自治体のなりすまし対策、十分ですか?マイナンバーカードを活用した最新のeKYC手法を解説

イベント/セミナーレポート

更新日: 2024/11/20

目次

     2024年10月9日〜10日にかけて、地方公共団体情報システム機構(J-LIS)が主催する「地方自治情報化推進フェア2024」が、幕張メッセにて開催されました。こちらは主に自治体DXの推進を目的に企画されたもので、当日は行政サービスの高度化や地域の課題解決における積極的なICTの活用方法等における有識者等がセッション登壇した他、多くの自治体×デジタル領域のブースが出展しました。

    jlis2024_01

     TRUSTDOCKも本イベントに参加し、ブースを出展した他、「マイナンバーカードのなりすまし対策は十分ですか?〜民間企業実例から見る、本人確認手法の最前線~」と題されたセッションを開催。当日は、KYC事業部 セールスグループ マネージャーの小野 大地より発表がなされました。

    本人確認で重要な「保証レベル」の考え方

    jlis2024_02小野 大地(株式会社TRUSTDOCK KYC事業部 セールスグループ マネージャー)

     行政手続きにおける本人確認については、2010年8月に策定された「オンライン手続におけるリスク評価及び電子署名・認証ガイドライン」を見直した上で、各種行政手続をデジタル化する際に必要となるオンライン本人確認に対する考え方と手法をまとめた「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」が参照すべき内容として挙げられ、そこでは以下のようなフローが掲示されています。

    jlis2024_03出典:各府省情報化統括責任者(CIO)連絡会議決定「行政手続におけるオンラインによる本人確認の手法に関するガイドライン

     

     ここで記載されている「保証レベル」とは、具体的には以下の「身元確認」と「当人認証」における強度のことを指します。

    aboutekyc14

     上図は、NIST(アメリカ国立標準技術研究所)によって定義されているデジタルアイデンティティフレームワーク(NIST SP 800-63)の考え方をまとめたもので、身元確認に対しては「IAL(Identity Assurance Level:身元確認保証レベル)」が、当人認証に対しては「AAL(Authentecation Assurance Level:当人認証保証レベル)」がそれぞれ定義されています。いずれも3段階のレベル分けがなされており、本人確認全体の強度は、このIALとAALの組み合わせで決まるという考え方になります。

    「ガイドラインでは、オンラインでの本人確認が必要となった行政手続きにおいて、オンラインによる本人確認に必要な保証レベルの判定を実施し、選択したレベルに対応する本人確認の手法を使う必要があるとされています。ここで、最近注目されているのが、マイナンバーカードを利用した公的個人認証サービスによる本人確認の実施です」

    今後主流になるであろう公的個人認証サービス

     公的個人認証サービスとは、マイナンバーカード等に搭載された電子証明書を用いて、インターネットを通じて安全・確実な手続きを行えるための機能のことを示します。2004年1月29日よりJ-LISから提供が開始されたもので、当初は行政機関等に限られていましたが、公的個人認証法の改正を受けて、2016年1月より民間事業者でも、公的個人認証法 第17条第1項第6号の規定に基づく総務大臣認定事業者であれば、「署名検証者」および「利用者証明検証者」として、公的個人認証サービスを利活用できるようになりました。

     なぜ今、公的個人認証サービスが注目されているのかと言うと、昨今急増する金融犯罪に伴う“なりすまし”等の多発が挙げられます。コロナ禍以降で行政手続きのオンライン化が急速に進んだことで、各業務の効率化と住民への利便性の向上が目覚ましいわけですが、一方でオンライン申請の穴を狙ったなりすましによる給付金詐欺の犯罪や、マイナンバーカード偽造の集団犯罪など刑事事件も各所で起こっているのです。

     警察庁発表のデータによると、特殊詐欺の被害は1日あたり1.1億円の被害が発生するなど深刻な状況であり、例えば2024年2月末では、昨年同期に比較して件数面では約20%減少したものの、被害額は2%増加しています。

    reusetech2025_02出典:身分証偽造の実態(警察庁「本人確認書類の偽変造等の実態」)

     

     これまでのオンライン本人確認では、本人の容貌と本人確認書類の画像を送付する手法(犯罪収益移転防止法における「ホ」方式)が主流でしたが、先述した偽造リスク等への耐性が相対的に低いことから、2023年6月に閣議決定された「デジタル社会の実現に向けた重点計画」において、今後の犯罪収益移転防止法等に基づく本人確認手法をマイナンバーカードの公的個人認証サービスに「原則一本化」するとの内容が盛り込まれました。以下は、現状で最も多く選択されている手法の「ホ」方式と、今後増えるであろう公的個人認証サービス(犯罪収益移転防止法における「ワ」方式)の比較表です。

     

    犯罪収益移転防止法上の「ワ」方式

    犯罪収益移転防止法上の「ホ」方式

    手法の概要

    ICチップの電子証明書を利用

    身分証と容貌の撮影

    対応する

    本人確認書類

    マイナンバーカードのみ

    写真付き身分証明証:7点

    (運転免許証・運転経歴証明書・マイナンバーカード・在留カード・住基カード・特別永住者証明書・パスポート)

    顧客の所要時間

    (TRUSTDOCKサービスを使う場合)

    約20秒

    約60秒

    審査時間

    (TRUSTDOCKサービスを使う場合)

    即時

    数分〜数日

    (目視確認のため)

    同じICチップ読み取りでも、運転免許証とマイナンバーカードは違う

     本人確認で公的個人認証サービスを使うことについては、以下のようなメリットが挙げられます。

    • ICチップによる電子証明書のため偽造がしにくい
    • 券面や容貌の撮影をする必要がなく、ミスが起きにくい
    • 本人確認にかかる業務コストの削減
    • 容貌(セルフィー)がないため、心理的ハードルが低い
    • 撮影方式より、 eKYCをする時間が短い
    • 公開鍵暗号方式によるセキュリティの強化

    jlis2024_05

    「ICチップは偽造を目的にした不正行為に対する耐タンパー性を持っているので、改ざんされたことが明らかに分かる仕組みになっており、本人確認手法としてかなり強度の高いものになっています」

     ちなみに、ICチップ読み取りを使う手法として、犯罪収益移転防止法上の「ヘ」方式もありますが、同じ読み取りであっても、公的個人認証サービスとは仕組みが異なり、それ故に本人確認強度も異なってきます。

    reusetech2025_06

    「ICチップの検証方法には大きく2つあります。途中まではへ方式もワ方式も一緒なのですが、へ方式では検証されるICチップ内の署名すら改ざんされるリスクがあります。一方で公的個人認証サービスでは、署名の検証時にJ-LISへの署名の確認を都度入れることになります。J-LISのデータベースを改ざんするのは非常に困難で現実的に無理なので、そのような背景からも公的個人認証サービスの利用が進んでいると言えます」

    「公的個人認証サービス+顔認証」の組み合わせが理想

    jlis2024_06

     これに対してTRUSTDOCKでは、マイナンバーカードによる公的個人認証サービス利用に加えて顔認証も実施するという組み合わせでのサービス提供を予定しています。

    「例えば私・小野大地に代わって、私の奥さんが私のマイナンバーカードを使って公的個人認証サービスだけを使って本人確認をしようとすると、できてしまいます。スマホに私に関する正しい情報を入力して、カードを読み込ませれば、それで正しい情報として通ってしまうからです。では、カードの所有者と実際の申請者はどうやって突合確認するのか。このような背景から、TRUSTDOCKではICチップ内の顔画像(白黒)とその場で撮影した本人の写真を比較・自動判定し、一致率を返却することで、ICチップの読み取り実施者が本人であることを確認しています。我々としては、この方法が日本国内においては今のところ最も強度の高い本人確認手法と考えております」

     

     なお、TRUSTDOCKの公的個人認証サービスを使った手法は、現在多くの行政領域で活用されています。例えば福岡市では、公共施設案内・予約システムにおいて利用者登録申請のオンライン化に向けてTRUSTDOCKのシステムが導入され、新規登録の期間が大幅に短縮され(1カ月程度→1週間程度)、また利便性の向上によって登録申請数も大幅に増加(200件/月→800件/月)しています。

    jlis2024_07

    「ここまでお伝えしましたとおり、身分証撮影+目視確認では不正を防ぐのが現実的に困難になってきています。本人確認領域は新時代へと突入しており、これからはマイナンバーカード等、ICチップによる本人確認対応が必須になります。また、法律上不要でも、リスクヘッジのための本人確認は重要だと考えています。ぜひ、マイナンバーカードファースト、ICチップ読取ファーストの視点で、本人確認を見直されてみてください」

    ---

     TRUSTDOCKでは、“本人確認のプロ”として、行政機関をはじめ、様々な企業のKYC関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しています。また、本人確認業務に関して関係省庁や関連団体との連携も深めており、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。本人確認業務のオンライン化でお困りの際は、ぜひお気軽にお問い合わせください。

    aboutekyc65

     

     また、eKYCソリューションの導入を検討されている企業の方々や、実際に導入プロジェクトを担当されている方々のために、TRUSTDOCKではPDF冊子eKYC導入検討担当者のためのチェックリストを提供しております。eKYC導入までの検討フローや、運用設計を行う上で重要な検討項目等を、計10個のポイントにまとめていますので、こちらもぜひご活用ください。

    eKYC導入検討担当者のためのチェックリスト

     

    (文・長岡武司)

    自由な組み合わせで
    最適な設計を実現できます
    KYCに特化したプロ集団に、まずはご相談ください

    サービス資料ダウンロード お問い合わせ