「行政・自治体のデジタルトランスフォーメーション」
数年前であればこのキーワードに反応する人なんてほんの一握りだったことでしょうが、最近では民間企業のみならず、行政にもDXのトレンドが押し寄せてきています。マイナンバーカードの交付促進からデジタル庁(仮称)の新設まで、公共のデジタル化を総称する「GovTech(ガヴテック)」は、自治体を巻き込んだ国家プロジェクトとして動き出していると言えるでしょう。
「スマホで60秒以内に手続が完了する世界」
平井卓也デジタル改革担当相のその言葉から、「誰一人取り残さない、優しいデジタル社会」を実現する強い覚悟が伝わってきます。
人口減、そして社会福祉・社会保障がますます重要になる我が国にとって、大きな政府、小さな政府のいずれにも当たらない新たな行政府のあり方が模索される時代の中、自治体職員はどのように動くべきなのか。本記事では、まずは行政府のデジタル化の全体像を俯瞰した上で、デジタル・ガバメント時代に不可欠な信用の土台となる「本人確認」のあり方について、TRUSTDOCKの考えとアプローチをご紹介します。
産業界から始まったDXトレンド
そもそもDXという言葉や概念は、2004年にスウェーデン・Umeå大学のErik Stolterman教授によって提唱されたものです。同氏は “Information Technology and the good life” という論文において、「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」という表現を用いて、人間の生活環境におけるデジタルテクノロジーの位置づけとして、デジタルトランスフォーメーション(the digital transformation)のあり方を解説しました。そこから、英語圏で接頭辞「Trans」がX表記されるという習慣をなぞる形で、DXという表記が一般的となりました。
総務省によると、この変化は大きく三段階に分かれるとされています。つまり、まずはインフラや制度、組織、生産方法など従来の社会・経済システムに、AIやIoTといったICTが導入されるのが第一段階。次に、社会・経済システムがそれらICTを活用できるように変革されるのが第二段階。そして、実装されたICTキャパシティを最大限に引き出せる新たな社会・経済システムが誕生することが、DXの第三段階であると説かれています。
画像出典:総務省「デジタルトランスフォーメーション」(情報通信白書平成30年版 ポイントより)
ちなみに、DX(デジタルトランスフォーメーション)と混同されがちな2つの言葉として、「デジタイゼーション」と「デジタライゼーション」があります。デジタイゼーションとは、ある工程におけるアナログ情報のデジタル情報への置換を意味し、デジタライゼーションとは、自社のみならず外部環境やビジネス戦略など、関係するプロセス全般をデジタル化することを意味します。社会全体への影響を生み出すことを示すデジタルトランスフォーメーションと比較すると、部分的な概念である点が大きな違いと言えるでしょう。
経産省「DXレポート」の衝撃
このDXの必要性に関する認知は、産業界から拡大していきました。具体的には、2018年秋に経済産業省が発表した「DXレポート」において「2025年の崖」問題が提唱され、複雑化・ブラックボックス化したレガシーシステムをそのままにした場合、企業はシステムの保守・運用に大きなコストがかかり、そのまま競合他社に淘汰されてしまうという辛辣なストーリーが記されました。
画像出典:経済産業省「DXレポート ~ITシステム「2025年の崖」の克服とDXの本格的な展開~(サマリー)」
そもそもシステムというものは完成した直後から陳腐化が始まるもので、技術の老朽化やシステム全体のブラックボックス化などといった、典型的な課題が積み重なっていくこととなります。
それでも現場はそのシステムを使った運用を続けていくことになるので、経営者が構造的なDXを望んでいたとしても現場からの抵抗が大きく、なかなか抜本的な改革を進めることができないケースが多く発生します。結果として多くの企業はDXを実現できず、2025年以降には最大12兆円/年(現在の約3倍)の経済損失が生じる可能性があります。これが「2025年の崖」と呼ばれている所以です。
企業にとっては、爆発的に増加するデータを活用しきれずにデジタル競争の敗者になるばかりか、多くの技術的負債を抱えることで業務基盤そのものの維持・継承が困難になり、さらにはサイバーセキュリティ、事故・災害によるシステムトラブルやデータ流出等のリスクも高まることになります。結果、システムの維持管理費が高額化し、やがてIT予算の9割以上を占めると指摘もあります。
行政DX(GovTech)がさけばれる理由
さて、ここまでは主に産業界におけるDXの必要性について見てきましたが、そこで挙げた課題の多くは、行政府においても深刻な問題として横たわっています。
そのため、行政のデジタル化についても従前から様々な検討が行われてきました。総務省が2020年に発表した「地方公共団体の総職員数の推移~令和2年」によると、自治体職員数は過去25年間で約55万人減少した一方で、地域課題の複雑化や災害対応など業務は増大。それにも関わらず、多くの自治体では未だに電話やメール、FAXといったコミュニケーションスタイルが主流で対面による業務が前提となっています。その結果、2020年以降の新型コロナウイルス感染拡大に対応するための住民への窓口対応では各地で混乱が生じたほか、ニューノーマル社会へのシフトについても、民間企業と比較するとDX対応の遅れが指摘されています。
これに対して新型コロナを含む感染症の流行対策として、例えばLGWANに対応したソフトウェアツール等を積極的に導入して自宅での業務遂行が可能な環境を構築することで、ニューノーマルへの対応はもちろん、頻発する自然災害にも柔軟に対応してスマホなどを利用して素早く手続き等のコミュニケーションを取ることができるようになるでしょう。これを国内全体で加速させていく象徴的な取り組みが、2021年中に設置が予定されている「デジタル庁(仮称)」だと言えます。これについては後述します。
超高齢社会に突入し、公共の担い手が逓減していく状況だからこそ、テクノロジーの力を最大限活用した行政・自治体のあり方が喫緊の課題として、まさにリアルタイムで議論されています。
なお、上述のような自治体DXの必要性を端的に伝える内容としては、以下、2019年12月に販売開始されたムック本「NEXT GENERATION GOVERNMENT」の記述が参考の一つとなります。
「公共」の一切を管理し運営しうる「大きい政府」をもつ社会では、ニーズに応えるうちに政府がどんどん大きくなってしまい、それにつれて、むしろサービスの質が低下してしまうという矛盾が起きます。
政府が最低限の「公共」しか管轄しない「小さい政府」をもつ社会では、サービスが民間の運営にまかされてしまうことで、「社会にとって重要な価値をもつもの」よりも「お金が儲かるもの」が重要視されてしまいます。
(中略)
「大きい政府」がやろうとしてできなかったこと、「小さい政府」がやろうとしてできなかったことを、デジタルテクノロジーを使ってつなぎ合わせることで、新しい公共の仕組みをつくり出すことができるかもしれません。
-若林恵・責任編集「NEXT GENERATION GOVERNMENT」(黒鳥社)p11〜13
諸外国で進むデジタル・ガバメントの構築
行政DXによるデジタル・ガバメントの構築は日本だけではなく、諸外国においても積極的に取り組まれています。ここでは代表的な動きとして、EU、中国、インド、そしてエストニアの動向について、それぞれみていきます。
EUのDX動向
デジタル・ガバメントの議論をする際によく「欧州型か中国型か」などと言われますが、端的に言い換えると「分散型か中央集権型か」と捉えることができるでしょう。まずは前者について。
さまざまな文化や言語が集まるEUでは、2015年に、域内市場を統合することで国際競争力を確保するという大きな目標を「A Digital Single Market Strategy for Europe」にて策定し、異なる組織や文化、システム間で業務をスムーズに行うための情報交換の仕組みとして2017年に「European Interoperability Framework」(以下、EIF)を採択。「European eGovernment Action Plan 2016-2020」にて具体的な実行プロセスを明示しました。
画像出典:European Commission “European eGovernment Action Plan 2016-2020”
ここでポイントとなるのが「データ利活用化」と、それに伴うベース・レジストリ、つまりは「台帳」の管理実現です。各担当組織の中で正確かつ最新に管理するのはもちろん、単に同じデータ項目を持つだけでなく、上述のEIFでもメインテーマとなっている「インターオペラビリティ(相互運用性)」が核となります。情報流通の形式を標準化することで、国をまたぐ場合であっても、同じサービスを迅速に提供できるようにするということです。
なお、EUのデジタル・ガバメント施策では、設定された目標を各種KPIに分解し、欧州36か国間をベンチマークすることで競争し協働させるようなKPIスコアカード「eGovernment Benchmark」も整備されています。また、ヨーロッパ全体のデジタルパフォーマンスについては「The Digital Economy and Society Index」(DESI)も察知されており、デジタル競争力におけるEU加盟国の進化を追跡する複合インデックスとして機能しています。
以上のとおり、EUにおけるデジタル・ガバメント施策は、政策全体が実に整合化されているものと言えます。
中国のDX動向
多国間の競争と協調をベースに展開するEUのデジタル・ガバメント施策とは対照的に、一国で強力にデジタル化を推進しているのが中国政府です。
そもそもの前提として、中国ではモバイルを通じたインターネット網が都市部を中心に広く浸透しており、人々は毎日スマートフォンを通じて何かしらのサービスを享受しています。中国インターネット情報センター(CNNIC)が2020年10月に発表した「第46回中国インターネット発展状況統計報告」によると、中国のインターネット利用者数は2020年6月時点で9億4,000万人に達しており、インターネット普及率は67.0%、そのうちスマートフォンなどのモバイル端末によるネット利用者は9億3,200万人と、インターネット利用者全体の実に99.2%を占めています。
中でもQRコードを活用したキャッシュレスは、大きな店舗から小さな露店まであらゆる決済場所に浸透しており、老若男女がQRコード決済を生活習慣として利用しています。このような背景から、中国では行政サービスのスマホアプリがアリババ等の民間企業のプラットフォーム上に数多く作られており、例えば駐車違反の罰金をアリペイで支払うなどといったことが可能になっています。
またもう一つ、中国の行政DXの側面として語られるのが「社会信用システム」です。これは、個人の所得情報やキャリアなど社会的ステータスに関するデータを政府が一元管理し、その内容や履歴に基づいて全国民をランキング化し、オンライン・オフライン両面でのあらゆる行動に対して「ソーシャルクレジット」という偏差値でスコアリングをすることだと報じられています。データ・ドリブン社会の極みであるとの評価がある一方で、監視社会の代表例としての側面としても語られることの多い施策です。
画像出典:芝麻信用(ジーマ信用のホームページ)
このように、中国の場合は「非常に大きな政府」のリーダーシップのもとで、デジタル・ガバメントの実現を推進しています。
インドのDX動向
ここまでは欧州と中国の取組について見てきましたが、この他にも独自のデジタル・ガバメント施策として有名なものが、インド政府による公共デジタルインフラ「India Stack(以下、インディア・スタック)」です。
画像出典:インディア・スタックのホームページより
インディア・スタックの概要を一言で説明すると、「大きなオープンAPI」の仕組みだと言えます。具体的なプロジェクトの始まりは2009年。当時、インドでは身分証明書さえ持てない国民がおよそ半数を占めており、銀行での口座開設はもちろん、運転免許証すら作ることができない状況でした。農村地域では読み書きができない人も多く、それ故に、政府は、より汎用性と即効性の高いデジタルインフラを整備する必要があると判断するに至りました。
そこで、指紋認識と網膜スキャン技術を活用した生体認証により、国民全員に一意のデジタル識別ID「Aadhaar(アドハー)」を付与するプロジェクトがスタートし、実質的な運用開始が2014年にスタート。そこから2018年には、インド国民12億人がこのAadhaarを取得し、世界最大の公的認証基盤となっています。わずか4年間で12億人にデジタル識別IDを支給したという点が、大きく話題になりました。
アドハーが作られたことで決済などの各種取引のデジタル化が強力に推進され、アドハー利用の認証は毎月10億件を超え、決済は1日で3億件の取引を実現しています。また、これまで身分証明できなかった層が銀行口座の開設や起業をすることまでできるようになり、大規模な金融包摂(ファイナンシャル・インクルージョンエコシステム)を実現していると言えます。
エストニアのDX動向
最後は、単一国家としてのデジタル・ガバメントの取組が世界で最も進んでいる国の一つ、エストニアです。
人口130万人強の小国ではありますが、1991年に旧ソ連から独立した後に行政システムの電子化を一気に進め、1997年には国家戦略として「e-Governance」を推進しはじめました。そして現在では、結婚・離婚・不動産売買を除く全ての行政手続きが電子化されています。主な電子サービス(e-solution)例としては、以下が挙げられます。
- e-cabinet(電子内閣):2000年スタート
- e-tax board(電子税務申告):2000年スタート
- m-parking(モバイルパーキング):2000年スタート
- e-school(電子学校):2002年スタート
- Digital signatuure(電子署名制度):2002年スタート
- e-police system(電子警察制度):2005年スタート
- i-voting(電子投票制度):2005年スタート
- e-notary(電子交渉人制度):2006年スタート
- e-justice(電子裁判制度):2006年スタート
- e-health system(電子医療制度):2008年スタート
- e-prescriptions(電子薬剤処方制度):2010年スタート
- visualised business Register(電子企業登記制度):2011年スタート
- public services green paper(電子公共サービス政策提案書):2013年スタート
- e-residency(エストニア電子市民制度):2014年スタート
- e-reciept(電子領収書):2015年スタート
画像出典:e-Estoniaのホームページトップ。エストニアでは、デジタル・ガバメントによる各種取り組みを総称してe-Estoniaと呼んでいます
これらの運用を可能にしているのが、2001年に稼働開始したデジタル・ ハイウェイ “X-Road”(エックス・ロード)。上述のとおり、投票からパーキングまで様々な領域にまたがって分散したデータを、安全に連携させるべく構築された電子データ共有基盤です。このX-Roadによって、公共セクターと民間セクターそれぞれの異なる情報システム間での大規模データセットの送受信や、複数の行政システムへの書き込みなど、各電子サービスを提供する上でのインターオペラビリティを可能として、2021年1月時点で1100を超える機関とのデータ連携を実現しています。先述したEUによるEIFも、その概念モデルを設計する際にX-Roadを手本の一つにしています。
また、このX-Roadを前提に、国民一人ひとりが安全に電子サービスを享受できるように割り振られたものが、電子身分証明書となるデジタルIDカードです。99%のエストニア国民に普及しているもので、例えば確定申告の95%、法人設立手続きの98%、薬の処方の99%が、それぞれオンライン経由で行われています。
脱はんこやデジタル庁など、日本政府のDXに向けた動き
以上のような諸外国の行政DXの動きに対し、日本に目を向けてみると、最初のIT戦略は2001年にまで遡ります。
日本政府によるIT戦略の経緯
世界各国がITを国家戦略として集中的・優先的に推進している中、日本では取組の遅れが目立っていたことに起因して、2005年までに世界最先端のIT国家となることを目標にIT基盤整備を進めていくという「e-Japan戦略」が、2001年1月に発表されました。
その後、2003年の「e-Japan戦略Ⅱ」、2006年の「IT新改革戦略」を経て、2013年には「世界最先端IT国家創造宣言」が発表され、同年5月の「内閣法等の一部を改正する法律」の成立に伴って内閣情報通信政策監(以下、政府CIO)が設置されることになりました。さらに5年後の2018年には、新たに「世界最先端デジタル国家創造宣言・官民データ活用推進基本計画」(以下、デジタル宣言・官民データ計画)が閣議決定され、ここで今も続くデジタル化の3原則となる「デジタルファースト」「ワンスオンリー」「コネクテッド・ワンストップ」が掲げられました。
社会全体におけるデジタル化推進に関する法律
画像出典:内閣官房IT総合戦略室/デジタル改革関連法案準備室「これまでの経緯とIT基本法の概要」より
同時期に関係法律の整備も着実に進められました。まずは2000年にネットワークの拡充や官民それぞれにおける様々な分野の情報化についての基本的事項を定めた言わば「情報政策における憲法」と位置づけられる「高度情報通信ネットワーク社会形成基本法」(以下、IT基本法)が施行され、。その後、2014年にはサーバーセキュリティ確保のための政策の基本的事項を規定した「サイバーセキュリティ基本法」が、2016年には官民データの活用を推進するための政策の基本事項を規定した「官民データ活用推進基本法」がそれぞれ施行されました。
2019年には、行政のデジタル化に関する基本原則及び行政手続の原則オンライン化のために必要な事項を定めるとともに、行政のデジタル化を推進するための個別分野における各種施策を講ずる「デジタル手続法」(正式名称:情報通信技術の活用による行政手続等に係る関係者の利便性の向上並びに行政運営の簡素化及び効率化を図るための行政手続等における情報通信の技術の利用に関する法律等の一部を改正する法律案)が公布され、先述のデジタル化3原則が基本原則として定められることになりました。
- デジタルファースト:個々の手続・サービスが一貫してデジタルで完結する
- ワンスオンリー:一度提出した情報は、二度提出することを不要とする
- コネクテッド・ワンストップ:民間サービス含め、複数の手続・サービスをワンストップで実現する
デジタル・ガバメント実行計画とは
こうした法律の成立、施行状況を見てみると、行政DXによるデジタル・ガバメントはなにも最近発生した話題なのではなく、2000年代初頭から議論され続けてきたものであることがお分かりいただけるかと思います。具体的に重点施策として掲げられたのは、先述した2018年閣議決定のデジタル宣言・官民データ計画であり、この前年となる2017年5月には「デジタル・ガバメント推進方針」(平成29年5月30日高度情報通信ネットワーク社会推進戦略本部・官民データ活用推進戦略会議決定)が策定され、国民と事業者の利便性向上に重点を置いた、行政のあり方そのものをデジタル前提で見直すデジタル・ガバメントの実現を目指すことが明記されました。
ここで描かれた方向性を具体化したものが、「デジタル・ガバメント実行計画」です。2018年1月に初版が策定され、その後「デジタル手続法」第4条に基づく情報通信技術を利用して行われる手続等に係る国の行政機関等の情報システムの整備に関する計画と一体のものとして、2019年12月20日に閣議決定がなされました。
その後、2020年の新型コロナ感染症の拡大等社会の大きな変化を反映しつつ、デジタル庁の設置を見据え各取組の推進を加速させるため、2020年12月25日に新計画が策定されました。デジタル社会の司令塔となるデジタル庁の下、関係施策を強力に進め、デジタル社会を実現していくことが期待されています。
画像出典:政府CIOポータル「デジタル・ガバメント実行計画 2020年12月25日 改定(閣議決定)概要」
最新のデジタル・ガバメント実行計画では、以下の目標が掲げられています。
「デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会 ~誰一人取り残さない、人に優しいデジタル化~」
これを実現するべく、同計画では以下の項目について、上述の3原則に基づいたデジタル化の推進項目が明記されています。
- サービスデザイン・業務改革(BPR)の徹底
- 国・地方デジタル化指針
- デジタル・ガバメント実現のための基盤の整備(上記指針以外)
- 一元的なプロジェクト管理の強化等
- 行政手続のデジタル化、ワンストップサービス推進等
- デジタルデバイド対策・広報等の実施
- 地方公共団体におけるデジタル・ガバメントの推進
デジタル庁(仮称)の設置
このデジタル・ガバメント実行計画に加えて、先述のIT基本法の抜本改正と併せて検討が進められているのが「デジタル庁(仮称)」の設置です。
2020年12月25日に閣議決定された「デジタル社会の改革に向けた基本方針」において、「オープン・透明」「新たな価値の創造」といった基本の10原則とともにデジタル社会の将来像が掲げられ、IT基本法の見直しやデジタル庁設置についても政府の考え方が示されました。
ここまで見てきたように、行政DXをはじめとする高度情報社会の実現には、データの十分な利活用が必要不可欠な条件となります。これに対し、多様で大量なデータ流通による負の側面が昨今で顕在化しており、悪用・乱用からの被害防止等の重要性が高まっています。
そんな中、2020年以降の新型コロナ対応において国や自治体のデジタル化の遅れが顕著に表れることとなり、それに付随した人材不足や、不十分なシステム連携に伴う行政の非効率もあらわになりました。もちろん、行政のみならず、民間企業等においても然りです。このような背景からIT基本法の全面的な見直しが必要との判断がなされ、それに伴うデジタル庁の設置が待望されることとなりました。政府は、2021年の通常国会へ関係法案を提出すべく準備を進めています。
画像出典:デジタル庁(仮称)創設に向けた人材募集ページより
デジタル庁は、デジタル社会の形成に関する司令塔として、強力な総合調整機能 (勧告権等)を有する組織として組成される予定です。IT基本法においても、各デジタル化施策については内閣官房が総合調整機能を有していたわけですが、各省への勧告権をもっておりませんでした。勧告権を有する組織として、強い実行権限のもとで省庁を横断した施策の実行を可能にすることが、デジタル庁の大きな役割の一つだと言えるでしょう。
具体的には、以下のような項目がデジタル庁の所管になると想定されており、発足時の実人員は約500人、うち民間が100人になるとされています。
- マイナンバー制度の一本化
- 民間のデジタル化支援(政府電子調達システム、GビズID、Jグランツ等)
- 準公共部門(医療・教育・防災)のデジタル化整備計画
- 各種データの利活用(ベース・レジストリや本人認証、官民データ連携ツール等の一元的な企画立案・整備)
ここまでが主に、日本の中央省庁に軸足をおいたデジタル・ガバメントの経緯とアクションとなります。
自治体DX推進計画とは
画像出典:総務省「自治体デジタル・トランスフォーメーション(DX)推進計画の概要」より
これらの動きを前提に、各地方公共団体(以下、自治体)が取組むべきDX推進の内容を定めたものが、2020年12月に発表された「自治体デジタル・トランスフォーメーション(DX)推進計画」(以下、自治体DX推進計画)です。
政府による各種行政DXの施策を、真の形で「誰一人取り残さない、人に優しいデジタル化」として実現するには、住民に身近な行政を担う自治体、とりわけ市区町村の役割が極めて重要となります。自らが担う窓口業務をはじめとする各種行政サービスについて、デジタル技術やデータを活用して住民の利便性を向上させ、また並行して業務効率化を図ることで逓減する人的資源を行政サービスの更なる向上に繋げていくことが、今後の地域運営で求められていくこととなるでしょう。
自治体DX推進計画では、自治体が重点的に取り組むべき具体的な事項や、総務省をはじめとする関係省庁による支援策等が取りまとめられており、以下のような形でまとまっています。
重点取組事項 | 内容 |
①自治体の情報システムの標準化・共通化 | 目標時期を2025年度とし、「(仮称)Gov-Cloud」の活用に向けた検討を踏まえ、基幹系17業務システムについて国の策定する標準仕様に準拠したシステムへ移行 |
②マイナンバーカードの普及促進 | 2022年度末までにほとんどの住民がマイナンバーカードを保有していることを目指し、交付円滑化計画に基づき、申請を促進するとともに交付体制を充実 |
③自治体の行政手続のオンライン化 |
2022年度末を目指して、主に住民がマイナンバーカードを用いて申請を行うことが想定される手続(31手続)について、マイナポータルからマイナンバーカードを用いてオンライン手続を可能に (※子育て(15手続)、介護(11手続)、被災者支援(罹災証明書)、自動車保有(4手続)の計31手続) |
④自治体のAI・RPAの利用推進 | ①、③による業務見直し等を契機に、AI・RPA導入ガイドブックを参考に、AIやRPAを導入・活用を推進 |
⑤テレワークの推進 |
テレワーク導入事例やセキュリティポリシーガイドライン等を参考に、テレワークの導入・活用を推進 ①、③による業務見直し等に合わせ、対象業務を拡大 |
⑥セキュリティ対策の徹底 |
改定セキュリティポリシーガイドラインを踏まえ、適切にセキュリティポリシーの見直しを行い、セキュリティ対策を徹底 |
【自治体DXの取組みとあわせて取り組むべき事項】
取組事項 | 内容 |
①地域社会のデジタル化 | デジタル化によるメリットを享受できる地域社会のデジタル化を集中的に推進 |
②デジタルデバイド対策 |
「デジタル活用支援員」の周知・連携、NPOや地域おこし協力隊等地域の幅広い関係者と連携した地域住民に対するきめ細やかなデジタル活用支援 |
各項目をご覧いただくとお分かりのとおり、自治体のDX推進は国が主導的に役割を果たしていく方針で進んでおり、組織体制の整備やデジタル人材の確保・育成 、都道府県による市区町村支援、そしてそれらを計画的に進めていくことが、自治体に求められています。
なお、この自治体DX推進計画の対象期間は2021年1月から2026年3月までとされており、これに併せて総務省は、国の施策展開を踏まえた業務改革等の標準化の進め方について、「(仮称)自治体DX推進手順書」として2021年夏を目途に提示する予定としています。
行政手続きのデジタル化検討項目
多くの自治体職員が、目に見える形で携わることになる最初の業務DXが、上述の「③自治体の行政手続のオンライン化」だと言えます。
オンライン化とひと言で言っても、単純にワークフローシステムに載せるだけという話ではなく、以下のような観点での情報整理とアクションが必要となるでしょう。
- 現在行われている行政手続の一覧化と整理(押印や署名、本人確認の有無、申請数等)
- 手続ごとの根拠法の確認(最新の法令がオペレーションやフォーマットに反映されているか)
- システム構築にあたっての情報収集(RFIやRFP等)
- 業務内容やオペレーションフローの整理と再構築(不要なオペレーションや処理が存在していないか等)
- 各種セキュリティーの確認
国のガイドラインに沿うという大きな流れがありつつも、細かい運用段階のレイヤーにおいては、各自治体で検討しなければならない項目は多岐にわたることが想定されます。
TRUSTDOCKが提供する本人確認ソリューションも、上述の情報整理やアクション、要件定義等をサポートする体制のもとでご利用いただけます。これについては後述いたします。
情報のデジタル化に付随するプライバシーとアイデンティティの論点
ここまでは中央省庁、そして自治体によるデジタル・ガバメントの推進について述べてきましたが、先述のとおり、その前提として重要となるのが「情報・データの取扱い」です。
情報というものがデジタル信号に置き換わり、空気のように無意識な存在として生活の一部となる社会において、急速に課題認識されているものが、デジタルアイデンティティやプライバシーの問題となります。行政のDXを進める上でも、この領域の議論は不可避だと言えます。
GDPRから考える個人のデータの保護
先ほど諸外国のデジタル・ガバメントトレンドについてお伝えしましたが、その流れに付随して、各国でデータ保護法なるものが次々と立法・施行されています。
例えば欧州によるGDPR(General Data Protection Regulation:一般データ保護規則)は、ここ十数年で一国の経済規模にまで拡大してきたビッグテック各社(GAFAMやBAT等)への対応策であると言え、デジタル社会における個人のアイデンティティやプライバシーのあり方への明確なルール整備を行ったものとして広く認知されています。
具体的には、データ保護機関による刑事的措置を含めた執行が活発になっており、違反すると最大2,000万ユーロ(約23億円)または全世界の年間売上高の4%が制裁金として課されることになります。また、このような莫大な制裁金はもとより、対応しないことによるレピュテーションリスクも増大しているからこそ、各企業は対応に迫られていると言えます。
事業者にとっては一つの規制が増えることになるわけですが、消費者にとっては、自分自身の個人データを簡単に取得して別のサービスに再利用できるという「データポータビリティ権」など、プライバシーにまつわるデータを主権的に管理できるようになります。
現在はこのGDPRを皮切りとして、米国カリフォルニア州の「CCPA」やブラジルの「LGPD」など、GDPRの影響を強く受けた包括的なデータ保護法が次々と立ち上がっている状況です。
DFFT(データ・フリー・フロー・ウィズ・トラスト)とは
画像出典:首相官邸「世界経済フォーラム年次総会 安倍総理スピーチ」より
このようなデータ社会におけるイニシアチブとして、我が国も「DFFT(Data Free Flow with Trust)」と呼ばれる概念を発信しました。これは直訳すると「信頼ある自由なデータ流通」とされ、2019年1月にジュネーブで開催された世界経済フォーラム年次総会(ダボス会議)において、安倍晋三首相(当時)が提唱したものです。
内閣官房のIT政策大綱概要によると、DFFTでは「自由で開かれたデータ流通」と「データの安全・安心」という2点がポイントだとされており、国の競争力の源泉となるデジタルデータを一国のみに閉じた形で運用するのではなく、プライバシーやセキュリティ・知的財産などの安全を担保した上で、原則として自由に流通することが必要だとされています。
以下、安倍前首相がダボス会議で行ったスピーチの一部となります。
「我々自身の個人的データですとか、知的財産を体現したり、国家安全保障上の機密を含んでいたりするデータですとかは、慎重な保護の下に置かれるべきです。しかしその一方、医療や産業、交通やその他最も有益な、非個人的で匿名のデータは、自由に行き来させ、国境をまたげるように、繰り返しましょう、国境など意識しないように、させなくてはなりません。
そこで、私たちがつくり上げるべき体制は、DFFT(データ・フリー・フロー・ウィズ・トラスト)のためのものです。非個人的データについて言っているのは申し上げるまでもありません。第四次産業革命、そして同革命がもたらす、私たちがSociety5.0と呼んでいる社会がメリットを及ぼすのは、私たち個人です。巨大で、資本集約型の産業ではありません。
Society5.0にあっては、もはや資本ではなく、データがあらゆるものを結んで、動かします。」
-首相官邸「世界経済フォーラム年次総会 安倍総理スピーチ」より抜粋
日本社会全体で、サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたSociety5.0社会の実現を推進しているからこそ、DFFTのような拡張性あるデータ社会のビジョンが必要だと言えます。
日本の個人情報保護法
我が国では、2005年から個人情報保護法が全面施行されており、2017年の改正個人情報保護法では独立した個人情報保護委員会が新設され、個人情報等の取扱いに関する監督はもとより、マイナンバー等の特定個人情報の取扱いに関する監視・監督を行っています。
これによって、日本も個人情報保護関連の国際会議に正式に参加することが可能となり、2019年1月にはGDPRの「十分性認定」を受けることができました。
GDPRではEU域内で取得した個人情報をEU域外に持ち出すことを原則として認めていないのですが、欧州委員会が定める「十分性認定」の要件をクリアしている国や地域に限っては、個人情報の持ち出しを認めています。つまり日本も2019年1月以降は、EU域外への個人情報の移転が可能となったわけです。
従前では個人情報を移転するためには企業が個別に契約を結ぶ必要があったのですが、十分性認定によってその手間が省けるようになったため、よりスムーズに経済活動をすることができました。
行政手続におけるオンライン本人確認の手法
以上のようなグローバルトレンドの流れから、デジタル・ガバメントにおける行政手続においてもデータ保護の観点が必要不可欠となります。今回はその中でも、オンラインでの本人確認、つまりはeKYCについてのガイドライン(行政手続におけるオンラインによる本人確認の手法に関するガイドライン)について見ていきます。これは先述した2018年のデジタル・ガバメント実行計画に基づいて、2010年8月に策定された「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」を見直し、各種行政手続をデジタル化する際に必要となるオンライン本人確認に対する考え方と手法をまとめたもの。主な規定範囲としては、以下の3点について言及されています。
- オンライン手続に関わる脅威と、脅威から生じる「リスクの影響度」を導出する手法
- 上記の手法により導出されるリスクの影響度を踏まえ、オンライン手続に求められる認証方式の「保証レベル」を導出する手法
- 上記の手法により導出される認証方式の各保証レベルにて求められる 「対策基準」
オンライン本人確認におけるIALおよびAAL
上記を進めるにあたって前提となるのが、本人確認における「保証レベル」の考え方への理解です。
そもそも本人確認の対象には、私たち人間のことを示す「自然人」と、そうでない事業体のことを示す「法人・人格のない社団又は財団」の二つが存在し、その中でも自然人への本人確認としては、書類によって個人を特定する属性情報を確認する「身元確認」と、その時その場所にいて作業をしているのが本人であることを確認する「当人認証」の2つで成り立っています。
この身元確認と当人認証には、アメリカ国立標準技術研究所(NIST)による電子的認証に関するガイドライン「SP800-63-3」(以下、NIST SP800-63-3)に準拠した保証レベルというものが、それぞれ存在します。前者については「身元保証レベル」(Identity Assurance Level:以下、IAL)、後者については「当人認証保証レベル」(Authenticator Assurance Level:以下、AAL)と呼ばれており、取引目的に応じて身元確認保証および当人認証保証のリスクレベルをアセスメントすることで、認証強度の強弱に関する「ものさし」としての機能を有していると言えます。
上述のガイドラインにおいても、対象となるオンライン行政手続で想定される脅威のリスク評価を想定の上で、それぞれの手続きの認証強度として求められる保証レベルの判定が必要とされています。掲載されているIALおよびAALの内容は以下のとおりです。
画像出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」より
手続オンライン化検討において必要な業務改革(BPR)
現在行われている行政手続きでは、様々な形で本人確認が行われています。例えば個人の行政手続では、住民異動届や婚姻届などといった自治体窓口で対面で行われる手続では、公的身分証の提示と書類番号の記録などが行われていますし、また法人の手続であれば各種補助金の申請関連手続きなどで、申請時に提示が必要な書面の確認が行われています。また、高齢者や障害者の方への助成金や給付金、コロナ禍における特別定額給付金のような臨時的な手続きなどにおける資格確認においても、本人確認が必要となります。
ガイドラインでは、各種手続きのオンライン化に伴う抜本的な見直しの手順として以下の4段階が提示されており、デジタル化による業務改革フローとしての検討が求められる形となります。
- 当該本人の何を確認することを目的としているかの特定(氏名・住所・資格・連絡先等)
- 対象となるオンライン手続で想定される脅威についてのリスク評価
- 対象となるオンライン手続の認証強度として求められる保証レベルの判定
- 各保証レベルにて求められる 対策基準の策定
TRUSTDOCKのeKYCソリューション
TRUSTDOCKでは本人確認の総合パートナーとして、本人確認に関わるプロダクトはもとより、ここまで見てきたようなガイドラインに基づいた運用設計のご相談から、RFI/RFP作成にあたっての本人確認に関する情報提供、SIer各社様へのサービス説明と連携、突合作業等のアウトソースや、本人確認に関する全てをトータルでサポートしています。
例えば、マイナンバーカード に搭載された電子証明書を用いて公的個人認証で本人確認を行う手法は、前述のIAL3またはIAL2として活用できます。TRUSTDOCKでは、金融機関向けソリューションとして、2020年4月1日に施行された改正改正犯罪収益移転防止法における新手法として定義された「ワ」の要件に対応するeKYCソリューションとして提供済みです。
「ワ」とは、顧客のマイナンバーカードにあるICチップをスマートフォンで読み取り、J-LIS(地方公共団体情報システム機構)が提供する公的個人認証サービスを用いることで本人確認を完了する方法のこと。TRUSTDOCKの提供するマートフォンアプリを用いて、マイナンバーカードを読取り、その上で公的個人認証サービスを通じてオンライン本人確認を完了させるという流れになります。
専用デバイスを用意するなど利用ハードルが高い要件ではありますが、TRUSTDOCKのようにスマートフォンでマイナンバーカードが読み取れるアプリであれば、およそ10秒程度で郵送不要のeKYCができるため、マイナンバーカードを持っているユーザーにおいては対応完了までのスピードが最も速い手段となっています。
また、必要とするIALによっては、顧客から写真付き本人確認書類画像と、本人の容貌画像1点のみの送信を受ける方法もあります。
このように、ガイドラインに沿って導出された保証レベル判定の強弱に応じて、担当者の設置なしで様々な本人確認オペレーションを実現することができます。なお、eKYCについてさらに詳しく知りたい場合、下記の記事を参考にしてください。
eKYCとは?オンライン本人確認ソリューションのプロがわかりやすく解説
本人確認のプロとしてのTRUSTDOCK
以上、行政および自治体のDXにおけるメガトレンドの解説でした。産業界におけるDXトレンドから、デジタル庁(仮称)設置に至るまでの経緯と意義、そして自治体におけるDXオペレーションと本人確認における注意点など、体系的にご理解いただけたのではないでしょうか。
TRUSTDOCKでは、“本人確認のプロ”として企業のKYC関連業務をワンストップで支援するAPIソリューションを提供し、またデジタル身分証のプラットフォーマーとして様々な事業者と連携しております。
これまで行政や関連協会と連携し、また様々な業界団体や行政ワーキンググループの主要メンバーとして参画して適切な本人確認業務を行う取り組みを進めてきたからこそ、企業・自治体およびユーザーの双方の観点からのサービス設計となっています。KYCおよび行政DX等でお困りの際は、ぜひお気軽にお問い合わせください。
また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子「eKYC導入検討担当者のためのチェックリスト」を提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計12個のポイントにまとめていますので、こちらもぜひご活用ください。
なお、KYCの詳細については、以下の記事も併せてご覧ください。
KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説
(文・長岡武司)