908
回編集
差分
ナビゲーションに移動
検索に移動
92行目:
92行目: − + + + + + + + + + + + + + + +
→第5回(R3-03-03)
==第5回(R3-03-03)==
==第5回(R3-03-03)==
*Option1 の場合、TSM 以外はエンドユーザーから見るとスマホ内の環境であり、それに 対して TSM は外部である。その通信は安全な SCP03 を使うとのことだが、ネットワーク 負荷や通信路での問題発生等、ネットワークを介するところについてどう評価するか。 Option2 の場合、スマホ内の話なので、非常にローカルな環境でできるように見える。 その時に、一般のアプリで簡単に GP-SE をさわれるようでは困る。ここにコネクタのよ うなものを間にかませて、そのセキュリティレベルをしっかり確保し、スマホアプリか らそのコネクタのような API をたたく構造にして、しっかりと GP-SE を守るという構造 も考えられる。
*不正なスマホアプリを想定したときに、安全性を見たら Option1 のほうが高いと思われ る。
*ネットワーク負荷がかからないという意味では、ローカル処理である Option2 のほうが 良いのではないかと思われる。
*セキュアエレメントの安全性のレベルと TEE の安全性のレベルは異なるというのが一般 的な考え方だと思うので、注意しながら進めていただきたい。
*Option1 と Option2 を考える上で、JPKIのアプレットの搭載や TSM からアプレットを搭 載するときの安全性等、総合的に評価していただきたい。
*TEE とセキュアエレメントの安全性のレベルに関してはヨーロッパも含め、国際的にど うレベル付けされているのか、また、現状マイナンバーカードで 4PIN を入力する局面 はそこまで機微ではないものも相当ある中で、どこまでこの方法でできるかしっかり議 論できると良い。
*資料3の観点4の利便性に関して、現状のマイナンバーカードとの比較において出てき ている論点だと思われるが、そもそも本来マイナンバーカードとしてできているべきだ けれどもできていないことは結構ある。スマホアプリで何を実現すべきなのかというこ とは、現状カードで実証していることに留まらず、もっと広範に見るべき。今のマイナ ンバーカードをただスマホに入れただけでは十分な利便性とは言えないのではないか。
*イギリスで導入された GOV.UK Verify の見直しの報告書を見ると、当初のもくろみに反 して銀行の口座開設やソーシャルメディアの身元確認の eKYC として使われていない。 これらの eKYC として使われるための要件とは何かを念頭に検証していくべきであり銀 行やソーシャルメディアの業界に意見を聞いたり、検証に参加してもらうことが必要で はないか。
*まずは住民票の添付等、マイナンバーカードの機能を搭載したスマホで役所に行かずと も手続ができるといった部分から始めるべきではないか。一番住民目線から、生活に密 着した形で活用した方が良い。
*資料3について、大量に利用するようになった際の性能面も検証しておいていただきた い。
*技術検証の在り方として、スマホで JPKI を利用する際というのは、GP-SE も含めてス マホの所有権は利用者側にあるため、TEE や生体認証の部分を含めて、J-LIS が安全性 を確認できる範囲に限界があることが想定されている中で、規約を定めて利用者と事前 に合意した上で使ってもらうことが必要になるのではないか。JPKI についてもどこま で J-LIS 側の責任として、どこからを利用者側の責任にするのかを、技術検証の際にも 確認しながら進めていただきたい。
*安全性が担保できている、あるいは運用に耐え得る安全性があらゆる面で確保されてい るかをどのような第三者に評価いただくかは難しいところである。その領域に熟知して いる方にきちんと俯瞰して評価いただき問題がないことを確認できるところまで検証で きると良い。
*電子署名法の認定と公的個人認証法の5号認定の比較等をしているが、この2つの制度 が同じような基準で同じようなことをやっているのに併存しているため、この2つをま とめていく方向で進めるべきではないか。
*電子認証と電子署名は分けて議論しなければいけない。
*我が国では公的個人認証は少なくとも X.509 で動いているため、これをどのように連携 していくか。今後、民間の認証局との連携ひいてはそれを使った ID の連携にはつなが る。そういう考え方で整理していく必要がある。
==名簿==
==名簿==