ショッピングをはじめ、さまざまなサービスがオンラインで利用できるようになった現在だが、本人確認業務のように、いまだにアナログな手順が要求される場面もある。オープンソース・ソリューション・テクノロジはスマートフォンからIDカード内の情報を読み取れるライブラリを公開し、このような業務の効率化を支援する。
クレジットカードを用いたオンラインショッピング、中古品の売買、銀行口座からの送金など、「お金」を扱うものも含めた幅広いサービスを、インターネット経由で当たり前のように利用できるようになって久しい。だがそれでもまだ、求められる精度の厳格さから、紙や手作業での処理が残ってしまっている業務プロセスがある。本人確認だ。
対面で本人確認する場合ならともかく、インターネット越しでは、「相手が本当にその当人かどうか」を確認する手段が限られている。このため、銀行口座の開設やローンの申し込み、会員登録などの際、他の手続きはオンラインで済ませられても、並行して運転免許証やパスポート、マイナンバーカードのようなIDカードのコピーや画像の提出を求められるケースは少なくない。
このプロセスは不正利用を防ぐために必要な手順だが、サービス事業者、ユーザーの双方にとって手間のかかる作業でもある。他の処理はボタン一つでできるのに、わざわざコピーを取りにいって郵送しなければならない。サービスによっては、登録の際には氏名や住所、生年月日、性別といった情報も手で入力する必要がある。ユーザーの負担となるだけではなく、入力ミスやデータ漏れが発生する可能性もあった。
本人性を確実に担保しつつ、こうした作業を何とか簡素化できないものか――オープンソースソフトウェア(OSS)をベースにエンタープライズ向けの認証ソリューションを提供してきたオープンソース・ソリューション・テクノロジでは、マイナンバーカードや運転免許証に内蔵されている「ICチップ」に着目。これらIDカードのICチップ内に格納された情報や電子証明書をAndroid、iOSのNFCで読み取れるアプリケーションを手軽に開発できるライブラリ「LibJeID」(Library for Japanese Electronic ID)を開発し、一部の機能を無料で公開した。
そもそも、インターネット越しにどうやって確実にユーザー認証や本人確認を行うかは長年の課題で、この数十年、さまざまな方法が模索されてきた。
例えば、ユーザー認証として最も手軽な方法はIDとパスワードの組み合わせによるものだが、安易な使い回しや“なりすまし”のリスクがある。そこで、もっと厳密に本人性が求められるケース、例えば企業システムや金銭を取り扱うWebサービスでは、複数の認証方法を組み合わせる多要素認証の他、IDカードのような「モノ」を組み合わせたり、対面での確認や他の本人確認書類を確認した上で発行する電子証明書を用いたりする方法が利用されてきた。特に大手の企業システムでは、社員証も兼ねたIDカードを発行し、その内部のICチップに保存された電子証明書や秘密鍵を参照して認証、アクセス制御を行う方法を採用するケースもある。
では、会社と社員、あるいは企業間取引ではなく、不特定多数のユーザーを対象にして同じ程度に厳密なユーザー認証を実現できないだろうか。実は、それが可能な方法はある。国が発行している「マイナンバーカード」に格納された情報を活用した公的個人認証だ。
恐らく「マイナンバー」と言ったとたんに、「特定個人情報に当たるため預かるわけにはいかない」と考える企業も多いだろう。しかしそこには誤解がある。国民一人一人に割り当てられる12桁の個人番号(マイナンバー)と、地方自治体が発行する「マイナンバーカード」とは別のものだ。マイナンバーの用途は厳密に定められている一方、マイナンバーカードは氏名、住所、生年月日、性別という基本4情報に加え、写真が付いた公的な本人確認書類として利用でき、内部には公的個人認証に利用できる電子証明書の情報が格納されている。マイナンバーそのものも格納されているが、それは本人確認情報とは別領域に保存されており、独立して利用可能だ。この電子証明書を利用すれば、PKIに基づいた厳密なユーザー認証を実現することができる。
だが実際には、相次いで発生した個人情報流出事件を背景に、「自分の個人情報も漏えいするのではないか」といった漠然とした不安が逆風となり、マイナンバーカードはあまり浸透していない。しかも、利用に当たってはPCに外付けするICカードリーダーが必要となる上、マイナンバーカードで利用できるアプリケーションもe-Taxなど一部に限定されている。利便性がそれほど実感できない割に、コストも手間もかかることから普及は進んでいるとは言い難い。そもそも「このカードって何に使えるの?」と素朴な疑問を抱くユーザーの方が多数派だろう。
オープンソース・ソリューション・テクノロジでは、この部分を何とか解決できないかと考えている。同社 代表取締役 チーフアーキテクト 小田切耕司氏は、「PCではICカードリーダーが必要だが、最近日本国内で販売されているスマートフォンならば、ほとんどがNFC TypeB対応のICカードを読み取ることができる。それを活用し、ICチップ内部の情報や電子証明書の情報を簡単に読み取れるライブラリとしてLibJeIDを提供することで、『IDカードでユーザー認証や本人確認を行う』という行動が広がり、ひいては電子認証市場が拡大していくことに期待している」と話す。
LibJeIDは、マイナンバーカードや運転免許証に搭載されているユーザー認証や本人確認に有用な情報を取得し、さまざまなサービスに利用できるように支援するSDKだ。MacやLinuxなどのデスクトップPCからマイナンバーカードをはじめとするIDカードを読み込めるようにしたOSSのドライバ「OpenSC」をベースに、スマートフォン向けに同様の機能を提供する。
扱う情報に配慮し、マイナンバーは取得せず、氏名、性別、生年月日、住所という基本4情報の取得と入力補助や顔写真の取得を行う「無償版」と、マイナンバーの取得や電子証明書による署名機能も利用でき、公的個人認証に活用できる「有償版」の2種類がある。
2019年10月時点では、Android版でパスポート、在留カード・特別永住者証明書に対応したことに加え、新しくiOS版を公開した。iOS版はまずは運転免許証に対応し、今後他の本人確認書類への対応を拡張していく。
最新の各OSの対応状況は、LibJeIDの製品紹介ページで公開されている。
マイナンバーカード機能項目 | 有償版 | 無償版 |
---|---|---|
券面テキストデータ(氏名、性別、生年月日、住所)取得・入力補助 | ○ | ○ |
券面テキストデータ情報(マイナンバー)取得・入力補助 | ○ | × |
券面画像データ(顔写真画像)取得 | ○ | ○ |
券面画像データ(氏名、性別、生年月日、住所)取得 | ○ | ○ |
券面画像データ(マイナンバー画像)取得 | ○ | × |
署名用電子証明書による署名機能 | ○ | × |
利用者証明用電子証明書による署名機能 | ○ | × |
運転免許証機能項目 | 有償版 | 無償版 |
---|---|---|
券面テキストデータ(氏名、性別、生年月日、住所)取得・入力補助 | ○ | ○ |
券面テキストデータ情報(本籍)取得・入力補助 | ○ | ○ |
券面画像データ(顔写真画像)取得 | ○ | ○ |
券面テキストデータの署名検証(真正性の確認) | ○ | × |
パスポート機能項目 | 有償版 | 無償版 |
---|---|---|
券面テキストデータ(性別、生年月日、住所)取得・入力補助 | ○ | ○ |
券面画像データ(顔写真画像)取得 | ○ | ○ |
Passive Authentication(真正性の確認) | ○ | × |
Active Authentication(ICチップの複製対策) | ○ | × |
在留カード機能項目 | 有償版 | 無償版 |
---|---|---|
券面画像データ(券面事項・顔写真画像)取得 | ○ | ○ |
これまで、金融サービスを中心に、住所や年齢も含めた確実な本人確認が必要なサービスを利用する際には、何らかの本人確認書類の画像を添付したり、コピーを郵送したりする必要があった。だがLibJeIDを用いてアプリを開発すれば、手元のスマートフォンで本人確認書類にタッチするだけで、公的機関に裏打ちされた確実な基本4情報を取得できる。フォームへの入力補助機能を備えているため、登録時の作業も簡素化できることがメリットだ。
例えば、マイナンバー情報を必要としない通常のECサイトならば無償版が適している。アプリを介してIDカードから基本的な情報を読み取り、一瞬でフォームに入力できるため、煩雑だった登録作業を簡素化できる。ユーザーの利便性が向上して登録率の向上が期待できる他、入力ミスのない正確な情報を取得できることも事業者のメリットだ。
一方、法律によってより厳密な本人確認が求められる領域ならば、有償版を用いてマイナンバー情報を取得したり、ICチップ内の電子証明書を用いた本人確認が行えたりする。この結果、「これまで郵送などにかかっていた手間やコストを省ける他、電子署名によってデータの改ざんを検知できるため、画像が偽造されるリスクを抑えることもできる。利便性と安全性の双方を向上させる」と、LibJeIDを開発した同社 技術部 エキスパートの濱野司氏は説明している。
一例として、2018年11月の犯罪収益移転防止法の施行規則改正から、新たに複数の非対面での本人確認手法が認められるようになった。そのうちの「施行規則“へ”」は、本人確認書類のICチップを読み取り、撮影した本人画像との照合を行うことで本人確認をするという方法だが、LibJeIDを利用することで、施行規則“ヘ”に対する実装を容易に行える。
「今や、運転免許証だけではなくパスポートなどにもICチップが格納されているが、ほとんど使う機会がないのはもったいない」(小田切氏)
オープンソース・ソリューション・テクノロジではLibJeIDのサンプルアプリケーションやサンプルアプリケーションのソースコード、LibJeID無償版、関連ドキュメントを公開した。さらに動作が確認できたスマホ機種の情報も提供し、IDカード、内部のICチップを用いた手軽で確実なユーザー認証や本人確認が広がるきっかけにしていきたいとした。
オープンソース・ソリューション・テクノロジは、LibJeIDの公開を機に、オンラインでのユーザー認証や本人確認がいっそう簡単に使えるようになり、セキュリティと利便性、双方の向上につながることを期待している。既に、e-KYC/本人確認APIサービス「TRUSTDOCK」では、改正犯罪収益移転防止法への対応を見据えてLibJeIDの採用を表明済みだ。TRUSTDOCKでは、デジタルで全てが完結する本人確認アプリの開発を進めている。郵送手続きを省きながら確実な本人確認を実現し、事業者、ユーザー、双方の利便性向上とコスト削減に期待しているという。
さらに幾つかの企業が採用に向けて検討を開始しているというが、目を海外に向けると、エストニアやベルギーのように国民ID化プロジェクトを積極的に進め、あらゆる手続きを電子化し、コスト削減に取り組んでいる国もある。それも、仕様を公開し、関連するツールをOSSとして公開するなど、透明性を確保した形で進めていることが特徴だ。
濱野氏は「エストニアでできたことが、日本でもできない理由がない」と述べ、LibJeIDを一つのきっかけにして同じように日本でもデジタル化が進み、簡単かつ低コストでIDカードを利用したユーザー認証や本人確認の仕組みが一般化する未来に期待している。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:オープンソース・ソリューション・テクノロジ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2019年12月1日