03-5759-0355
平日9:00〜18:00
資料請求
お問い合わせ

icon-facebook-bicon-twitter-b

公的個人認証サービスとは?「ICチップ読み取り型eKYC」が主流になるミライに向けたトレンドを解説

法/規制解説

更新日: 2021/06/22

目次

     日々進化・多様化し続けるインターネットサービスは、私たちの生活に圧倒的な利便性をもたらしてきた一方で、情報セキュリティにまつわるリスクを高めている存在であるとも言えます。例えば名前や生年月日、クレジットカード情報など、個人に紐つく情報の提供を求めるサービスの場合、不正アクセスなどによる情報漏洩や意図しない改ざんなどのリスクはつきもの。ここ数ヶ月以内のニュースを眺めてみても、個人情報漏洩にまつわる事件が何件も発生しているのではないでしょうか。

     そのような情報セキュリティリスクの背景から、公的機関より提供されているのが「公的個人認証サービス」です。マイナンバーカードの登場に付随して、その存在を認知した方も多いのではないでしょうか。

     今回は、この公的個人認証サービスの内容や具体的利用方法、その前提となる電子証明書の仕組み、昨今で注目度が高まるeKYCソリューションとの比較とメリット・デメリット等について、それぞれ解説していきます。

    電子証明書とは

    jpki01

     公的個人認証サービスが何かを理解するためには、まずは「電子証明書」というものを理解する必要があります。

     電子証明書とは、信頼できる第三者が、その人が間違いなく本人だということを電子的に証明するもので、従来からの書面取引における“印鑑証明書”に代わるものという位置づけになります。電子証明書には様々な種類がありますが、いずれにおいても情報として保持されているのが、印鑑証明書の印影にあたる「公開鍵」(※)情報と、証明書の発行元となる「認証局」情報です。

    ※電子契約は、「公開鍵」と「秘密鍵」の2つを使って暗号化等を行う「公開鍵暗号方式」という技術を使っており、公開鍵と本人を結びつけることで、電子証明書の所有者認証や法的根拠の付与等を行っています

    認証局とは

     耳慣れない「認証局(CA:Certification Authority)」という言葉ですが、その役割をひと言で表現すると、電子証明書の発行と失効を行う機関となります。具体的には、信頼できる第三者機関に、先述した公開鍵の所有者を保証してもらう方法で、認証局は公開鍵の所有者の本人性をなんらかの方法で確認したうえで、保証書となる証明書を発行することになります。

     この第三者機関には公的な機関と民間企業のような私的な機関の2種類があり、前者についてはパブリック認証局、後者についてはプライベート認証局と呼ばれています。マイナンバーカードの中にある証明書の認証局は、J-LIS(地方公共団体情報システム機構)と呼ばれるパブリック認証局が担っています。

    マイナンバーカードに記録されている2種類の電子証明書

    jpki02画像:総務省「公的個人認証サービスによる電子証明書(民間事業者向け)」より

     では、実際の電子証明書の種類を見ていきましょう。ここでは、マイナンバーカード に記録されている2種類の電子証明書として、「署名用電子証明書」と「利用者証明用電子証明書」をご紹介します。

    署名用電子証明書とは

     署名用電子証明書とは、マイナンバーカードを使ってインターネット等で電子文書を作成・送信する時に、文書が改ざんされていないかどうか等を確認することができる電子証明書です。具体的には、e-Tax等の電子申請で利用することができます。

     署名用電子証明書を利用することで、「作成・送信した電子文書が、利用者が作成した真正なものであり、利用者が送信したものであること」を証明することができます。

    利用者証明用電子証明書とは

     利用者証明用電子証明書とは、マイナンバーカードを使って、Webサイトやコンビニ等のキオスク端末等にログインする時に、利用者本人であることを証明する電子証明書です。具体的には、マイナポータルへのログインや、コンビニ公布サービス(コンビニで公的証明書を受け取ることができるサービス)で利用することができます。

     利用者証明用電子証明書を利用することで、「ログインした者が、利用者本人であること」を証明することができます。

     以上、2つの電子証明書の証明書情報や発行対象、失効条件をまとめたものが、以下の表となります。

      署名用電子証明書 利用者証明用電子証明書
    証明書情報 基本4情報(氏名、住所、性別及び生年月日)、シリアル番号、有効期限等が記録される 基本4情報は記録されないが、シリアル番号、有効期限等が記録される
    発行対象 マイナンバーカードを取得するうち、15歳以上の方に発行される マイナンバーカードを取得する全ての方に発行される
    電子証明書の失効 基本4情報の変更があった場合には失効する 基本4情報の変更等があっても失効しない

    「電子証明書」と「電子署名」の違い

     ここで、電子証明書と混同されがちな「電子署名」についてもお伝えします。

     電子証明書が先ほどお伝えした通り、書面手続きでいう印鑑証明書であるとすれば、電子署名は、書面手続きでいう「捺印」のことを示します。つまり、電子署名が電子文書の正当性を証明するものであるのに対して、電子証明書は電子署名そのものの正当性を証明するものだと言えます。また、電子証明書が認証局等の第三者によって認証されるのに対して、電子署名はあくまで、電子文書を作成した本人により証明されるものとなります。

     両者は名称こそにていますが、役割のレイヤーがそもそも異なるものであることを理解しましょう。

    公的個人認証サービスとは

    jpki03

     ここまで見てきた電子証明書の仕組みを前提に提供されているものが、「公的個人認証サービス(JPKI:Japanese Public Key Infrastructure)」です。

     公的個人認証サービスとは、マイナンバーカード等に搭載された電子証明書を用いて、ネット上におけるなりすましや改竄を防ぎ、インターネットを通じて安全・確実な手続きを行えるための機能のことを示します。

    2004年1月より提供開始された公的個人認証サービス

     サービス自体は、2002年に「電子署名に係る地方公共団体の認証業務に関する法律(通称:公的個人認証法)」が公布されたことで、2004年1月29日より、先述した地方公共団体情報システム機構(以下、J-LIS)から提供開始されました。

     「あれ?マイナンバーカードが発行されていない時から提供されていたの?」と思われるかもしれませんが、公的個人認証サービスはなにもマイナンバーカードのみに対応したものではありません。マイナンバーカード以前は、電子証明書を記録するためのICカードや、CD等に格納されていましたし、現在でも電子証明書有効期限内の住民基本台帳カードを利用することができます。もちろん、当時はカードの読み込みを行う場合、専用のICカードリーダライタが必要でした。

    公的個人認証サービスの民間利用とは

     この公的個人認証サービスは、当初は行政機関等に限られていましたが、公的個人認証法の改正を受けて、2016年1月より民間事業者でも、公的個人認証法 第17条第1項第6号の規定に基づく総務大臣認定事業者であれば、「署名検証者」および「利用者証明検証者」として、公的個人認証サービスを利活用できるようになりました。つまり、検証者の範囲を、行政機関等だけでなく民間事業者へと拡大されたのです。

     民間事業者による公的個人認証サービスの活用事例としては、オンラインでの本人確認サービス提供をはじめ、住宅ローンのオンライン契約、携帯電話のレンタル契約、流通業における電子契約、オンラインでの証券口座開設など、様々なものが挙げられます。

     なお、この公的個人認証サービスの民間利用については、以下の「本人確認/eKYC・デジタルID・契約締結 関連カオスマップ2021」でも表現されているので、併せてご確認ください。

    caosmap_main「本人確認/eKYC・デジタルID・契約締結 関連カオスマップ2021」を公開します

    公的個人認証サービスの使い方

     公的個人認証サービスの具体的な使い方としては、一般的には以下の5ステップであると、総務省発行のガイドラインに記載されています。

     

    1. サービスの利用を希望する者は、機構に対し電子証明書の発行申請を行う。
    2. 機構は、申請者に対して電子証明書を発行する。申請者は、各市町村窓口(市役所等)にて、発行された電子証明書を利用するためのパスワードを設定し、個人番号カードに記録された形で電子証明書を受領する。
    3. 発行を受けた者は、オンライン申請、Web システムのログイン時等に、個人番号カー ド(IC カード)をICカードリーダライタにセットし、電子証明書を利用するためのパスワードを入力する。
    4. 発行を受けた者は、電子証明書、申請書等のデータを民間事業者等に送信する。
    5. 民間事業者等は、機構から提供される電子証明書の失効情報等を用いて、電子証明書及び受領したデータの有効性の検証を行う。

    jpki04-引用:総務省「公的個人認証サービス利用のための民間事業者向けガイドライン

     

     ただし上図の3番〜4番にかけての処理は、後述のTRUSTDOCKのように、スマートフォンのNFC(近距離無線通信)を使ってマイナンバーカードをアプリで読み取るようにすることもできるので、ICカードリーダライタを使わず公的個人認証サービスを活用することができるようになってきています。

    犯罪収益移転防止法「ワ」の要件が民間利用をあと押し

     先述した公的個人認証サービスの民間利用の中で、最も多い活用事例カテゴリが、オンラインでの本人確認サービス、すなわちeKYCの提供です(2021年5月31日時点の公的個人認証サービスの民間利用一覧より)。その要因としては、犯罪収益移転防止法の施行規則における「ワ」の要件の存在が挙げられます。

     犯罪収益移転防止法(以下、犯収法)とは、正式には「犯罪による収益の移転防止に関する法律」のことを示し、金融機関等の取引時確認や取引記録等の保存、疑わしい取引の届出義務など、AML/CFT(マネーロンダリング及びテロ資金供与対策)のための規制を定めるべく、2007年3月に成立・公布された法律です。

     この犯収法において、公的個人認証サービスを活用する手法が、施行規則 第六条の「ワ」の要件として明記されているのです。

    当該顧客等から、電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成十四年法律第百五十三号。以下この号において「公的個人認証法」という。)第三条第六項の規定に基づき地方公共団体情報システム機構が発行した署名用電子証明書及び当該署名用電子証明書により確認される公的個人認証法第二条第一項に規定する電子署名が行われた特定取引等に関する情報の送信を受ける方法(特定事業者が公的個人認証法第十七条第四項に規定する署名検証者である場合に限る。)

    https://elaws.e-gov.go.jp/document?lawid=420M60000f5a001

     ちなみに、2018年11月の法改正によって、従来より規定されていた郵便を送るというプロセスが不要になり、新たに個人身元確認業務において、これまでは不要だった提出者の容貌要望確認などの当人確認要件が追加されることになりました。これによりeKYCそのものへの注目度も一気に高まることになりました。

     なお、犯罪収益移転防止法の詳細については、以下の記事で詳しく解説しているので、併せてご覧ください。

    犯収法(犯罪収益移転防止法)とは?各専門用語の意味や注意点から、定義されているeKYC手法まで詳しく解説

    TRUSTDOCKの公的個人認証対応について

    jpki05

     ここからは、TRUSTDOCKによる公的個人認証対応について、具体的にご紹介します。

     公的個人認証を使った本人確認では、利用者のクライアントソフトおよびICカードリーダライタ、もしくは読み取り対応スマートフォンアプリを通じて、マイナンバーカード内で電子署名を行い、その上で公的個人認証サービスを通じてオンライン本人確認を完了させるという流れになります。

     カードリーダライタを使うとなるとそのデバイスを用意する必要があるので、一般利用者にはハードルの高い手法となるわけですが、TRUSTDOCKではマイナンバーカードに埋め込まれているICチップ情報を読み取れるアプリを提供しているので、NFC対応スマートフォンを持っている人であれば、ICカードリーダライタを用意しなくても、誰でも公的個人認証サービスを使った本人確認を行うことができます。

     ステップとしては、以下の4段階のみ。約50〜60秒で結果返却をし、またフルデジタル化が可能なため、本人確認業務の負担軽減が可能だと言えます。動画と併せてご覧ください。

    jpki06

    他要件との比較によるメリット・デメリット

     この公的個人認証の要件によるeKYCを導入することのメリットとデメリットについて、「ホ」の要件との比較を示した表が以下となります。

      メリット デメリット 審査時間
    eKYC「ホ」

    ・マイナンバーカード以外の身分証の取り扱いが可能

    ・NFC対応のスマホ端末でなくとも利用可能

    ・24時間364日運用のオペレーションが必要

    ・ユーザ入力情報の不一致による否認が多い

    ・精巧な偽造への対処が困難

    ・ユーザーによってはオペレーションが煩雑

    最短5分〜3時間

    (TRUSTDOCK実績)

    公的個人認証

    ・フルデジタル化が可能なため、人件費などのコストが掛からない

    ・スピードが早い

    ・偽造による被害の可能性が低い

    ・ユーザーのオペレーションがシンプルで分かりやすい

    ・UX(ユーザー体験)が新しい

    ・マイナンバーカードのみの対応

    ・NFC対応のスマホ端末でないと利用不可

    最短50秒〜60秒

     

     「ホ」とは、顧客から写真付き本人確認書類画像と、本人の容貌画像の送信を受ける方法のことで、犯収法において最もスタンダードな本人確認要件となります。

    今後主流になっていくICチップ読み取り型eKYC

     今回は、公的個人認証サービスとは何かというテーマで、その内容や具体的利用方法、前提となる電子証明書の仕組み、昨今で注目度が高まるeKYCソリューションとの比較とメリット・デメリット等について、それぞれ解説しました。

     マイナンバーカードは政府の積極的な後押しが奏功し、普及率がどんどんと高まっている状況です。それに付随して、行政やデジタル庁も、公的個人認証を推奨しています。

     物理的なカードについては、その表面の内容を精巧に偽造する技術が免高まってきているからこそ、画像チェックではなく、ICチップの読み取りによるeKYCの方が、今後の主流になっていくことが考えられます。

     TRUSTDOCKでは、“本人確認のプロ”として、日本で唯一eKYC全手法に対応可能な専門機関となっています。

    jpki07

     日々、様々な企業の本人確認関連業務をワンストップで支援するAPIソリューションおよびデジタル身分証を提供しており、また、関係省庁や関連団体との連携も深め、金融庁には業務内容の確認を、経済産業省とはRegTechについての意見交換を、さらに総務省のIoTサービス創 出支援事業においては本人確認業務の委託先として採択され、警察庁には犯収法準拠のeKYCの紹介等をといった取り組みも行っています。

     本人確認業務のオンライン化や、公的個人認証サービスの活用でお困りの際は、ぜひお気軽にお問い合わせください。

     また、KYCおよびeKYCについてより深く確認されたい場合は、以下の記事も併せてご覧ください。

    eKYCとは?オンライン本人確認ソリューションのプロがわかりやすく解説

    KYCとは?あらゆる業界に求められる「本人確認手続き」の最新情報を徹底解説

     

    (文・長岡武司)

     

    自由な組み合わせで
    最適な設計を実現できます
    KYCに特化したプロ集団に、まずはご相談ください

    サービス資料ダウンロード お問い合わせ