毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。当記事で取り上げるのは以下の配信です。

  • 配信日:2024年2月15日
  • タイトル:デジタル庁のデジタル認証アプリに関するパブコメについて
  • メインスピーカー:データサイン 代表取締役社長 太田祐一
  • MC:ビジネスディベロッパー 宮崎洋史

マイナンバーカードの電子証明書を利用する本人確認

インターネット経由で提供されるサービスを安全に利用する際、オンラインでの本人確認が求められるようになっています。取引相手とのトラブルや、なりすましによる不正利用などを避けることが目的です。その一環で、日本のデジタル庁が令和6年度(2024年度)以降にデジタル認証アプリを運用開始する予定です。そちらに関連する意見募集(パブリックコメント)が2024年1月26日から2月29日にかけて行われました。

デジタル認証アプリは、マイナンバーカードの電子証明書を利用して本人確認を実施する仕組みです。もともと電子証明書には、電子文書を作成・送信する際に用いる「署名用」と、ウェブサイトやコンビニのキオスク端末にログインする際に用いる「利用者証明用」の2種類があります。デジタル認証アプリでは後者の利用者証明用電子証明書を用います。

デジタル庁が描く利用イメージは、スマホ(iOS/Android)にデジタル認証アプリをインストールしてマイナンバーカードにかざすと、スマホのNFC読み取り機能を介して本人確認を行ったうえで、行政手続きだけでなく、幅広い民間サービスをワンストップで利用することができる、というものです。

デジタル認証アプリP4

出典:「デジタル認証アプリについて」(令和5年12月14日)デジタル庁(4ページより)

現行のプラットフォーム事業者と同等の権限をデジタル庁に付与

意見募集が行われたのは、「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」です。

法律施行規則の主な改正内容とは、

電子署名等確認業務受託者に内閣総理大臣を加えるものとする。

内閣総理大臣は、電子署名等確認業務委託者から全部の委託を受けた電子署名等確認業務を、所要の方法等により行うものとする。

というものです。具体的にはどういうことでしょうか?

デジタル認証アプリを用いたシステム連携想定イメージは、デジタル庁の資料に次のように説明されています。

デジタル認証アプリP6

出典:「デジタル認証アプリについて」(令和5年12月14日)デジタル庁(6ページより)

現行の利用者証明用電子証明書を用いた本人確認業務は、NTTデータのような公的なお墨付きを得たプラットフォーム事業者(電子署名等確認業務委託者)19社などによって行われています。こうしたプラットフォーム事業者は、地方公共団体情報システム機構(J-LIS)のAPI経由で、電子証明書の有効性を検証するなどしています。

「一方、デジタル認証アプリのシステム連携では、プラットフォーム事業者と同レベルで国(内閣総理大臣)すなわちデジタル庁が位置づけられることになります」(データサイン 代表取締役社長 太田祐一)

国民の選択肢が少なくなる心配は?

国がデジタル認証アプリの導入を推進する背景には、マイナンバーカードの利用者証明用電子証明書がなかなか民間で利用されないことにあります。全体の97%を占めるのは行政機関における利用です。原因は、J-LISに支払う手数料やプラットフォーム事業者のサービス提供コストなどの費用とデジタル庁は分析しています。そこで国がナショナルサービスとして無償で利用者証明サービスを提供し、安心・安全な社会を実現する本人確認の仕組みを普及させるべく腰を上げた、というわけです。

デジタル庁の資料によれば、デジタル認証アプリは、すでにプラットフォーム事業者によるサービスの導入が広がっている民間事業者向けの署名検証および有効性確認サービスは、提供しない、と記されています。デジタル認証アプリについては「民業圧迫ではないの?」という指摘があります。

「また、デジタル認証アプリを通じて国がユーザーの個人情報や利用履歴を把握することへの懸念もあります。それに対して私たちがオープンソースとして開発を進めるOWND Project(オウンドプロジェクト)では、個人情報を伝えずに認証できる仕組みを実装することを目的の1つにしています」(太田)

個人情報の収集方法を含め、デジタル認証の仕組みに多様な選択肢があることはユーザーある国民にとって望ましいはずです。そして選択にあたって国民が不利益を被らないような、わかりやすい説明や情報の開示が継続的に求められます。

なお、MyData Japanでは今回の意見募集に対するコメントとして、シンガポールの事例を踏まえ、提供されるデータの利用目的の適正性およびデータ最小化のための規律の必要性を訴えています。