2024 年 05 月 16 日
偽造マイナンバーカードによるなりすまし詐欺に有効な本人確認方法とは?
はじめに
この記事では、自社の提供するサービスで本人確認機能を実装している事業者様、同サービスを開発するアプリケーション開発者様向けに、本人確認書類(身分証明書)の偽造精度向上にともなう目検の限界とその対応策について解説します。
自社サービスの本人確認書類確認を目検で行われている事業者様において、今後の対応を検討する一助にしていただければ幸いです。
マイナンバーカード偽造のニュース
最近、偽造されたマイナンバーカードの悪用によりスマートフォンの機種変更が行われたというニュースが報道されています。
2024 年 5 月現在、交付枚数が 1 億枚弱となり、日本で最も普及している本人確認書類となったマイナンバーカードでの事件であるだけに、国民の関心も高いのではないかと思います。
この事件は、マイナンバーカードの券面を目検しており偽造に気付けず被害が出てしまったものですが、ここで誤解したくないのは、マイナンバーカードに限らず、過去より運転免許証など他の本人確認書類でも券面偽造の問題は発生しているということです。
これまで主な偽造のターゲットだった運転免許証などではなくマイナンバーカードで被害が発生したという点で大々的に取り上げられていますが、マイナンバーカード以外の本人確認書類の偽造による被害もニュースになっています。
ここからわかることは、どのような本人確認書類であれ「カード券面ないし券面画像の目検、もしくは機械突合」という作業では、偽造を 100% 見抜くことは困難であるということです。ゆえに、サービスを提供する事業者様にて券面や券面画像の目検、機械突合を取り入れる場合は偽造に気付けない可能性があること、偽造を見抜くためには目検以外の手法を取り入れることを念頭に置く必要があります。
偽造への有効な手段となる IC チップの読み取り
前述の通り画像の目検、機械突合で偽造を 100% 見抜くことは難しいものの、IC チップ搭載の本人確認書類(以下、「IC カード」)であれば、IC チップ読み取りで偽造を見抜くことが可能です。
IC チップ読み取りの本人確認手法としては、大きく以下 2 つがあります。
- 公的個人認証
- 顔写真の撮影+IC チップからの情報読み取り
※他にも手法はありますが本記事では割愛します。
1に利用できる IC カードは以下があります。
- マイナンバーカード
2に利用できる IC カードは以下があります。
- マイナンバーカード
- IC カード免許証
- 在留カードおよび特別永住者証明書
※パスポートも IC チップ搭載ですが、2020 年より発行が開始されているパスポートは住所を記載する欄がなくなり、本人確認書類として利用できなくなりました。
IC チップに搭載される情報は省庁が管理する秘密鍵によって電子署名されており、電子署名されたデータの検証を行うことで偽造の有無を確実に見抜くことが可能です。また、IC チップからは基本 4 情報など、本人確認に必要な情報を取得することができます。
悪意ある第三者により IC チップの内容を模倣されたとしても、秘密鍵は各省庁で厳格に管理されており、同秘密鍵を用いた電子署名は管理している省庁でしか行えないため、署名検証により偽造されたカードであることを見抜くことができます。
偽造への対応1:公的個人認証
IC カードのうち、マイナンバーカードだけは、IC チップの中に公的個人認証を行うための電子証明書が格納されています。
公的個人認証は犯罪収益移転防止法(以下、「犯収法」)施行規則第 6 条第 1 項第 1 号ワとして認められる本人確認手法で、「暗証番号を入力して IC カードをかざす」という非常に簡便ながら厳格な本人確認を実現することが可能です。顔写真や本人確認書類の撮影が不要であり、写真撮影時の映り込みで再撮影といったわずらわしさもありません。目検なしで本人確認を完結できる手法であり、ユーザーへのサービス提供速度向上も見込めます。
図1:従来の手続き(撮影方式)と公的個人認証を用いた手続きの比較
また、政府の取り組みとしてマイナンバーカードのスマートフォン搭載(以下、「スマホ JPKI」)の計画も進んでいます。2024 年 5 月現在、スマホ JPKI は Android 端末への対応のみとなっていますが、iPhone への搭載も協議されています。
スマホ JPKI が一般的になると、「IC カードを一回かざす」というアクションすら不要になり、必要な場面では署名用電子証明書の暗証番号を入力するだけで完結するため、更なる操作性の向上が見込めます。もちろん、スマホ JPKI だから安全性が低いということはなく、実カードと同じだけのセキュリティ強度を持つ管理が行われています。
ワ方式 利用の場合、利用には以下の暗証番号が必要になります。
カード種別 | 暗証番号 |
---|---|
マイナンバーカード | 署名用電子証明書暗証番号(英数字 6 桁~16 桁) (マイナンバーカード受け取り時に自分で設定する値) |
表1:ワ方式 で必要となる暗証番号
偽造への対応2:顔写真の撮影+IC チップからの情報読み取り
マイナンバーカード、IC カード免許証、在留カードおよび特別永住者証明書を用いて、顔写真の撮影と IC チップから読み取った情報(顔写真、基本 4 情報)を利用し本人確認を行うことが可能です。
こちらは犯収法施行規則第 6 条第 1 項第 1 号ヘとして認められる本人確認手法で、公的個人認証に比べ顔写真を撮影する手間はあるものの、本人確認書類の撮影は不要です。撮影した顔写真と IC チップから読み取った顔写真の突合が必要なため、顔認証の精度により目検が必要になることも考えられます。
ヘ方式 利用の場合、利用には以下の暗証番号が必要になります。
カード種別 | 暗証番号 |
---|---|
マイナンバーカード | 照合番号 B(数字 14 桁:生年月日6桁+有効期限西暦4桁+セキュリティコード4桁 (カード券面に全て印字) |
IC カード免許証 | 暗証番号 1(数字 4 桁)+暗証番号 2(数字 4 桁) (IC カード免許証受け取り時に自分で設定する値) |
在留カードおよび特別永住者証明書 | 在留カード等番号(英数字 12 桁:英字 2 桁+数字 8 桁+英字 2 桁) (カード券面右上に印字) |
表2:へ方式 で必要となる暗証番号
離脱率をあげないために
サービスを提供する事業者様の視点にたつと、「セキュリティを確保すると利便性が下がり離脱率があがってしまうのではないか」という懸念を持たれることがあるかもしれません。
その場合、「複数の手法を選択可能としておく」という手段を取ることをお勧めします。
ワ方式 にしろ へ方式 にしろ、「どちらか一方を選んだらその手法しか採用できない」という制約はありません。本人確認が必要になる画面において、まずは利便性に優れる ワ方式 を選択するよう導線を引き、そこで失敗する、もしくはマイナンバーカードを保持していないなどの場合は へ方式 へ誘導することで、片方の方法に依存せず広くユーザーをカバーすることが可能となります。
ここで改めて ワ方式 と へ方式 の違いをまとめます。
ワ方式 公的個人認証 |
へ方式 顔写真撮影+IC チップ読み取り |
|
---|---|---|
対応 IC カード | マイナンバーカード | マイナンバーカード IC カード免許証 在留カード及び特別永住者証明書 |
偽造の検知 | 可能 | 可能 |
顔写真撮影 | 不要 | 必要 |
本人確認書類撮影 | 不要 | 不要 |
IC カード読み取りの暗証番号入力 | 必要 | 必要 |
表3:ワ方式とへ方式の違い
両方式とも IC チップの読み取り+署名検証を行うことで偽造を見抜くことができ、両方式を併用することで離脱率の改善に繋げることが可能です。
オンライン本人確認の今後
オンライン本人確認や文書の電子化など、デジタルトランスフォーメーションとして日常のさまざまな部分で電子化が進み、生活が便利になる一方、利用する側のリテラシーとして、どの方法であればより安全なのかという知識を持つことも重要です。
先だって述べた通りマイナンバーカードの交付枚数は 1 億枚弱となり、行政・民間問わず、今後ますますマイナンバーカードを利用するシーンが増えていくと予想されます。2024 年 5 月にはマイナンバーカードの国外継続利用開始、24 年度中にはマイナンバーカードと運転免許証一体化、25 年度中にはマイナンバーカードと在留カード一体化など、マイナンバーカードの利用シーン拡大に向けた政府の施策も目白押しになっています。
出展:総務省 マイナンバーカード交付状況について
昨今のオンライン本人確認としては、顔写真と本人確認書類を撮影する方式(犯収法施行規則第 6 条第 1 項第 1 号ホ)に対応しているサービスが多くみられますが、利用が進めば悪用を考える第三者も増加するのは避けられず、冒頭に記載したような偽造事件も目につくようになってきています。
そのような中であるからこそ、IC チップ読み取りを行う ワ方式、ヘ方式 といった、より安全な本人確認手法を取り入れていくことが重要であり、それがユーザーの安全を守ることにも繋がると考えます。
サイバートラストの iTrust 本人確認サービスは、公的個人認証や IC チップ読み取り+真贋判定など、へ方式、ワ方式に活用いただく機能を提供しており、デジタル社会における本人確認の安心安全を強力に支援します。事業者様のサービスへ簡易に組み込んでいただけるライブラリ形式、API での提供であり、スマホ JPKI など政府施策へもいち早く対応し、事業者様のサービス提供を加速させます。
今後厳格な IC チップ読み取りの方式をご検討の際は、公的個人認証が開始された最初期より主務省庁認定を受け、サービス提供を続けているサイバートラストまで是非ともお声がけください。複数業界で採用されている実績を元に、導入から運用開始後の法対応まで幅広く支援いたします。