合領域サイバ・セキュリティ技術研究開発プロジェクト
協賛：ヤフー株式会社、株式会社ディー・ディー・エス
対象：情報セキュリティに関わる企業、研究機関の方。
参加費：無料
URL：http://www.dds.co.jp/fido_tokyoseminar/

■株式会社ディー・ディー・エス