デジタル庁の「デジタル認証アプリ」迷走…オンライン利用履歴、政府に集中するリスク

2024/04/24 11:30

　デジタル庁の「デジタル認証アプリ」計画が波紋を広げている。マイナンバーカードによる公的個人認証のためのアプリをデジタル庁が開発し、自らが認証業務を担う「署名検証者」になるという構想だ。計画の概要はパブリックコメントにかけられた段階で初めて公になり、とたんに多くの批判や疑問が寄せられた。なぜなのか。（若江雅子）

政府自ら認証

　デジタル庁が公的個人認証法の施行規則改正案について意見公募を開始したのは１月下旬だった。

　「なんだこれは」。一般社団法人マイデータ・ジャパンの理事長で、デジタルＩＤの技術や制度に詳しい崎村夏彦氏は目を疑った。

　そこで提案されていたのは、現在は民間事業者が担う公的個人認証の認証業務を、政府が行えるように施行規則を改正するというもの。官民の様々なサービスで本人確認に使える「デジタル認証アプリ」も開発し、デジタル庁が自ら運用するという。

　「これでは、国民がいつどんなオンラインサービスを使っているのか、政府が網羅的に把握できるおそれがある」と崎村氏は懸念する。

　公的個人認証とは、地方公共団体情報システム機構（Ｊ―ＬＩＳ）発行の電子証明書を使ったオンライン本人確認の仕組みである。署名検証者が、利用者のマイナンバーカードに内蔵された電子証明書を読み取って、その有効性や真正性を確認し、結果をサービス提供者に伝える。この際、署名検証者のサーバー内には、電子証明書の発行番号（シリアル番号）と、それにひも付けられたサービス利用履歴などが蓄積されることになる。

　発行番号はカード保有者に一意に割り振られた識別子だ。カード取得は任意だが、既に普及率は７８％を超えている。有効期限は５年だが、変更前と変更後の番号をひも付けできるため、長期の追跡も可能になる。「このような識別子は大量の情報の名寄せが可能で、プライバシーの観点から十分な配慮が求められるべきもの」と崎村氏は指摘する。

　Ｊ―ＬＩＳによると、発行番号の名寄せリスクは、２００４年に公的個人認証サービスがスタートした当時から認識されてきた。公的個人認証法が署名検証者には発行番号などの目的外利用を禁じるなどの措置をとっているのもこのためだという。

　当初は行政手続きのみが対象だったが、１６年から民間サービスにも拡大、今では利用企業は５００社以上に増えている。それでも、これまでは認証の担い手が自治体などの行政サービス提供者自身か、大臣認定を受けた民間の署名検証者（執筆時点で１８社）などに分散され、結果的に名寄せリスクは一定程度回避されていた。だが、今後はデジタル庁に認証業務が集中していく可能性もある。

　デジタル庁は「公的個人認証の裾野を広げたいだけ。国が一元的に認証することを目指したわけではない」と話す。

　ただ、一元化の懸念はあながち杞憂とも言えないだろう。

　新アプリの手数料は無料だ。認証サービスを提供している事業者は「無料でやられたら民間事業者は歯が立たない。デジタル庁の『独占』になるのでは」とぼやく。

　デジタル庁自身、それを目指していた節もある。昨年５月以降行われてきた自治体への説明では、「マイナカードを用いた個人認証はできる限り新アプリに寄せていく」などと発言していた。

　これらの発言は同１２月中旬になって撤回され、「既存のアプリを利用している場合は、デジタル庁のアプリに変更する必要はない」と修正された。これはその直前、民間事業者の不満を耳にした自民党が、デジタル庁幹部を呼んで軌道修正を求めたからだとされる。

「マイナカードでログイン」

　マイナカードに内蔵のＩＣチップには「署名用」と「利用者証明用」の２種類の電子証明書が搭載されている（表参照）。署名用には、発行番号のほか、氏名、住所、生年月日、性別（基本４情報）が記載され、その文書を送信した人物が「実在」する人であることなどを確認（身元確認）できる。一方、利用者証明用は、カード利用者が想定する人物と「同一」であることを確認（当人認証）するために使う。前者はｅ‐Ｔａｘでの納税申告や銀行口座の開設などに、後者はマイナポータルのログインなどに使われている。

　今回の認証アプリで、デジタル庁が特に強調するのが、民間サービスへの利用者証明の導入促進効果だ。現在、利用者証明を活用するのはほとんどが行政機関で、民間サービスでの利用は３％。そこで、デジタル庁は自らが無償で認証サービスを提供することで民間の需要を掘り起こし、広く普及させたいというのだ。

　想定しているのはＥＣサイトやＳＮＳでのログイン、ホテルやレストランの予約、酒の購入時の年齢確認などだ。

　ユーザーはまずスマホに認証アプリをインストールする。暗証番号を入力するとアプリは、スマホのＮＦＣ（近距離無線通信）機能などを使ってカード内の氏名や住所、生年月日などの情報を読み取り、簡単にアカウントを登録。その後は、暗証番号入力と、マイナカードをかざすだけでログイン――といった使い方が一例という。