◯ 「マッチングアプリ」に見る導入の課題。
偽造されにくい「マイナンバーカード」のICチップを活用した本人確認の動きが進みつつある。その重要性と導入に向けた課題について、実際に導入したマッチングアプリ「Pairs」の事例から確認してみよう。
詐欺対策でICチップ認証が注目。
2024年、日本において「SIMスワップ」による詐欺行為が相次ぎ、大きな問題となっている。SIMスワップとは、他人になりすまして他人のSIMを再発行させ、携帯電話番号などを乗っ取る手口である。
そのSIMスワップで悪用されたのがマイナンバーカードだ。犯人は携帯電話ショップでSIMを再発行する際、偽造したマイナンバーカードを本人確認に使用している。ショップではマイナンバーカードの券面だけを確認しているので、偽造を見抜けないようだ。
相次ぐマイナンバーカードの悪用を受けて、マイナンバーカードそのものが批判されるようになった。その一方でマイナンバーカードの券面ではなくICチップを使って本人確認をすればいいのではないかという声も多く上がっている。
マイナンバーカードには、券面の情報などを格納したICチップが搭載されている。その偽造は券面の偽造よりもはるかにハードルが高い。それだけにマイナンバーカードのICチップを用いて本人確認すれば、偽造に関する問題はおおむね解決することになる。
そうした声を受けて行政側も、マイナンバーカードのICチップによる本人確認強化の動きを進めている。ICチップを読み取って本人確認するには、ハードウエアの整備が大きな課題となる。そこでデジタル庁は2024年8月20日、「マイナンバーカード対面確認アプリ」の提供を開始した。
このアプリを利用すれば、スマートフォンでマイナンバーカードのICチップを読み取り、その中に格納された情報を画面に表示できる。新たなハードウエアを導入する必要がなく、手持ちのスマホで手軽かつ確実に本人確認ができる。このアプリの登場により、ICチップによる対面での本人確認は、今後大きく広がる可能性が出てきた。
アプリ内にICチップ認証を導入。
本人確認にマイナンバーカードのICチップを活用する動きは、オンラインサービスでは広がりを見せている。オンラインでの口座開設の際、金融機関などがマイナンバーカードのICチップで本人確認する事例は既にいくつかある。その動きが他の業界にも徐々に拡大しつつあるようだ。
その一例がマッチングアプリである。マッチングアプリ大手の「Pairs」を運営するエウレカは2024年8月22日、マイナンバーカードのICチップによるオンライン本人確認(eKYC)を開始したと発表した。
マッチングアプリは「インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律」に基づき、利用者が18歳以上であることを確認する必要がある。それ故Pairsは、マイナンバーカードや運転免許証などの公的書類と顔写真によるeKYCを既に導入している。今回はそれらに追加する形で、ICチップによるマイナンバーカードの公的個人認証サービス(JPKI)を利用したeKYCを提供する。
ICチップの読み取りには別のアプリを用いるサービスもあるが、Pairsの場合はアプリ内で直接ICチップを読み取って認証する仕組みを導入したという。この仕組みには、ポケットサインが提供する「PocketSign Verify」というシステムを利用する。
具体的な本人確認の手順は次の通り。アプリで「マイナンバーカード スキャン認証」を選んで、マイナンバーカードの署名用パスワードと照合番号B(生年月日6桁、有効期限の西暦4桁、セキュリティーコード4桁)を入力。それからスマホでマイナンバーカードのICチップを読み取れば本人確認が完了する。
なお本人確認の際にアプリが取得する情報は生年月日、性別、顔写真といったマイナンバーの券面に記載されている本人確認用のデータのみ。マイナンバーは取得しない。
エウレカによると、本人確認する上で重要なポイントとなるのは、ICチップ内に保存された顔写真を活用できることだという。ユーザー自身に写真を撮影してもらう方法では、不正行為をされる可能性がある。だがICチップに格納された顔写真を用いればそうした不正は困難になる。
業界横断のノウハウの共有が求められる。
もっともエウレカの説明では、従来のeKYCでも本人確認後に何らかの問題が生じることはなかったという。それにもかかわらず、なぜエウレカは率先してマイナンバーカードのICチップを用いた本人確認を推し進めたのだろうか。
エウレカのシニアプロダクトマネージャーを務める高山善光氏は、本人確認の正確性だけでなく、ユーザーの利便性の向上にもつながるためと説明する。
従来のeKYCではカメラを用いるため、ある程度明るい所で撮影するなど時と場所を選ぶ必要がある。だがICチップを読み取る方式であれば、マイナンバーカードさえあればどこででも本人確認ができる。
従来の方法でも本人確認の正確性は担保できているし、マイナンバーカードの普及もまだ途上であることから、あくまでeKYCの選択肢を増やしてユーザーの利便性を高めるというのが同社の狙いのようだ。
一方で、導入する上ではシステム面よりも法的な部分での対応に苦労したと高山氏は話す。そもそもマイナンバーカードのICチップを用いてオンラインで本人確認するJPKIを利用するには、サービスを提供する事業者が顧客から提供される電子証明書の有効性を確認する必要がある。
そのためには自ら電子証明書の有効性を確認するプラットフォーム事業者になるか、そのプラットフォーム事業者に有効性確認を委託するサービスプロバイダ事業者になる必要がある。
先にも触れたように、エウレカはPairsにプラットフォーム事業者であるポケットサインのシステムを導入し、同社に電子署名などの確認業務を委託している。つまりサービスプロバイダ事業者としてサービスを提供している。だがそれでもサービス提供においては、法律の観点から問題がないかどうか、行政からチェックが求められるという。
しかもJPKIはまだ新しいものなので導入している企業が少ない。IT業界全体で見ても、法律やノウハウなどの知見が多いとは言えない。それだけに、法的な部分での対処などを手探りで進める必要があり、それがサービスを提供する上で大きな課題になっていたようだ。
マイナンバーカードのICチップを用いた本人確認の有用性が高いことは確かだし、マッチングアプリであれば将来的には独身証明などにも活用できることが期待される。ただその導入や活用に向けたノウハウが、特定の企業に限定されるようでは広がりが期待できない。
より多くのサービスに導入され普及を進める上では、サービスを提供する事業者、そして行政との情報共有で導入のハードルを下げていくことが重要になってくるだろう。
