ID連携トラストフレームワーク勉強会第２回

デジタルwatashiアプリを利用した

ユースケースの御紹介

ID連携トラストフレームワーク勉強会

官民ID連携とマイナンバー制度の利活用

～デジタルwatashiアプリ・公的個人認証等の利活用について～

平 成 2 8 年 ３ 月 1 7 日

JIPDEC

（一般財団法人日本情報経済社会推進協会）

電 子 情 報 利 活 用 研 究 部

[email protected]

アジェンダ

• デジタルwatashiアプリのユースケース紹介

１．ユースケース

• デジタルwatashiアプリと利活用シーンの紹介

２．デモ動画

• 技術的要件など

３．デジタルwatashiアプリの具体化

1

１．ユースケース

デジタルwatashiアプリのユースケース紹介

民間サービスから取得した情報を行政機関の申請等に利用

 民間の電子家計簿サービスに蓄積される領収書情報を、行政機関及び行政

サービス（電子申告） が、ID連携し取得することで、医療費控除申告をシー

ムレスに行う。

確定申告の機会

損失の削減

確実な申請による

事務手続き負担の

軽減

マイナンバー制度の利用

（公的個人認証サービス）

による利用者の個人情報の

信頼性向上

3

行政機関から取得した情報を民間サービスに利用

 行政機関等において変更された住所等変更情報を、民間IdP事業者が把握し

ていることで、民間IdP事業者とID連携する電子保証書やリコール通知を

行う民間サービス（RP）が、リコールが発生時に対象利用者へほぼ確実に

通知を行い、回収率を高める。

迅速で確実なリ

コール通知の受信

リコール通知・

回収率の向上

マイナンバー制度の利用（公的

個人認証サービス）による利用

者の個人情報の信頼性向上

通常はIdPの認証連携の

み。リコール発生時には、

IdPから連絡先を取得。

IdPとのID連携によ

り、匿名回収など

のサービス拡大も

望める

4

２．デジタルWATASHIアプリのデモ

デジタルwatashiアプリと利活用シーンの御紹介

デジタルwatashiアプリのご紹介

6

多要素・帯域外認証

機能

主にオンライン

サービスの認証に、

スマートフォンを

認証装置として

利用する機能

属性情報表示機能

主に対面利用を

想定した基本情報

や属性情報等を

表示する機能

２つの機能を持ったアプリの総称

動画のシナリオ

診察券

①デジタルwatashiアプリに格納した診察券やお薬手帳の情報を活用するシーン

②支払った医療費や薬代をオンライン家計簿に連携し、確定申告するシーン

③デジタルwatashiアプリを

スマートフォンにダウン

ロードするシーン

④保証書サービスにリコール

通知のあった製品を

デジタルwatashiアプリの

情報を連携して修理依頼

する シーン

約15分

デモシナリオ 登場人物

IDトラストフレームワークカード

（デモンストレーション用）

氏名

経産 花子

住所

東京都千代田区霞が関

1-3-1

生年月日 平成5年1月1日

性別

女

■けいさん はなこさん（23歳）

職 業：会社員

勤務先：霞が関エナジー株式会社

近 況：少し体が弱く、通院が多いため家計簿をこまめにつけている。

最近、「医療費控除」を知りマイナンバー制度を活用して申告予定。

先日、家電を買い替えた際に「保証書サービス」を見つけ、アプリを

ダウンロードした。

登場人物の「経産花子」さんは、最近マイナンバー制度を活用した『デジタルwatashiアプリ』を

使うことで、本人確認がインターネット上で出来ることを知り、確定申告まで簡単にできる

家計簿サービスを利用し始めた。

【デモシナリオ】電子診察券、電子レシート、電子問診票、申告

予約サイト

オンライン家計簿

⑥領収書データ送信

④診察

⑤会計

⑦薬局受付

⑧会計

①診察券を格納

②診察予約

⑨レシート

撮影・送信

多要素・

帯域外認証

③受付

e-tax

Watashiアプリ

J-LIS

公的個人認証

１

【デモシナリオ】医療費控除申告

①オンライン家計簿

ログイン

⑤申告データ送信

③申告データ集計

④マイナンバーカードを

利用して「e-tax」

にログイン

還付

１

②多要素・

帯域外認証

【デモシナリオ】デジタルwatashiアプリの発行

J-LIS

①仮登録

本登録キー

アプリURL

②認証アプリ

ダウンロード

マルチコピー機 または カードリーダー

③PIN入力

④本人確認

情報表示

⑥端末認証

番号表示

⑧認証アプリで認証

※本人情報とwatashi

アプリを紐づけ

⑤本登録キー入力

124578

⑦端末認証番号入力

アプリURL

１

⑨登録完了

本人確認PF

12

【デモシナリオ】保証書登録、リコール通知、修理依頼

①保証書サービス

へアクセス

本人確認PF

保証書サービス

②認証

③ログイン

_{④製品登録}

メーカー様

⑤リコール通知

⑥PUSH通知

⑦通話

⑧修理依頼

メニュー

１

⑨個人情報取得

⑩個人情報を修理依頼へ

送信することの同意

⑫修理依頼メール

３．デジタルWATASHIアプリの

具体化

技術的要件など

技術要件の策定の観点

• ID連携トラストフレームワー

クに基づくID連携

• より高い安全性とUX（User

eXperience）

利用者のメリット

• デファクトスタンダードなプ

ロトコル（各種技術）の採用

事業者のベネフィット

14

• ID、パスワード管理の手間を低

減

• 既存の認証方式に比べ、安全性

が高く、利用者が使いやすい認

証方式を実現

• サービス事業者（RP）の技術的な

理由による参入障壁を低減（一般

的に広く普及したID連携プロトコ

ルをセキュリティやプライバシー

に配慮して実装するだけで良く、

その他の実装難易度の高い技術に

対応する必要がない

デジタルwatashi

アプリ

15

デジタルwatashiアプリのID連携トラストフレームワーク構成

• 組織の成熟度 • 個人情報保護方針 • 保証プロセス • 審査認証プロセス • 審査員の資格認定

信頼付与機関

(Trust

Framework

Provider)

ポリシー策定者

(Policy Maker)

• 組織の成熟度 • 個人情報保護方針 • 登録および身元確認プロセス • クレデンシャルおよび発行プロ セス

本人確認プラット

フォーム

（IdP）

• 組織の成熟度 _{• 個人情報保護方針}

サービス

_（RP）

利用者

審査員

認定

IdPの評価

RPの評価

サービス利用

登録(身元確認)

認証(当人確認)

ID連携

地方公共団体 情報システム機構 （J-LIS）

レポジトリ

公開

レジストリ

公開

電子証明書 失効情報

有

効

性

確

認

IdP、RPのリスト

デジタルwatashiアプリ

のリスト

ID連携

ID連携

デジタルwatashiアプリ

のポリシー

ポリシー：公的個人認証法

TFP：総務大臣（J-LIS）

総務大臣認定の

評価範囲

アプリの評価

デジタルwatashiア

プリのID連携トラス

トフレームワークの

対象範囲

• 組織の成熟度 • 第三者機関としての公平性 • 各種規定の策定プロセス

16

デジタルwatashiアプリのプロトコル

アプリ間連携・帯域外認証サーバ

ID連携サーバ

（IDPサーバ）

認証プラットフォーム

デジタル

watashi

アプリ

スマホ

サービスBサーバ

（RPサーバ）

サービスAサーバ

（RPサーバ）

ブラウザー

/クライアン

トソフト

サービスA

サービスB

ID連携プロトコル（OAuth対応）に準拠 （認証プラットフォーム事業者、 サービスA事業者、サービスB事業者で 共有するシステム） （認証プラットフォームが提供）

インターネット

公衆回線等

公的個人認証

電子署名検証サーバ

デジタル

watashi

登録システム

（認証プラットフォームが提供）

電子証明書

有効情報

J-LIS

ATM/マルチ端末

電子署名の検証プロトコルに準拠 （認証プラットフォーム事業者内のシス テム）

初回のみの操作

2回目以降の操作

社会的に共有すべきところ

OpenID connectのself-issued OpenID Provider、FIDO UAFや類似プロトコル に準拠（認証プラットフォーム事業者内の システム）

ユーザに合わせて、生体認 証・PIN等が利用可能

【参考】デジタルwatashiアプリが扱う属性情報（想定）

ソース(情報)

属性情報（例）

保証レベル

コンサートチケット

公演名、公演日時、座席等

２

航空券

氏名、搭乗日、区間、座席等

２

ポイントカード

カード番号、署名等

２

保証書

氏名、住所、電話番号、保証者情報、製品情報等

２

診察券

診察券番号、氏名、初診日等

２

会員証

会員番号、氏名、有効期限、写真等

２

クレジットカード

クレジットカード番号、氏名、有効期限、署名等

２

キャッシュカード

店番号、口座番号、氏名等

２

ソース(情報)

属性情報

保証レベル

マイナンバーカード

氏名、住所、性別、生年月日、顔写真、有効期限

３

 身分を証明するために用いられる属性情報

 サービスを利用する権限があることを示す属性情報

※原則として保証レベル２以上を対象とする

ソース(情報)

属性情報（例）

保証レベル

卒業証明書

学籍番号、氏名、生年月日、学部、学科、卒業年月日、学士、発行日等

２

名刺

氏名、所属、役職、メールアドレス、事業所情報

２

資格証明書

氏名、生年月日、資格登録番号、有効期限、カード番号、発行日等

２

社員証

社員番号、氏名、生年月日、事業所情報、発行日、写真等

２

学生証

学籍番号、氏名、生年月日、学部、学科、発行日、有効期限、写真等

２

健康保険証

被保険者番号、氏名、生年月日、性別、資格取得日、交付日、事業所、保険者情報、有効

期限等

２

身体障害者手帳

手帳番号、氏名、生年月日、交付日、障害情報、写真等

３

17

利用者のスマートフォン デジタルwatashi 認証(Verifier) モバイルアプリ/ ブラウザ （RP） デジタルwatashi (Self Issued IdP)

Webサービス （RP） Attribute 同意と許可 認証（PIN、生体等） サービス通信 ATM・マルチ端末 デジタルwatashi登録 システム 申請情報 電子署名 電子証明書 本人確認プラットフォーム 公的個人認証 電子署名検証システム デジタルwatashi アプリの発行管理 Registration Authority(RA) Web受付システム （身元確認） 申請情報 電子署名 電子証明書 申請情報 電子署名 電子証明書 失効情報 Webアプリケーション （登録・認証・認証連 携・属性連携） 証跡DB アカウントID 発行番号 （署名用） 認証・アクセス制御（FW） アカウントID 氏名・住所等 属性情報 端末識別情報 アカウントID

不正に書き換えできない方法で属性情報を格納

アプリ間・帯域外 認証サービス Webサービス （RP） 連携機能(CSP) 登録＋身元確認 利用者のPC Webブラウザ、ク ライアントソフト FIDO Server

18

技術要件の検討・整理箇所

①公的個人認証サービス

による身元確認の実施

（x.509 PKI）

②ID連携プロトコル

のスキーム及び

プロファイル

③利用者認証

（多要素・帯域

外認証）技術

 ①公的個人認証サービスによる身元確認の実施、②ID連携プロトコルのスキーム及びプロファイル、

③利用者認証という役割を分業することで、効率的に環境を実現できる。

Key pair

①公的個人認証サービスによる身元確認（x.509 PKI）

 マイナンバーカードからの情報取得

 署名用電子証明書に記録されている情報を用いて、利用者の身元情報を登録する

こと。

• 利用者の顔写真は、マイナンバーカードのICに記録されている画像を取得（券面APを

利用）し、登録すること。

 セキュアに管理された端末（ATM等）による身元確認の実施

 利用者の生活圏内に多く存在するATMやマルチ端末等を用いて、デジタル

watashiアプリ発行時の身元確認を実施する。

• カードリーダが十分普及している状態ではないため。また、必ずしも利用者の保有する

PC環境等がセキュアとは言えないため。

 マイナンバーカードの失効確認

 プラットフォーム事業者は、本人確認した際の発行番号（シリアル）を証跡とし

て保管する。

• プラットフォーム事業者は、保管している発行番号を用いて、定期的に失効状態を確認

する。失効であることが分かった場合、本人確認プラットフォームへ通知する。

 デジタルwatashiアプリのリカバリ

 デジタルwatashiアプリをリカバリ（機種変更、アプリの再インストール等）す

る場合は、ATMやマルチ端末において再度身元確認を実施する。

• マイナンバーカードが（有効期限切れ、引っ越し、カード紛失等により）失効した場合

も、同様に再度身元確認を実施する。

19

【参考】マイナンバーカードの機能

活用する技術手法 暗証番号 （PIN） 記録される情報 想定される主な用途 認証 その他 公的個人認証 サービス 電子署名（署名用電子証明書等 を利用） あり（6～16桁 の英数字） 署名用電子証明書（氏名、住所、生年月日、 性別、発行番号） ○署名用途 所持 （PKI） 知識（PIN） 法律上、電子文書の真正性の推 定効が発生 電子利用者証明 （利用者証明用 電子証明書を利 用） あり（4桁の数 字） 利用者証明用電子証明書（発行番号） ○認証用途 なし ○認証用途 券面（おもて面） － 氏名、住所、生年月日、 性別、顔写真 ○対面での本人確認 所持 券面AP 個人番号を利用 できる者 個人番号12桁 表面情報（氏名、住所、生年月日、性別、顔写 真）の画像 裏面情報（個人番号） の画像 ○対面での本人確 認時の改ざん検知 ○非対面での本人 確認 所持 個人番号を利用 できない者 14桁（生年月日6桁＋有効期限 西暦部分4桁＋ セキュリティ コード4桁） 表面情報（氏名、住所、 生年月日、性別、顔写 真）の画像 ○対面での本人確 認時の改ざん検知 ○非対面での本人 確認 所持 券面事項入力補 助AP 個人番号及び4情報 あり（4桁の数字） 氏名、住所、生年月日、性別、個人番号、及び その電子署名データ ○対面｜非対面で のテキストデータ 利用 所持 知識 （PIN） 個人番号 個人番号12桁 個人番号及びその電子 署名データ ○対面｜非対面でのテキストデータ 利用 所持 4情報 14桁（生年月日 6桁＋有効期限 西暦部分4桁＋ セキュリティ コード4桁） 氏名、住所、生年月日、 性別、及びその電子署 名データ ○対面｜非対面で のテキストデータ 利用 所持

20

※「公的個人認証サービスの民間開放について」（総務省行政局住民制度課、平成27年9月）をもとにJIPDEC作成

LoA3相当の身元確認

および基本4情報の取得

顔写真の取得

②ID連携プロトコルのスキーム及びプロファイル

 プロファイルの例

 OpenID Connect等の標準的なID連携プロトコルを使用する。

 プライバシー、プライバシー、有効化、ガバナンスに配慮した要件に

遵守し、相互運用性の実現のための技術的要件を指定する。

•

FICAM OpenID2.0 Profile

•

FICAM SAML2.0 Web Browser SSO Profile

プロトコルの仕様の範囲

外（例：プライバシー、

セキュリティ、有効化、

ガバナンス）に拡張する

要件を定めている

TF下のID連携においてプ

ロトコルではオプション

となっている事項につい

て、セキュリティ、プラ

イバシー、相互運用性の

実現に必要な技術的事項

を定めている

21

③利用者認証（多要素、帯域外認証）技術

 パスワードの利用場面を減らし、多要素認証、帯域外認証を

用いて、よりセキュアな認証（LoA3相当）を保証する。

 NIST SP800-63-2 米国政府電子認証ガイドラインによる分類

認証要件

• マルチデバイス連携の場合

帯域外認証

・スマホで認証など

• アプリ間連携の場合

多要素認証

・所有物（スマホ）＋

生体（指紋など）

・所有物（スマホ）＋

記憶（PINなど）

22

【参考例】対面利用時のプロトコル

 JWSのQRエンコード方式

1. 署名方式



QRコードに署名を収めるため、比較的小さ

な署名方式を用いる。

2. JWSヘッダ

3. ペイロード

1.

URL参照方式

•

データ自体をサーバに置いておき、参照先の

URLを格納する

2.

辞書圧縮方式

•

アプリケーション用の圧縮辞書を用いて圧縮

した値を格納する

4. 署名の生成



JWS[RFC7615]に従う

5. QRコード化



署名付きデータは、JWS分離署名である。

ペイロードと分離署名それぞれでQRコード

で表現する。

6. 署名検証



JWSの署名検証プロセスに従う。

7. アプリケーション判断

23

基本情報表示

QRエンコード表示

ペイロード（記載

事項を機械可読な

形式で圧縮して収

録）

_{ヘッダおよび電子}

署名

 対面利用時に、利用者の属性情報を視認しつつ、機械可読な情報をや

り取りすることによって、その情報の否改ざん性を担保する。

技術要件のまとめ

1.

登録と発行プロセス



公的個人認証サービスを用いた本人確認



利用者の保有するスマホとアイデンティティの紐付け

2.

クレデンシャル管理



クレデンシャルの生成、発行、有効化、更新等の要件



セキュアかつ安全なクレデンシャル発行方法（≒アプリの配

布）



セキュアかつ安全なクレデンシャル再発行（個人番号カードを

用いる）

3.

認証要素・認証プロセス



デジタルwatashi認証アプリの要件



認証には、当人確認保証レベル３以上の認証要素（又はその組

合せ）を用いる



マルチデバイス連携の場合、帯域外認証を用いる

•

帯域外認証（OTPなど）



アプリ間連携の場合、多要素認証を用いる

•

多要素認証

–

所有物（スマホ）＋生体（指紋など）

–

所有物（スマホ）＋記憶（PIN、パターンなど）

4.

ID連携プロトコル（アサーション）



デジタルwatashiアプリ（ID連携機能）の仕様



デジタルwatashiアプリにおけるID連携プロトコルの技術的要

求事項

•

OpenID connect（OAuth）、SAML等。

24

デジタルwatashiアプリ技術要件の構成（案）

②ID連携プロトコル

のスキーム及び

プロファイル

①公的個人認証サー

ビスによる身元確認

の実施（x.509

PKI）

③利用者認証（多要素、

帯域外認証）技術

詳しい事業内容は事業報告書として、

「経済産業省：ID連携トラストフレームワーク」

にて公開予定です。

（参考URL）

 経済産業省：ID連携トラストフレームワーク



http://www.meti.go.jp/policy/it_policy/id_renkei/index.html

 総務省：公的個人認証サービスによる電子証明書（民間事業者向け）



http://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html

 地方公共団体情報システム機構（J-LIS）：公的個人認証サービス



https://www.j-lis.go.jp/jinfo/cms_18.html

（お問い合わせ）

 JIPDEC（一般財団法人日本情報経済社会推進協会）

電子情報利活用研究部

ID連携トラストフレームワーク担当（[email protected])

25

ご清聴ありがとうございました