ID 連携トラストフレームワーク勉強会官民 ID 連携とマイナンバー制度の利活用 ~ デジタル watashi アプリ 公的個人認証等の利活用について ~ デジタル watashi アプリを利用した ユースケースの御紹介 平成 2 8 年 3 月 1 7 日 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 電子情報利活用研究部 dupc-identity@tower.jipdec.or.jp
アジェンダ 1. ユースケース デジタル watashi アプリのユースケース紹介 2. デモ動画 デジタル watashi アプリと利活用シーンの紹介 3. デジタル watashi アプリの具体化 技術的要件など 1
1. ユースケース デジタル watashi アプリのユースケース紹介 2
民間サービスから取得した情報を行政機関の申請等に利用 民間の電子家計簿サービスに蓄積される領収書情報を 行政機関及び行政 サービス 電子申告 が ID連携し取得することで 医療費控除申告をシー ムレスに行う マイナンバー制度の利用 公的個人認証サービス による利用者の個人情報の 信頼性向上 確実な申請による 事務手続き負担の 軽減 確 定申 告の 機会 損失の削減 3
行政機関から取得した情報を民間サービスに利用 行政機関等において変更された住所等変更情報を 民間IdP事業者が把握し ていることで 民間IdP事業者とID連携する電子保証書やリコール通知を 行う民間サービス RP が リコールが発生時に対象利用者へほぼ確実に 通知を行い 回収率を高める マイナンバー制度の利用 公的 個人認証サービス による利用 者の個人情報の信頼性向上 リコール通知 回収率の向上 IdPとのID連携によ り 匿名回収など のサービス拡大も 望める 通常はIdPの認証連携の み リコール発生時には IdPから連絡先を取得 迅速で確実なリ コール通知の受信 4
2. デジタル WATASHI アプリのデモ デジタル watashi アプリと利活用シーンの御紹介 5
デジタル watashi アプリのご紹介 属性情報表示機能 主に対面利用を想定した基本情報や属性情報等を表示する機能 多要素 帯域外認証機能 主にオンラインサービスの認証に スマートフォンを認証装置として利用する機能 2 つの機能を持ったアプリの総称 6
動画のシナリオ 1 デジタル watashi アプリに格納した診察券やお薬手帳の情報を活用するシーン 診察券 3 デジタル watashi アプリをスマートフォンにダウンロードするシーン 4 保証書サービスにリコール通知のあった製品をデジタルwatashiアプリの情報を連携して修理依頼するシーン 2 支払った医療費や薬代をオンライン家計簿に連携し 確定申告するシーン 約 15 分
デモシナリオ登場人物 登場人物の 経産花子 さんは 最近マイナンバー制度を活用した デジタル watashi アプリ を使うことで 本人確認がインターネット上で出来ることを知り 確定申告まで簡単にできる家計簿サービスを利用し始めた ID トラストフレームワークカード ( デモンストレーション用 ) 氏名住所生年月日性別 経産花子 東京都千代田区霞が関 1-3-1 平成 5 年 1 月 1 日 女 けいさんはなこさん (23 歳 ) 職業 : 会社員勤務先 : 霞が関エナジー株式会社近況 : 少し体が弱く 通院が多いため家計簿をこまめにつけている 最近 医療費控除 を知りマイナンバー制度を活用して申告予定 先日 家電を買い替えた際に 保証書サービス を見つけ アプリをダウンロードした
デモシナリオ 電子診察券 電子レシート 電子問診票 申告 J-LIS 公的個人認証 ①診察券を格納 ②診察予約 予約サイト ③受付 ④診察 1 Watashiアプリ オンライン家計簿 多要素 帯域外認証 ⑤会計 ⑥領収書データ送信 e-tax ⑨レシート 撮影 送信 ⑧会計 ⑦薬局受付
デモシナリオ 医療費控除申告 1 オンライン家計簿ログイン 2 多要素 帯域外認証 1 3 申告データ集計 還付 5 申告データ送信 4 マイナンバーカードを利用して e-tax にログイン
デモシナリオ デジタル watashi アプリの発行 1 仮登録 2 認証アプリダウンロード 本登録キー アプリ URL 9 登録完了 本人確認 PF マルチコピー機またはカードリーダー 1 8 認証アプリで認証 本人情報と watashi アプリを紐づけ アプリ URL 6 端末認証番号表示 124578 J-LIS 4 本人確認情報表示 3PIN 入力 5 本登録キー入力 7 端末認証番号入力
デモシナリオ 保証書登録 リコール通知 修理依頼 1 保証書サービスへアクセス 3 ログイン 4 製品登録 2 認証 9 個人情報取得 本人確認 PF 保証書サービス 12 修理依頼メール 5 リコール通知 メーカー様 7 通話 6PUSH 通知 8 修理依頼メニュー 10 個人情報を修理依頼へ送信することの同意 1 12
3. デジタル WATASHI アプリの 具体化 技術的要件など 13
技術要件の策定の観点 利用者のメリット ID 連携トラストフレームワークに基づく ID 連携 より高い安全性と UX(User experience) ID パスワード管理の手間を低減 既存の認証方式に比べ 安全性が高く 利用者が使いやすい認証方式を実現 事業者のベネフィット デファクトスタンダードなプロトコル ( 各種技術 ) の採用 サービス事業者 (RP) の技術的な理由による参入障壁を低減 ( 一般的に広く普及した ID 連携プロトコルをセキュリティやプライバシーに配慮して実装するだけで良く その他の実装難易度の高い技術に対応する必要がない 14
デジタルwatashiアプリのID連携トラストフレームワーク構成 ポリシー 公的個人認証法 組織の成熟度 第三者機関としての公平性 各種規定の策定プロセス TFP 総務大臣 J-LIS ポリシー策定者 (Policy Maker) 公開 デジタルwatashiアプリ のポリシー 認定 地方公共団体 情報システム機構 J-LIS 電子証明書 失効情報 有 効 性 確 認 組織の成熟度 個人情報保護方針 保証プロセス 審査認証プロセス 審査員の資格認定 信頼付与機関 (Trust Framework Provider) 公開 IdPの評価 組織の成熟度 個人情報保護方針 登録および身元確認プロセス クレデンシャルおよび発行プロ セス 本人確認プラット フォーム IdP レジストリ IdP RPのリスト デジタルwatashiアプリ のリスト 審査員 レポジトリ RPの評価 ID連携 組織の成熟度 個人情報保護方針 サービス RP アプリの評価 ID連携 総務大臣認定の 評価範囲 認証(当人確認) ID連携 デジタルwatashi アプリ サービス利用 登録(身元確認) 利用者 デジタルwatashiア プリのID連携トラス トフレームワークの 対象範囲 15
デジタル watashi アプリのプロトコル J-LIS 初回のみの操作 デジタル watashi 登録システム 電子証明書有効情報 ( 認証プラットフォームが提供 ) ATM/ マルチ端末 ユーザに合わせて 生体認証 PIN 等が利用可能 デジタル watashi アプリ ( 認証プラットフォームが提供 ) スマホ 公衆回線等 公的個人認証電子署名検証サーバ アプリ間連携 帯域外認証サーバ サービス A ID 連携サーバ (IDP サーバ ) 認証プラットフォーム 2 回目以降の操作 サービス A サーバ (RP サーバ ) 社会的に共有すべきところ ブラウザー / クライアントソフト インターネット サービス B サーバ (RP サーバ ) サービス B OpenID connect の self-issued OpenID Provider FIDO UAF や類似プロトコルに準拠 ( 認証プラットフォーム事業者内のシステム ) 電子署名の検証プロトコルに準拠 ( 認証プラットフォーム事業者内のシステム ) ID 連携プロトコル (OAuth 対応 ) に準拠 ( 認証プラットフォーム事業者 サービス A 事業者 サービス B 事業者で共有するシステム ) 16
参考 デジタル watashi アプリが扱う属性情報 ( 想定 ) 身分を証明するために用いられる属性情報 ソース ( 情報 ) 属性情報 保証レベル マイナンバーカード 氏名 住所 性別 生年月日 顔写真 有効期限 3 ソース ( 情報 ) 属性情報 ( 例 ) 保証レベル 卒業証明書 学籍番号 氏名 生年月日 学部 学科 卒業年月日 学士 発行日等 2 名刺 氏名 所属 役職 メールアドレス 事業所情報 2 資格証明書 氏名 生年月日 資格登録番号 有効期限 カード番号 発行日等 2 社員証 社員番号 氏名 生年月日 事業所情報 発行日 写真等 2 学生証 学籍番号 氏名 生年月日 学部 学科 発行日 有効期限 写真等 2 健康保険証 被保険者番号 氏名 生年月日 性別 資格取得日 交付日 事業所 保険者情報 有効期限等 2 身体障害者手帳手帳番号 氏名 生年月日 交付日 障害情報 写真等 3 サービスを利用する権限があることを示す属性情報 ソース ( 情報 ) 属性情報 ( 例 ) 保証レベル コンサートチケット 公演名 公演日時 座席等 2 航空券 氏名 搭乗日 区間 座席等 2 ポイントカード カード番号 署名等 2 保証書 氏名 住所 電話番号 保証者情報 製品情報等 2 診察券 診察券番号 氏名 初診日等 2 会員証 会員番号 氏名 有効期限 写真等 2 クレジットカード クレジットカード番号 氏名 有効期限 署名等 2 キャッシュカード 店番号 口座番号 氏名等 2 原則として保証レベル 2 以上を対象とする 17
技術要件の検討 整理箇所 ①公的個人認証サービスによる身元確認の実施 ②ID連携プロトコルのスキーム及びプロファイル ③利用者認証という役割を分業することで 効率的に環境を実現できる ATM マルチ端末 デジタルwatashi登録 システム 申請情報 ①公的個人認証サービス による身元確認の実施 x.509 PKI 登録 身元確認 電子署名 電子証明書 ③利用者認証 多要素 帯域 外認証 技術 利用者のスマートフォン 認証 PIN 生体等 同意と許可 本人確認プラットフォーム Web受付システム 身元確認 公的個人認証 電子署名検証システム 失効情報 証跡DB 申請情報 申請情報 アカウントID 電子署名 電子署名 電子証明書 電子証明書 発行番号 署名用 認証 アクセス制御 FW Webアプリケーション 登録 認証 認証連 携 属性連携 Registration Authority(RA) アカウントID デジタルwatashi 認証(Verifier) 不正に書き換えできない方法で属性情報を格納 デジタルwatashi アプリの発行管理 デジタルwatashi Key pair (Self Issued IdP) アカウントID 端末識別情報 Webブラウザ ク ライアントソフト モバイルアプリ/ ブラウザ RP サービス通信 アプリ間 帯域外 認証サービス FIDO Server Attribute 利用者のPC 氏名 住所等 属性情報 Webサービス RP 連携機能(CSP) ②ID連携プロトコル のスキーム及び プロファイル 18 Webサービス RP
1 公的個人認証サービスによる身元確認 (x.509 PKI) マイナンバーカードからの情報取得 署名用電子証明書に記録されている情報を用いて 利用者の身元情報を登録すること 利用者の顔写真は マイナンバーカードの IC に記録されている画像を取得 ( 券面 AP を利用 ) し 登録すること セキュアに管理された端末 (ATM 等 ) による身元確認の実施 利用者の生活圏内に多く存在する ATM やマルチ端末等を用いて デジタル watashi アプリ発行時の身元確認を実施する カードリーダが十分普及している状態ではないため また 必ずしも利用者の保有する PC 環境等がセキュアとは言えないため マイナンバーカードの失効確認 プラットフォーム事業者は 本人確認した際の発行番号 ( シリアル ) を証跡として保管する プラットフォーム事業者は 保管している発行番号を用いて 定期的に失効状態を確認する 失効であることが分かった場合 本人確認プラットフォームへ通知する デジタル watashi アプリのリカバリ デジタル watashi アプリをリカバリ ( 機種変更 アプリの再インストール等 ) する場合は ATM やマルチ端末において再度身元確認を実施する マイナンバーカードが ( 有効期限切れ 引っ越し カード紛失等により ) 失効した場合も 同様に再度身元確認を実施する 19
参考 マイナンバーカードの機能 活用する技術手法 公的個人認証サービス 電子署名 ( 署名用電子証明書等を利用 ) 電子利用者証明 ( 利用者証明用電子証明書を利用 ) 暗証番号 (PIN) あり (6~16 桁の英数字 ) あり (4 桁の数字 ) なし 記録される情報 署名用電子証明書 ( 氏名 住所 生年月日 性別 発行番号 ) 利用者証明用電子証明書 ( 発行番号 ) 券面 ( おもて面 ) - 氏名 住所 生年月日 性別 顔写真 券面 AP 券面事項入力補助 AP 個人番号を利用できる者 個人番号を利用できない者 個人番号及び 4 情報 個人番号 12 桁 14 桁 ( 生年月日 6 桁 + 有効期限西暦部分 4 桁 + セキュリティコード 4 桁 ) あり (4 桁の数字 ) 表面情報 ( 氏名 住所 生年月日 性別 顔写真 ) の画像裏面情報 ( 個人番号 ) の画像 表面情報 ( 氏名 住所 生年月日 性別 顔写真 ) の画像 氏名 住所 生年月日 性別 個人番号 及びその電子署名データ 個人番号 個人番号 12 桁 個人番号及びその電子 署名データ 4 情報 14 桁 ( 生年月日 6 桁 + 有効期限西暦部分 4 桁 + セキュリティコード 4 桁 ) 氏名 住所 生年月日 性別 及びその電子署名データ 想定される主な用途 署名用途 認証用途 認証用途 対面での本人確認 対面での本人確認時の改ざん検知 非対面での本人確認 対面での本人確認時の改ざん検知 非対面での本人確認 対面 非対面でのテキストデータ利用 対面 非対面でのテキストデータ利用 対面 非対面でのテキストデータ利用 認証 所持 (PKI) 所持 所持 所持 所持 所持 所持 知識 (PIN) 知識 (PIN) その他 法律上 電子文書の真正性の推定効が発生 LoA3 相当の身元確認および基本 4 情報の取得 顔写真の取得 公的個人認証サービスの民間開放について ( 総務省行政局住民制度課 平成 27 年 9 月 ) をもとに JIPDEC 作成 20
②ID連携プロトコルのスキーム及びプロファイル OpenID Connect等の標準的なID連携プロトコルを使用する プライバシー プライバシー 有効化 ガバナンスに配慮した要件に 遵守し 相互運用性の実現のための技術的要件を指定する プロファイルの例 FICAM OpenID2.0 Profile FICAM SAML2.0 Web Browser SSO Profile プロトコルの仕様の範囲 外 例 プライバシー セキュリティ 有効化 ガバナンス に拡張する 要件を定めている TF下のID連携においてプ ロトコルではオプション となっている事項につい て セキュリティ プラ イバシー 相互運用性の 実現に必要な技術的事項 を定めている 21
③利用者認証 多要素 帯域外認証 技術 パスワードの利用場面を減らし 多要素認証 帯域外認証を 用いて よりセキュアな認証 LoA3相当 を保証する NIST SP800-63-2 米国政府電子認証ガイドラインによる分類 認証要件 マルチデバイス連携の場合 帯域外認証 スマホで認証など アプリ間連携の場合 多要素認証 所有物 スマホ 生体 指紋など 所有物 スマホ 記憶 PINなど 22
参考例 対面利用時のプロトコル 対面利用時に 利用者の属性情報を視認しつつ 機械可読な情報をや り取りすることによって その情報の否改ざん性を担保する JWSのQRエンコード方式 1. 署名方式 基本情報表示 QRエンコード表示 QRコードに署名を収めるため 比較的小さ な署名方式を用いる 2. 3. JWSヘッダ ペイロード 1. URL参照方式 2. 辞書圧縮方式 4. ペイロード 記載 事項を機械可読な 形式で圧縮して収 録 ヘッダおよび電子 署名 5. 6. 7. データ自体をサーバに置いておき 参照先の URLを格納する アプリケーション用の圧縮辞書を用いて圧縮 した値を格納する 署名の生成 JWS[RFC7615]に従う 署名付きデータは JWS分離署名である ペイロードと分離署名それぞれでQRコード で表現する QRコード化 署名検証 JWSの署名検証プロセスに従う アプリケーション判断 23
技術要件のまとめ デジタル watashi アプリ技術要件の構成 ( 案 ) 1. 登録と発行プロセス 公的個人認証サービスを用いた本人確認 利用者の保有するスマホとアイデンティティの紐付け 2. クレデンシャル管理 クレデンシャルの生成 発行 有効化 更新等の要件 セキュアかつ安全なクレデンシャル発行方法 ( アプリの配布 ) セキュアかつ安全なクレデンシャル再発行 ( 個人番号カードを用いる ) 3. 認証要素 認証プロセス デジタル watashi 認証アプリの要件 認証には 当人確認保証レベル 3 以上の認証要素 ( 又はその組合せ ) を用いる マルチデバイス連携の場合 帯域外認証を用いる 帯域外認証 (OTP など ) アプリ間連携の場合 多要素認証を用いる 多要素認証 所有物 ( スマホ )+ 生体 ( 指紋など ) 所有物 ( スマホ )+ 記憶 (PIN パターンなど ) 4. ID 連携プロトコル ( アサーション ) デジタル watashi アプリ (ID 連携機能 ) の仕様 デジタル watashi アプリにおける ID 連携プロトコルの技術的要求事項 OpenID connect(oauth) SAML 等 1 公的個人認証サービスによる身元確認の実施 (x.509 PKI) 3 利用者認証 ( 多要素 帯域外認証 ) 技術 2ID 連携プロトコルのスキーム及びプロファイル 24
ご清聴ありがとうございました 詳しい事業内容は事業報告書として 経済産業省 :ID 連携トラストフレームワーク にて公開予定です ( 参考 URL) 経済産業省 :ID 連携トラストフレームワーク http://www.meti.go.jp/policy/it_policy/id_renkei/index.html 総務省 : 公的個人認証サービスによる電子証明書 ( 民間事業者向け ) http://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html 地方公共団体情報システム機構 (J-LIS): 公的個人認証サービス https://www.j-lis.go.jp/jinfo/cms_18.html ( お問い合わせ ) JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 電子情報利活用研究部 ID 連携トラストフレームワーク担当 (dupc-identity@tower.jipdec.or.jp) 25