目次 I. 事業概要 II. 検討内容 1. 官民 ID 連携トラストフレームワークの検討と環境整備 1 身元確認としてマイナンバーカード等を利用する際の民間サービス事業者の遵守すべき要件とメリットの調査 分析 2 マイナンバーカードのサブカード化の実現性の検討 3 官民 ID 連携のユースケースの

概要報告書

平成28年 3月

一般財団法人日本情報経済社会推進協会

平成２７年度電子経済産業省構築事業

（ＩＤ連携トラストフレームワークを活用した

官民連携の在り方に関する調査研究）

目次

I. 事業概要

II. 検討内容

1.官民ID連携トラストフレームワークの検討と環境整備

① 身元確認としてマイナンバーカード等を利用する際の民間サービ

ス 事業者の遵守すべき要件とメリットの調査・分析

② マイナンバーカードのサブカード化の実現性の検討

③ 官民ID連携のユースケースの具体化および制度整備

④ 官民ID連携の利用者の利便性および事業者の経済性評価

⑤ 官民ID連携トラストフレームワークの課題等の検討

2.勉強会の開催

3.有識者委員会の開催

III.まとめ

1

Ⅰ．事業概要

3

事業概要

 事業目的

 Ｈ28年1月よりマイナンバー制度が開始される。これにより、オンラインで身元確認が可

能となることから新サービスや新市場の創出の促進が見込まれる。本事業では、ID連携ト

ラストフレームワークを活用した具体的なユースケースから官民連携の在り方に関して課

題抽出及び要件整理の調査を実施する。

1.官民ID連携トラストフレームワークの検討と環境整備

①身元確認としてマイナンバーカード等を利用する際の民間サービス事業者の遵守すべき

要件とメリットの調査・分析

②マイナンバーカードの派生証明書であるデジタルwatashiアプリの実現性の検討

③官民ID連携のユースケースの具体化および制度整備

④官民ID連携の利用者の利便性および事業者の経済性評価

⑤官民ID連携トラストフレームワークの課題等の検討

2.勉強会の開催

① 民間企業を集めた勉強会の開催（2回開催）

3.

有識者会議の開催

上記1を効果的に実施するため、有識者からなる検討会（戦略委員会、検討委員会）を開催

4

事業概要図

報告

評価・助言

３．有識者会議の開催

共有

_{内閣官房、} 総務省 等

２．民間企業への勉強会の開催

１．官民ID連携トラストフレームワークの検討

と環境整備

ID連携トラス トフレームワー ク推進コンソー シアム （事務局： JIPDEC）等

普及

啓蒙

_相互

連携

意見

① 戦略委員会の設置、運営

○事業全体の方針

○ID連携トラストフレームワークの推進策の検討

② 検討委員会の設置、運営

○官民ID連携トラストフレームワークにおける技術基準、要件、ルールの検討

○マイナンバー制度の利活用（ユースケース）等の検討・評価

報告

助言

ヒアリング

評価・ニーズ

検討

① 身元確認としてマイナンバーカード等を

利用する際の民間サービス事業者の遵守

すべき要件とメリットの調査・分析

② マイナンバーカードのサブカード化（デ

ジタルwatashiアプリ）の実現性の検討

③ 官民ID連携のユースケースの具体化

および制度整備

④ 官民ID連携の利用者の利便性および事業

者の経済性評価

⑤ 官民ID連携トラストフレームワー

クの課題等の検討

④ 認証（当人確認） ③ クレデンシャル の発行

事業の検討概要

5

「マイナンバーカード」、「公的個人認証制度」および「官民ID連携」についての民間サービス事業

者による利用方法の明確化や具体的なユースケースから官民ID連携トラストフレームワークに求めら

れる事項について検討し、課題の抽出及び要件を整理した。

利用者 民間事業者IdP （本人確認プラットフォーム） J-LIS （公的個人認証サービス） ②’ 身元確認 （電子証明書 の有効性確認） 行政機関 民間事業者 RP デジタル watashi アプリ マイナンバー カード ① 利用者登録 ⑥属性連携 ② 身元確認 民間事業者 RP ⑤’ 認証連携 （IdPによる認証結果) ⑤’ 認証連携 (マイナンバー カードによる認 証結果) ⑤ 認証連携

①身元確認として

マイナンバーカード等を利用

②デジタルwatashiアプリ（マイナンバーカードのサブカード化）

③官民ID連携を行う

ユースケースの具体化

Ⅱ．検討内容

7

１：官民ID連携トラストフレームワークの検討と環境整備

マイナンバーカード、公的個人認証制度の電子証明書およびマイナポータルと民間サービスにおけるID

連携の具体的な検討を通じて、行政機関と民間サービス事業者のID連携トラストフレームワークに求め

られる事項について検討し、課題抽出及び要件整理を実施した。

ヒアリング

評価・ニーズ

検討

① 身元確認としてマイナンバーカード等を

利用する際の民間サービス事業者の遵守

すべき要件とメリットの調査・分析

② マイナンバーカードのサブカード化（デ

ジタルwatashiアプリ）の実現性の検討

③ 官民ID連携のユースケースの具体化

および制度整備

官民ID連携の利用者の利便性および事業者

の経済性評価

官民ID連携トラストフレームワークの課題等

の検討

8

①身元確認としてマイナンバーカード等を利用する際の民間サービス事業者の

遵守すべき要件とメリットの調査・分析

オンラインで実施する身元確認方法を、マイナンバーカードのICチップに格納されたデータ、公的個人

認証制度の電子証明書およびマイナポータルのID連携機能を想定したユースケースについて調査し、

民間サービス事業者のメリットと遵守すべき要件について整理した。

類型

AP利用

公的個人認証サービスの利用

マイナポータルとの連携

利用者証明用電子証明

書による認証

民間事業者発行のクレ

デンシャルによる認証

利用者証明用電子証明

書による認証

民間事業者発行のクレ

デンシャルによる認証

身元確認

身元確認保証レベル2

身元確認保証レベル3

当人確認保証レベル4のクレデンシャル受入れ

利用登録時の身元確認と

してマイナンバーカード

の「券面事項確認AP」

または「券面事項入力補

助AP」を利用。

利用登録時の身元確認としてマイナンバーカード

の「署名用電子証明書」を利用

マイナポータルで「利用者証明用電子証明書」に

よる認証し、属性連携により属性情報を受け取る。

当人確認

当人確認保証レベル

1～4

当人確認保証レベル4

当人確認保証レベル

1～4

当人確認保証レベル4の

クレデンシャル受入れ

当人確認保証レベル

1～4

発行するクレデンシャル

による。

利用時の当人確認とし

てマイナンバーカード

の「利用者証明用電子

証明書」を利用する。

発行するクレデンシャ

ルによる。

マイナポータルと認証

連携する。

発行するクレデンシャ

ルによる。

遵守要件

個人情報保護法に従って

情報の取得を行うこと。

公的個人認証法を遵守し、総務大臣の認定を受け

ること。

現時点では不明。

（何らかの認定を受ける必要がある）

メリット

身元確認保証レベル２相

当の身元確認がオンライ

ンで実施できる。

身元確認保証レベル３相当の身元確認がオンライ

ンで実施できる。

失効確認ができる。

－

－

備考

AP利用するためのソフ

トウェアを準備する必要

がある。

総務大臣の認定を受けるためのハードルが高い。

15歳未満は、「署名用電子証明書」の発行を原

則として受けられない。

－

－

9

（参考）マイナンバーカードでの身元確認

民間事業者が利用登録時の身元確認にマイナンバーカードを使用する場合に、利用することができる機能

（赤字：オンラインにおいて、民間サービス事業者が利用者の身元確認で利用できる機能）

活用する技術手法

暗証番号（PIN）

記録される情報

想定される主な用途

認証要素

その他

券面（おもて面）

－ 氏名、住所、生年月日、性 別、顔写真 ○対面での本人確認 所持

券面事項

確認AP

マイナンバーを 利用できる者 マイナンバー12桁 表面情報（氏名、住所、生 年月日、性別、顔写真）の 画像 裏面情報（マイナンバー） の画像 ○対面での本人確認時の改 ざん検知 ○対面での本人確認の証跡 所持 マイナンバーを 利用できない者 14桁（生年月日6桁＋有効期限西暦部分4桁＋セキュ リティコード4桁） 表面情報（氏名、住所、生 年月日、性別、顔写真）の 画像 ○対面での本人確認時の改 ざん検知 ○対面での本人確認の証跡 所持

券面事項

入力補助AP

マイナンバー及 び 基本4情報 あり（4桁の数字） 氏名、住所、生年月日、性 別、マイナンバー、及びそ の電子署名データ ○対面｜非対面でのテキス トデータ利用 所持 知識 (PIN) マイナンバー マイナンバー12桁 マイナンバー及びその電子 署名データ ○対面｜非対面での本人確認時のテキストデータ利用 所持 基本4情報 14桁（生年月日6桁＋有効 期限西暦部分4桁＋セキュ リティコード4桁） 氏名、住所、生年月日、性 別、及びその電子署名デー タ ○対面｜非対面での本人確 認時のテキストデータ利用 所持

公的個人認

証サービス

電子署名 （署名用電子証 明書を利用） あり（6～16桁の英数字） 署名用電子証明書（氏名、 住所、生年月日、性別、発 行番号） ○署名用途 所持 （PKI） 知識（PIN） 法律上、電子文書の真正性 の推定効が発 生 電子利用者証明 （利用者証明用 電子証明書を利 用） あり（4桁の数字） 利用者証明用電子証明書 （発行番号） ○認証用途 所持（PKI） 知識（PIN） なし ○認証用途 所持 （PKI）

②マイナンバーカードのサブカード化（デジタルwatashiアプリ）の実現性の検討

10

公的個人認証制度で身元確認を行い、スマートフォン上で「身元表示」を可能とするアプリケーション

『デジタルwatashiアプリ』を検討。「当人確認トークン機能」による多要素・帯域外認証を含めた

スマートフォンへの実装方法と技術調査を行い概念設計を実施した。

（経済産業省資料）2015/9/17 ID連携トラストフレームワーク勉強会 http://www.meti.go.jp/policy/it_policy/id_renkei/

利用者が受けたいサービ

スにおいて、使用する属

性情報を使い分けること

（自己情報のコントロー

ル）が可能な環境

11

デジタルWatashiアプリのコンセプト

各言葉の説明

• デジタル化した

•

（デジタルデフォルト）

物理的に見せる証明書であっても、内容等は、必ずデジタル化されている。

• 様々な

•

（属性情報の拡充）

マイナンバーカードで確認できる情報に加えて、ニックネーム、所属会社名、資格等の情報を持っている。

• わたしの情報

•

（本人確認）

マイナンバーカードで本人確認をして、利用者が実在する「わたし」であることが確認されている。

• アプリ

•

（クレデンシャル機能）

利用者の所有している特定のスマホだけにアプリが入っていることや、利用者が特定の回線を利用してい

ること等を用いて、認証強度を強化する。

•

（自己情報コントロール）

利用者が希望すれば、利便性が低下する可能性があるが、複数のアプリを使い分けたり、一度作成したア

プリを破棄し、新しいアプリを作成することが可能である。

デジタル化した様々な「わたしの情報」が入っているアプリ

 マイナンバーカードで本人確認をしたインターネット上の個人の身分証明書やオンライン

認証手段を提供するアプリ

_{※本アプリでは、「マイナンバー」そのものは、取り扱いません。}

デジタルwatashi アプリ 12

デジタルwatashiアプリ・トラストフレームワークの構成

• 組織の成熟度 • 個人情報保護方針 • 保証プロセス • 審査認証プロセス • 審査員の資格認定

信頼付与機関

(Trust Framework Provider)

ポリシー策定者

(Policy Maker) • 組織の成熟度 • 個人情報保護方針 • 登録および身元確認プロセス • クレデンシャルおよび発行プロ セス

IdP

（本人確認プラット フォーム） • 組織の成熟度 • 個人情報保護方針 RP （サービス）

利用者

審査員

認定 IdPの評価 RPの評価 サービス利用 登録(身元確認) 認証(当人確認) ID連携

トラスト

アンカー

地方公共団体 情報システム機構 （J-LIS） レポジトリ

公開

レジストリ

公開

電子証明書 失効情報 有 効 性 確 認 IdP、RPのリスト デジタルwatashiアプリ のリスト ID連携 ID連携 デジタルwatashiアプリ のポリシー アプリの評価 • 組織の成熟度 • 第三者機関としての公平性 • 各種規定の策定プロセス

デジタルwatashiアプリの技術要件の策定の観点

• ID連携トラストフレームワー

クに基づくID連携

• より高い安全性とUX（User

eXperience）

利用者のメリット

• デファクトスタンダードなプ

ロトコル（各種技術）の採用

事業者のベネフィット

13

• ID、パスワード管理の手間を低

減

• 既存の認証方式に比べ、安全性

が高く、利用者が使いやすい認

証方式を実現

• サービス事業者（RP）の技術的な

理由による参入障壁を低減（一般

的に広く普及したID連携プロトコ

ルをセキュリティやプライバシー

に配慮して実装するだけで良く、

その他の実装難易度の高い技術に

対応する必要がない

14

デジタルwatashiアプリのプロトコル

アプリ間連携・帯域外認証サーバ

ID連携サーバ

（IDPサーバ）

認証プラットフォーム

デジタル

watashi

アプリ

スマホ

サービスBサーバ

（RPサーバ）

サービスAサーバ

（RPサーバ）

ブラウザー

/クライアン

トソフト

サービスA

サービスB

ID連携プロトコル（OAuth対応）に準拠 （認証プラットフォーム事業者、 サービスA事業者、サービスB事業者で 共有するシステム） （認証プラットフォームが提供）

インターネット

公衆回線等

公的個人認証

電子署名検証サーバ

デジタル

watashi

登録システム

（認証プラットフォームが提供）

電子証明書

有効情報

J-LIS

ATM/マルチ端末

電子署名の検証プロトコルに準拠 （認証プラットフォーム事業者内のシス テム）

初回のみの操作

2回目以降の操作

社会的に共有すべきところ

OpenID connectのself-issued OpenID Provider、FIDO UAFや類似プロトコル に準拠（認証プラットフォーム事業者内の システム）

ユーザに合わせて、生体認 証・PIN等が利用可能

利用者のスマートフォン デジタルwatashi 認証(Verifier) モバイルアプリ/ ブラウザ （RP） デジタルwatashi (Self Issued IdP)

Webサービス （RP） Attribute 同意と許可 認証（PIN、生体等） サービス通信 ATM・マルチ端末 デジタルwatashi登録 システム 申請情報 電子署名 電子証明書 本人確認プラットフォーム 公的個人認証 電子署名検証システム デジタルwatashi アプリの発行管理 Registration Authority(RA) Web受付システム （身元確認） 申請情報 電子署名 電子証明書 申請情報 電子署名 電子証明書 失効情報 Webアプリケーション （登録・認証・認証連 携・属性連携） 証跡DB アカウントID 発行番号 （署名用） 認証・アクセス制御（FW） アカウントID 氏名・住所等 属性情報 端末識別情報 アカウントID 不正に書き換えできない方法で属性情報を格納 アプリ間・帯域外 認証サービス Webサービス （RP） 連携機能(CSP) 登録＋身元確認 利用者のPC Webブラウザ、ク ライアントソフト FIDO Server 15

デジタルwatashiアプリの技術要件の検討・整理箇所

①公的個人認証サービス

による身元確認の実施

（x.509 PKI）

②ID連携プロトコル

のスキーム及び

プロファイル

③利用者認証（多要

素・帯域外認証）技術

①公的個人認証サービスによる身元確認の実施、②ID連携プロトコルのスキームおよびプロファイル、

③利用者認証という役割を分業することで、効率的に環境を実現できる。

Key pair

16

デジタルwatashiアプリの技術要件

① 公的個人認証サービスによる身元確認の実施（x.509 PKI）

• マイナンバーカードからの情報取得



署名用電子証明書に記録されている情報を用いて、利用者の身元情報を登録すること。

• セキュアに管理された端末（ATM等）による身元確認の実施



利用者の生活圏内に多く存在するATMやマルチ端末等を用いて、デジタルwatashiアプリ発行時の

身元確認を実施する。

• マイナンバーカードの失効確認

 プラットフォーム事業者は、本人確認した際の発行番号（シリアル）を証跡として保管する。

• デジタルwatashiアプリのリカバリ

 デジタルwatashiアプリをリカバリ（機種変更、アプリの再インストール等）する場合は、ATMやマ

ルチ端末において再度身元確認を実施する。

② ID連携プロトコルのスキーム及びプロファイル

• OpenID Connect等の標準的なID連携プロトコルを使用する。

• プライバシー、プライバシー、有効化、ガバナンスに配慮した要件に遵守し、相

互運用性の実現のための技術的要件を指定する。

③ 利用者認証（多要素・帯域外認証）技術

• パスワードの利用場面を減らし、多要素認証、帯域外認証を用いて、よりセキュ

アな認証（LoA3相当）を保証する。

17

③官民ID連携のユースケースの具体化および制度整備

検討に当たっては、「家計管理」や「製品安全」の事業分野において、具体的に想定される

サービス提供候補事業者と共にユースケースを具体化し、プロトタイピング等により視覚化

する。また、当該事業者間でデータ連携を行う際の語彙等の具体的な制度整備も検討する。

●

家計管理ユースケース

民間の電子家計簿サービスに蓄積される領収書情報を、行政機関及び行政サービス（電子申告）と連携

し提供することで、医療費控除申告をシームレスに行うことを想定。

●

製品安全ユースケース

行政機関等において変更された住所等変更情報を、民間IdP事業者が把握していることで、民間IdP事業

者とID連携する製品保証書管理やリコール通知を行う民間サービスが、リコールが発生時に対象利用者

へほぼ確実に通知を行い、回収率を高めることを想定。

身元確認＋登録

家計を電子的に管理

医療費控除対象集計

医療費控除申請

電子家計簿サービスに診察や

薬局等の領収書や交通機関の

乗車記録を蓄積し、電子的に

家計を管理する。

電子家計簿サービスから医療費

対象となる金額等を集計し、医

療費控除申請書を作成する。

家計簿サービスで作成した医療費

控除申請を電子申告する。

民間IdPに公的個人認証を用い

て身元確認した上で、登録（デ

ジタルwatashiアプリ）を行い、

他サービスとID連携する。

民間IdPとID連携

保証書を電子的に管理

リコール情報の通知

所有している保証書を保証書管理サービ

スに登録し、電子的に保証書を管理する。

リコールが発生した際に、保証書管理サービ

スは対象製品を保有している利用者を抽出し、

保証書管理サービスからリコール情報の通知

を行う。（必要に応じて、民間IdPから連絡

先を取得し、修理依頼を行う。）

民間IdPと保証書保管サービスのID連携

を行い、民間IdPのアカウント（公的個

人認証で身元確認した上で発行されたア

カウント）でサービスを利用する。

④ 認証（当人確認）

家計管理ユースケース

18

利用者

民間事業者

IdP

（本人確認

プラットフォーム）

トラストアンカー

J-LIS

（公的個人認証サービス）

②’ 身元確認

（電子証明書

の有効性確認）

行政機関

マイナンバー カード

① 利用者登録

③ クレデンシャルの

発行

⑥属性連携

（医療費控除申請など）

② 身元確認

民間事業者

RP

（家計管理サービス）

⑤’ 認証連携

(IdPによる認証結果)

⑤’ 認証連携

(マイナンバーカー ドによる認証結果)

⑤ 認証連携

家計簿

情報

行政サービス

（確定申告）

民間事業者

AP

(病院、薬局など)

⑥属性連携

（医療費など）

確実な申請手続き

による事務手続き

負担の軽減

マイナンバー制度の利

用（公的個人認証サー

ビス）による利用者の

個人情報の信頼性向上

確定申告の 機会

損失の削減

デジタル watashi アプリ

語彙を整理するこ

とで、スムーズな

データ連携

（家計

簿、領収書等）

受診

情報

製品安全ユースケース

19

利用者

民間事業者

IdP

J-LIS

（公的個人認証サービス）

②’ 身元確認 （電子証明書 の有効性確認）

ポータルサイト

マイナンバー カード ① 利用者登録 ③ クレデンシャル の発行 ④ 認証（当人確認） ⑥属性連携 （住所） ② 身元確認

民間事業者

RP

（保証書管理）

⑤’ 認証連携 (IdPによる認証結果) ⑤’ 認証連携 (個人番号カード による認証結果) ⑤ 認証連携

行政機関AP

（消費者庁等）

民間事業者AP

(メーカー)

⑥属性連携 （リコール情報/ 製品情報） ⑥属性連携 （リコール情報）

リコール

情報

保証書

情報

迅速で確実なリ

コール通知の受

信

リコール対象製品の保

有者を把握することで、

回収率の向上

マイナンバー制度の利用

（公的個人認証サービス）

による利用者の個人情報の

信頼性向上

引っ越しワンストップ

サービスなどから移転

の把握

語彙を整理するこ

とで、スムーズな

データ連携

（製品、

保証書等）

製品

情報

リコール

情報

20

家計管理ユースケース（デモストレーション）

予約サイト

オンライン家計簿

⑥領収書データ送信

④診察

⑤会計

⑦薬局受付

⑧会計

①診察券を格納

②診察予約

⑨レシート

撮影・送信

認証アプリで認証

③受付

e-tax

デジタルWatashi

アプリ

J-LIS

公的個人認証

１

21

製品安全ユースケース（デモストレーション）

①保証書サービス

へアクセス

本人確認PF

保証書サービス

②認証

③ログイン

_{④製品登録}

メーカー様

⑤リコール通知

⑥PUSH通知

⑦通話

⑧修理依頼

メニュー

１

⑨個人情報取得

⑩個人情報を修理依頼へ

送信することの同意

⑫修理依頼メール

22

④利用者および事業者評価

事業者ヒアリングによる評価

現状のサービスにおける身元確認や当人確認の状況をお

聞きした上で、マイナンバー制度や官民ID連携の利活用

した場合の経済性やニーズについてヒアリングを行った。

利用者インタビューによる評価

ユースケースのプロトタイプのデモンストレーション動

画をモニターに見せ、マイナンバー制度を利用するメ

リットや活用拡大アイディアなどについてヒアリング

（グループ・インタビュー）を行った。

具体的な官民ID連携のユースケースを通じて、民間サービス事業者および利用者が経済性、

利便性を評価。また、官民ID連携に対する民間事業者の意見を聴取し、ニーズ等を明らかに

した。

•

期待している点

–

オンラインでの身元確認による本人確認業務のコ

スト削減

–

精度の高い身元確認による不正行為の抑止、アカ

ウントリカバリへの利用

–

サービスの高度化や新規サービスの創出（精度の

高い身元確認によりオフライン→オンラインサー

ビスへ推進）

•

懸念点

– 個人番号カードの普及率

– マイナンバーカードを読み込む手段の拡大（コン

ビニでのマルチ端末など）

– 電子レシートなど証憑の電子化の整備

– ID連携トラストフレームワークの責任分界点

– 利用者の理解

• 利点

– 情報登録の簡素化による時短（効率化・利便

性・経済性）

– 沢山の利用カード（診察券など）を持ち歩かな

くてよい

– ID連携による手入力の省略

• 懸念点

– 情報漏えいの心配（ID連携やデジタルwatashi

アプリ等へのセキュリティに対する懸念）

– レシートの手入力および費目の振り分け等、

データ化の手間

– デジタルwatashiアプリの家族間の連携

23

⑤ 官民ID連携トラストフレームワークの課題等の検討

マイナンバー制度の利活用、及び官民ID連携におけるルールや課題を、個人情報保護にも配慮しつつ検

討し、官民ＩＤ連携トラストフレームワークの要件を整理した。

観点

成果

課題

オンライン完結社会

の実現

•

公的個人認証サービスやデジタ

ルwatashiアプリの利用による

対面書類の撤廃

•

デジタルwatashiアプリによる

利用資格のデジタル化

•

オンラインで機械可読なデータの流通

マイナンバー制度の

活用

•

公的個人認証サービスの利用に

より身元確認の精度向上

•

マイナンバーカードの読込手段として

カードリーダ以外の代替手段の整備

ID連携に基づくデー

タ活用

•

デジタルwatashiアプリによる

自己情報コントロールの実現

•

デジタルwatashiアプリの技術

基準を定めることで参入障壁を

低減

•

サービスに必要な「本人確認の程度

（身元確認および当人確認の保証レベ

ル」

•

取得すべき属性情報の考え方（属性情

報の品質や鮮度、保護のレベル）

普及促進

•

ユースケースの具体化

•

社会システムへの利用

24

２．勉強会開催

マイナンバー制度の一部改訂により、民間サービス事業者が公的個人認証制度の電子証明書

が利用可能となる。その制度の利用範囲や利用に必要な実装事項、大臣認定について関係省

庁から説明。官民ＩＤ連携とマイナンバー制を利活用したデジタルwatashiアプリ、公的個

人認証に寄せる期待などを関係省庁や有識者を招聘した勉強会を合計２回開催した。

回数

テーマ

開催日時

参加者からの意見

第１回 公的個人認証の民間開放に

ついて、関係省庁（経産省、

総務省）から説明いただい

た。

2015年 9月17日

13:00～15:00

•

公的個人認証を利用した官民ID連携およびマイ

ナンバーカードを常時持ち歩かずとも身元証明

ができるサブカード化への期待が寄せられた。

•

一方で、「サブカードはセキュリティをどのよ

うに担保するのか」「ユーザのリスクに対する

意識」等へ不安の声も聞かれた。

第２回 官民ID連携とマイナンバー

制度の利活用について、本

事業で検討した「デジタル

watashiアプリ」および事

業者による「公的個人認証

等の利活用」について説明

いただいた。

2016年3月17日

13:30～16:00

• デジタルwatashiアプリに対して、「ネット社会

の実名取引での信頼性担保」や「印鑑を使う際の

オンラインの代替手段」などの期待が寄せられた。

• 一方で、「ID連携トラストフレームワークの役割

や責任範囲の明確化」や「社会システムとしての

利用シーンの提示」、「デジタルwatashiアプリ

の利用者と家族関係の証明」などについて、今後

検討すべき課題が明らかになった。

25

３．有識者委員会の開催

本事業を推進するに当たり、２つの委員会を設置し、各委員会の検討内容についてご知見・

ご指導をいただいた。

戦略委員会

（２回開催）

•

IT工程表において経済産業省はじめ複数の省庁で「トラストフ

レームワーク」が検討される点、及び個人情報の取り扱いなど

のルールの検討にも関連がある点などを考慮し、他省庁の検討

状況などとの同期を取り、社会基盤の具体化が加速されるよう

なポイントなどについて議論を行った。

検討委員会

（３回開催）

•

マイナンバー制度（マイナンバーカード、公的個人認証制度

サービスなど）の利活用および官民のID連携について、民間企

業のニーズを汲み取りながら、官民におけるID連携トラストフ

レームワークの在り方について議論を行った。

•

デジタルwatashiアプリの技術要件について、議論を行った。

区分 氏名 所属・役職 座長 中村 素典 国立情報学研究所 学術認証推進室 特任教授 委員 久保田 成 日本マイクロソフト株式会社 五味 秀仁 ヤフー株式会社 崎村 夏彦 株式会社野村総合研究所 佐藤 周行 東京大学情報基盤センター 名児耶 融 ヤマトシステム開発株式会社 鳴川 竜介 三菱UFJニコス株式会社 林 達也 株式会社レピダム 宮沢 和正 楽天Edy株式会社 村木 昌信 浦安市 山口 利恵 東京大学大学院情報理工学系研究科 ソーシャルICT研_{究センター 特任准教授} 区分 氏名 所属・役職 委員長 國領 二郎 慶應義塾 常務理事、慶應義塾大学 総合政策学_{部 教授} 委員 須藤 修 東京大学大学院 情報学環 教授 瀬戸 洋一 公立大学首都大学東京産業技術大学院大学 情報_{アーキテクチャ専攻 教授} 高崎 晴夫 株式会社KDDI総研 田代 秀一 独立行政法人情報処理推進機構 中村 素典 国立情報学研究所 学術認証推進室 特任教授

Ⅲ．まとめ

 スマートフォンを活用した、多要素・帯域外認証による認証レベルの向上

まとめ

27

 成果

 オンラインで身元確認が可能となり、確認レベルは 確認コストは

 マイナンバーカード読み取り機器の普及拡大（マルチコピー機やＡＴＭ活

用）

 デジタルwatashiアプリによる自己情報コントロールの実現

 課題

 利用（支払）情報の電子化（電子領収書等）の推進

 オンライン完結社会に対する利用者（生活者）の期待大

 調査研究による実装検証の不足不備

 今後の展望

 オンライン完結社会を推進するための環境づくり（デジタル化、電子領収書

等）

 利用者自身でデータコントロールする環境の拡大（マイナポータル、情報銀

行等）

 オンライン前提社会の実証（デジタルwatashiアプリ）および民間活用

 ID連携トラストフレームワークの整備（ビジネスモデル、責任範囲）

平成２７年度電子経済産業省構築事業

（ＩＤ連携トラストフレームワークを活用した官民連携

の在り方に関する調査研究）

調査報告書

平成

28 年 3 月

一般財団法人日本情報経済社会推進協会

目次 1. はじめに ... 1 2. 本事業の概要 ... 2 本事業の背景 ... 2 2.1. 本事業の目的 ... 5 2.2. 本調査の実施内容 ... 6 2.3. 官民ID 連携トラストフレームワークの検討と環境整備 ... 6 2.3.1. 身元確認としてマイナンバーカード等を利用する際の民間サービス事業 2.3.1.1. 者の遵守すべき要件とメリットの調査・分析 ... 7 マイナンバーカードのサブカード化の実現性の検討 ... 7 2.3.1.2. 官民 ID 連携を行うユースケースの具体化および制度整備 ... 7 2.3.1.3. 利便性および経済性の評価 ... 8 2.3.1.4. 官民 ID 連携トラストフレームワークの課題等の検討 ... 8 2.3.1.5. 勉強会の開催 ... 8 2.3.2. 有識者委員会の開催 ... 8 2.3.3. 実施時期（スケジュール） ... 9 2.4. 3. 官民 ID 連携トラストフレームワークの検討と環境整備 ... 10 身元確認としてマイナンバーカード等を利用する際に民間サービス事業者の遵 3.1. 守すべき要件とメリットの調査・分析 ... 11 背景と目的 ... 11 3.1.1. 身元確認方法の調査 ... 11 3.1.2. 保証レベルについて（前提） ... 12 3.1.2.1. マイナンバー制度について ... 15 3.1.2.2. マイナンバーカードについて ... 16 3.1.2.3. 公的個人認証サービスについて ... 19 3.1.2.4. マイナンバーカードの IC チップに搭載された AP について ... 32 3.1.2.5. マイナンバーカードを用いた身元確認（まとめ） ... 33 3.1.2.6. マイナポータルについて ... 35 3.1.2.7. 身元確認方法の類型 ... 36 3.1.3. マイナンバーカードの IC チップに搭載された AP 利用 ... 36 3.1.3.1. 公的個人認証サービスの利用 ... 38 3.1.3.2. マイナポータルとの連携 ... 41 3.1.3.3. 遵守要件およびメリット ... 45 3.1.4.

マイナンバーカードのサブカード化の実現性の検討 ... 46 3.2. 背景と目的 ... 46 3.2.1. デジタルwatashi アプリの概念 ... 47 3.2.2. デジタル watashi アプリのコンセプト ... 47 3.2.2.1. 自己情報の使い分け ... 49 3.2.2.2. ユーザ認証（当人確認）の強化 ... 51 3.2.2.3. デジタルwatashi アプリの機能 ... 55 3.2.3. 機能概要 ... 55 3.2.3.1. 全体構成 ... 60 3.2.3.2. 機能構成 ... 62 3.2.3.3. 処理フロー ... 63 3.2.3.4. デジタルwatashi アプリの技術的、制度的要件 ... 67 3.2.4. 技術的要件 ... 67 3.2.4.1. 制度的要件 ... 72 3.2.4.2. まとめ ... 75 3.2.5. 脆弱性対策の推進 ... 75 3.2.5.1. トラストフレームワークの具体化 ... 76 3.2.5.2. 相互運用性の確保 ... 76 3.2.5.3. 官民 ID 連携を行うユースケースの具体化および制度整備 ... 77 3.3. 家計管理ユースケース ... 78 3.3.1. ステークホルダーの抽出 ... 80 3.3.1.1. 各ステークホルダーの機能 ... 80 3.3.1.2. デモシナリオ ... 83 3.3.1.3. デモンストレーション環境 ... 103 3.3.1.4. 制度整備（語彙等） ... 104 3.3.1.5. 製品安全ユースケース ... 110 3.3.2. ステークホルダーの抽出 ... 111 3.3.2.1. 各ステークホルダーの機能 ... 112 3.3.2.2. デモシナリオ ... 112 3.3.2.3. デモンストレーション環境 ... 118 3.3.2.4. 製品安全ユースケース（実証実験） ... 120 3.3.3. 実証実験 ... 121 3.3.3.1. 制度整備（語彙等） ... 131 3.3.3.2. 利便性および経済性の評価 ... 135 3.4. 事業者ヒアリングによる評価 ... 135 3.4.1. 利用者インタビューによる調査 ... 141 3.4.2.

官民 ID 連携トラストフレームワークの課題等の検討 ... 144 3.5. 4. 勉強会の開催 ... 146 第 1 回勉強会 ... 146 4.1. 実施テーマ ... 146 4.1.1. 開催概要 ... 146 4.1.2. 第 2 回勉強会 ... 148 4.2. 実施テーマ ... 148 4.2.1. 開催概要 ... 148 4.2.2. 5. 有識者委員会の開催 ... 150 戦略委員会 ... 150 5.1. 委員構成 ... 150 5.1.1. 開催概要 ... 151 5.1.2. 検討委員会 ... 151 5.2. 委員構成 ... 152 5.2.1. 開催概要 ... 152 5.2.2. 6. まとめ ... 154 本事業の成果 ... 154 6.1. 課題の整理 ... 155 6.2. 今後の展望 ... 156 6.3.

1.

はじめに

近年、インターネットサービスに対する「リスト型攻撃」と言われる、他社のサービス から流出したユーザID とパスワードを用いた不正ログインが問題となっている。原因の一 つが、サービスの多様化により、利用者（生活者）が登録したパスワードを覚えきれず、 使い回しをすることが挙げられる。こうした状況から利用者（生活者）が安全で安心して IT を利活用する方法の一つとして、経済産業省を中心に、異なる組織間での ID（アイデン ティティ）連携を行うための信頼関係を構築する「ID 連携トラストフレームワーク」が推 進されてきた。これにより、利用者（生活者）は自身の情報を登録する事業者を選択し、 自己情報コントロールの下で他サービスとID 連携をすることで、安全でプライバシーを確 保したサービスが受けられる。 その中で、ID 連携トラストフレームワークにおけるいくつかの課題が検討されてきたが、 解決できなかった課題としてオンラインにおける本人確認（実在性確認）があった。これ は、対面などによりサービスを利用しようとする本人が申告している情報と本人確認書類 等と同一であることと、同等の確認をオンライン上で行う方法がないことから、残存して きた課題であった。現状は、オンラインサービスを利用するにあたって、サービスに利用 者登録を行った後に郵送による本人確認書類の送付、又は荷物を本人限定書留などで本人 に手渡す際に本人確認をすることで補っている。しかし、平成25 年 6 月に閣議決定された 世界最先端IT 国家創造宣言（IT 戦略）においてマイナンバー制度（公的個人認証サービス の民間開放、個人番号（マイナンバー）カードの利活用など）によって、オンライン上で 非対面の高度な本人確認（実在性確認）が可能となり、それにより前述の課題がクリアと なる。そうすることで、公的個人認証サービスの認定を受ける民間事業者や個人番号（マ イナンバー）カードを利用した本人確認（実在性確認）を活用するサービスが増えること が予測される。そのためにも、オンラインで本人確認（実在性確認）し、オンラインでサ ービス享受が完結できる社会（オンライン完結社会）を目指す上でも、官民でのID（アイ デンティティ）連携を推進、整備していく必要がある。

2.

本事業の概要

本事業の背景 2.1. 各国で、アイデンティティ（以下、「ID」という）を活用し効率的な電子政府システムを 構築するとともに、互換性のある官民、民間の ID 連携による新産業の創出が進められてい る。日本では「世界最先端 IT 国家創造宣言（以下、「IT 戦略」という）」（平成 25 年 6 月） に基づき、異なる組織間での ID 連携やデータ連携のための信頼関係を構築するための ID 連携トラストフレームワークが推進されている。 「IT 利活用の裾野拡大のための規制制度改革集中アクションプラン（平成 25 年 12 月 IT 総合戦略本部決定）」の「テーマ４ 本人確認手続きの見直し」では、「インターネット を利用して行われる本人確認手続きが、利用者の利便性向上、プライバシー保護及び本人 確認の正確性という３つの要素のバランスを取る観点」から「ID 連携による制度間の本人 確認の合理化」の推進があげられ、ID 連携トラストフレームワークの構築が求められてい る。このアクションプランに基づき、内閣官房で実施された「ＩＴコミュニケーション導 入指針に関する調査研究」では、対面・書面交付を前提としているサービスや手続等をは じめとしたＩＴ利活用を阻害する規制・制度の見直しを行ない、「プライバシーやセキュリ ティ保護の観点に配慮しつつ、個人番号カードの公的個人認証サービスによる本人確認の オンライン化の推進を実施することなど電子化を促すための規制緩和等、ＩＴ利活用のた めの新たな法制度を制定すること」等が提案された。 これらの検討結果を踏まえ、IT 戦略が平成 27 年 6 月 30 日に改訂された。改訂された IT 戦略の工程表1_{においては、「１．IT 利活用の深化により未来に向けて成長する社会」の「（２）} ビッグデータ利活用による新事業・サービスの促進」として、経済産業省では、「異なる組 織間での ID 連携やデータ連携のための ID 連携トラストフレームワークを基礎として、総 務省が行う ID 連携の事業（実証、標準化等）と連携し、官民の連携サービスのユースケー ス検討・創出、連携時の課題の抽出及び解決策の導出並びに連携認定基準の検討等を 2015 年度末を目途に行う。」とされており、官民における ID 連携の実現に向けて検討がはじま っている。 「４．IT を利活用した公共サービスがワンストップで受けられる社会」の「（１）安心・ 安全を前提としたマイナンバー制度の活用」として、経済産業省の ID 連携トラストフレー ムワークの検討を踏まえ、2015 年度までに内閣官房、総務省、経済産業省及び関係省庁が 「利便性の向上とセキュリティ確保のバランスがとれた認証機能や認証連携の仕組みの検 討・構築」を実施することとなっている。 1 _{高度情報通信ネットワーク社会推進戦略本部「世界最先端 IT 国家創造宣言 工程表」（平成 27 年 6 月} 30 日改定）https://www.kantei.go.jp/jp/singi/it2/kettei/pdf/20150630/siryou3.pdf

図表 1 関連する取り組みと本事業の位置付け

これらの取組みの中で、経済産業省では、異なる組織におけるパーソナルデータを連携 したサービスの促進を図り、主に民間事業者間の ID 連携トラストフレームワークの構築を 推進してきている。

図表 2 経済産業省による ID 連携トラストフレームワーク事業の成果 年度 実施事業 成果 平成 24 年度 本人確認をした属性情 報を用いた社会基盤構 築に関する調査研究 本人確認の程度による属性情報（パーソナルデータ） の信頼性の整理を行い、トラストフレームワークの 必要性について言及した。 平成 25 年度 「ID 連携トラストフレ ームワーク」の構築のた めの実証事業 米国のトラストフレームワークの仕組みや基準を参 考に、身元確認及び当人確認の保証レベルを定義し た日本における ID 連携トラストフレームワーク基 準案を策定した。併せて、策定した基準をクレジッ トカード会社において適用検証を実施した。 平成 26 年度 ID 連携トラストフレー ムワークの試験プラッ トフォームを活用した ビジネスモデルの実証 事業 ID 連携試験プラットフォームを構築し、ビジネスモ デルコンテストを開催し、サービス提供事業者（RP） を募り、効果検証を実施するとともに、ビジネスモ デルの収集と ID 連携トラストフレームワークの普 及啓発を図った。 また、平成 25 年度に策定された基準案を基に、 ISO/IEC29115 及び FICAM TFPAP v2.0.2 と整合するよ うに改訂が行われた。 上記の検討の中で、事業者がID 連携を利用したサービスの実施及び ID 連携トラストフ レームワークの構築の実現への課題が明らかにされている。平成25 年度の検討結果では、 「本人確認のコストの過重」、「オンラインで発行元機関に直接照会することができない」 などの課題が明らかになり、平成26 年度の検討結果では、「登録項目の手間による機会損 失」が明らかになっている。 これらの課題については、「電子署名等に係る地方公共団体情報システム機構の認証業務 に関する法律」（改正前「電子署名に係る地方公共団体の認証業務に関する法律」。以下、「公 的個人認証法」という）が改正され、平成28 年 1 月より、行政機関等に限られていた署名 検証者等の範囲を総務大臣が認める民間事業者まで拡大され、オンラインでの身元確認が 可能となることで解決される。 公的個人認証サービスとは、インターネット上での申請や届出を行う際に、第三者によ る「なりすまし」や「データの改ざん」を防ぐために用いられる本人確認手段を提供する サービスであり、マイナンバーカード（個人番号カード）に搭載されている電子証明書を 利用して基本４情報の確認及び電子証明書の発行元である地方公共団体情報システム機構 （以下、「J-LIS」という）によるマイナンバーカードの失効確認を行うことが可能であり、 オンラインでも身元確認が実現できる。 本事業は、「オンライン完結社会」の実現に向けて、これまでの経済産業省での検討成果 及びマイナンバー制度の動向を踏まえて、ID 連携トラストフレームワークを活用した官民 連携について調査するものである。

本事業の目的 2.2. 平成28 年１月よりマイナンバー制度が開始され、民間事業者も公的個人認証サービスを 利用することで、身元確認のオンライン完結が実現できる環境が整い、様々なサービスへ の活用に向けた検討が始まっている。また、平成29 年にはマイナポータルの運用が開始さ れ、個人の管理の下で行政機関が保有するパーソナルデータを民間サービスで利活用でき る仕組みが実現されようとしている。 本事業では、安心安全な官民におけるID 連携（以下、「官民 ID 連携」という）を容易に するとともに、マイナンバー制度の利活用の促進を図ることを目的とし、民間事業者のニ ーズに即した具体的なユースケースを発掘し、実現に向けて、民間事業者が遵守すべきセ キュリティ等の技術基準を明らかにするとともに、官民ID 連携トラストフレームワークの 課題の整理を実施した。併せて、マイナンバー制度の利活用した新規ビジネスの創造を図 るため、普及啓蒙を実施した。 本事業の主な目標を以下に示す。  官民 ID 連携トラストフレームワークの検討  マイナンバーカード等を身元確認に利用する際に、民間事業者が遵守すべき要件を整 理し、提示することで、マイナンバー制度の利活用の促進を図る。  利用者による「ペルソナを使い分けられる（自己情報のコントロール）環境」を目指 し、マイナンバーカードのサブカード化（マイナンバーカードを利用した身元確認を 基にして発行されるアカウントを利用し、対面／非対面での身元確認及びスマートフ ォンを利用した当人確認を実現）の実現に向けて、サブカード化に必要な技術基準を 作成する。  官民 ID 連携のユースケースを具体化することで、必要な制度整備を整理する。また、 これらユースケースから官民 ID 連携に対する事業者の経済性及び利用者の利便性を評 価し、ID 連携トラストフレームワークの要件を整理する。  普及促進  マイナンバー制度を利活用したビジネスの普及促進を図るため、ID 連携トラストフレ ームワーク及びマイナンバー制度に関する勉強会を開催する。 なお、本調査の基本となるID 連携トラストフレームワークについては、平成 25 年度電 子経済産業省構築事業（「ＩＤ連携トラストフレームワーク」の構築のための実証事業）及 び平成26 年度電子経済産業省構築事業（ＩＤ連携トラストフレームワークの試験プラット フォームを活用したビジネスモデルの実証事業）の結果を活用している。

本調査の実施内容 2.3. 本事業の全体像を、以下に示す。 図表 3 本事業の全体像 官民 ID 連携トラストフレームワークの検討と環境整備 2.3.1. 「マイナンバーカード」、「公的個人認証サービス」及び「官民ID 連携」についての民間 事業者による利用方法の明確化や具体的なユースケースを検討し、プロトタイピングによ る視覚化を通じて、行政機関と民間サービスの官民ID 連携トラストフレームワークに求め られる事項について検討し、課題の抽出及び要件を整理した。また、民間サービス事業者 における経済性、利用者（生活者）における利便性を評価した。

図表 4 検討範囲 身元確認としてマイナンバーカード等を利用する際の民間サービス事業者の 2.3.1.1. 遵守すべき要件とメリットの調査・分析 民間サービスにおける利用登録時の身元確認に、①マイナンバーカードの IC チップに格 納されたデータ、②公的個人認証サービスの電子証明書及び③官民の ID 連携機能の利用を 想定した場合に、民間サービス事業者が遵守すべき要件の整理及び民間サービス事業者に おけるメリットを整理した。 マイナンバーカードのサブカード化の実現性の検討 2.3.1.2. 公的個人認証サービスの電子証明書で身元確認を行い、民間サービスとして電子身分証 明書、電子興行チケット、電子診察券等として利用可能なサブカード化（デジタル watashi アプリ）の実現方法について、民間事業者のニーズ、メリットを踏まえて検討した。検討 にあたり、①身元確認をした項目や民間サービスに追加した項目を視覚的に表示し目視確 認できる、又は機械可読なデータとして提供できる身元表示機能、②パソコン等でログイ ンしようとした際に、スマートフォンを近距離通信や携帯電話回線経由で利用して、当人 確認のクレデンシャルとして利用するための当人確認トークン機能を実現するための技術 調査を実施し、官民 ID 連携トラストフレームワークにおける技術基準を策定した。 官民 ID 連携を行うユースケースの具体化および制度整備 2.3.1.3. 行政機関から利用者本人が取得した情報を使った官民ID 連携を行うユースケースとして 「製品安全（ワンストップサービスとの連携）」、民間サービスから取得した情報を使った 官民ID 連携を行うユースケースとして「家計管理（e-Tax との連携）」をそれぞれ具体化し

た。また、各ユースケースにおいて、当該事業者間でデータ連携を行う際の語彙等の具体 的な制度整備の検討を実施した。 利便性および経済性の評価 2.3.1.4. 官民ID 連携のユースケースの具体化を通じて、民間サービス事業者における経済性、利 用者における利便性を評価した。また、官民ID 連携に対する民間事業者の意見を聴取し、 ニーズ等を明らかにした。 官民 ID 連携トラストフレームワークの課題等の検討 2.3.1.5. 前述の検討から、マイナンバー制度の利活用、及び官民ID 連携におけるルールや課題を、 個人情報保護にも配慮しつつ検討し、官民ＩＤ連携トラストフレームワークの要件を整理 した。 勉強会の開催 2.3.2. マイナンバー制度の施行に関連して整備されるマイナンバーカード、公的個人認証サー ビスの電子証明書、官民ID 連携等の利活用を促進するにあたり、ID 連携トラストフレー ムワークおよびマイナンバー制度の理解と認知度を向上するため、勉強会を合計２回開催 した。 有識者委員会の開催 2.3.3. 本事業を効果的に実施するため、事業全体方針、ID 連携トラストフレームワークの推進 策、マイナンバー制度の利活用等の検討・評価を行うために、学識経験者及び産業界有識 者等から構成される戦略委員会及び検討委員会を設置した。 「検討委員会」では、マイナンバーカード、公的個人認証サービスの電子証明書及びマ イナポータルと民間サービスにおけるID 連携について、民間企業のニーズを汲み取りなが ら、官民ID 連携トラストフレームワークの在り方について検討を行った。 「戦略委員会」では、事業方針、ID 連携トラストフレームワークの推進策等を検討し、 関係府省庁と連携を図りながら本事業を推進した。 特に、「戦略委員会」は、前述IT 工程表において経済産業省はじめ複数の省庁で「トラ ストフレームワーク」が検討される点、並びに個人情報の取り扱い等のルールの検討にも 関連がある点などを考慮し、他省庁の検討状況などとの同期を取り、社会基盤の具体化が 加速されるようなポイントなどについて議論を行うために設置した。

実施時期（スケジュール）

2.4.

本事業の実施スケジュールを以下に示す。

3.

官民 ID 連携トラストフレームワークの検討と環境整備

本章では、マイナンバーカード、公的個人認証サービスの電子証明書及びマイナポータ ルと民間サービスにおけるID 連携の具体的な検討を通じて、行政機関と民間サービス事業 者のID 連携トラストフレームワークに求められる事項について検討し、課題抽出及び要件 整理を実施した結果を記載する。 図表 6 本章における検討範囲 まず第1 節に、「身元確認としてマイナンバーカード等を利用する際の民間サービス事業 者の遵守すべき要件とメリットの調査・分析」を実施した結果の概要について記載する。 第2 節に、「マイナンバーカードのサブカード化の実現性の検討」結果について記載する。 第3 節に、「官民 ID 連携を行うユースケースの具体化」について、ユースケースを具体化 し、そのユースケースを題材に事業者ヒアリング、利用者インタビューによって調査した 結果を記載し、第4 節の「利便性および経済性の評価」で概括した内容を記載する。最後 の第5 節に、本調査の結果を踏まえて「官民 ID 連携トラストフレームワークの課題等の検 討」を行い、今後のID 連携トラストフレームワークを活用した社会推進のための課題につ いて記載する。

身元確認としてマイナンバーカード等を利用する際に民間サービス事業者の 3.1. 遵守すべき要件とメリットの調査・分析 背景と目的 3.1.1. インターネット上で提供される様々なサービスを利用する際、官民を問わず利用登録が 必要となる場合がある。その中でも、法制度や業界規制等により程度の差はあるがサービ ス利用登録時に身元確認を伴うことがある。 非対面ではあっても、オフラインや機械可読でないデータを介した方法によって身元確 認（証明書類のコピーを郵送する方法や証明書類の写真データを送信する方法）が行われ ていることがある。マイナンバー制度により整備される環境を利用することによって、民 間サービスにおいてもオンラインで身元確認を完結することが可能となった。 図表 7 民間事業者によるマイナンバーカードを利用した身元確認のサービスイメージ この様な背景を受け、民間サービスにおける利用登録時の身元確認にマイナンバー等を 利用する場合に民間サービス事業者が遵守すべき要件及びそのメリットを明らかにするた め調査を行った。 本調査では、オンラインで完結する身元確認方法を対象としており、マイナンバーカー ドのIC チップに格納されたデータ、公的個人認証サービスの電子証明書及びマイナポータ ルのID 連携機能を利用すること想定したケースについて調査し、民間サービス事業者の遵 守すべき要件、民間サービス事業者にとってのメリットについて整理した。 身元確認方法の調査 3.1.2. 本節では、マイナンバー制度により整備されるオンラインで完結する身元確認方法に関 係する事項について調査した結果を記載する。

保証レベルについて（前提） 3.1.2.1. 身元確認方法の調査の前提として、ID 連携トラストフレームワークの基準における保証 レベルについて説明する。 ID 連携トラストフレームワークとは、ID 連携における関係者（利用者（ユーザ）、ID プ ロバイダ（以下、「IdP」という）、リライング・パーティ（以下、「RP」という））が、互 いに、認証、アイデンティティ、セキュリティ、プライバシー及び個人情報保護の状況に ついて把握し、その状況について信頼できるようにする枠組みをいう。 ID 連携トラストフレームワークでは、関係者間で「実在性と真正性の確認がどれだけの レベル（身元確認保証レベル）で行われているか」、「同一性の確認はどれだけのレベル（当 人確認保証レベル）で行われているか」、「プライバシー及び個人情報保護はどれだけ適切 になされているか」等について把握できるようにするための統一の基準が必要である。平 成25 年度に ID 連携トラストフレームワークの基準を策定（平成 26 年度に改訂）した。基 準の構成を以下に示す。 図表 8 IT 連携トラストフレームワークの基準の構成 ID 連携トラストフレームワークの基準では、認証における、「身元確認」の保証を身元確 認保証レベルとし、「当人確認」の保証を当人確認保証レベルをと定義している。IdP は、 提示されるアイデンティティの確からしさ「身元確認」と、ユーザが本当に登録されたユ ーザであるかの確からしさ「当人確認」の2 つの観点から保証する。

身元確認保証レベルと当人確認保証レベルは、信用の低いものから、非常に高いものま

での4 つのレベルで表される。レベル 1 が最も信用が低く、レベル 4 が最も信用が高い。

身元確認は主に架空人物（実在性）及び不適当な属性情報登録（真正性）の排除に関わり、 当人確認は主になりすまし（同一性）の排除に関わるものである。身元確認保証レベルと 当人確認保証レベルを比較し、低い方を全体の保証レベルとする。

身元確認保証レベル (登録時のレベルを規定) 当人確認保証レベル (クレデンシャルの管理、ユーザの認証、アサーション等のレベルを規定) 評価軸 登録 クレデンシャルの管理 ユーザの認証 アサーション レベル 1 （低） （対面/非対面） ・自己申告。身元確認は不要 ・共有秘密のアクセス管理 ・アクセス者の限定 ・長期共有秘密の第三者開示は絶対的 な理由が存在する場合のみ ・単要素認証 ・オンライン推測攻撃対 策 ・リプレイ攻撃対策 以下の対策を行う ・アサーションの自作/ 改ざん ・アサーションの再利用 レベル 1＋（対面/非対面） ・本人確認が出来る書類の提示 レベル 2 （中） (対面) ・写真付き公的な本人確認が出来る書 類の提示 （非対面） ・公的機関および、金融または携帯電 話事業者の個別番号を提示。いずれか の番号を含めて申請情報を記録と照 合。 レベル 1 に加え ・共有秘密の保護（ソルトハッシュの 利用、暗号の利用） ・長期共有秘密鍵の開示は ID プロバイ ダが運営する検証者に限定 ・更新/再発行のポリシーの作成 レベル 1 に加え ・セッションハイジャッ ク対策 ・盗聴対策 ・弱中間者攻撃対策 レベル 1 に加え ・アサーションの漏洩、 リダイレクト レベル 3 （高） （対面） ・レベル 2 に加え、申請情報を記録と 照合。録音等による否認防止。 （非対面） ・レベル 2 に加え、申請情報を公的機 関および、金融または携帯電話事業者 の記録と照合。録音等による否認防 止。 レベル 2 に加え ・共有秘密の保護、暗号化（レベル 2 以上の物理保護、レベル 3 以上の暗号 化） レベル 2 に加え ・多要素認証 ・フィッシング/ファーミ ング対策 レベル 2 に加え ・検証者によるアサーシ ョンの否認 レベル 4 （特高） （対面のみ） ・レベル 3 に加え、別の写真付きの本 人確認が出来る書類または、金融もし くは携帯電話事業者の個別番号を提 示。すべての申請情報を記録と照合。 生体情報の記録。 レベル 3 に加え ・ハードウェア暗号モジュールでの保 持 ・更新/再発行の機密データの転送時に は常にユーザ認証に紐づけられた鍵を 使用した認証を実施 ・クレデンシャルの回収と破棄または 無効化 レベル 3 に加え ・強中間者攻撃対策 レベル 3 に加え ・ユーザによるアサーシ ョンの否認 図表 9 保証レベル