マイナンバーカード是か非か?(基礎編) ~セキュリティの観点から考察する~
はじめに
マイナンバー制度が開始されて2020年10月でちょうど5年になります。
最近ではマイナンバーカードの普及促進としてさまざまな施策を政府は推し進めていますが、総務省の「マイナンバーカード交付状況について」*1を参照すると、2020年8月1日時点で全国普及率18.2%という状況になっています。
この数字をどう見るかは人それぞれですが、政府は「2023年3月末にはほとんどの住民がカードを保有する」という目標*2を掲げております。
今回はマイナンバーカード普及のカギを握るセキュリティ面を中心に、「もにた」君(※)にナビゲートしてもらい考察していきましょう。
※「もにた」とは?
NTTデータ先端技術が開発/提供する運用管理ツール「Hinemos」の公式キャラクターです。
https://store.line.me/stickershop/product/11198281/ja
マイナンバーカードのセキュリティが心配?
マイナンバーカードを取得していない理由のひとつに「セキュリティが心配だから」という意見をよく聞きます。
ただ、必要以上に心配することはないかと思いますので、仮にマイナンバーが漏えいしたとして、どれくらいの損害が発生するのかを考えてみたいと思います。
マイナンバー(12桁の番号)だけでの漏えいでは、実害がほとんどないでしょうというのは以前のコラム*3でも記載しました。
つまりマイナンバー(12桁の番号)+「付帯情報」の重要性とそれらに紐づく個人情報によって、漏えいした場合の個人の損害が大きくなるということが言えると思います。
具体的にどのような例があるか考えてみましょう。
マイナンバーカードを盗難・紛失した場合
まずマイナンバーカードにはどのような情報が記載(保管)されているか確認してみましょう。*6
マイナンバーカードには表面、裏面合わせて以下の情報が記載(保管)されています。
表面
- 氏名
- 住所
- 生年月日
- 性別
- 顔写真
- 電子証明書の有効期限の記載欄
- セキュリティコード
- サインパネル領域(券面の情報に修正が生じた場合、その新しい情報を記載(引越した際の新住所など))
- 臓器提供意思表示欄
裏面
- マイナンバー(12桁の番号)
- 氏名
- ICチップ(電子証明書や住民票コードが保管された必須領域と利活用前提の空き領域がある)
- QRコード(スキャンするとマイナンバー(12桁の番号)を読み取ることができる)
このような情報がマイナンバーカードを盗難・紛失して悪用された場合、どのようなリスクがあるのでしょうか?可能性としては低いけれども、起こり得る場合もあるリスクを含めて洗い出してみると以下のような例があるかと思います。
ストーカー、痴漢、暴行、いやがらせ、ゴミあさり、郵便物の盗み見・抜き取り、盗難、盗聴、盗撮、wi-fiハッキング、不法侵入、身に覚えのない契約(からの金銭被害)、不正口座の開設、不正カード発行、不正借り入れ、なりすましによる被害、給付金等の不正受給、行政手続き情報の改ざん、ポイントの不正受給、デリバリーサービスが勝手に届く、ヘンなモノ・危険物を送られる、今後予定されている健康保険証としての活用や銀行口座などの紐づけに係るシステム不備を突いた攻撃に利用される、などなど。
これらのリスク対応として、マイナンバーカード盗難・紛失の場合は24時間365日体制で連絡を受け付けており*4、一時停止がすぐできるようになっています。
また、マイナポータル上のアクセスもパスワードを一定回数間違えるとロックされる仕組みになっているので、必要以上に盗難・紛失を恐れ、「マイナンバーカードだから持ち歩きは厳禁!」ということはなさそうです。*5
住所、顔写真、生年月日の情報があることで、盗難・紛失の場合は個人の特定や、なりすましに悪用されるなどのリスクが高くなるかもしれません。ただ、運転免許証でも氏名、住所、生年月日、顔写真等の情報がある中で普通に持ち歩きしているので、特別な管理が必要というわけでもないかと思います。
結論的にもし盗難・紛失にあった場合はすぐに一時停止の連絡*4を行い、警察に盗難届もしくは遺失物届を行うことです。その上で本格的に探しても見つからない場合は、発行元の役所に行って紛失・盗難届および再発行手続きなどを行う必要があります。再発行にあたっては必要書類があるかもしれませんので、事前に連絡して確認しておくとよいでしょう。
【ひとくちメモ】マイナンバーカードのICチップに保管されている情報について
マイナンバーカードに搭載されているICチップの構成を見て、どのような情報が保管されているのか確認してみましょう。内容を理解すれば必要以上にセキュリティ面の心配をする必要はないはずです。
出典:総務省「マイナンバーカード」*6
総務省のマイナンバー関連WEBサイト*6を見てみると、ICチップの構成情報なども掲載されています。
「定められている領域」と拡張利用が可能なように「空き領域」がありことが分かります。それぞれの概要は以下のとおりです。
| 領域 | 名称 | 用途 |
|---|---|---|
| 固定 | 公的個人認証AP (JPKIアプリケーション) |
署名用電子証明書、利用者証明用電子証明書が保管され、行政機関のほか、総務大臣が認める企業も活用可能です。 |
| 固定 | 券面事項確認AP (券面事項確認アプリケーション) |
マイナンバーカード券面の画像データが記録されています。 |
| 固定 | 券面事項入力補助AP (券面事項入力補助アプリケーション) |
マイナンバーや基本4情報(住所、氏名、生年月日、性別)が、テキストデータとして記録されています。 |
| 固定 | 住基ネットAP (住基ネットアプリケーション) |
住民票コードがテキストデータとして記録されています。 |
| 空き | - | 市町村・都道府県などは条例で定めるところ、国の行政機関や企業などは総務大臣の定めるところにより利用が可能です。 例:印鑑登録証、身分証明書等 |
固定領域の構成だけではプライバシー性の高い情報は保管されていないようです。ただ、気を付けなければならない点としては「空き領域を今後どのように活用していくのか」という点にあります。
うまく有効活用できれば、自分が自分であることを証明する本人確認をさまざまなシステムで共通化できるようになり、政府が推し進めるSociety 5.0 やDX(デジタルトランスフォーメーション)の中核技術*7になる可能性を秘めています。
出典:総務省「民間事業者におけるマイナンバーカードの活用」
https://www.cao.go.jp/bangouseido/pdf/topic_card_minkan.pdf
逆に空き領域の有効活用だけに着眼してしまい、個人のプライバシーやセキュリティをないがしろにする可能性や、悪意を持ったクラッキング等によって想定外の被害があるかもしれません。どの程度のリスクがあるのかは未知数ですが、今後予定されている健康保険証としての活用や銀行口座との紐づけなども注意して見守る必要があるかと思います。
マイナンバーカードを利用した詐欺の場合
詐欺の場合、マイナンバーカード自体を利用して即座に利益を得るのは難しいため、間接的に金銭をだまし取ったりするやり方が考えられます。昨今の詐欺は劇場型詐欺と言って複数のメンバーが連携して、家族、警察官、弁護士、悪者などの役割をこなしつつ、ターゲットをだますやり方が主流になっているようです。
例を上げて考えてみましょう。
- 市役所の職員などになりすましてターゲットに電話連絡
- マイナンバーが不正に利用されたからカードを交換したいと言ってくる
- 困惑して判断に迷っている状態の時に、悪意を持った別メンバーが警察官や弁護士などを名乗って電話連絡し、事実であることのように誘導する
- 自宅にマイナンバーカード交換しに行くという流れを強引に作る
- 本人確認や口座確認のためなどと適当なことを言いつつキャッシュカードやクレジットカードをだまし取ったり、パスワードを聞き出したりする
マイナンバーカードを切り口にしているものの、本当のターゲットは現金や、換金性の高いキャッシュカード、クレジットカードを狙う手口です。マイナンバーカードの制度や仕様について詳細を理解している人は少ないと思われますので、そのようなスキを突いて攻撃してきます。冷静に考えるとおかしい箇所はたくさんあるのですが、プロ詐欺師の話術というのはこのような矛盾を感じさせない謎の説得力があるものです。手口も巧妙に進化しているため、これだけやっていれば大丈夫というものはないのが現実です。
対策としては1人では判断せず、家族、警察、弁護士、信頼できる友人等に相談するとよいでしょう。
また、内閣府のサイト*8で注意すべきマイナンバー便乗詐欺について詳細が記載されていますので、事前に確認しておくとよいかもしれません。
マイナンバーカードのパスワード
マイナンバーカード発行時には以下の4種類のパスワードを設定する必要があります。
| 種類 | パスワード | ロック | 用途 |
|---|---|---|---|
| 署名用電子証明書 | 英数字6文字以上、16文字以下 (英字は大文字、英字と数字を組み合わせて設定) |
5回(※2) | e-Taxなどインターネットで電子申告を行う際などに、署名用電子証明書の暗証番号を使用します。 |
| 利用者証明用電子証明書 | 数字4文字(※1) | 3回(※2) | マイナポータルや住民票などのコンビニ交付を利用する際などに、利用者証明用電子証明書の暗証番号を使用します。 |
| 住民基本台帳用 | 数字4文字(※1) | 3回(※2) | 転入手続きやカードの住所・氏名等の変更手続きの際などに、住民基本台帳用の暗証番号を使用します。 |
| 券面事項入力補助用 | 数字4文字(※1) | 3回(※2) | 個人番号や基本4情報(住所、氏名、生年月日、性別)を確認し、テキストデータとして利用する際、券面事項入力補助用の暗証番号を使用します。 |
(※1)同一番号を設定することが可能
(※2)パスワード入力を連続して3回(署名用電子証明書は5回)間違えるとロックされます
パスワードを複数設定することで、どの認証でどのパスワードを使えばいいのか混乱するのはある意味あたり前かと思います。例えば新型コロナウイルス対策として政府が支給した「特別定額給付金」のオンライン申請では、5回ほどパスワード入力を間違えてロックしてしまい、区役所への問い合わせが殺到したという報道もありました。
ではなぜこのような「間違いが起こりやすい」認証方式である「ID/パスワード方式」(知識認証方式ともいいます)を採用しているのでしょうか?
推測ではありますが「ID/パスワード方式」は最も低コストで導入できる認証方式であり、他の認証方式と組み合わせることでセキュリティもある程度確保できる便利な認証方式であるからだと思います。
自分が自分であることをシステム上で認識させるためには「認証」という行為が発生します。認証にもさまざまな方式があり、ID/パスワード方式以外にも、生体認証(指紋や静脈といった本人固有の情報で認証する)や、本人しかもっていないICカードなどの外部デバイスを使うやり方、さまざまな認証方式を組み合わせた多要素認証方式などイロイロとあります。
マイナンバーカードでは本人確認用の電子証明書が内蔵されており、カード保有者であれば本人として認証も可能ですが、セキュリティ面を考慮してパスワードも個別に設定しているようです。 利用者の「利便性の確保」を考えると生体認証などでサクッと認証したいところですが、生体情報を読み取るデバイスが必要であったり、プライバシーの配慮も必要であったり、同時に「低コストの実現」も考えなければならず、難しい問題とも言えそうです。
この利用者の「利便性の確保」問題で一歩踏み込んだ施策を実施しているのが厚生労働省です。マイナンバーカードを健康保険証としても利用できるよう準備を進めており、マイナンバーカード利用時の顔認証付きカードリーダー(約10万円相当?)を全国の医療機関および薬局に無償配布する予定*9のようです。
顔認証技術は近年急速に発達しており、うまく機能すればいわゆる「顔パス」で本人認証が可能であり、認証の手間を劇的に改善できる可能性を秘めています。その反面で顔認証デバイスに投資するコスト面が気になるところですが、その予算は2019年度300億円、2020年年度予算は768億円と巨額であり、社会保険診療報酬支払基金から一括調達とありますが、その財源は消費税からのようです。
住基カードってあったよね?
まずは事実を確認してみましょう。
マイナンバーカードの前身とも言える「住基カード」の交付は、2015年12月31日をもって終了しており、2015年3月31日現在での交付状況は約5.5%*10となっています。
約10年間の運用でこの数字ということは、保有するメリットを国民があまり感じられなかった結果と言えるかもしれません。
ただ、個人的には目指す方向性や目的は間違っていなかったように思えます。マイナンバーの基本理念でもある「行政手続きの効率化」、「利便性の向上」、「公正・公平な社会の実現」を当時の環境下で思考錯誤しながら目指している点は、現在と大きく異なることは無く、ただ国民の理解を得るためのアプローチ方法や保有することによる具体的なメリットが希薄であったことが、十分に普及出来なかった原因の一つではないでしょうか。
マイナンバーカードは少なくとも10年の学習期間を経て「迷えば、敗れる。。」ということを理解した上で刷新したものでありますから、今度こそ基本理念の実現に向けて期待したいところですね。
今回のナビゲート役「もにた」君が公式キャラクターを務める、統合運用管理ソフトウェア「Hinemos」のご紹介
Hinemosでは、商用システム運用管理に必要な幅広い機能を備えた、統合運用管理ソフトウェアです。ITシステムのありとあらゆるデータを収集・蓄積し、収集したデータの見える化・分析や、分析結果に基づく運用の自動化を実現することができます。
当社製・国産の統合運用管理ソフトウェアであり、英語・日本語ドキュメントやサポートはもちろん、日本のシステム運用現場で求められる機能が充実しています。
また、安心、便利にHinemosを活用いただくためのサービスも充実しており、製品サポート、アップデート、トレーニング、ソフトウェアをワンパッケージで提供する「Hinemosサブスクリプション」は、80万円~/年という安価な費用感で利用可能です。
日本のシステム運用現場でも安心してご利用頂けるシステム運用の仕組みを、圧倒的な低コストでご提供することで、システム運用のトータルコスト削減を実現します。
詳しくはHinemos公式サイト(https://www.hinemos.info/)でご確認ください!
主な参考文献
- *1:総務省「マイナンバー制度とマイナンバーカード」
https://www.soumu.go.jp/kojinbango_card/ - *2:内閣官房「マイナンバーカードの普及等の取組について」
https://www.kantei.go.jp/jp/singi/it2/dgov/dai6/siryou1.pdf - *3:マイナンバー対応について~セキュリティの観点から~ 第4回 マイナンバー漏えい時の想定被害について
http://www.intellilink.co.jp/article/column/security-myn04.html - *4:内閣府「マイナンバーお問い合わせ」
https://www.cao.go.jp/bangouseido/case/contact/index.html - *5:政府広報オンライン(マイナンバーカードの安全性)
https://www.gov-online.go.jp/tokusyu/mynumber2020/anzen/ - *6:総務省「マイナンバーカード」
https://www.soumu.go.jp/kojinbango_card/03.html - *7:内閣府(制度説明資料、動画)
https://www.cao.go.jp/bangouseido/ad/explain.html - *8:内閣府(マイナンバー制度に便乗した詐欺にご注意ください)
https://www.cao.go.jp/bangouseido/case/individual/caution.html - *9:厚生労働省 社会保障審議会(医療保険部会)(第128回社会保障審議会医療保険部会 )
https://www.mhlw.go.jp/stf/shingi/shingi-hosho_126706.html
https://www.mhlw.go.jp/content/12401000/000641318.pdf - *10:J-LIS(地方公共団体情報システム機構)(住民基本台帳カードの交付状況)
https://www.j-lis.go.jp/data/open/cnt/3/1951/1/card-20150331.pdf
Writer Profile
セキュリティ事業本部
セキュリティコンサルティング担当 チーフコンサルタント
平井 功治
Tweet