2024年6月24日、デジタル庁から「デジタル認証アプリ」がリリースされました。マイナンバーカードを使った認証/署名を、安全・簡単に実施するために設計された本アプリは、公共施設の予約やネットバンキングのログイン、ライブ会場などでの酒類購入時の年齢確認など、さまざまな用途での活用が想定されているものです。
マイナンバーカードの日本の全人口に対する保有枚数率が78%を超え(2025年6月末日時点)、普及期へと突入した現状において、デジタル認証アプリは今後どのように発展していくのか。本記事では、その技術的な仕組みや機能、別途事業者向けに提供されているAPI、さらにはグローバルでのデジタル認証/アイデンティティアプリの現状などを踏まえながら、デジタル認証アプリの未来を考えていきます。
※本記事は、記事公開日時点の情報に基づいて記載しております。記事を読まれた時点の各内容に関する正確な情報については、記事内に設置した各リンク先をご参照ください
デジタル認証アプリサービスの概要
デジタル認証アプリは、マイナンバーカードを活用した新しい認証・署名手段になります。マイナンバーカードのICチップに格納された情報を読み取り、様々なサービスへのログインや本人確認、年齢確認等での利用が想定されて設計されたものになります。
デジタル庁「デジタル認証アプリについて」より
電子申請書類への署名や申請書類作成時の入力支援をする「マイナポータルアプリ」へとログインする際に、マイナンバーカードをかざしてログインすると思いますが、このログイン機能を別途個別に切り出したものが、今回のデジタル認証アプリとお考えください。
デジタル認証アプリはそれ単体で機能するものではなく、「デジタル認証アプリサービスAPI」との組み合わせによって、「デジタル認証アプリサービス」を成しています。行政機関や民間事業者は、このデジタル認証アプリと連携するデジタル認証アプリサービスAPIを活用することで、マイナンバーカードを使った本人確認・認証や電子申請書類への署名機能を簡単に組み込むことができます。
デジタル認証アプリの概要
デジタル認証アプリは、日本のマイナンバーカード所有者(以下、利用者)がiOS及びAndroidスマートフォンなどを通じて「認証」と「署名」を行うことを想定したアプリです。ここで、「認証と署名って何が違うの?」と思われるかもしれません。
デジタル認証アプリにおける「認証」と「署名」とは
安全・安心な認証サービスの提供(電子署名と電子利用者証明)(総務省「公的個人認証サービスによる電子証明書(民間事業者向け)」より)
認証と署名の違いを理解する上で、まずは上の図をご覧ください。上部3つの枠は、インターネットなどで電子文書を作成・送信する際のケースを表したもので、一番下の枠は、Webサイトやコンビニなどのキオスク端末にログインする際のケースを表したものです。
一番下のケースにおける、ログインした者が利用者本人であることを証明する手段として「電子利用者証明」という方法が用いられ、これがデジタル認証アプリサービスにおける「認証」に該当します。また、上部3つのケースにおける、作成・送信した電子文書が利用者が作成した真正なものであり、利用者が送信したものであることを証明する手段として用いられるのが「電子署名」であり、デジタル認証アプリサービスにおける「署名」に該当します。
一般的に認証とは、利用者の本人確認を行うための機能です。TRUSTDOCKではeKYC(オンライン本人確認)サービスを提供しており、本人確認を「身元確認」と「当人認証」の2つに分解して考えています。
※本人確認の考え方については、以下のeKYC解説記事も併せてご参照ください。
▶︎eKYCとは?オンライン本人確認のメリットやよくある誤解、選定ポイント、事例、最新トレンド等を徹底解説!
ここでいう認証も、この考え方をベースにご理解いただければと思います。デジタル認証アプリの認証機能を利用することで、サービス提供事業者は、マイナンバーカードの電子証明書を基に操作をしている利用者の本人確認を行うことができます。
一方で署名とは、デジタル情報の本人性と非改竄性を保証する技術です。マイナンバーカードに格納された情報を基に、サービス提供者はオンラインでの契約や申請手続きにおいて、利用者が電子署名を行うことができるようになります。
いずれにおいても、利用者の「本人性」を確認するための手段であり、サービス提供事業者からの要請(認証を求められる、もしくは署名を求められる)に応じて利用機能を使い分けるためにそれぞれの機能が用意されている、とお考えください。
デジタル認証アプリの利用開始フロー
デジタル庁の公式サイトによると、以下の9ステップの流れで利用者登録を進めていきます。
- スマートフォンにデジタル認証アプリをダウンロードし、利用登録開始
- 登録手順の確認
- 利用規約の確認
- プライバシーポリシーの確認
- 【iPhone利用の場合】Face ID、Touch IDまたはパスコードの設定、【Android利用の場合】生体認証またはデバイスのロックの設定
- マイナンバーカードと暗証番号の用意
- 利用者証明用電子証明書の暗証番号の入力
- マイナンバーカードの読み取り
- アプリの利用登録完了
ステップ6の暗証番号とは、マイナンバーカードの交付時にご自身で設定した4桁の、利用者証明用電子証明書の暗証番号のことを指します。これは、マイナンバーカードのICチップに格納されている情報で、「ログインした者が、利用者本人であること」を証明するために活用される電子証明書になります。3回連続で暗証番号を間違えて入力・送信した場合はマイナンバーカードのロックがかかるので注意が必要です。
なお、利用者登録が完了したら、あとはデジタル認証アプリが必要となるサービス利用時に起動して、本人確認を実施することになります。デジタル認証アプリによる本人確認(認証)の流れとしては以下の通りです。
デジタル庁「デジタル認証アプリについて」より
以下のデジタル庁による動画も参考になります。
デジタル認証アプリサービスAPIの概要
デジタル認証アプリサービスAPIは、行政機関や民間事業者がマイナンバーカードを利用した本人確認や電子署名機能を、自社のシステムに簡単に組み込むためのツールです。
大きくは2つ、先述の2機能(認証と署名)に対応した「認証API」と「署名API」が用意されています。いずれも無料で利用でき、OIDC(OpenID Connect)やOAuth 2.0を基に実装されているので、安全かつ簡単にデジタル認証アプリサービスを自分たちのシステムに組み込むことができます。
認証APIとは
認証APIは、利用者の本人確認機能を組み込むためのAPIです。マイナンバーカード内の「利用者証明用電子証明書」を用いて認証を行い、電子利用者証明の検証と利用者証明用電子証明書の有効性確認の結果を連携します。
具体的には、まず行政機関/民間事業者のサーバーからデジタル庁のデジタル認証アプリサーバーに認証APIのリクエストが送られるのと連動して、利用者はデジタル認証アプリを開いて電子利用者証明を行い、利用者証明用電子証明書などを提供します。電子利用者証明の検証と利用者証明用電子証明書の有効性確認をデジタル庁で行い、デジタル認証アプリサーバーから行政機関/民間事業者のサーバーに対して認証結果を連携した上で、最後に行政機関/民間事業者のサーバーからサービス側アプリ/Webサイトに手続き完了が通知されるという流れになります。これらを図示したものが以下です。
行政機関及び民間事業者向け認証API利用の流れ(デジタル庁「【民間事業者向け情報】マイナンバーカードで本人の確認を簡単に」より)
署名APIとは
署名APIは、電子署名を行うためのAPIで、マイナンバーカード内の「署名用電子証明書」を用いて署名を行うことになります。署名作成機能は提供されるのですが、認証APIと異なり署名の検証及び有効性確認サービスは提供されていないので(行政機関向けに限っては有効性の確認を実施)、そこだけ注意が必要になります。
具体的な流れは、行政機関と民間事業者によって異なります。
行政機関については、行政機関サーバーからデジタル庁のデジタル認証アプリサーバーに署名APIリクエストが送られるのと連動して、利用者はデジタル認証アプリを開き、電子署名を行い、署名用電子証明書などを提供します。署名用電子証明書の有効性確認をデジタル庁で行い、デジタル認証アプリサーバーから行政機関サーバーに対して有効性確認の結果、署名値と署名用電子証明書を連携した上で、行政機関サーバーで電子署名を検証し、最後に行政機関サーバーからサービス側アプリ/Webサイトに手続き完了が通知されるという流れになります。これらを図示したものが以下です。
行政機関向け署名API利用の流れ(デジタル庁「【行政機関向け情報】マイナンバーカードで本人の確認を簡単に」より)
一方で民間事業者については、プラットフォーム事業者の登場によって、若干流れが異なります。
民間事業者サーバーからデジタル庁のデジタル認証アプリサーバーに署名APIリクエストが送られるのと連動して、利用者はデジタル認証アプリを開き、電子署名を行い、署名用電子証明書などを提供します。署名値を作成した後、デジタル認証アプリサーバーからサービス事業者サーバーに対して署名値と署名用電子証明書が暗号化された上で連携され、その上でサービス事業者サーバーからプラットフォーム事業者サーバーへと電子証明書有効性確認がリクエストされ、電子証明書の有効性確認が行われます。署名検証及び証跡保存が完了したら、プラットフォーム事業者サーバーからサービス事業者サーバーへと結果が連携され、最後にサービス事業者サーバーからサービス側アプリ/Webサイトに手続き完了が通知されるという流れになります。これらを図示したものが以下です。
民間事業者向け署名API利用の流れ(デジタル庁「【民間事業者向け情報】マイナンバーカードで本人の確認を簡単に」より)
なお、認証APIと署名APIのいずれにおいても、マイナンバーカードの券面事項入力補助アプリケーションを用いた4情報(氏名・住所・生年月日・性別)連携も可能となっています。券面事項入力補助アプリケーション(以下、券面事項入力補助AP)とは、マイナンバーカードのICチップに搭載されたアプリケーションの一つで、個人番号や4情報を利用する事務を行う際、個人番号や4情報をテキストデータとして利用するための情報が記録されています。
署名用APIリクエストと同時に、4情報の取得依頼を送ることで、利用者の同意のもと、署名結果の返却時にマイナンバーカードの券面事項入力補助APにある4情報が返されることになります。利用者としては、デジタル認証アプリを利用することで、氏名や生年月日といった情報を逐一入力しなくても連携できるようになります。
提供機能のまとめ
ここまでの内容を踏まえて、デジタル認証アプリサービスによる提供機能を一覧化したものが以下となります。後述しますが、ここで「×」となっている部分が、他民間サービスなどとの差別化ポイントになります。
機能 | 対行政 |
対民間 |
利用者証明用電子証明書による認証 | ◯ | ◯ |
券面事項入力補助AP(4桁PIN)による4情報取得 | ◯ | ◯ |
署名用電子証明書による電子署名 | ◯ | ◯ |
署名用電子証明書の有効期間の検証 | ◯ | ◯ |
署名用電子証明書の有効性確認 | ◯ | × |
署名用電子証明書による署名検証 | × | × |
署名用電子証明書による4情報取得 | × | × |
マイナンバーの取得 | × | × |
顔画像の取得 | × | × |
デジタル認証アプリサービスリリースの背景
デジタル認証アプリサービスがリリースされた背景としては、大きく2つの要因が挙げられます。
マイナンバーカードの普及
マイナンバーカードの浸透は行政DXの一丁目一番地であり、2024年9月1日時点で交付数が1億枚を突破(人口に対する割合は約80%)していることから、いよいよ普及期に突入してきたと言えます。現に、政府によるワクチン接種証明アプリでは、マイナンバーカードにある「券面情報」をICチップから取得できる仕様になっています。
このような動きに鑑みると、本人確認におけるマイナンバー活用の比重はどんどんと高まっていくことが予想されます。現に、TRUSTDOCKとMMD研究所による2023年10月発表の調査結果でも、eKYC実施時に利用したことのある身分証明書としてマイナンバーカードが最多となりました。
eKYC実施時に利用したことのある身分証明書(「オンライン本人確認eKYC調査レポート2023」より)
本人確認書類の目視確認限界の時代へ
昨今の技術進化に伴い、本人確認を取り巻く環境も劇的に変化を続けています。特に本人確認書類の「偽造」に関する精度の向上は、残念ながら年々高まっていると言え、闇バイトや国外の犯罪組織を中心にした「偽造身分証ビジネス」も横行しています。
従来のeKYCでは、「身分証の撮影画像+目視確認」が主流の手法でした。犯罪収益移転防止法 施行規則6条1項1号に準拠した手法で考えると、「ホ方式」が最も多く利用されている手法になります。
TRUSTDOCKのeKYCソリューションにおける「ホ」方式での撮影フロー(Webカメラ)
上のフロー図にある通り、ホ方式では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。
しかし、2023年6月に閣議決定された「デジタル社会の実現に向けた重点計画」では、今後、犯罪収益移転防止法および携帯電話不正利用防止法に基づく本人確認手法は、マイナンバーカードの公的個人認証に原則一本化するとの内容が盛り込まれています。これは、犯罪収益移転防止法 施行規則6条1項1号における「ワ方式」を指します。
ワ方式とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LISが提供する公的個人認証サービス(JPKI:Japanese Public Key Infrastructure)を用いることで本人確認を完了する方法です。
J-LISとは「地方公共団体情報システム機構」のことで、同機構が提供する公的個人認証サービスは、インターネットを通じて安全・確実な行政手続きなどを行うために、他人によるなりすまし申請や電子データが通信途中で改ざんされていないことを確認するための機能を提供するものです。これは、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づき、総務大臣認定事業者のみ利用が可能となっています。
TRUSTDOCKのeKYCソリューションにおける「ワ」方式での認証フロー
マイナンバーがさほど普及していなかった段階においては「ホ」方式の導入が多かった状況ではありますが、今後は「ワ」方式へと導入トレンドがシフトしていくことになるでしょう。以下は、現状で最も多く選択されている手法の「ホ」と「ワ」の比較表です。
ホとワの比較
ワ方式 |
ホ方式 | |
手法の概要 | ICチップの電子証明書を利用 | 身分証と容貌の撮影 |
対応する |
マイナンバーカードのみ |
写真付き身分証明証:7点 |
顧客の所要時間 | 約20秒 | 約60秒 |
審査時間 | 即時 |
数時間〜数日(目視確認のため) ※TRUSTDOCKのBPOサービス利用の場合は数分〜数時間 |
以上の2つの要因から、行政発のデジタル認証アプリサービスがリリースされたと考えられます。
デジタル認証アプリサービス利用のメリット
行政/民間を問わず、サービス提供事業者としてはデジタル認証アプリサービスを導入することによって、偽造やなりすましが難しく、より確実に本人確認が行えるという安心・安全のための仕組みの構築が期待できます。また先述の通り、認証と署名の両方においてデジタル認証アプリサービスAPIが提供されているので、それらを活用することで自社のシステムにマイナンバーカードを使った本人確認や電子署名機能を簡単に組み込むことができます。よって、システム開発にかかるコストを削減できます。
また利用者としても、アプリさえダウンロードして初期設定すれば、あとはマイナンバーカードを使って複数サービスに対して簡単にログインなどができるようになるので、導入サービスが増えれば増えるほど便利になっていくことが期待できます。
デジタル認証アプリの利用シーン
デジタル庁のサイトによると、デジタル認証アプリサービスは以下のシーンでの利用が想定されています。
- ECサイトやネットバンキングログイン時の本人確認
- 公共施設やシェアリングサービスなどのオンライン予約時
- ライブ会場などでの酒類購入時の年齢確認
- 地域アプリ登録時のオンライン本人確認
- 予約システムを用いた面談や施設予約時のオンライン本人確認など
このデジタル認証アプリサービスを利用している事例の一つとして、神奈川県横浜市の子育て支援アプリ「パマトコ」が挙げられます。
https://pamatoco.city.yokohama.lg.jp/ctz/
こちらは、「手続のために区役所に行くのが面倒」「子どもたちにぴったりな近くのイベント情報がほしい」といった子育て世帯のお悩みを解決するためのツールとして、2024年7月1日よりWebアプリサービスを開始しています。具体的には、児童手当や出産・子育て応援金の申請、小児医療証の交付といった行政手続きがパマトコから可能になり、将来的には子育て関連のほぼすべての手続きをオンライン対応するとのことです。このパマトコの本人認証処理において、デジタル認証アプリサービスが利用されています。
このような行政サービスだけでなく民間においても、例えば三菱UFJ銀行のスマート口座開設時や、無料の地域情報サイト「ジモティー」、会員数4,500万人以上(2024年2月時点)を誇るDMM.comのDMMアカウントなど、さまざまな企業がデジタル認証アプリを利用しています。具体的な利用サービス事業者一覧は、こちらをご覧ください。
民間提供の関連サービスはどうなる?
デジタル認証アプリサービスの提供機能は、既存の認証サービス提供事業者が提供するものと重複するため、民業圧迫のリスクがあることが指摘されています。
これに対してデジタル庁では、⺠間事業者に対しては、利用の進まない機能などに絞ってサービスを提供する方針としています。具体的には、⺠間事業者におけるマイナンバーカードの利用は、顧客申込などにおける署名用電子証明書の利用は進んでいるものの、ログインなどにおける利用者証明用電子証明書の利用は進んでいません。よって、利用者証明用電子証明書に対しては電子利用者証明や電子利用者証明の検証の機能を提供していますが、一方で署名用電子証明書に対しては、電子署名のみの機能を実施し、⺠間で利用の進んでいる電子署名の検証及び有効性確認に関するサービスは提供しなとしています。
本記事の署名APIの箇所で掲載した処理の流れで考えると、以下の赤線の左側がデジタル認証アプリのサービス提供範囲となり、赤線の右側が民間事業者のサービス提供範囲となります。
このように、電子署名の検証を伴う本人確認は、引き続き民間事業者が提供するサービスがリードすることになります。なお、TRUSTDOCKは上図の「サービス事業者サーバー」と「プラットフォーム事業者サーバー」の間のやりとりを円滑にする「サービスプロバイダ事業者」の位置付けでサービス提供をしております。
デジタル認証アプリはマイナンバーカードのカードリーダー
ここまでお伝えした内容を踏まえると、デジタル認証アプリサービスはあくまで「認証」「署名」のための機能を提供するものであって、何かしらのデジタルIDを保持するものではありません。便利なカードリーダーアプリです。
ここでいうデジタルIDとは、インターネットをはじめとするデジタルの世界において、「『あるものを他とは違うものとして確立する』ことができる属性の集合のこと」です。大きく以下の情報要素で構成されており、私たちを取り巻くさまざまなデジタルサービスの利用や、アクセス制御、取引の正当性の認証などに活用されています。
- 識別情報(ID情報):ユーザーを一意に識別するための情報。ユーザー名やメールアドレス、ID番号などが挙げられる
- 認証情報:ユーザーが本人であることを確認するための情報。パスワードや生体認証(指紋、顔認証など)が含まれる
- 属性情報:ユーザーに関連する追加情報。住所、年齢、資格、役職などが該当する
もちろん、デジタルIDという言葉にはさまざまな解釈/定義が存在するのですが、ここでは「デジタルの世界で個人を特定できる属性の集合」と捉えていただければと思います。
デジタルIDウォレット「TRUSTDOCK」とは
TRUSTDOCKでは、独自にデジタルIDウォレット「TRUSTDOCKアプリ」を開発・提供しています。
すでに累計ダウンロード数160万を突破しており、マイナンバーカードによる公的個人認証をはじめ、犯収法準拠のeKYC手法への対応や、シームレスな身分証の券面・容貌撮影への対応、身元確認書類の提出履歴機能の実装、多言語対応(日本語/英語)がなされている他、本人確認機能については事業者が展開している個別のネイティブアプリへのSDK実装にも対応しています。
公的個人認証サービスに関しては、マイナンバーカードのICチップ内の顔画像(白黒)とその場で撮影した本人の写真を比較・自動判定することでなりすましを防止(生体認証)し、またその一致率を返却します。そしてこれらを、顔画像の取得及び基本4情報(※)取得とあわせて一連の操作で実施できるようにしています。
※基本4情報:個人を特定するための基礎的な情報で、氏名・生年月日・性別・住所の4項目を指す。これらの情報は、行政手続きや金融取引、医療機関の受診など、さまざまな場面で本人確認に利用されている。なお、基本4情報の中でもジェンダーアイデンティティへの配慮として「性別」を除外した「基本3情報」を活用する機運が高まっており、たとえば2024年5月27日に施行された改正マイナンバー法では、新しいマイナンバーカードについて、現状のカードに記載されている性別の表記を削除することが盛り込まれた。
具体的には、以下の情報を取得できるようにしており、SDKを通じて事業者様のアプリに実装できるようになっています。
- 氏名(テキスト)
- 生年月日(テキスト)
- 住所(テキスト)
- 性別(テキスト)
- 顔写真(画像)
- 顔認証結果(成功 /失敗) ※一致率 80%以上で成功
- 顔一致率 ※顔認証結果が失敗(一致率 80%未満)の場合も取得可能
事例①:農林水産省「TRUSTDOCKデジタルIDウォレットで公的個人認証」
農林水産省では、「eMAFF(読み方:イーマフ)」と呼ばれるオンラインポータルサービスを運営しており、同省が所管する法令に基づく申請や補助⾦・交付⾦の申請を、オンラインで⾏うことができるようにしています。このeMAFFを活用する際の本人確認フローに乗せる形で、TRUSTDOCKのデジタルIDウォレットが活用されています。
eMAFFを使うにあたっては経済産業省提供の「GビズID」を取得する必要があり、従来では法人化されていない事業者について農林水産省職員や自治体職員が対面で書類を確認して登録を進めていたのですが、コロナ禍でその運用が難しくなったことから、今回のオンライン化への舵取りがなされたことになります。
※eMAFFの詳細については以下のページをご覧ください
https://www.maff.go.jp/j/kanbo/dx/emaff.html
※事例の詳細については、以下のイベントレポートもあわせてご参照ください。
▶︎農林水産省がTRUSTDOCKのデジタル身分証アプリを導入した理由 〜金融DXサミットレポート前編
事例②:豊能町提供スマホアプリ「とよのんコンシェルジュ」利用時におけるパスワードレス認証
続いてはパスワードレス認証での利用の事例です。大阪府豊能町では、「豊能スマートシティ戦略プロジェクト」の一環としてスマホアプリ「とよのんコンシェルジュ」を提供し、誰でも簡単に健康相談や見守りなどのサービスを選べる環境を提供しています。とよのんコンシェルジュへのログインする際に、TRUSTDOCKのデジタルIDウォレットを活用するという取り組みを行っています。
具体的には、TRUSTDOCKのデジタルIDウォレットでアカウントを作成して本人確認を実施し、とよのんコンシェルジュへと連携することで、以降はとよのんコンシェルジュ利用時にいちいちパスワードを打たなくても済むようになるというものです。パスワードの紛失や漏洩によるトラブルが後を絶たない状況だからこそ、このような「パスワードレス認証」の仕組みへのニーズは、今後ますます増えていくことが想定されます。
※とよのんコンシェルジュの詳細については以下の豊能町ホームページをご覧ください
https://www.town.toyono.osaka.jp/page/page005171.html
なお、TRUSTDOCKのデジタルIDウォレットでは今後、正確な基本4情報と高い更新性を有した「BtoCサービスのデジタルID基盤」として、様々な機能やコンテンツの提供を予定しております。こちら詳細が固まり次第、改めて詳細を発表させていただきます。
eKYCのプロ集団であるTRUSTDOCK
今回はデジタル庁よりリリースされたデジタル認証アプリサービスについて解説しました。
TRUSTDOCKでは、“本人確認のプロ”として、さまざまな事業体のKYC関連業務をワンストップで支援するAPIソリューションを提供しており、またデジタル身分証を通じていつでもどこでも、どのような状況でも、身元確認をすることができ、誰でも適切な各種サービスを素早く受け取れる世界を目指しています。
また、日頃から関係省庁・関係団体などと連携し、社内や特定の業界に閉じない議論を行い、今後のデジタル社会に必要なeKYCサービスの提供、社会への情報発信などに積極的に取り組んでいるほか、eKYCサービスに関する新たなルールづくりを進めています。
本人確認領域や業務プロセスのデジタル化についてご不明点がある場合は、どうぞお気軽にご相談ください。
なお、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目などを、計10個のポイントにまとめていますので、こちらもぜひご活用ください。
(文・長岡武司)