中国からの情報を利用して偽造したマイナンバーカードを所持していたとして、中国国籍の女性が逮捕された事件について、報道を受けてSNSやニュースサイトのコメント欄では、「偽造されたカードが他人に不正利用される恐れがある」という誤解が広がっています。この機会に、マイナンバーカードのシステムについて改めて理解を深めたいと思います。
マイナンバーカードの概要
マイナンバーカードに関する概要を再確認しましょう。
マイナンバーとは、日本に住民票を有する全ての人に割り当てられる12桁の固有番号です。このシステムの目的は、「所得や他の行政サービスの受給状態を把握しやすくし、不正給付などを防ぐとともに公平な支援を行うこと」「社会保険、医療などのさまざまな情報を効率よく運用し、行政機関や地方公共団体などにおいて情報の照合や入力にかかる時間や手間を減らすこと」「行政機関の持つ情報の確認や、お知らせなどの受信が行えること」などの目的に含まれます。
マイナンバーカード自体は、個人を識別するための番号が付けられた、ICチップを備えたプラスチック製のカードです。このカードは、マイナポイント事業の対象となっており、カード所有者がキャッシュレス決済サービスを利用する際、購入額やチャージ額に応じてポイント還元が受けられます。また、カードが手元にない場合でも、スマートフォンと連携してその機能の一部を利用することが可能です。
IDとパスワードが漏えい……は誤認
冒頭の事件に関する報道を受けて、SNSやニュースサイトのコメント欄には、「ECサイトのアカウント情報が流出し、第三者に不正利用されるのと同様に、マイナンバーカードも悪用される」という誤解が見られますが、これは正しくありません。
マイナンバーカードには、公的個人認証サービス用の「利用者証明用電子証明書」と「署名用電子証明書」の2種類の電子証明書が組み込まれており、これらは一般的なIDやパスワードとは異なる高度なセキュリティシステムに基づいています。
- 利用者証明用電子証明書:サービス利用者の本人確認で利用
- 読み出すためには、あらかじめ設定した4桁のパスワード(暗証番号)が必要
- 現在は「マイナポータル」へのログインやコンビニエンスストアでの公的証明書発行サービス(一部市区町村のみ対応)などで利用している
署名用電子証明書:電子文章に添付するために利用
- 読み出すためには、あらかじめ設定した6文字以上16文字以下のパスワード(英数字)が必要
- 「e-Tax(国税電子申告・納税システム)」の電子書類提出時などに利用している
署名用電子証明書は、本人確認と文書の改ざん防止の役割を果たし、住所、氏名、性別、生年月日の基本情報を含んでいます。これはe-Taxでの確定申告など、文書を伴う電子申請に利用されます。
一方、利用者証明用電子証明書はサービス認証に使用されます。この証明書には基本情報が含まれていないため、サイトが個人を特定することはできませんが、アクセスしている人が利用者本人であるかどうかを区別することは可能です。
ペアで提供される「秘密鍵」「公開鍵」の存在も覚えておこう
また、マイナンバーカードのセキュリティにおいて重要なのが、「秘密鍵」と「公開鍵」の役割です。これらの鍵はマイナンバーカードが発行される際に一組として提供され、一方の鍵で暗号化されたデータは、もう一方の鍵でのみ復号化できるという特性があります。秘密鍵と公開鍵が、署名用電子証明書と利用者証明用電子証明書でどのように活用されるかを理解することが重要です。
たとえば、e-Taxでの確定申告の際には、次のようなプロセスで暗号化と認証が行われます。
- マイナンバーカードに格納されている秘密鍵で文書を暗号化する
- 文書と合わせて暗号化された文書と公開鍵・電子証明書を送付する
- 発信者(申請者)から送られた公開鍵で暗号化された文書を読める状態にする
- 文書と照合し、改ざんの有無を検知する
- 電子証明書の有効性を照会する
- 電子証明書の有効性を回答する
- 有効なら認証に成功する
もう一方の利用者証明用電子証明書はマイナポータルへのログインや、コンビニで公的な書類を発行する際に使います。その場合には秘密鍵と公開鍵が以下のような流れで利用されます。
- 生成した乱数を送付する
- マイナンバーカードに格納されている秘密鍵で乱数を暗号化する
- 乱数とともに暗号文と公開鍵・電子証明書を送付する
- 発信者(マイナンバーカード利用者)から送付された公開鍵で暗号化された乱数を読める状態にする
- 乱数と照合して改ざんの有無を検知する
- 電子証明書の有効性を照会する
- 電子証明書の有効性を回答する
- 有効なら認証に成功する
券面の複製、偽造だけでは意味なし
今回の報道によれば、「偽のIDチップが付いたカードが押収された」との情報もありますが、単にカードの表面を模倣したり偽造しただけでは、マイナンバーカードに組み込まれたICチップを使用する認証やサービスにはアクセスできません。したがって、カードが複製や偽造されたとしても、「ECサイトのアカウント情報が流出したのと同じ」と騒ぐのは適切ではありません。
ネットの反応は?
中国側はデータを持っていた訳だから、カードから情報が流出したのではなくて、事前に個人情報が漏れていたのでしょう。
その個人情報を基に偽造カード作り放題。
背乗りされた人は、知らない間に犯罪者に仕立て上げられる可能性もある。
やはりマイナンバーカードは、持つべきではないヤバいカードだ。
『マイナンバーカード所有者がキャッシュレス決済事業者を選択し、購入金額またはチャージ金額に対して一定額の特典が各決済サービスのポイントで還元されるマイナポイント事業の対象でもある。』で…無駄な税金を湯水のごとくバラマキましたね… 増税が待っているよね!
編集後記
簡単に偽造できないからって安心して持ち歩けるかって言ったらそんな事ないですよね。
前パスワード数回間違えてロックかかってしまった時も解除するの面倒だったもんなぁ。
セキュリティ面と使い勝手がいい感じの仕組みってないんですかね。
コメント