ID連携トラストフレームワーク勉強会第２回

ID 連携トラストフレームワーク勉強会官民 ID 連携とマイナンバー制度の利活用 ~ デジタル watashi アプリ公的個人認証等の利活用について ~ デジタル watashi アプリを利用したユースケースの御紹介平成 2 8 年 3 月 1 7 日 JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 電子情報利活用研究部 dupc-identity@tower.jipdec.or.jp

アジェンダ 1. ユースケースデジタル watashi アプリのユースケース紹介 2. デモ動画デジタル watashi アプリと利活用シーンの紹介 3. デジタル watashi アプリの具体化技術的要件など 1

1. ユースケースデジタル watashi アプリのユースケース紹介 2

民間サービスから取得した情報を行政機関の申請等に利用民間の電子家計簿サービスに蓄積される領収書情報を行政機関及び行政サービス電子申告が ID連携し取得することで医療費控除申告をシームレスに行うマイナンバー制度の利用公的個人認証サービスによる利用者の個人情報の信頼性向上確実な申請による事務手続き負担の軽減確定申告の機会損失の削減 3

行政機関から取得した情報を民間サービスに利用行政機関等において変更された住所等変更情報を民間IdP事業者が把握していることで民間IdP事業者とID連携する電子保証書やリコール通知を行う民間サービス RP がリコールが発生時に対象利用者へほぼ確実に通知を行い回収率を高めるマイナンバー制度の利用公的個人認証サービスによる利用者の個人情報の信頼性向上リコール通知回収率の向上 IdPとのID連携により匿名回収などのサービス拡大も望める通常はIdPの認証連携のみリコール発生時には IdPから連絡先を取得迅速で確実なリコール通知の受信 4

2. デジタル WATASHI アプリのデモデジタル watashi アプリと利活用シーンの御紹介 5

デジタル watashi アプリのご紹介属性情報表示機能主に対面利用を想定した基本情報や属性情報等を表示する機能多要素帯域外認証機能主にオンラインサービスの認証にスマートフォンを認証装置として利用する機能 2 つの機能を持ったアプリの総称 6

動画のシナリオ 1 デジタル watashi アプリに格納した診察券やお薬手帳の情報を活用するシーン診察券 3 デジタル watashi アプリをスマートフォンにダウンロードするシーン 4 保証書サービスにリコール通知のあった製品をデジタルwatashiアプリの情報を連携して修理依頼するシーン 2 支払った医療費や薬代をオンライン家計簿に連携し確定申告するシーン約 15 分

デモシナリオ登場人物登場人物の経産花子さんは最近マイナンバー制度を活用したデジタル watashi アプリを使うことで本人確認がインターネット上で出来ることを知り確定申告まで簡単にできる家計簿サービスを利用し始めた ID トラストフレームワークカード ( デモンストレーション用 ) 氏名住所生年月日性別経産花子東京都千代田区霞が関 1-3-1 平成 5 年 1 月 1 日女けいさんはなこさん (23 歳 ) 職業 : 会社員勤務先 : 霞が関エナジー株式会社近況 : 少し体が弱く通院が多いため家計簿をこまめにつけている最近医療費控除を知りマイナンバー制度を活用して申告予定先日家電を買い替えた際に保証書サービスを見つけアプリをダウンロードした

デモシナリオ電子診察券電子レシート電子問診票申告 J-LIS 公的個人認証 ①診察券を格納 ②診察予約予約サイト ③受付 ④診察１ Watashiアプリオンライン家計簿多要素帯域外認証 ⑤会計 ⑥領収書データ送信 e-tax ⑨レシート撮影送信 ⑧会計 ⑦薬局受付

デモシナリオ医療費控除申告 1 オンライン家計簿ログイン 2 多要素帯域外認証 1 3 申告データ集計還付 5 申告データ送信 4 マイナンバーカードを利用して e-tax にログイン

デモシナリオデジタル watashi アプリの発行 1 仮登録 2 認証アプリダウンロード本登録キーアプリ URL 9 登録完了本人確認 PF マルチコピー機またはカードリーダー 1 8 認証アプリで認証本人情報と watashi アプリを紐づけアプリ URL 6 端末認証番号表示 124578 J-LIS 4 本人確認情報表示 3PIN 入力 5 本登録キー入力 7 端末認証番号入力

デモシナリオ保証書登録リコール通知修理依頼 1 保証書サービスへアクセス 3 ログイン 4 製品登録 2 認証 9 個人情報取得本人確認 PF 保証書サービス 12 修理依頼メール 5 リコール通知メーカー様 7 通話 6PUSH 通知 8 修理依頼メニュー 10 個人情報を修理依頼へ送信することの同意 1 12

3. デジタル WATASHI アプリの具体化技術的要件など 13

技術要件の策定の観点利用者のメリット ID 連携トラストフレームワークに基づく ID 連携より高い安全性と UX(User experience) ID パスワード管理の手間を低減既存の認証方式に比べ安全性が高く利用者が使いやすい認証方式を実現事業者のベネフィットデファクトスタンダードなプロトコル ( 各種技術 ) の採用サービス事業者 (RP) の技術的な理由による参入障壁を低減 ( 一般的に広く普及した ID 連携プロトコルをセキュリティやプライバシーに配慮して実装するだけで良くその他の実装難易度の高い技術に対応する必要がない 14

デジタルwatashiアプリのID連携トラストフレームワーク構成ポリシー公的個人認証法組織の成熟度第三者機関としての公平性各種規定の策定プロセス TFP 総務大臣 J-LIS ポリシー策定者 (Policy Maker) 公開デジタルwatashiアプリのポリシー認定地方公共団体情報システム機構 J-LIS 電子証明書失効情報有効性確認組織の成熟度個人情報保護方針保証プロセス審査認証プロセス審査員の資格認定信頼付与機関 (Trust Framework Provider) 公開 IdPの評価組織の成熟度個人情報保護方針登録および身元確認プロセスクレデンシャルおよび発行プロセス本人確認プラットフォーム IdP レジストリ IdP RPのリストデジタルwatashiアプリのリスト審査員レポジトリ RPの評価 ID連携組織の成熟度個人情報保護方針サービス RP アプリの評価 ID連携総務大臣認定の評価範囲認証(当人確認) ID連携デジタルwatashi アプリサービス利用登録(身元確認) 利用者デジタルwatashiアプリのID連携トラストフレームワークの対象範囲 15

デジタル watashi アプリのプロトコル J-LIS 初回のみの操作デジタル watashi 登録システム電子証明書有効情報 ( 認証プラットフォームが提供 ) ATM/ マルチ端末ユーザに合わせて生体認証 PIN 等が利用可能デジタル watashi アプリ ( 認証プラットフォームが提供 ) スマホ公衆回線等公的個人認証電子署名検証サーバアプリ間連携帯域外認証サーバサービス A ID 連携サーバ (IDP サーバ ) 認証プラットフォーム 2 回目以降の操作サービス A サーバ (RP サーバ ) 社会的に共有すべきところブラウザー / クライアントソフトインターネットサービス B サーバ (RP サーバ ) サービス B OpenID connect の self-issued OpenID Provider FIDO UAF や類似プロトコルに準拠 ( 認証プラットフォーム事業者内のシステム ) 電子署名の検証プロトコルに準拠 ( 認証プラットフォーム事業者内のシステム ) ID 連携プロトコル (OAuth 対応 ) に準拠 ( 認証プラットフォーム事業者サービス A 事業者サービス B 事業者で共有するシステム ) 16

参考デジタル watashi アプリが扱う属性情報 ( 想定 ) 身分を証明するために用いられる属性情報ソース ( 情報 ) 属性情報保証レベルマイナンバーカード氏名住所性別生年月日顔写真有効期限 3 ソース ( 情報 ) 属性情報 ( 例 ) 保証レベル卒業証明書学籍番号氏名生年月日学部学科卒業年月日学士発行日等 2 名刺氏名所属役職メールアドレス事業所情報 2 資格証明書氏名生年月日資格登録番号有効期限カード番号発行日等 2 社員証社員番号氏名生年月日事業所情報発行日写真等 2 学生証学籍番号氏名生年月日学部学科発行日有効期限写真等 2 健康保険証被保険者番号氏名生年月日性別資格取得日交付日事業所保険者情報有効期限等 2 身体障害者手帳手帳番号氏名生年月日交付日障害情報写真等 3 サービスを利用する権限があることを示す属性情報ソース ( 情報 ) 属性情報 ( 例 ) 保証レベルコンサートチケット公演名公演日時座席等 2 航空券氏名搭乗日区間座席等 2 ポイントカードカード番号署名等 2 保証書氏名住所電話番号保証者情報製品情報等 2 診察券診察券番号氏名初診日等 2 会員証会員番号氏名有効期限写真等 2 クレジットカードクレジットカード番号氏名有効期限署名等 2 キャッシュカード店番号口座番号氏名等 2 原則として保証レベル 2 以上を対象とする 17

技術要件の検討整理箇所 ①公的個人認証サービスによる身元確認の実施 ②ID連携プロトコルのスキーム及びプロファイル ③利用者認証という役割を分業することで効率的に環境を実現できる ATM マルチ端末デジタルwatashi登録システム申請情報 ①公的個人認証サービスによる身元確認の実施 x.509 PKI 登録身元確認電子署名電子証明書 ③利用者認証多要素帯域外認証技術利用者のスマートフォン認証 PIN 生体等同意と許可本人確認プラットフォーム Web受付システム身元確認公的個人認証電子署名検証システム失効情報証跡DB 申請情報申請情報アカウントID 電子署名電子署名電子証明書電子証明書発行番号署名用認証アクセス制御 FW Webアプリケーション登録認証認証連携属性連携 Registration Authority(RA) アカウントID デジタルwatashi 認証(Verifier) 不正に書き換えできない方法で属性情報を格納デジタルwatashi アプリの発行管理デジタルwatashi Key pair (Self Issued IdP) アカウントID 端末識別情報 Webブラウザクライアントソフトモバイルアプリ/ ブラウザ RP サービス通信アプリ間帯域外認証サービス FIDO Server Attribute 利用者のPC 氏名住所等属性情報 Webサービス RP 連携機能(CSP) ②ID連携プロトコルのスキーム及びプロファイル 18 Webサービス RP

1 公的個人認証サービスによる身元確認 (x.509 PKI) マイナンバーカードからの情報取得署名用電子証明書に記録されている情報を用いて利用者の身元情報を登録すること利用者の顔写真はマイナンバーカードの IC に記録されている画像を取得 ( 券面 AP を利用 ) し登録することセキュアに管理された端末 (ATM 等 ) による身元確認の実施利用者の生活圏内に多く存在する ATM やマルチ端末等を用いてデジタル watashi アプリ発行時の身元確認を実施するカードリーダが十分普及している状態ではないためまた必ずしも利用者の保有する PC 環境等がセキュアとは言えないためマイナンバーカードの失効確認プラットフォーム事業者は本人確認した際の発行番号 ( シリアル ) を証跡として保管するプラットフォーム事業者は保管している発行番号を用いて定期的に失効状態を確認する失効であることが分かった場合本人確認プラットフォームへ通知するデジタル watashi アプリのリカバリデジタル watashi アプリをリカバリ ( 機種変更アプリの再インストール等 ) する場合は ATM やマルチ端末において再度身元確認を実施するマイナンバーカードが ( 有効期限切れ引っ越しカード紛失等により ) 失効した場合も同様に再度身元確認を実施する 19

参考マイナンバーカードの機能活用する技術手法公的個人認証サービス電子署名 ( 署名用電子証明書等を利用 ) 電子利用者証明 ( 利用者証明用電子証明書を利用 ) 暗証番号 (PIN) あり (6~16 桁の英数字 ) あり (4 桁の数字 ) なし記録される情報署名用電子証明書 ( 氏名住所生年月日性別発行番号 ) 利用者証明用電子証明書 ( 発行番号 ) 券面 ( おもて面 ) - 氏名住所生年月日性別顔写真券面 AP 券面事項入力補助 AP 個人番号を利用できる者個人番号を利用できない者個人番号及び 4 情報個人番号 12 桁 14 桁 ( 生年月日 6 桁 + 有効期限西暦部分 4 桁 + セキュリティコード 4 桁 ) あり (4 桁の数字 ) 表面情報 ( 氏名住所生年月日性別顔写真 ) の画像裏面情報 ( 個人番号 ) の画像表面情報 ( 氏名住所生年月日性別顔写真 ) の画像氏名住所生年月日性別個人番号及びその電子署名データ個人番号個人番号 12 桁個人番号及びその電子署名データ 4 情報 14 桁 ( 生年月日 6 桁 + 有効期限西暦部分 4 桁 + セキュリティコード 4 桁 ) 氏名住所生年月日性別及びその電子署名データ想定される主な用途署名用途認証用途認証用途対面での本人確認対面での本人確認時の改ざん検知非対面での本人確認対面での本人確認時の改ざん検知非対面での本人確認対面非対面でのテキストデータ利用対面非対面でのテキストデータ利用対面非対面でのテキストデータ利用認証所持 (PKI) 所持所持所持所持所持所持知識 (PIN) 知識 (PIN) その他法律上電子文書の真正性の推定効が発生 LoA3 相当の身元確認および基本 4 情報の取得顔写真の取得公的個人認証サービスの民間開放について ( 総務省行政局住民制度課平成 27 年 9 月 ) をもとに JIPDEC 作成 20

②ID連携プロトコルのスキーム及びプロファイル OpenID Connect等の標準的なID連携プロトコルを使用するプライバシープライバシー有効化ガバナンスに配慮した要件に遵守し相互運用性の実現のための技術的要件を指定するプロファイルの例 FICAM OpenID2.0 Profile FICAM SAML2.0 Web Browser SSO Profile プロトコルの仕様の範囲外例プライバシーセキュリティ有効化ガバナンスに拡張する要件を定めている TF下のID連携においてプロトコルではオプションとなっている事項についてセキュリティプライバシー相互運用性の実現に必要な技術的事項を定めている 21

③利用者認証多要素帯域外認証技術パスワードの利用場面を減らし多要素認証帯域外認証を用いてよりセキュアな認証 LoA3相当を保証する NIST SP800-63-2 米国政府電子認証ガイドラインによる分類認証要件マルチデバイス連携の場合帯域外認証スマホで認証などアプリ間連携の場合多要素認証所有物スマホ生体指紋など所有物スマホ記憶 PINなど 22

参考例対面利用時のプロトコル対面利用時に利用者の属性情報を視認しつつ機械可読な情報をやり取りすることによってその情報の否改ざん性を担保する JWSのQRエンコード方式 1. 署名方式基本情報表示 QRエンコード表示 QRコードに署名を収めるため比較的小さな署名方式を用いる 2. 3. JWSヘッダペイロード 1. URL参照方式 2. 辞書圧縮方式 4. ペイロード記載事項を機械可読な形式で圧縮して収録ヘッダおよび電子署名 5. 6. 7. データ自体をサーバに置いておき参照先の URLを格納するアプリケーション用の圧縮辞書を用いて圧縮した値を格納する署名の生成 JWS[RFC7615]に従う署名付きデータは JWS分離署名であるペイロードと分離署名それぞれでQRコードで表現する QRコード化署名検証 JWSの署名検証プロセスに従うアプリケーション判断 23

技術要件のまとめデジタル watashi アプリ技術要件の構成 ( 案 ) 1. 登録と発行プロセス公的個人認証サービスを用いた本人確認利用者の保有するスマホとアイデンティティの紐付け 2. クレデンシャル管理クレデンシャルの生成発行有効化更新等の要件セキュアかつ安全なクレデンシャル発行方法 ( アプリの配布 ) セキュアかつ安全なクレデンシャル再発行 ( 個人番号カードを用いる ) 3. 認証要素認証プロセスデジタル watashi 認証アプリの要件認証には当人確認保証レベル 3 以上の認証要素 ( 又はその組合せ ) を用いるマルチデバイス連携の場合帯域外認証を用いる帯域外認証 (OTP など ) アプリ間連携の場合多要素認証を用いる多要素認証所有物 ( スマホ )+ 生体 ( 指紋など ) 所有物 ( スマホ )+ 記憶 (PIN パターンなど ) 4. ID 連携プロトコル ( アサーション ) デジタル watashi アプリ (ID 連携機能 ) の仕様デジタル watashi アプリにおける ID 連携プロトコルの技術的要求事項 OpenID connect(oauth) SAML 等 1 公的個人認証サービスによる身元確認の実施 (x.509 PKI) 3 利用者認証 ( 多要素帯域外認証 ) 技術 2ID 連携プロトコルのスキーム及びプロファイル 24

ご清聴ありがとうございました詳しい事業内容は事業報告書として経済産業省 :ID 連携トラストフレームワークにて公開予定です ( 参考 URL) 経済産業省 :ID 連携トラストフレームワーク http://www.meti.go.jp/policy/it_policy/id_renkei/index.html 総務省 : 公的個人認証サービスによる電子証明書 ( 民間事業者向け ) http://www.soumu.go.jp/kojinbango_card/kojinninshou-02.html 地方公共団体情報システム機構 (J-LIS): 公的個人認証サービス https://www.j-lis.go.jp/jinfo/cms_18.html ( お問い合わせ ) JIPDEC( 一般財団法人日本情報経済社会推進協会 ) 電子情報利活用研究部 ID 連携トラストフレームワーク担当 (dupc-identity@tower.jipdec.or.jp) 25