- - PR -
住民基本台帳カードは、電子認証の起爆剤になるか?
投稿者 | 投稿内容 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2003-09-09 08:38
1)秘密かぎはカードから取り出されることなく、内部のCPUで処理されるのですね。
納得しました。もし取り出せたらパソコンのハードディスクにコピーできて カードが無くてもOKということになってしまいますからね... 2)民間が利用するイメージは以下のようなことらしいのですが...(PDFです) 「民間認証事業者による公的個人認証サービスの利用イメージ」 http://www.soumu.go.jp/s-news/2002/pdf/020228_3s14.pdf こんな面倒なことをしなくてもオンラインショッピングはできるような 気がします。公的個人認証を受けることによって何が期待できるのでしょうか? いまいちメリットがわかりません。(高額な買い物ができるようになる?) 3)普及ということを考えると、証明書というものを意識させずに、自動的に 証明手続きがされているというところまでいかないと難しいと思います。 4)住民基本台帳カードの発行手数料は自治体により300〜1000円(500円がほとんど) のようですね。民間電子証明書の発行手数料は1通?あたりいくらぐらいに なるのでしょうか?それによっても普及度合いが変ってくると思います。 | ||||||||||||
|
投稿日時: 2003-09-09 12:34
makuraです。
なか-chanさん 私は現在、ICカードを使ったオンラインショッピングシステムを利用しています。 その図式は、pdfと照らしあわせると、 ・公的個人認証サービスがない ・民間認証事業者は、書留郵便によって本人確認を行う。 という状態です。 これに公的個人認証サービスが加わると、 ・認証の拠り所が住民基本台帳なので、本人確認を確実に行える。 ・認証事業者は公的証明書の失効を確認することで、幽霊会員のデータ管理を削減できる。 ・認証事業者への口座開設時、郵便などの手段に頼ることなくオンラインで口座開設手続きを完了できる。 というメリットがあると思います。(利用者のメリットが希薄なように感じられますが・・・) この図を見ると結局、公的証明を使うのは民間の認証事業者に口座を開設する最初の1回だけで、あとは民間認証事業者が発行した別の証明書を使うようですね。 [ メッセージ編集済み 編集者: makura 編集日時 2003-09-09 12:38 ] | ||||||||||||
|
投稿日時: 2003-09-09 13:56
なにかちょっと論点がおかしいような...
法律論はちょっとひとまず置いておいて... 【セキュリティ】 まず、ICカードやリーダーそのものや書き込まれてある情報等については電子認証その ものではなくセキュリティの問題ですよね。 【情報DBへのアクセス】 そして、makuraさん曰く、 >これに公的個人認証サービスが加わると、 >・認証の拠り所が住民基本台帳なので、本人確認を確実に行える。 >・認証事業者は公的証明書の失効を確認することで、幽霊会員のデータ管理を削減できる。 >・認証事業者への口座開設時、郵便などの手段に頼ることなくオンラインで口座開設手続き >を完了できる。 >というメリットがあると思います。 これは、認証そのもののお話ではなく、何らかのKey情報(基本台帳番号等)をカードか ら読み取って、住民基本台帳DB等にアプリケーションから(APIでも可)アクセスでき た上での話しで、情報を公開するという前提ですね。 私が思うに、電子認証と言うかどうかは別として、ICカードの情報と本人が入力か何かを した情報が一致すればまずはOK。で、問題なのはその情報の出所、つまりはカードを発行 したところが政府であるというところに重要度があるのではないでしょうか? ですから、技術論と複製等のセキュリティを別にすれば、住民基本台帳を元にしていれば ICカードに書き込む情報はID番号とパスワードだけでもOKだと思います。 このことと本人確認とは話は別ですね。 | ||||||||||||
|
投稿日時: 2003-09-09 17:02
makuraです。
Beatleさん 仰りたいことをうまく理解できないので違っていたらご指摘ください。 −仮定− 本人確認を行うには、住民基本台帳に書かれている氏名、住所等の情報を民間に公開するということが前提となる、ならばICカードに記録するのは住基ネットへのIDとパスワードだけでいい。 −仮定− ということでしょうか? 私が考えているのは、以下の2つです。 −仮定− 1.住基カードに格納された証明書に名前や住所が格納されていて、その内容が正しいことを国が証明する。 2.住基カードには名前程度の限られた情報しか格納されておらず、国は当該人物が存在するということを証明する。 −仮定− のどちらか。たぶん2のほうではないかと私は思っていますが、どちらにせよ、この証明書で署名されたデータを送信できるかどうかで、本人性の確認ができると思います。 | ||||||||||||
|
投稿日時: 2003-09-09 18:09
>1.住基カードに格納された証明書に名前や住所が格納されていて、その内容が正しいこと
>を国が証明する。 >2.住基カードには名前程度の限られた情報しか格納されておらず、国は当該人物が存在す >るということを証明する。 >−仮定− > >のどちらか。たぶん2のほうではないかと私は思っていますが まさにそのとおりなのですが、大前提として(電子)認証、本人確認というのはどこまでを 指すのかの定義を問いたかったのです。 住基カードで認証可能なのは、 1.カードの所有者であろう。(何かを入力させるか、写真と実物を見比べることにより確定) 2.日本国内に住民登録をされている。 ということしか無いのでは?と思うのですよ。 これを本人確認と定義するなら(1.のみでも)、特にこのカードは使えるでしょう。 ただし、全員に無条件に配布しないと意味はなくなりますが。 であれば、住民基本台帳番号等は必要もなくて、住民基本台帳に登録されている人には 何かIDとパスワード及び氏名をICカードに書き込めば良いだけです。余計な情報は不要。 でも、その先には当然、死亡届けがでていないかとか、住民基本台帳DBにアクセスする 必要が出てきますね。実際のアプリではこれをしないわけにはいかないでしょう。これは 「本人確認」とは呼ばないかもしれません。(生存確認か?) ここまでを「認証」と呼ぶのかを切り分けないと法律論やら技術論が噛み合わないのでは と思っているのです。 | ||||||||||||
|
投稿日時: 2003-09-09 20:36
公的個人認証と住民基本台帳のコードは、住民基本カードの運用上は異なるもの
なんで、たんに公的個人認証がICカードに格納されているとして議論した 方がこんがらがりませんよ。(失効情報は、住民基本台帳によるのでさらに うっとうしいのですが、) 公的個人認証の署名に何が含まれているかは、決まっているはずです。それを確認して から議論しませんか? 外から見えるのは署名をチェックしたときの情報です。
| ||||||||||||
|
投稿日時: 2003-09-10 02:01
公的個人認証の証明書の中身がここにあります。住所もはいっているので、
つかいずらいです。 http://www.soumu.go.jp/kyoutsuu/syokan/pdf/020607_3c.pdf わかりやすい解説はこれで、 http://premium.nikkeibp.co.jp/e-gov/key033.shtml です。 >利用者の氏名・住所・生年月日・性別の4つの情報が記録された >電子証明書がICカードに載せられることになります。 とのことなんで、かなり使いづらいです。 [ メッセージ編集済み 編集者: zanjibar 編集日時 2003-09-10 02:03 ] | ||||||||||||
|
投稿日時: 2003-09-10 08:04
下記が、総務省が想定している『公的個人認証サービス制度』における民間利用の 目的のようです。
『政府認証基板相互運用性仕様書』等によると、CAの公開鍵を発行しリポジトリを公開するのは 署名検証者(行政機関と民間認証事業者)に対してのみなので、 行政機関に対する電子申請と認証事業者に口座開設するとき以外は使用できません。 >Amnesiannさんの解説によれば > 署名の真正性の確認が取れないようです。 |