株式会社ショーケースが提供するオンライン本人確認(eKYC)サービス「ProTech ID Checker」では公的個人認証サービス機能を搭載しています。

現在マイナンバーカードの保有枚数は9,534万枚となっており、運転免許証の保有枚数(令和5年時点で8,186万枚)を超え、2024年11月末時点で、人口に対するマイナンバーカードの保有枚数率は国民の3分の2以上となっています。

マイナンバーカードの普及や利用拡大に向けた取り組みが政府によって推進されており、マイナンバーカードが国民にとってより便利なものになってきています。

同時にマイナンバーカードを活用したオンライン上での本人確認をする手段として「公的個人認証サービス」が活用されているケースも少しずつ増えてきています。

今回はマイナンバーカードを利用した「公的個人認証サービス(JPKI)」とはどんなサービスなのか、どんなメリット・デメリットがあるのか、どのような活用シーンがあるのか解説します。

（総務省「マイナンバーカード交付状況について」より）

公的個人認証サービス(JPKI)とは？

公的個人認証サービスとは、マイナンバーカードのICチップに搭載された電子証明書を利用して、オンライン上で利用者本人の認証を公的に行うための安全・確実なオンライン本人確認サービスです。

電子証明書とは、信頼できる第三者（認証局）が間違いなく本人であることを電子的に証明するものであり、書面取引における印鑑証明書に代わるものといえます。

また「JPKI」とはJapanese Public Key Infrastructureの頭文字を取った略称となります。

電子証明書とは？

マイナンバーカードには「署名用電子証明書」と「利用者証明用電子証明書」という2つの電子証明書が標準搭載されています。

電子証明書は、市町村が管理する「住民票」に基づき、市町村での対面による厳格な本人確認を経て発行することができるものです。

公的個人認証サービス(JPKI)の仕組み

次に、公的個人認証サービスを利用して、オンライン上で本人確認を行う仕組みをご説明します。

公的個人認証サービスを使ったオンライン本人確認では、マイナンバーカードのICチップに搭載された電子証明書のうち「署名用電子証明書」を利用します。

電子証明書の発行者であるJ-LIS（地方公共団体情報システム機構）が信頼性の基点となり、その有効性を証明します。

流れとしてはまず、エンドユーザーがマイナンバーカードと署名用電子証明書パスワード使い、電子証明書を送信します。

次に事業主はエンドユーザーの電子証明書の有効性をJ-LIS（地方公共団体情報システム機構）に確認します。

J-LISは送信されたエンドユーザーの電子証明書と失効情報を照会し有効性を確認します。最後に事業主はJ-LISの結果を基に本人確認を行います。

公的個人認証サービス(JPKI)の安全性

公的個人認証サービスは「公開鍵暗号方式」という暗号技術を使用し、通信の安全性を確保しています。

「公開鍵暗号方式」は、暗号化と復号で異なる2つの鍵（秘密鍵・公開鍵）を使用する方式です。

片方の鍵で暗号化したものは、それと対になるもう一方の鍵でなければ復号することができません。

また公的個人認証サービスは、マイナンバーカードをかざして暗証番号の入力を求める仕組みとなっているので、カードの所持認証と暗証番号の知識認証の2要素認証を実現しています。

そしてマイナンバーカードのICチップは不正に情報を読み出そうとすると壊れる仕組みとなっており、万が一、紛失・盗難の場合は、24時間365日体制で利用を停止することができます。

1. 落としても他人が使うことができない
2. プライバシー性の高い個人情報は入っていない
3. 24時間365日一時停止を受付ている
4. ICチップは耐タンパー性を有している
5. ISO/IEC 15408認証を取得している

1.落としても他人が使うことができない

顔写真付きの本人確認書類の為、対面での悪用が困難です。

マイナンバーカードに関連するオンライン上のサービス（マイナポータルや公的個人認証サービス等）を利用する場合は暗証番号が必要です。

アプリケーション毎に暗証番号が設定されており、一定回数間違うと機能がロックされる仕組みになっています。不正にICチップの情報を読みだそうとすると、ICチップが壊れる仕組みになっています。

2.プライバシー性の高い個人情報は入っていない

税や年金等のプライバシー性の高い情報はマイナンバーカードのICチップには入っておらず、税や年金等の情報は各行政機関において分散して管理されています。

万が一マイナンバーが他人に知られても芋づる式に個人情報が洩れることはありません。また、マイナンバーを利用するには顔写真付き身分証明書等での本人確認があるので悪用は困難です。

3.24時間365日一時停止を受付ている

もしマイナンバーカードや電子証明書を搭載したスマートフォンを紛失してしまっても、コールセンターに電話すれば一時停止依頼を24時間365日受け付けています。

4.ICチップは耐タンパー性を有している

※タンパー（tamper）：「干渉する」「いじくる」「いたずらする」「勝手に変える」の意

①ICチップを電気的に又は物理的に取り出し、情報を不正に読み出そうとすると・・・
・光が当たるとメモリ内容の消去
・メモリ回路素子が表面から観察できない
・電圧異常、クロック異常等の検知で動作停止
・メモリ素子の物理配置ランダム化&暗号化により解読不可

②ICチップの電力消費量や処理時間等を測定・解析し、情報を推測しようとすると・・・
・消費電力・処理時間をかくはんすることで、読み取った信号の統計的な解析は困難

5.ISO/IEC 15408認証を取得している

セキュリティ機能評価の国際水準の認証を取得しています。

ISO/IEC 15408とは？

コンピュータシステムや製品のセキュリティ機能の評価を行うための基準であるCC（Common Criteria）の国際標準です。

スマートカードが必要とするセキュリティの要件を記述・スマートカードの製品調達者は、CCに基づき、PP（Protection Profile：利用者のセキュリティ要件を記述した要件仕様書）を作成。

開発者は、PPに基づき、ST（Security Target：セキュリティ開発方針を厳密に記述したセキュリティ設計仕様書）を作成し、これを実装した製品を開発。

評価機関が以上の課程を評価し、認証機関が認証します。

公的個人認証サービス(JPKI)を活用するメリット

次に、公的個人認証サービスを活用するメリットを解説いたします。

セキュアな本人確認を実現

公的個人認証サービスでは「公開鍵暗号方式」と呼ばれる暗号技術を使用し、通信の安全性を確保しています。

「公開鍵暗号方式」は、暗号化と復号で異なる2つの鍵を使用する方式で、片方の鍵で暗号化したものは、それと対になるもう一方の鍵でなければ復号できない仕組みになっています。

また、マイナンバーカードはICチップ内の記録情報が不正に読みだされようとした場合には、自動的に消去される等の対抗措置が講じられているため、秘密鍵が詐取される心配はありません。

また、公的個人認証サービスでは多要素認証が必要となるため、よりセキュリティの高い本人確認を可能にしています。

多要素認証とは、本人確認の為に複数の種類の要素をユーザーに要求する認証方式です。

公的個人認証サービスでは「知識要素」「所有要素」「生体要素」の3つの認証要素のうちマイナンバーカードを所有しているという「所有要素」と署名用電子証明書のパスワードという「知識要素」を組み合わせています。

スピーディで手間がかからない

公的個人認証サービスを活用すると、スピーディで手間のかからない本人確認が可能となります。

本人確認完了までに待ち時間はほぼ発生せず、即時に本人確認を完了することができます。

従来は本人確認には店舗にて対面手続きをする必要があったり、オンラインで申込みをする際も本人確認書類の送付（郵送）等が必要であったりなど、手続きが完了するまでに手間や時間ががかかっていました。

ですが、公的個人認証サービスを活用することでスマートフォンとマイナンバーカードを手元に用意するだけでオンライン上でスピーディに本人確認が完了することができます。

本人確認業務が不要

公的個人認証サービスを活用すると、オンライン上で本人確認が完了する為、事業主側の本人確認書類の受付対応や審査対応、顧客への通知業務に関する郵送対応などの本人確認に伴う事務業務を削減することができます。

また、公的個人認証サービスは撮影認証とは異なり、本人確認書類や容貌の目視確認も不要となります。

コスト削減が可能

公的個人認証サービスを活が用すると、上記3の本人確認業務にかかっていた人件費を削減できるだけでなく、郵送費用や本人確認書類の保管費用などコストも削減することができます。

引用：デジタル庁　民間事業者におけるマイナンバーカードを用いた公的個人認証サービス（JPKI）導入・利用のご紹介

公的個人認証サービス(JPKI)のデメリット

公的個人認証サービスを活用するデメリットを解説いたします。

6～16桁の大文字英数字の暗証番号を覚えている必要がある

公的個人認証サービスを利用して本人確認を行う場合、署名用電子証明書の暗証番号である6～16桁の大文字英数字の暗証番号を入力する必要があります。

5回連続で暗証番号を間違った場合は、暗証番号がロックされて利用できなくなってしまうので出先などでは正確に暗証番号を記憶していないと対応が難しい場合があります。

基本4情報に変更があった場合署名用電子証明書の更新作業が必要

住民票の基本4情報である以下4点が変更となる場合、署名用電子証明書は失効となります。

その為市区町村の窓口で変更手続きが必要となります。

• 住所
• 氏名
• 生年月日
• 性別

電子証明書には有効期限がある

公的個人認証サービスで使用する電子証明書には有効期間があり、その有効期限は電子証明書発行の日から5回目の誕生日までとなります。

マイナンバーカード自体の有効期限は発行日から10回目の誕生日（未成年者は5回目）となりますので、それぞれ有効期限が切れる前に更新手続きが必要になります。
有効期間満了日の2～3ヶ月前から更新手続きを行うことができます。

公的個人認証サービス(JPKI)の導入事例

ProTech ID Checkerの公的個人認証サービス(JPKI)機能の導入事例をご紹介します。

蒲郡信用金庫様

スパイラル株式会社のローコード開発プラットフォーム「SPIRAL®」と連携してProTech ID Checkerの撮影認証と公的個人認証サービス(JPKI)機能を導入いただきました。
→SPIRAL®×ProTech ID Checkerの本人確認システムで各種申込をWeb完結！来店不要でお客様・営業店ともに利便性向上（外部サイト）

公的個人認証サービス(JPKI)の活用ケース

公的個人認証サービスは以下のような様々なシーンでご活用いただくことができます。一部を抜粋してご紹介します。

活用ケース① 銀行口座・証券口座の開設

金融機関における銀行口座や証券口座の開設は、犯罪収益移転防止法の特定業務となっている為、本人確認を行うことが必須となります。

従来は、店舗での対面申込みや転送不要郵便などで本人確認を行っていたのでユーザーにとって手間や時間がかかっていました。

公的個人認証サービスを活用するとオンラインですぐに本人確認ができるようになる為、最短で申込み当日に口座開設が可能になります。

活用ケース② 携帯電話の回線契約

携帯電話の回線契約手続きにも携帯電話不正利用防止法により本人確認を行うことが必須となります。

従来は店舗での対面申込みが必要であった為手間がかかっていましたが、公的個人認証サービスを活用することでオンラインで契約を行うことが可能になります。

活用ケース③ 中古品の買い取り

中古品の買い取りを行う場合、古物営業法により本人確認が必須となります。

従来は買い取り希望物を店舗まで持っていく手間やオンラインで買い取りをする場合でも、取引にあたってまずは郵送による本人確認を行う必要がありました。

公的個人認証サービスを活用することで、オンラインで本人確認が完了するため、段ボールに買い取り希望品を詰めて送るだけで取引が完了するようになります。

活用ケース④ マッチングサービス

マッチングサービスは法律上本人確認は義務付けられてはいませんが、出会い系サイト規制法により年齢確認は必須となります。

本人確認自体は任意とはなりますが、本人確認をすることで他人のなりすましや悪徳業者の利用などを防ぐことができる為、ユーザーが安全にサービスを利用することができます。

公的個人認証サービスを活用することで、オンラインでスピーディに本人確認をすることができます。

従来のオンライン本人確認方法と公的個人認証サービスの比較

従来のオンライン本人確認方法である犯罪収益移転防止法の6条1項1号ホ方式（以降、ホ方式）と本記事で解説している公的個人認証サービスを利用する犯罪収益移転防止法の6条1項1号ワ方式（以降、ワ方式）を比較してそれぞれの安全性について解説します。

■本人の容貌画像＋写真付き本人確認書類画像の送信する方法（犯罪収益移転防止法　6条1項1号ホ方式）

公的個人認証サービスが利用できるようになる前は、オンライン本人確認の方法としては本人の容貌画像＋写真付き本人確認書類画像の送信する方法が最も活用されており、今現在もこの確認方法を採用しているサービスは多いです。

犯罪収益移転防止法では6条1項1号ホ方式（以降、ホ方式）がこの確認方法に該当します。

本人の容貌画像は端末に保存されているデータを使用することはできないので、サービスの申込時にその場で撮影を行う必要があります。

また本人確認書類の厚みや外形、構造、機能等の本人確認の真正性を確認できることや、容貌の撮影時にランダムなポーズをとらせることで本人が撮影していることを確認できる必要があります。

■公的個人認証サービスへの照会をする方法（犯罪収益移転防止法　6条1項1号ワ方式）