2024年6月24日、デジタル庁から「デジタル認証アプリ」がリリースされました。マイナンバーカードを使った認証/署名を、安全・簡単に実施するために設計された本アプリは、公共施設の予約やネットバンキングのログイン、ライブ会場等での酒類購入時の年齢確認など、様々な用途での活用が想定されているものです。
マイナンバーカードの交付枚数が日本の全人口の80%を超え(2024年9月1日時点)、普及期へと突入した現状において、デジタル認証アプリは今後どのように発展していくのでしょう。本記事では、その技術的な仕組みや機能、別途事業者向けに提供されているAPI、さらにはグローバルでのデジタル認証/アイデンティティアプリの現状等を踏まえながら、デジタル認証アプリの未来を考えていきます。
※本記事は2024年9月1日時点の公開情報を基に作成しています。記事を読まれた時点の各内容に関する正確な情報については、記事内に設置した各リンク先をご参照ください
デジタル認証アプリサービスの概要
デジタル認証アプリは、マイナンバーカードを活用した新しい認証・署名手段になります。マイナンバーカードのICチップに格納された情報を読み取り、様々なサービスへのログインや本人確認、年齢確認等での利用が想定されて設計されたものになります。
デジタル庁「デジタル認証アプリについて」より
これまで電子申請書類への署名や申請書類作成時の入力支援をする「マイナポータルアプリ」へとログインする際に、マイナンバーカードをかざしてログインできたかと思いますが、このログイン機能を別途個別に切り出したものが、今回のデジタル認証アプリとお考えください。
デジタル認証アプリはそれ単体で機能するものではなく、「デジタル認証アプリサービスAPI」との組み合わせによって、「デジタル認証アプリサービス」を成しています。行政機関や民間事業者は、このデジタル認証アプリと連携するデジタル認証アプリサービスAPIを活用することで、マイナンバーカードを使った本人確認・認証や電子申請書類への署名機能を簡単に組み込むことができます。
デジタル認証アプリの概要
デジタル認証アプリは、日本のマイナンバーカード所有者(以下、利用者)がiOS及びAndroidスマートフォン等を通じて「認証」と「署名」を行うことを想定したアプリです。ここで、「認証と署名って何が違うの?」と思われるかもしれません。
デジタル認証アプリにおける「認証」と「署名」とは
安全・安心な認証サービスの提供(電子署名と電子利用者証明)(総務省「公的個人認証サービスによる電子証明書(民間事業者向け)」より)
認証と署名の違いを理解する上で、まずは上の図をご覧ください。上部3つの枠は、インターネット等で電子文書を作成・送信する際のケースを表したもので、一番下の枠は、Webサイトやコンビニ等のキオスク端末等にログインする際のケースを表したものです。
一番下のケースにおける、ログインした者が利用者本人であることを証明する手段として「電子利用者証明」という方法が用いられ、これがデジタル認証アプリサービスにおける「認証」に該当します。また、上部3つケールにおける、作成・送信した電子文書が利用者が作成した真正なものであり、利用者が送信したものであることを証明する手段として用いられるのが「電子署名」であり、デジタル認証アプリサービスにおける「署名」に該当します。
一般的に認証とは、利用者の本人確認を行うための機能です。TRUSTDOCKではeKYC(オンライン本人確認)サービスを提供しており、本人確認を「身元確認」と「当人認証」の2つに分解して考えています。
※本人確認の考え方については、以下のeKYC解説記事も併せてご参照ください。
▶︎eKYCとは?オンライン本人確認のメリットやよくある誤解、選定ポイント、事例、最新トレンド等を徹底解説!
ここでいう認証も、この考え方をベースにご理解いただければと思います。デジタル認証アプリの認証機能を利用することで、サービス提供事業者は、マイナンバーカードの電子証明書を基に操作をしている利用者の本人確認を行うことができます。
一方で署名とは、デジタル情報の本人性と非改竄性を保証する技術です。マイナンバーカードに格納された情報を基に、サービス提供者はオンラインでの契約や申請手続きにおいて、利用者が電子署名を行うことができるようになります。
いずれにおいても、利用者の「本人性」を確認するための手段であり、サービス提供事業者からの要請(認証を求められる、もしくは署名を求められる)に応じて利用機能を使い分けるためにそれぞれの機能が用意されている、とお考えください。
デジタル認証アプリの利用開始フロー
デジタル庁の公式サイトによると、以下の9ステップの流れで利用者登録を進めていきます。
- スマートフォンにデジタル認証アプリをダウンロードし、利用登録開始
- 登録手順の確認
- 利用規約の確認
- プライバシーポリシーの確認
- 【iPhone利用の場合】Face ID、Touch IDまたはパスコードの設定、【Android利用の場合】生体認証またはデバイスのロックの設定
- マイナンバーカードと暗証番号の用意
- 利用者証明用電子証明書の暗証番号の入力
- マイナンバーカードの読み取り
- アプリの利用登録完了
ステップ6の暗証番号とは、マイナンバーカードの交付時にご自身で設定した4桁の、利用者証明用電子証明書の暗証番号のことを指します。これは、マイナンバーカードのICチップに格納されている情報で、「ログインした者が、利用者本人であること」を証明するために活用される電子証明書になります。3回連続で暗証番号を間違えて入力・送信した場合はマイナンバーカードのロックがかかるので注意が必要です。
なお、利用者登録が完了したら、あとはデジタル認証アプリが必要となるサービス利用時に起動して、本人確認を実施することになります。デジタル認証アプリによる本人確認(認証)の流れとしては以下の通りです。
デジタル庁「デジタル認証アプリについて」より
デジタル認証アプリサービスAPIの概要
デジタル認証アプリサービスAPIは、行政機関や民間事業者がマイナンバーカードを利用した本人確認や電子署名機能を、自社のシステムに簡単に組み込むためのツールです。
大きくは2つ、先述の2機能(認証と署名)に対応した「認証API」と「署名API」が用意されています。いずれも無料で利用でき、OIDC(OpenID Connect)やOAuth 2.0を基に実装されているので、安全かつ簡単にデジタル認証アプリサービスを自分たちのシステムに組み込むことができます。
認証APIとは
認証APIは、利用者の本人確認機能を組み込むためのAPIです。マイナンバーカード内の「利用者証明用電子証明書」を用いて認証を行い、電子利用者証明の検証と利用者証明用電子証明書の有効性確認の結果を連携します。
具体的には、まず行政機関/民間事業者のサーバーからデジタル庁のデジタル認証アプリサーバーに認証APIのリクエストが送られるのと連動して、利用者はデジタル認証アプリを開いて電子利用者証明を行い、利用者証明用電子証明書等を提供します。電子利用者証明の検証と利用者証明用電子証明書の有効性確認をデジタル庁で行い、デジタル認証アプリサーバーから行政機関/民間事業者のサーバーに対して認証結果を連携した上で、最後に行政機関/民間事業者のサーバーからサービス側アプリ/Webサイトに手続き完了が通知されるという流れになります。これらを図示したものが以下です。
行政機関及び民間事業者向け認証API利用の流れ(デジタル庁「【民間事業者向け情報】マイナンバーカードで本人の確認を簡単に」より)
署名APIとは
署名APIは、電子署名を行うためのAPIで、マイナンバーカード内の「署名用電子証明書」を用いて署名を行うことになります。署名作成機能は提供されるのですが、認証APIと異なり署名の検証及び有効性確認サービスは提供されていないので(行政機関向けに限っては有効性の確認を実施)、そこだけ注意が必要になります。
具体的な流れは、行政機関と民間事業者によって異なります。
行政機関については、行政機関サーバーからデジタル庁のデジタル認証アプリサーバーに署名APIリクエストが送られるのと連動して、利用者はデジタル認証アプリを開き、電子署名を行い、署名用電子証明書等を提供します。署名用電子証明書の有効性確認をデジタル庁で行い、デジタル認証アプリサーバーから行政機関サーバーに対して有効性確認の結果、署名値と署名用電子証明書を連携した上で、行政機関サーバーで電子署名を検証し、最後に行政機関サーバーからサービス側アプリ/Webサイトに手続き完了が通知されるという流れになります。これらを図示したものが以下です。
行政機関向け署名API利用の流れ(デジタル庁「【行政機関向け情報】マイナンバーカードで本人の確認を簡単に」より)
一方で民間事業者については、プラットフォーム事業者の登場によって、若干流れが異なります。
民間事業者サーバーからデジタル庁のデジタル認証アプリサーバーに署名APIリクエストが送られるのと連動して、利用者はデジタル認証アプリを開き、電子署名を行い、署名用電子証明書等を提供します。署名値を作成した後、デジタル認証アプリサーバーからサービス事業者サーバーに対して署名値と署名用電子証明書が連携され、サービス事業者サーバーからプラットフォーム事業者サーバーへと電子証明書有効性確認がリクエストされ、電子証明書の有効性確認が行われます。署名検証及び証跡保存が完了したら、プラットフォーム事業者サーバーからサービス事業者サーバーへと結果が連携され、最後にサービス事業者サーバーからサービス側アプリ/Webサイトに手続き完了が通知されるという流れになります。これらを図示したものが以下です。
民間事業者向け署名API利用の流れ(デジタル庁「【民間事業者向け情報】マイナンバーカードで本人の確認を簡単に」より)
なお、認証APIと署名APIのいずれにおいても、マイナンバーカードの券面事項入力補助アプリケーションを用いた4情報(氏名・住所・生年月日・性別)連携も可能となっています。券面事項入力補助アプリケーション(以下、券面事項入力補助AP)とは、マイナンバーカードのICチップに搭載されたアプリケーションの一つで、個人番号や4情報を利用する事務を行う際、個人番号や4情報をテキストデータとして利用するための情報が記録されています。
署名用APIリクエストと同時に、4情報の取得依頼を送ることで、利用者の同意のもと、署名結果の返却時にマイナンバーカードの券面事項入力補助APにある4情報が返されることになります。利用者としては、デジタル認証アプリを利用することで、氏名や生年月日といった情報をいちいち入力しなくても連携できるようになります。
提供機能のまとめ
ここまでの内容を踏まえて、デジタル認証アプリサービスによる提供機能を一覧化したものが以下となります。後述しますが、ここで「×」となっている部分が、他民間サービス等との差別化ポイントになります。
| 機能 | 対行政 |
対民間 |
| 利用者証明用電子証明書による認証 | ◯ | ◯ |
| 券面事項入力補助AP(4桁PIN)による4情報取得 | ◯ | ◯ |
| 署名用電子証明書による電子署名 | ◯ | ◯ |
| 署名用電子証明書の有効期間の検証 | ◯ | ◯ |
| 署名用電子証明書の有効性確認 | ◯ | × |
| 署名用電子証明書による署名検証 | × | × |
| 署名用電子証明書による4情報取得 | × | × |
| マイナンバーの取得 | × | × |
| 顔画像の取得 | × | × |
デジタル認証アプリサービスリリースの背景
デジタル認証アプリサービスがリリースされた背景としては、大きく2つの要因が挙げられます。
マイナンバーカードの普及
マイナンバーカードの浸透は行政DXの一丁目一番地であり、2024年9月1日時点で1億万枚を突破するの交付(人口に対する割合は約80%))が完了していることから、いよいよ普及期に突入してきたと言えます。現に、政府によるワクチン接種証明アプリでは、マイナンバーカードにある「券面情報」をICチップから取得できる仕様になっています。
このような動きに鑑みると、本人確認におけるマイナンバー活用の比重はどんどんと高まっていくことが予想されます。現に、TRUSTDOCKとMMD研究所による2023年10月発表の調査結果でも、eKYC実施時に利用したことのある身分証明書としてマイナンバーカードが最多となりました。
eKYC実施時に利用したことのある身分証明書(「オンライン本人確認eKYC調査レポート2023」より)
本人確認書類の目視確認限界の時代へ
昨今の技術進化に伴い、本人確認を取り巻く環境も劇的に変化を続けています。特に本人確認書類の「偽造」に関する精度の向上は、残念ながら年々高まっていると言え、闇バイトや国外の犯罪組織を中心にした「偽造身分証ビジネス」も横行しています。
従来のeKYCでは、「身分証の撮影画像+目視確認」が主流の手法でした。犯罪収益移転防止法 施行規則六条1項1号に準拠した手法で考えると、「ホ」方式が最も多く利用されている手法になります。
TRUSTDOCKのeKYCソリューションにおける「ホ」方式での撮影フロー(Webカメラ)
上のフロー図にある通り、「ホ」方式では、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法が定められています。必要となるのは、写真付き本人確認書類の写し画像1点と、本人の容貌を撮影した画像データ1点です。 しかし、2023年6月に閣議決定された「デジタル社会の実現に向けた重点計画」では、今後、犯罪収益移転防止法および携帯電話不正利用防止法に基づく本人確認手法は、マイナンバーカードの公的個人認証に原則一本化するとの内容が盛り込まれています。これは、犯罪収益移転防止法 施行規則六条1項1号における「ワ」方式を指します。
「ワ」方式とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LISが提供する公的個人認証サービスを用いることで本人確認を完了する方法です。J-LISとは「地方公共団体情報システム機構」のことで、同機構が提供する公的個人認証サービスは、ネット上での本人確認に必要な電子証明書を、住民基本台帳に記載されている希望者に対して無料で提供するサービスのことです。これは、TRUSTDOCKを含め、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律第17条第1項第6号の規定に基づく総務大臣認定事業者のみ利用が可能となっています。
TRUSTDOCKのeKYCソリューションにおける「ワ」方式での認証フロー
マイナンバーがさほど普及していなかった段階においては「ホ」方式の導入が多かった状況ではありますが、今後は「ワ」方式へと導入トレンドがシフトしていくことになるでしょう。以下は、現状で最も多く選択されている手法の「ホ」と「ワ」の比較表です。
ホとワの比較
|
公的個人認証 |
eKYC:ホ | |
| 手法の概要 | ICチップの電子証明書を利用 | 身分証と容貌の撮影 |
|
対応する |
マイナンバーカードのみ |
写真付き身分証明証:7点 |
| 顧客の所要時間 | 約20秒 | 約60秒 |
| 審査時間 | 即時 |
数分〜数日 |
以上の2つの要因から、行政発のデジタル認証アプリサービスがリリースされたと考えられます。
デジタル認証アプリサービス利用のメリット
行政/民間を問わず、サービス提供事業者としてはデジタル認証アプリサービスを導入することによって、偽造やなりすましが難しく、より確実に本人確認が行えるという安心・安全のための仕組みの構築が期待できます。また先述の通り、認証と署名の両方においてデジタル認証アプリサービスAPIが提供されているので、それらを活用することで自社のシステムにマイナンバーカードを使った本人確認や電子署名機能を簡単に組み込むことができます。よって、システム開発にかかるコストを削減できます。
また利用者としても、アプリさえダウンロードして初期設定すれば、あとはマイナンバーカードを使って複数サービスに対して簡単にログイン等ができるようになるので、導入サービスが増えれば増えるほど便利になっていくことが期待できます。
デジタル認証アプリの利用シーン
デジタル庁のサイトによると、デジタル認証アプリサービスは以下のシーンでの利用が想定されています。
- ECサイトやネットバンキングログイン時の本人確認
- 公共施設やシェアリングサービスなどのオンライン予約時
- ライブ会場等での酒類購入時の年齢確認
- 地域アプリ登録時のオンライン本人確認
- 予約システムを用いた面談や施設予約時のオンライン本人確認など
このデジタル認証アプリサービスを利用している事例の一つとして、神奈川県横浜市の子育て支援アプリ「パマトコ」が挙げられます。
https://pamatoco.city.yokohama.lg.jp/ctz/
こちらは、「手続のために区役所に行くのが面倒」「子どもたちにぴったりな近くのイベント情報がほしい」といった子育て世帯のお悩みを解決するためのツールとして、2024年7月1日よりWebアプリサービスを開始しています。具体的には、児童手当や出産・子育て応援金の申請、小児医療証の交付といった行政手続きがパマトコから可能になり、将来的には子育て関連のほぼすべての手続きをオンライン対応するとのことです。このパマトコの本人認証処理において、デジタル認証アプリサービスが利用されています。
このような行政サービスだけでなく民間においても、例えば三菱UFJ銀行のスマート口座開設時における本人確認用途で、2025年上期に、デジタル認証アプリサービスが導入される予定とのことです。このように、今後、その活用シーンはますます増えていくことが想定されます。
民間提供の関連サービスはどうなる?
デジタル認証アプリサービスの提供機能は、既存の認証サービス提供事業者が提供するものと重複するため、民業圧迫のリスクがあることが指摘されています。
これに対してデジタル庁では、⺠間事業者に対しては、利用の進まない機能等に絞ってサービスを提供する方針としています。具体的には、⺠間事業者におけるマイナンバーカードの利用は、顧客申込等における署名用電子証明書の利用は進んでいるものの、ログイン等における利用者証明用電子証明書の利用は進んでいません。よって、利用者証明用電子証明書に対しては電子利用者証明や電子利用者証明の検証の機能を提供していますが、一方で署名用電子証明書に対しては、電子署名のみの機能を実施し、⺠間で利用の進んでいる電子署名の検証及び有効性確認に関するサービスは提供しなとしています。
本記事の署名APIの箇所で掲載した処理の流れで考えると、以下の赤線の左側がデジタル認証アプリのサービス提供範囲となり、赤線の右側が民間事業者のサービス提供範囲となります。
このように、電子署名の検証を伴う本人確認は、引き続き民間事業者が提供するサービスがリードすることになります。なお、TRUSTDOCKは上図のサービス事業者サーバーとプラットフォーム事業者サーバーの間のやりとりを円滑にする位置付けでサービス提供をしております。
デジタル認証アプリはマイナンバーカードのカードリーダー
ここまでお伝えした内容を踏まえると、デジタル認証アプリサービスはあくまで「認証」「署名」のための機能を提供するものであって、何かしらのデジタルIDを保持するものではありません。便利なカードリーダーアプリです。
ここでいうデジタルIDとは、インターネットをはじめとするデジタルの世界において、「『あるものを他とは違うものとして確立する』ことができる属性の集合のこと」です。大きく以下の情報要素で構成されており、私たちを取り巻く様々なデジタルサービスの利用や、アクセス制御、取引の正当性の認証等に活用されています。
- 識別情報(ID情報):ユーザーを一意に識別するための情報。ユーザー名やメールアドレス、ID番号などが挙げられる
- 認証情報:ユーザーが本人であることを確認するための情報。パスワードや生体認証(指紋、顔認証など)が含まれる
- 属性情報:ユーザーに関連する追加情報。住所、年齢、資格、役職などが該当する
もちろん、デジタルIDという言葉には様々な解釈/定義が存在するのですが、ここでは「デジタルの世界で個人を特定できる属性の集合」と捉えていただければと思います。
デジタルIDウォレット「TRUSTDOCK」とは
TRUSTDOCKでは、独自にデジタルIDウォレットを開発・提供しています。すでに累計ダウンロード数130万を突破しており、マイナンバーカードによる公的個人認証サービスはもちろん、それ以外の手法での本人確認機能をご提供しています。公的個人認証サービスに関しては、マイナンバーカードのICチップ内の顔画像(白黒)とその場で撮影した本人の写真を比較・自動判定することでなりすましを防止(生体認証)し、またその一致率を返却します。そしてこれらを、顔画像の取得及び基本4情報取得と併せて一連の操作で実施できるようにしています。
具体的には、以下の情報を取得できるようにしており、SDKを通じて事業者様のアプリに実装できるようになっています。
- 氏名(テキスト)
- 生年月日(テキスト)
- 住所(テキスト)
- 性別(テキスト)
- 顔写真(画像)
- 顔認証結果(成功 /失敗) ※一致率 80%以上で成功
- 顔一致率 ※顔認証結果が失敗(一致率 80%未満)の場合も取得可能
事例①:田村市「たむらスマイルデジタル商品券」利用時における公的個人認証
福島県田村市では、「たむらスマイルデジタル商品券」と呼ばれる、市内登録店で利用できるデジタル商品券を販売・展開されました(2022年12月31日をもって予定期間終了)。このデジタル商品券は田村市民以外でも購入・利用が可能なものとなっているのですが、市民限定の「付与型デジタル商品券」というものが用意されており、マイナンバーカードを取得して申し込んだ先着15,000名に4,000円分のデジタル商品券が付与されるようになっています。
この付与型デジタル商品券の申請において、TRUSTDOCKのデジタルIDウォレットを活用したマイナンバーカードによる公的個人認証の仕組みが導入されています。このように、市民に限定されているものや、重複での申請がNGなもの、申請に上限が設けられているような政策に対して有効な仕組みだと言えるでしょう。
※たむらスマイルデジタル商品券の詳細については以下の公式サイトをご覧ください
https://smile-tamura.com/user/
事例②:豊能町提供スマホアプリ「とよのんコンシェルジュ」利用時におけるパスワードレス認証
続いてはパスワードレス認証での利用の事例です。大阪府豊能町では、「豊能スマートシティ戦略プロジェクト」の一環としてスマホアプリ「とよのんコンシェルジュ」を提供し、誰でも簡単に健康相談や見守り等のサービスを選べる環境を提供しています。とよのんコンシェルジュへのログインする際に、TRUSTDOCKのデジタルIDウォレットを活用するという取り組みを行っています。
具体的には、TRUSTDOCKのデジタルIDウォレットでアカウントを作成して本人確認を実施し、とよのんコンシェルジュへと連携することで、以降はとよのんコンシェルジュ利用時にいちいちパスワードを打たなくても済むようになるというものです。パスワードの紛失や漏洩によるトラブルが後を絶たない状況だからこそ、このような「パスワードレス認証」の仕組みへのニーズは、今後ますます増えていくことが想定されます。
※とよのんコンシェルジュの詳細については以下の豊能町ホームページをご覧ください
https://www.town.toyono.osaka.jp/page/page005171.html
なお、TRUSTDOCKのデジタルIDウォレットでは今後、正確な基本4情報と高い更新性を有した「BtoCサービスのデジタルID基盤」として、様々な機能やコンテンツの提供を予定しております。こちら詳細が固まり次第、改めて詳細を発表させていただきます。
eKYCのプロ集団であるTRUSTDOCK
今回はデジタル庁よりリリースされたデジタル認証アプリサービスについて解説しました。
TRUSTDOCKでは、“本人確認のプロ”として、金融機関をはじめとする特定事業者はもちろん、それに限らない様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。本人確認業務のオンライン化でお困りの際は、ぜひお気軽にお問い合わせください。
KYCのような本人確認領域や業務プロセスのデジタル化についてご不明点がある場合は、どうぞお気軽にご相談ください。
なお、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計10個のポイントにまとめていますので、こちらもぜひご活用ください。
書籍『60分でわかる!デジタル本人確認&KYC 超入門』
TRUSTDOCKでは、デジタル社会で不可欠な基盤となる「本人確認」について図解でわかりやすくまとめた書籍『60分でわかる!デジタル本人確認&KYC 超入門』(技術評論社)を、2023年7月15日(土)より全国の書店・オンライン書店で発売開始しました。
デジタル技術を活用した本人確認(デジタル本人確認)に関する基礎知識、マイナンバーカードを含む本人確認書類の特徴、セキュリティ問題などを整理し、公的利用や民間事業者の最新活用事例まで紹介していますので、ぜひ書店等でお手にとってご覧ください。
▼書籍概要
- タイトル:60分でわかる!デジタル本人確認&KYC 超入門
- 著者:株式会社TRUSTDOCK 神谷 英亮、笠原 基和、中村 竜人、渡辺 良光
- 出版社:技術評論社
- 発売日:2023/7/15
- 言語:日本語
- 単行本(ソフトカバー):152ページ ※Kindle版(電子書籍)も発売いたします
- ISBN-10:4297135930
- ISBN-13:978-4297135935
- 定価:1,430円
▼オンラインでの購入はこちらから
https://amzn.asia/d/dUfS9BP
(文・長岡武司)
