「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」の版間の差分

提供: governmentwatching
ナビゲーションに移動 検索に移動
21行目: 21行目:
 
*電子契約書への電子署名は、証明書の有効期限終了後であっても検証する必要があり、 そのためには、CRL と OCSP を電子署名や電子証明書とあわせて保存あるいは相手方に 提供する必要があり、制度上の検討が必要。
 
*電子契約書への電子署名は、証明書の有効期限終了後であっても検証する必要があり、 そのためには、CRL と OCSP を電子署名や電子証明書とあわせて保存あるいは相手方に 提供する必要があり、制度上の検討が必要。
 
*全体通して、NIST SP800-63-3 における Identity Assurance、Authenticator Assurance、Federation Assurance の概念や、eIDAS における Qualified 証明書と Advanced 証明書の概念に対し、我が国としてどうあるべきか検討することが重要。
 
*全体通して、NIST SP800-63-3 における Identity Assurance、Authenticator Assurance、Federation Assurance の概念や、eIDAS における Qualified 証明書と Advanced 証明書の概念に対し、我が国としてどうあるべきか検討することが重要。
 +
==第2回(R2-12-04)==
 +
https://www.soumu.go.jp/main_content/000724860.pdf
 +
*Android OS におけるセキュアエレメントは 2 つの方法によりアクセス可能であり、グ ローバルプラットフォーム・サポーテッド・セキュアエレメントとも呼ばれていること などを踏まえ、「Android-SE」ではなくて、「GP-SE」といったより汎用的な呼称とする のが望ましい。
 +
*現在、マイナンバーカードだけで 4 種類の PIN が存在し、十分に理解できていない利用 者が大半だと思われる。今回のスマートフォン用の仮 PIN も含めて、新たに利用者が意 識する PIN がどれだけ出てくるのか、これらは別の値を設定しなければならないのか、 同じ値でも構わないのか、呼称の区別も含めて利用者が十分に理解できるような整理が 必要。
 +
*スマートフォン用の仮 PIN の必要性、PIN ロック解除フローについて整理が必要。
 +
*PIN の初期化について、今回のフローだと他人のスマートフォンの PIN を初期化できて しまう恐れがある。PIN を失念したら再発行で良いのではないか。
 +
*SEI-TSM はどういう事業者に対して、どのように認定するのか。例えば J-LIS が何らか の認定や監査を行うのか検討が必要。
 +
*競争性が発揮される形での調達が行われる必要があり、ベンダーロックインとならない ように十分配慮してほしい。
 +
*マイナンバーカードを取得していることが前提となっているが、スマートフォンだけで 利用したいという要望が今後出てくると思われるので、将来的にはその方向についても 検討する必要がある。
 +
*CC 認証は全体としてコンポジット認証を取得することが好ましい。CC 認証に対する扱 い方はインダストリーにより異なるため、どの部分をコンポジット認証とするのか検討 が必要。
 +
*失効された署名用電子証明書がオフラインで勝手に利用されないように、例えば J-LIS 側で証明書の有効性確認のうえ、アプリケーションに対して外部認証しないと署名でき ない仕組みについても検討してはどうか。
 +
*エストニアの SIM 方式のモバイル ID やスマート ID は全てのスマート端末で利用可能と なっている。政府が提供するサービスである場合、誰でも利用できるという点は非常に 重要だと思われるので、なぜ日本はスマートフォンに限定され、利用できない端末があ るのかということについて、諸外国と比較して説明できるようにしておくべき。
 +
*生体認証の活用に関して、現在と同様に J-LIS が責任を持って運用するためには、J- LIS が生体認証のロジックや各スマートフォン端末の第三者評価の状況等を把握できる 仕組みが必要。また、成りすましが発生した際に、端末メーカーの責任とすることや、 生体情報の適切な管理まで利用者に要求することは難しいと思われ、責任分界をどうす るのか議論が必要。さらに電子署名法第3条の固有性の要件を充足できるかが課題。
 +
*日本の場合、EU のように保証レベルがあまり議論されていない。生体認証を使う場合 には、例えば EU の保証レベルの中又は高なのか、署名の場合には、適格署名又は高度 署名なのか等をまずは議論した上で生体認証の活用について時間をかけて議論すべき。
 +
*生体認証における他人受入率(FAR)は 0.002% 以下とのことだが、本人拒否率(FRR) がどの程度か確認したい。
 +
*高齢者がマイナンバーカードの電子証明書の有効期限切れで自治体窓口に来られた際、 大半の方が PIN を失念している状況。利用者にとって使いやすいモデルを検討していく 中で、今回提案のあった FIDO 認証含め様々な認証方式についても議論したい。
 +
*FIDO 認証は、金融業界でも大幅に導入が進んでいる状況。既に 2 年程度運用されてい るが、FIDO 認証に起因した不正送金等は承知していない。従前のワンタイムパスワー ド等と比べて大幅にユーザビリティが改善され、アプリの利用者が増加している状況。
 +
*スマートフォンに認証器を搭載する場合の技術要件等も含めて、諸外国の例も参考とし ながら、整理をしていくことが必要。
 +
*マイナポータルをはじめ、政府のウェブサイトのユーザビリティを改善すべきと、総理 等から強く求められているところであり、来年前半の早い時期に向けて整理が必要。
  
 
==名簿==
 
==名簿==

2021年4月4日 (日) 13:09時点における版

第1回(R2-11-10)

https://www.soumu.go.jp/main_content/000719563.pdf

  • 検討の方向性のうち、民間 ID 利活用についても、課題を洗い出しどのようなタイムラ インで実行していくのか明らかにすべき。
  • 生体認証等の活用について、今後の議題の中で扱うべき。
  • スマートフォン特有のライフサイクルへの対応については、一定のセキュリティを確保 した上で、利用者の利便性を考慮した使い勝手の良い仕組みを目指すべき。
  • マイナンバーカードは交付を受けてから 10 年、スマートフォンは3年程度で機種変更 となるため、更新サイクルの違いが課題。
  • マイナンバーカードとスマートフォンの所有者、管理者が異なることについての整理が 必要。
  • スマートフォンに搭載する証明書は、従来の証明書とは区別して制御するのが望まし い。
  • FeliCa-SE は、FeliCa のアプリが搭載されているグローバルプラットフォーム準拠のチ ップというのが正確な表現と思われる。1社独占のような印象を持たれないよう呼称は 適正化すべき。
  • FeliCa-SE チップについては、今後も供給が担保されるのか懸念。将来に対して不確定 要素となり得ることは可能な限り排除し、より国際標準に準拠した搭載方法も検討して 行くことが望ましい。
  • FeliCa-SE を搭載したスマートフォンの他国での扱われ方、eIDAS における QSCD との適 格性について確認が必要。
  • FeliCa-SE チップが搭載されていないスマートフォンに対する救済策が課題。リモート 署名と FIDO 認証の組合せでの対応も含めて、それ以外の方式や民間 ID 利活用での対応 について議論が必要。
  • カードをかざす場合には、受手側のハードウェアの制約の問題が生じる。リモート署名 という、秘密鍵を預けるタイプの署名で認定認証業務の電子証明書を使う場合について 検討することは重要。
  • 民間事業者がマイナンバーカードの機能を利用しにくい要因として、サービスの開発や 大臣認定の取得、あるいは大臣認定を取得している事業者との連携に手間を要するところだと思われる。スマートフォンに搭載されたマイナンバーカードの機能を活用したサ ービスを実装するにあたって、民間事業者にとっての利便性向上も課題。
  • マイナンバーカードのユースケースやマイナンバーカードに紐付いた民間 ID につい て、それぞれの安全性レベルを定義し、どのような手続きに利用可能か整理することが 重要。
  • 民間事業者が JPKI を利用しにくい要因として、手数料等の費用の問題があると思われ る。マイナンバーカードを利用するエコシステム全体で費用面を考えていくことが必 要。
  • 資格確認を様々な分野でマイナンバーカードと紐付けることが、マイナンバー制度及び 国と地方のデジタル基盤抜本改善 WG において議論されており、健康保険証をはじめと した利便性向上を実現する上で重要。
  • 可能な限り民間リソースも活用し、情報リテラシーが低い利用者でも使えるよう担保す べき。
  • 署名用電子証明書、あるいは秘密鍵が搭載される場合、実印と同等な信頼性のあるもの として扱われるものであり、大事なものであることを広く周知していくことが必要。
  • 電子契約書への電子署名は、証明書の有効期限終了後であっても検証する必要があり、 そのためには、CRL と OCSP を電子署名や電子証明書とあわせて保存あるいは相手方に 提供する必要があり、制度上の検討が必要。
  • 全体通して、NIST SP800-63-3 における Identity Assurance、Authenticator Assurance、Federation Assurance の概念や、eIDAS における Qualified 証明書と Advanced 証明書の概念に対し、我が国としてどうあるべきか検討することが重要。

第2回(R2-12-04)

https://www.soumu.go.jp/main_content/000724860.pdf

  • Android OS におけるセキュアエレメントは 2 つの方法によりアクセス可能であり、グ ローバルプラットフォーム・サポーテッド・セキュアエレメントとも呼ばれていること などを踏まえ、「Android-SE」ではなくて、「GP-SE」といったより汎用的な呼称とする のが望ましい。
  • 現在、マイナンバーカードだけで 4 種類の PIN が存在し、十分に理解できていない利用 者が大半だと思われる。今回のスマートフォン用の仮 PIN も含めて、新たに利用者が意 識する PIN がどれだけ出てくるのか、これらは別の値を設定しなければならないのか、 同じ値でも構わないのか、呼称の区別も含めて利用者が十分に理解できるような整理が 必要。
  • スマートフォン用の仮 PIN の必要性、PIN ロック解除フローについて整理が必要。
  • PIN の初期化について、今回のフローだと他人のスマートフォンの PIN を初期化できて しまう恐れがある。PIN を失念したら再発行で良いのではないか。
  • SEI-TSM はどういう事業者に対して、どのように認定するのか。例えば J-LIS が何らか の認定や監査を行うのか検討が必要。
  • 競争性が発揮される形での調達が行われる必要があり、ベンダーロックインとならない ように十分配慮してほしい。
  • マイナンバーカードを取得していることが前提となっているが、スマートフォンだけで 利用したいという要望が今後出てくると思われるので、将来的にはその方向についても 検討する必要がある。
  • CC 認証は全体としてコンポジット認証を取得することが好ましい。CC 認証に対する扱 い方はインダストリーにより異なるため、どの部分をコンポジット認証とするのか検討 が必要。
  • 失効された署名用電子証明書がオフラインで勝手に利用されないように、例えば J-LIS 側で証明書の有効性確認のうえ、アプリケーションに対して外部認証しないと署名でき ない仕組みについても検討してはどうか。
  • エストニアの SIM 方式のモバイル ID やスマート ID は全てのスマート端末で利用可能と なっている。政府が提供するサービスである場合、誰でも利用できるという点は非常に 重要だと思われるので、なぜ日本はスマートフォンに限定され、利用できない端末があ るのかということについて、諸外国と比較して説明できるようにしておくべき。
  • 生体認証の活用に関して、現在と同様に J-LIS が責任を持って運用するためには、J- LIS が生体認証のロジックや各スマートフォン端末の第三者評価の状況等を把握できる 仕組みが必要。また、成りすましが発生した際に、端末メーカーの責任とすることや、 生体情報の適切な管理まで利用者に要求することは難しいと思われ、責任分界をどうす るのか議論が必要。さらに電子署名法第3条の固有性の要件を充足できるかが課題。
  • 日本の場合、EU のように保証レベルがあまり議論されていない。生体認証を使う場合 には、例えば EU の保証レベルの中又は高なのか、署名の場合には、適格署名又は高度 署名なのか等をまずは議論した上で生体認証の活用について時間をかけて議論すべき。
  • 生体認証における他人受入率(FAR)は 0.002% 以下とのことだが、本人拒否率(FRR) がどの程度か確認したい。
  • 高齢者がマイナンバーカードの電子証明書の有効期限切れで自治体窓口に来られた際、 大半の方が PIN を失念している状況。利用者にとって使いやすいモデルを検討していく 中で、今回提案のあった FIDO 認証含め様々な認証方式についても議論したい。
  • FIDO 認証は、金融業界でも大幅に導入が進んでいる状況。既に 2 年程度運用されてい るが、FIDO 認証に起因した不正送金等は承知していない。従前のワンタイムパスワー ド等と比べて大幅にユーザビリティが改善され、アプリの利用者が増加している状況。
  • スマートフォンに認証器を搭載する場合の技術要件等も含めて、諸外国の例も参考とし ながら、整理をしていくことが必要。
  • マイナポータルをはじめ、政府のウェブサイトのユーザビリティを改善すべきと、総理 等から強く求められているところであり、来年前半の早い時期に向けて整理が必要。

名簿

<有識者>
(座長代理) 太田直樹 株式会社New Stories 代表取締役
小尾高史 東京工業大学科学技術創成研究院 准教授
楠正憲 Japan Digital Design株式会社 CTO
瀧俊雄 株式会社マネーフォワード 取締役執行役員・Fintech研究所長
(座長) 手塚悟 慶應義塾大学環境情報学部 教授
野村靖仁 NPO法人地域情報化推進機構 副理事長
宮内宏 宮内・水町IT法律事務所 弁護士
森山光一 FIDOアライアンス 執行評議会メンバー・ボードメンバー・FIDO Japan WG座長
株式会社NTTドコモ マーケティングプラットフォーム推進部セキュリティサービス担当部長
<自治体・関係団体>
前橋市
神戸市
地方公共団体情報システム機構
一般社団法人テレコムサービス協会
一般社団法人電気通信事業者協会
【オブザーバー】
エヌ・ティ・ティ・コミュニケーションズ株式会社
xID株式会社
日本電気株式会社
株式会社日立製作所
フェリカネットワークス株式会社
内閣官房情報通信技術(IT)総合戦略室
内閣官房番号制度推進室