マイナンバーカードの機能のスマートフォン搭載等に関する検討会
第1回(R2-11-10)
https://www.soumu.go.jp/main_content/000719563.pdf
- 検討の方向性のうち、民間 ID 利活用についても、課題を洗い出しどのようなタイムラ インで実行していくのか明らかにすべき。
- 生体認証等の活用について、今後の議題の中で扱うべき。
- スマートフォン特有のライフサイクルへの対応については、一定のセキュリティを確保 した上で、利用者の利便性を考慮した使い勝手の良い仕組みを目指すべき。
- マイナンバーカードは交付を受けてから 10 年、スマートフォンは3年程度で機種変更 となるため、更新サイクルの違いが課題。
- マイナンバーカードとスマートフォンの所有者、管理者が異なることについての整理が 必要。
- スマートフォンに搭載する証明書は、従来の証明書とは区別して制御するのが望まし い。
- FeliCa-SE は、FeliCa のアプリが搭載されているグローバルプラットフォーム準拠のチ ップというのが正確な表現と思われる。1社独占のような印象を持たれないよう呼称は 適正化すべき。
- FeliCa-SE チップについては、今後も供給が担保されるのか懸念。将来に対して不確定 要素となり得ることは可能な限り排除し、より国際標準に準拠した搭載方法も検討して 行くことが望ましい。
- FeliCa-SE を搭載したスマートフォンの他国での扱われ方、eIDAS における QSCD との適 格性について確認が必要。
- FeliCa-SE チップが搭載されていないスマートフォンに対する救済策が課題。リモート 署名と FIDO 認証の組合せでの対応も含めて、それ以外の方式や民間 ID 利活用での対応 について議論が必要。
- カードをかざす場合には、受手側のハードウェアの制約の問題が生じる。リモート署名 という、秘密鍵を預けるタイプの署名で認定認証業務の電子証明書を使う場合について 検討することは重要。
- 民間事業者がマイナンバーカードの機能を利用しにくい要因として、サービスの開発や 大臣認定の取得、あるいは大臣認定を取得している事業者との連携に手間を要するところだと思われる。スマートフォンに搭載されたマイナンバーカードの機能を活用したサ ービスを実装するにあたって、民間事業者にとっての利便性向上も課題。
- マイナンバーカードのユースケースやマイナンバーカードに紐付いた民間 ID につい て、それぞれの安全性レベルを定義し、どのような手続きに利用可能か整理することが 重要。
- 民間事業者が JPKI を利用しにくい要因として、手数料等の費用の問題があると思われ る。マイナンバーカードを利用するエコシステム全体で費用面を考えていくことが必 要。
- 資格確認を様々な分野でマイナンバーカードと紐付けることが、マイナンバー制度及び 国と地方のデジタル基盤抜本改善 WG において議論されており、健康保険証をはじめと した利便性向上を実現する上で重要。
- 可能な限り民間リソースも活用し、情報リテラシーが低い利用者でも使えるよう担保す べき。
- 署名用電子証明書、あるいは秘密鍵が搭載される場合、実印と同等な信頼性のあるもの として扱われるものであり、大事なものであることを広く周知していくことが必要。
- 電子契約書への電子署名は、証明書の有効期限終了後であっても検証する必要があり、 そのためには、CRL と OCSP を電子署名や電子証明書とあわせて保存あるいは相手方に 提供する必要があり、制度上の検討が必要。
- 全体通して、NIST SP800-63-3 における Identity Assurance、Authenticator Assurance、Federation Assurance の概念や、eIDAS における Qualified 証明書と Advanced 証明書の概念に対し、我が国としてどうあるべきか検討することが重要。
第2回(R2-12-04)
https://www.soumu.go.jp/main_content/000724860.pdf
- Android OS におけるセキュアエレメントは 2 つの方法によりアクセス可能であり、グ ローバルプラットフォーム・サポーテッド・セキュアエレメントとも呼ばれていること などを踏まえ、「Android-SE」ではなくて、「GP-SE」といったより汎用的な呼称とする のが望ましい。
- 現在、マイナンバーカードだけで 4 種類の PIN が存在し、十分に理解できていない利用 者が大半だと思われる。今回のスマートフォン用の仮 PIN も含めて、新たに利用者が意 識する PIN がどれだけ出てくるのか、これらは別の値を設定しなければならないのか、 同じ値でも構わないのか、呼称の区別も含めて利用者が十分に理解できるような整理が 必要。
- スマートフォン用の仮 PIN の必要性、PIN ロック解除フローについて整理が必要。
- PIN の初期化について、今回のフローだと他人のスマートフォンの PIN を初期化できて しまう恐れがある。PIN を失念したら再発行で良いのではないか。
- SEI-TSM はどういう事業者に対して、どのように認定するのか。例えば J-LIS が何らか の認定や監査を行うのか検討が必要。
- 競争性が発揮される形での調達が行われる必要があり、ベンダーロックインとならない ように十分配慮してほしい。
- マイナンバーカードを取得していることが前提となっているが、スマートフォンだけで 利用したいという要望が今後出てくると思われるので、将来的にはその方向についても 検討する必要がある。
- CC 認証は全体としてコンポジット認証を取得することが好ましい。CC 認証に対する扱 い方はインダストリーにより異なるため、どの部分をコンポジット認証とするのか検討 が必要。
- 失効された署名用電子証明書がオフラインで勝手に利用されないように、例えば J-LIS 側で証明書の有効性確認のうえ、アプリケーションに対して外部認証しないと署名でき ない仕組みについても検討してはどうか。
- エストニアの SIM 方式のモバイル ID やスマート ID は全てのスマート端末で利用可能と なっている。政府が提供するサービスである場合、誰でも利用できるという点は非常に 重要だと思われるので、なぜ日本はスマートフォンに限定され、利用できない端末があ るのかということについて、諸外国と比較して説明できるようにしておくべき。
- 生体認証の活用に関して、現在と同様に J-LIS が責任を持って運用するためには、J- LIS が生体認証のロジックや各スマートフォン端末の第三者評価の状況等を把握できる 仕組みが必要。また、成りすましが発生した際に、端末メーカーの責任とすることや、 生体情報の適切な管理まで利用者に要求することは難しいと思われ、責任分界をどうす るのか議論が必要。さらに電子署名法第3条の固有性の要件を充足できるかが課題。
- 日本の場合、EU のように保証レベルがあまり議論されていない。生体認証を使う場合 には、例えば EU の保証レベルの中又は高なのか、署名の場合には、適格署名又は高度 署名なのか等をまずは議論した上で生体認証の活用について時間をかけて議論すべき。
- 生体認証における他人受入率(FAR)は 0.002% 以下とのことだが、本人拒否率(FRR) がどの程度か確認したい。
- 高齢者がマイナンバーカードの電子証明書の有効期限切れで自治体窓口に来られた際、 大半の方が PIN を失念している状況。利用者にとって使いやすいモデルを検討していく 中で、今回提案のあった FIDO 認証含め様々な認証方式についても議論したい。
- FIDO 認証は、金融業界でも大幅に導入が進んでいる状況。既に 2 年程度運用されてい るが、FIDO 認証に起因した不正送金等は承知していない。従前のワンタイムパスワー ド等と比べて大幅にユーザビリティが改善され、アプリの利用者が増加している状況。
- スマートフォンに認証器を搭載する場合の技術要件等も含めて、諸外国の例も参考とし ながら、整理をしていくことが必要。
- マイナポータルをはじめ、政府のウェブサイトのユーザビリティを改善すべきと、総理 等から強く求められているところであり、来年前半の早い時期に向けて整理が必要。
第3回(R2-12-23)
- 資料全体に渡って、電子証明書と表記されている場合は秘密鍵を含んでおらず、電子証 明書等と表記されている場合は秘密鍵を含んでいるという理解でよいか。どこかで電子 証明書等を定義したうえで、電子証明書等と表記すれば十分な箇所が見受けられる。
- 電子証明書は場合によっては他人にも見せるものであり、秘密鍵のような重大な秘密で はないことから、電子証明書と秘密鍵では相当に秘密の重大性が異なる。その辺りのメ リハリがあってもよいのではないかと思うが、秘密鍵と同様に管理して、削除もすると いう形でもよい。
- ネットワーク利用制限確認/SIM ロック解除等の大口対応窓口の設置、キャリアショッ プ店頭でのデータ消去対応については、現時点でキャリアが対応すべき理由には乏しい のではないか。また、MNO との間で中古端末の国内流通に向けた協議を加速することに 期待する声が高まっているとの記載について、これは本検討会のスコープ外と思われ、 別の場で議論されるべき事項と考える。
- 自社が販売した Android 端末については、店頭で GP-SE 内のデータを消去可能と思われ るが、他社が関わったものなど全ての Android 端末の GP-SE 内のデータを消去できるわ けではないのではないか。また、実際に店頭では GP-SE 内のデータを消去するのみであ って、電子証明書が失効済であり適切に削除されていることの確認まではできないので はないか。さらに、端末の初期化では GP-SE 内のデータは消去できないのではないか。
- Google 社が定める Android 互換性定義ドキュメント(Compatibility Definition Document(CDD)において、生体情報については、ファクトリーリセットしたときにリ ムーブすることが規定されている。一方で、GP-SE については、Android 端末の実装必須要件ではないこともあり、GP-SE 内のデータ削除については規定がない。理想的には CDD の中で、GP-SE 内のデータについてもファクトリーリセットした際にはリムーブす ると規定いただき、メーカーにそれを準拠していただくのがよいのではないか。もし国 や地域によってはそれが必須要件となると困るという事情がある場合には、今回は日本 国内のスマートフォン市場において、FeliCa 対応のための要件の中で削除することを 規定するのが良いのではないか。
- 今回の検討内容が実用化される時期において、既に GP-SE が搭載されたスマートフォン に対して、削除機能を後から具備できるか否かについて確認すべき。また、技術的に可 能であっても、実際にビジネスの観点からメーカーが後から削除機能を具備するか否か は疑問が残るので、それでも利用を推進するのか、削除機能が具備されることを必須要 件とするのか確認すべき。
- ガバナンスの効きづらいマーケットプレイスでの CtoC でのスマートフォン端末の売買 に対しての懸念やその対策について確認したい。
- GP-SE の状態を端末リセット等で初期化できてしまうこととすると、セキュアエレメン トそのもののセキュリティ、安全性の低下を招く可能性があるので十分注意しながら議 論することが必要。
- セキュアエレメントのデータを消去するソフトウェアの内容、品質は重要であり、ソフ トウェアそのものの認定の概念について検討すべき。
- エストニアのスマート ID 等を参考に GP-SE を必要としない方式の必要性も検討すると のことだが、こういったスマート ID 等は、リモート署名の仕組みを含んでいるように 思われるため、リモート署名についても記載したほう良いのではないか。また、利用者 証明用電子証明書が重要なデジタル ID であるという表現になっているが、一般的な表 現なのか確認してほしい。
- 前回議論になった仮 PIN について、スマートフォンで PIN が全く設定されていない状態 で、最初に PIN を設定する際には TSM 側で仮 PIN を設定する必要があるということで理 解した。
- 一時保留時に簡単な本人確認を行うとのことだが、署名用電子証明書が搭載されている スマートフォンを紛失し、それを悪意の第三者が拾得した場合、基本 4 情報、マイナン バー以外ほぼ全ての情報を拾得した者も持っていることとなるが、それは本人確認にな り得るのか。また、一時保留という措置自体の必要性を確認したい。
- 移動端末設備用の電子証明書とカード用の電子証明書の扱いは同等なのかそれとも異な るのか確認したい。
- NIST SP 800-63-2 において議論されていた Level of Assurance(LOA)は、NIST SP 800-63-3 において Identity Assurance のレベル(IAL)、Authenticator Assurance の レベル(AAL)、Federation Assurance のレベル(FAL)の 3 つの体系に分解されてい る。カード用の電子証明書は対面での本人確認のため IAL3 であり、耐タンパ領域に格 納されているため AAL3 である。
- 移動端末設備用の電子証明書について、マイナンバーカードが基となって derived され る環境を経て、プロセスが一定の IAL を保証できるならば、IAL3 と見なすことがで き、鍵の生成においても、秘密鍵は一切外へ出さないため AAL3 であることが保証できることから、対面での本人確認ではないもののカード用の電子証明書と同等と考えても 良いのではないか。
- EU でも同様にナショナル eID から発行された eID については最も高い保証レベルを認 めており、カード用の電子証明書と同等とみなしても良いと考えるが、ライフサイクル が異なるため識別は必要。また識別と区別の 2 つの表現が混在しているが、識別という 表現に統一すべき。
- 署名して申請することとなっているが、15 歳未満の方は署名用電子証明書を持ってい ないため、15 歳以上の方のみを対象にするということで良いのか。
- 国際標準の変化のスピードは早くなっており、スマートフォンのエコシステムにおける デファクトスタンダードとなっている CDD は毎年更新されていることから、毎年確認を していくことが重要。
- 生体認証について、利用者証明用電子証明書への導入を提案し、署名用電子証明書への 導入については要継続検討と考えていたので、一旦このような整理で良いと思うが、将 来に向けての可能性に蓋はしないほうが良い。
- 利用者証明用電子証明書におけるパスワードないし 4 桁の暗証番号、署名用電子証明書 におけるパスワード 6 文字から 16 文字に対して PIN という表現が利用者にとって分か りやすいか否か検討が必要。
- 移動端末設備用の電子証明書とカード用の電子証明書の PIN は違うものであるべき又は 本人の判断で同じものを設定して良いといった考え方はあるのか。PIN を失念する方が 多数いる中、4 桁の方については、生体認証を利用できると道が開けるが、6 桁以上の 方については、またさらに別の PIN を設定するとなると、利用しやすいものになるのか 疑問であるため整理してほしい。
- サービスモデルを展開する中で、例えば健康保険証の活用といった一定の利用者を確保 できるものから、段階的に順次普及を図っていくという考え方も必要。今回のスマート フォン活用の取組は、最終的にはオンライン上で完結することを目指していると思われ るので、ユースケースの将来像の中にあるコンビニ交付については、過渡期としては良 いが、最終的には段階的に収束していく展開を考えるべき。
- エストニアについて、デジタル ID の普及率が 99%ということが取り上げられるが、ス マートフォン活用はあまり進んでいないのが実情で、35%程度しかオンラインでの手続 には利用されていないという話も聞いている。また、我が国が目指しているものと仕組 みに相当な差異があるところ、エストニアの 35%を超えるようなものを目指してほしい。
第1次とりまとめ
第4回(R3-01-29)
○生体認証について、今回の電子証明書のスマートフォンへの搭載の場合にどのように活 用するのか確認したい。基本的には、ローカル PIN やパスワードで署名鍵が暗号化され ており、署名鍵を復号するための情報をスマートフォンに入れないと、電子署名ができ ないこととなる。GP-SE には、いわゆる署名鍵は平文で格納され、その利用の許可をす るために PIN 等の確認をしているのか。 ○基本的な考え方として、ローカル PIN がスマートフォンから入力され、それを GP-SE に 渡し、GP-SE において誤りがないか確認をした後に署名するという手続きとなる。この スマートフォンからの結果に関しては、API を呼び出しその結果として、スマートフォ ンのレベルで一致したか否かの結果が渡ることとなるが、結果の渡し方については議論 の途上であると理解している。 ○GP-SE、マイナンバーカードともに、署名鍵は外から取り出したり、覗いたりすること が一切できないチップ内の領域に平文の形で安全に格納される。カードはその中に入っ ている鍵をどのような状態であれば使えるかという管理機能を有しており、例えば PIN の場合だと、アプリケーションに PIN が入力され、内部の安全な領域に格納されている PIN 情報と照合すると、署名鍵を演算できる状態にするという制御を行っている。 ○生体認証を活用する方向で検討することになっており、提案に示されている方法は有効 かと思われる。一方で、スマホ版の JPKI は、カード版の JPKI と異なり Android 上のア プリケーションと、GP-SE 内のアプリケーションをセットで考えなければならず、特殊 な実装になる。生体認証を実装するに当たって、それぞれのアプリケーション処理の J-LIS の責任分界について、今後検討が必要。 ○提案に示されている問題が万が一発生した場合には、生体認証の機能を停止しつつも JPKI の PIN 入力は使える状態にして利用を継続できる考え方は、責任分界の観点から も非常に有効と思われる。 ○Android の API において、生体認証で認証されたのか、PIN やパターンで認証されたの かは、アプリケーション開発者が知ることができるようになっている。Android の API で使われたのか、ローカル PIN で使われたのかを基盤として知りうる手段をあらかじめ 設計、実装していくことが必要。 ○公的個人認証法第 17 条において、CRL や OCSP を受けられるものが限定されている。住 民基本台帳カードのときは公的機関のみとなっており、マイナンバーカードになったと きに少し緩和されたのが今の状況ではあるが、過剰な規制のように思う。誰でも CRL や OCSP を受けられても良いのではないか。 ○認証局の議論をしている中で ID 事業者という表現は誤解を招く恐れがある。認証業務 を営む事業者、電子署名法では特定認証業務、さらには認定認証業務という表現となっ ており、ID 事業者というのとはレイヤーが別であると認識している。 ○エストニアの事例の eID、Mobile-ID、Smart-ID は、全て共通の eID が使えて、それを IC カードで利用する、SIM に格納してスマートフォンで利用する、簡便なポータルによ り利用するなど日本の考え方とは異なる。 ○日本の場合は電子署名法と公的個人認証法それぞれ別々にあり、基本的に対象は同じ認 証局の世界であることから、まさに相互認証の概念になっていくと思われる。ID 連携 ということではなく、あくまでも X.509 証明書、認証局の連携の話の中で議論をしてい くべきであり、そこでどういった法律体系があるか整理をしていくことが必要。 ○民間 ID といったときに、いわゆる民間署名検証者の議論と、電子署名法上の認証局の 発行した証明書の議論と、それらと紐付いた形で別のデジタル ID のようなものがある ときに、類型化とそれぞれの位置付けを明確にしていくことが必要。 ○現状、JPKI の中でシリアル番号と証明書との紐付けを行っているが、シリアル番号は 連番であり、これまでいくつ証明書が発行されたかほぼ見ることができ、少し番号を変 えると他の方に当たる。シリアル番号はリスクが高いから保護しているという意識では あるが、本来、アイデンティファイアとして使うのであれば、よりエントロピーが高い ものを利用する方が望ましいが、歴史的経緯でシリアル番号による紐付けが広く行われ ている。民間でのユースケースが増えていく中で、本当にこの運用で良いのか。ID ご とに区別して扱えるような仕組みがあることが望ましい。 ○日本の基準は NIST SP800-63-3 や eIDAS を踏まえながら検討されてきたものであるとは 思うが、現状の eIDAS と十分な相互運用性があるものとなっているかは疑問であり、 eIDAS と相互運用性のある基準にしていくことが必要。 ○エストニアの事例の Smart-ID では、ID を入力して、デバイスに確認コードが表示さ れ、それを入力することとなっており、Mobile-ID では、SMS にいわゆるワンタイムパ スコードが送信され、それを入力することとなっている。最近の偽サイトや偽ブラウザ ではこのような仕組みを使って入力文字を搾取することがよく行われており、一見2要 素認証に見えるが実はそうなっておらず、今 NIST で議論になっているという認識。こ れは知識だけの1要素2段階認証であり、フィッシングに対しては脆弱である。 ○電子証明書がスマートフォンに搭載されてより便利に利用できるようになることから、 パスワードではなくて、FIDO 認証を活用し、より広く多くの方々がメリットを享受で きるよう、フィッシングに対する課題を解決できるような利用方法を検討すべき。 ○電子認証について、国が公共分野で民間 ID を受け入れるとなると、その民間 ID はどの 保証レベルに該当するのかを、何らかの形で認定・審査する仕組みが必要になるが、現 状のガイドラインとの整合等、もう少ししっかりした制度設計を行うことが必要。
○EU の場合、eIDAS が法律のようなものとして定義されており、eID などの電子認証がど の保証レベルに該当するかレギュレーションとして規定されている。それぞれの国が そのレギュレーションに合致しているかを評価して公表するという手順を行い、他国 の eID が自国で受けられるか審査する仕組みがある。日本においても、同様にいろい ろな側面から評価するような制度をつくるべき。 ○リモート署名がクラウド型になり導入が容易となっているので、民間や行政手続きで の利用が進んでおり、日本でどの程度本格的に普及しているかを定量的に理解してお いたほうが良い。 ○経済産業省の電子署名法研究会において、リモート署名について検討されており、EU においても同時期に検討を行っていたため、そちらも踏まえながら、JT2A においてリ モート署名のガイドラインを策定しているので、参考にしてほしい。 ○エストニアの事例の Mobile-ID が有料とのことだが、今回の電子証明書のスマートフ ォンへの搭載に関しては、スマートフォンの買換え期間が今5年に1回となってお り、そのうち GP-SE 対応のスマートフォンでしか普及していかず、1人当たりのコス トがどの程度か不明であるため、どこまでのコストを許容できるのか分析した方が良 い。 ○サービスに応じた適切な認証方法について示されているが、今後サービスを提供してい く中でそれぞれのサービスに応じてどの認証方法が良いのかというレベル分けも考えな がら検証いただき、結果をフィードバックしてほしい。
名簿
<有識者> | ||
(座長代理) | 太田直樹 | 株式会社New Stories 代表取締役 |
小尾高史 | 東京工業大学科学技術創成研究院 准教授 | |
楠正憲 | Japan Digital Design株式会社 CTO | |
瀧俊雄 | 株式会社マネーフォワード 取締役執行役員・Fintech研究所長 | |
(座長) | 手塚悟 | 慶應義塾大学環境情報学部 教授 |
野村靖仁 | NPO法人地域情報化推進機構 副理事長 | |
宮内宏 | 宮内・水町IT法律事務所 弁護士 | |
森山光一 | FIDOアライアンス 執行評議会メンバー・ボードメンバー・FIDO Japan WG座長 株式会社NTTドコモ マーケティングプラットフォーム推進部セキュリティサービス担当部長 | |
<自治体・関係団体> | ||
前橋市 | ||
神戸市 | ||
地方公共団体情報システム機構 | ||
一般社団法人テレコムサービス協会 | ||
一般社団法人電気通信事業者協会 | ||
【オブザーバー】 | ||
エヌ・ティ・ティ・コミュニケーションズ株式会社 | ||
xID株式会社 | ||
日本電気株式会社 | ||
株式会社日立製作所 | ||
フェリカネットワークス株式会社 | ||
内閣官房情報通信技術(IT)総合戦略室 | ||
内閣官房番号制度推進室 |