デジタル庁によるデジタル認証アプリを徹底解説【本当に安全?】

6/24にデジタル庁が「デジタル認証アプリ」をリリースしました。
マイナンバーカードを使った認証や署名を行うためのアプリとなるようです。

本サービスは、行政機関はもちろん民間事業者も利用することができます。デジタル認証アプリと連携するためのAPIをデジタル庁が提供しており、民間事業者もそのAPIを活用することで本人確認・認証や署名機能を自社サービスに組み込むことができます。

この記事では、デジタル認証アプリを

  • デジタル認証アプリの概要
  • デジタル認証アプリの技術的仕様
  • デジタル認証アプリが社会にもたらす影響
  • デジタル認証アプリは安心して利用できるものなのか

という流れで徹底解説します。

デジタル認証アプリの概要

デジタル庁がリリースした「デジタル認証アプリ」は、マイナンバーカードのICチップを利用して、オンラインでの本人確認を容易にするアプリです。このアプリは、政府や地方自治体、民間のサービス全体での本人確認手続きにおいて統一的に利用できるようにすることを目指しているようです。

具体的な機能としては、スマートフォンにマイナンバーカードをタッチすることで、行政サービスの利用や金融機関での口座開設、各種アカウントの作成時に本人確認ができるようになります。これにより、従来の本人確認書類やコピーの提出が不要となり、手続きが簡素化されます​。

さらに、このアプリはAPIとしても提供されるため、様々な民間サービスのアプリに組み込むことが可能です。これにより、アプリを開発する際のコストを削減し、マイナンバーカードの利用拡大を促進します。

デジタル認証アプリは、特に本人確認の重要性が高い場面(銀行口座開設、チケット販売、SNS登録など)での利用が期待されており、詐欺や転売の防止にも寄与する見込みです。

◆参考
https://services.digital.go.jp/auth-and-sign/
https://www.digital.go.jp/news/f0d122a1-0608-4e99-b6c6-59461900ca0a

デジタル認証アプリの技術的仕様

デジタル認証アプリは、マイナンバーカードのICチップを利用して、スマートフォンを通じた本人確認を行います。アプリはiOSとAndroidの両方に対応しており、多くのスマートフォンを使って本人確認が可能です。

デジタル認証アプリには、マイナンバーカードをベースとしたID連携機能、および基本四情報を連携する機能も備わっています。
ID連携機能はOpenID ConnectやOAuth 2.0という技術標準に従って実装されています。

https://services.digital.go.jp/auth-and-sign/business/より
https://services.digital.go.jp/auth-and-sign/business/より

◆参考
https://developers.digital.go.jp/documents/auth-and-sign/implement-guideline/
https://developers.digital.go.jp/documents/auth-and-sign/authserver/

デジタル認証アプリが社会にもたらす影響

デジタル認証アプリによって、本人確認にかかるコストが大幅に削減され、より安全なデジタル社会が形成されると予想されます。

これまで本人確認を行う際には、自社で事務センターを構えたり、外部のプロバイダーと契約して確認業務を外部委託する必要がありました。
デジタル庁のデジタル認証サービスは無料で提供されるため、本人確認のプロセスを導入するためのコストが下がり、より多くのサービスが本人確認を実施しやすくなると見込まれます。

また本人確認の安全性が高まることも期待されます。

これまで、日本では「画像解析型」といわれる本人確認方式(証明証のコピーを送付する、証明証とユーザーのセルフィー写真を送ってもらうなど)が広く普及していました。昨今、ディープフェイクの高度化や3Dプリンターの高精度化により、これらの方式は偽装リスクが高まっています。

このリスクへの対応として、マイナンバーカードや運転免許証のICチップ情報を活用して、電子的に検証が行える本人確認方式への移行が呼びかけられています。
今回デジタル認証サービスがリリースされたことで、マイナンバーカードを活用した本人確認がより導入しやすくなり、結果としてこれまでよりも安全な方式で行われる本人確認の割合が高まっていくことでしょう。

デジタル認証アプリは安心して利用できるものなのか

デジタル認証アプリのプライバシーポリシーには以下の記載があります。

(2) デジタル認証アプリサービスは、行政機関等又は民間事業者の依頼を受け、マイナンバーカードの読み取り等又は検証等を行い、当該読み取り等又は当該検証等に係る情報を当該行政機関等又は当該民間事業者(以下「委託者」という。)に連携するに当たり、利用者証明用電子証明書のシリアル番号、委託者、依頼に係るサービス、検証等の結果又は検証等若しくは連携等の日時を記録します。保有する当該記録は、デジタル認証アプリサービスの運用のために必要がある場合のみ利用します。

デジタル認証アプリを介して外部サービスへの本人確認が行われた際に、どのようなサービスに連携したかは記録されるようです。

ここでいう「利用者証明用電子証明書のシリアル番号」は、電子証明書を識別するためのIDであり、証明書は個人に一対一で交付されるため、実質このシリアル番号と個人は一対一で結びつきます。ただしマイナンバーとは関連がなく、あくまでマイナンバーカードに格納される証明書データと関係を持つという関係性になります。

またプライバシーポリシーには、基本4情報等のデータ連携を行った後に、デジタル庁が最大一時間それらの情報を一時的に保持することも記載されています。

「デジタル認証アプリ」のサービス提供に必要な個人に関する情報として、デジタル庁は、「電子証明書のシリアル番号」を保有しますが、氏名や住所等をはじめ、その他の個人に関する情報は保存しません。(デジタル庁は、行政機関等及び民間事業者から依頼を受けて署名API又は4情報連携機能を提供する場合は、氏名等の4情報を一時的に保持しますが、1時間以内に必要な処理を行った後、デジタル認証アプリサーバから削除します。)

結論として、デジタル認証アプリは安心するに値するアプリだと言えます。各種最新の技術仕様に則って構築され、運用ルールも厳格に定められ、かつそれらの情報を透明性持って開示しているためです。

デジタル庁のAPIを利用して本人確認を行うサービスも、事前にデジタル庁から認可を受ける必要があるようです。

Qデジタル認証アプリサービスAPIへの利用条件、申込手続きはどのようになりますか。

Aまずはフォームからお問合せください。今後の手続きの流れは以下の通りです。

  1. 本サイトから利用の申込
  2. 事前準備契約の締結
  3. テスト環境の提供・テスト
  4. 本契約の締結
  5. 本番環境の提供・テスト
https://services.digital.go.jp/auth-and-sign/business-faq/

このようにAPI等を利用する事業者もルールを順守する必要があるため、ユーザーは安心して本サービスを利用できるのではないでしょうか。

当社が提供する「第二のマイナンバーカード」

各種契約における本人確認方式を公的個人認証のみにする施策、保険証や運転免許証のマイナンバーカード統合など、複数の領域でマイナンバーカードへの一本化が進んでいます。
しかし、マイナンバーカードを取得する予定がない方や、あらゆる生活シーンでマイナンバーカードを利用することに不安を感じる方も少なくありません。

当社はマイナンバーカードに次ぐ「二つ目の選択肢」が必要だと考え、民間主導のデジタルIDサービスを開発しています。
サービスページを公開しておりますので、ぜひご覧いただけますと幸いです。

★サービスページ★

本サービスが必要だと当社が考えている理由の詳細や、プロダクトの概要は以下の記事で詳しく解説しております。併せてご覧ください。

マイナ保険証の笑える話(笑ってはいけない) - Recept(リセプト)

マイナ保険証について調べてたら面白かったので記事に残す。 マイナ保険証とは マイナ保険証とは「健康保険証の情報