公的個人認証の民間利用

テレビCMもはじまったマイナンバー制度だが、この制度によれば「個人番号カード」が希望者に発行される。これにともない、従来の住民基本台帳カードは廃止される。

住民基本台帳カードは私も持っているし、公的個人認証(JPKI)の電子証明書も取得している(既に有効期限切れ)。遊びで自分のパソコンで電子署名を付けてみたことはあるが、結局、一度も使ったことはない。
理念的には、ネット社会で個人を特定するインフラであるのだが、税の電子申告専用というイメージだった。

そのJPKIが、マイナンバー導入で拡張されるかもしれない。
「公的個人認証サービスの民間活用への期待」(平成26年4月15日 総務省自治行政局住民制度課)という資料によると、個人番号カードには2つの電子証明書が納められるらしい。一つは従来のJPKIと同じ署名用電子証明書だが、もう一つ「利用者証明用電子証明書」というのを新設するという。
この利用者証明用電子証明書というのは、カード本人にかかる基本情報を全く含まない証明書だという。つまり、何も証明事項がない電子証明書というわけだ。

MyNumber-JPKI-crop.jpg

これはなかなかの発想、役所らしくない発想、キーペアだけあげましょう、というわけだ。
何も証明事項はないから、この証明書の機能は、同一人(カード)が利用しているということの保証だけということになる。

ネット・サービスを利用する場合、なりすましの防止が重要なわけだが、ID/パスワード方式は破られる危険を常にはらんでいる。これの代わりとして、ずっと安全性の高い手段になるわけだ。

実装方法はいろいろあるだろうが、サービス提供者がこのカードの公開鍵を使って暗号化したメッセージを利用者に送り、それを利用者がカード内の秘密鍵で復号化することで、利用者を認証するという原理である。
当然、カード内の秘密鍵はカードの外へはエクスポートできない仕様で作られるだろうから、カードをもっていなければ認証できないわけで、かなり確実な本人認証が行える。


ただ、問題もある。
この方法がネット社会で受け入れられるか、デファクトをとれるかである。
サービス提供側は、カードを持っていない人のために従来のID/パスワード方式を捨てることはできないから、単純に追加投資となる。

次に、利用者の公開鍵がサービス提供者に保持されるわけだから、これを使って名寄せができることになる。いろんなサービスに同じIDを使っているのと同じわけだ。

それではということで、シングル・サインオンを別事業者がサービスするというアイデアもある。
つまり、

各サービスは従来どおり、ID/パスワード認証を行うが、そのID/パスワードはシングル・サインオン・サービスから提供する。
ユーザーはシングル・サインオン・サービスの利用にあたって、電子証明書を使った本人認証を受ける。

という仕掛けである。公開鍵がシングル・サインオン事業者に集まることにはなるが、実体サービスにおいてはユーザーの名前やクレジットカード番号といった実社会にリンクした情報が管理されるのに対し、公開鍵だけを集めてもそうした実社会にリンクした情報はないという点が違うわけだ。

もっとも、シングル・サインオン事業者は、ID/パスワードを全部知っているわけだから、ID/パスワードをそれぞれのサービス提供者の鍵で暗号化したうえで預けるとか、パスワードは別管理にするとかしたほうが良いかもしれない。あるいは、シングル・サインオンだけに頼らず、実体サービス側が、自身が保有するユーザー情報(シングル・サインオン事業者が持っていない)を使って利用者確認するなども考えられる。


しかし、良く考えるとなんのことはない、私が使っているパスワード管理ソフト(無料)のように、自分が全ID/パスワードを管理するのとたいして違わないから、サービスとしてあまり魅力はない。それに、カード利用前提だと、スマホでは使えないし。

やっぱり絵に描いた餅か。
関連記事
スポンサーサイト

コメントの投稿

非公開コメント

Gallery
検索フォーム

⇒記事一覧

プロフィール

六二郎。六二郎。


定年退職
苦しい家計の足しに再就職
=いつクビになってもええねん
 言うたもん勝ちや!のブログ
リンク
最新記事
最新コメント
最新トラックバック
アーカイブ
カテゴリ
タグ

書評 ITガジェット マイナンバー Audio/Visual 

リンク
現在の閲覧者数
聞いたもん