デジタル庁から提供される「デジタル認証アプリ」の課題と対応について
2024年6月21日にデジタル庁から「デジタル認証アプリ」が公開されました(※1)。
本稿では、本アプリの概要、ならびにその課題と対応について解説します。
1.「デジタル認証アプリ」の概要
これは、マイナンバーカードを使った本人確認(認証や電子署名)を、安全かつ簡単にするためのアプリであり、行政機関や民間事業者は、デジタル庁が無償で提供する連携API(デジタル認証アプリサービスAPI)を活用することで、マイナンバーカードを使った本人確認・認証や電子申請書類への署名機能を簡単に自システムに組み込むことができます。
主な利用シーンとしては、
(1)ECサイトやネットバンキングログイン時の本人確認
(2)公共施設やシェアリングサービスなどのオンライン予約時
(3)ライブ会場等での酒類購入時の年齢確認
(4)地域アプリ登録時のオンライン本人確認
(5)予約システムを用いた面談や施設予約時のオンライン本人確認
などが考えられます。
提供される連携APIとしては、以下の二種類あります。
(1)認証API(マイナンバーカード内の利用者証明用電子証明書を用いた認証)
・電子利用者証明の検証と利用者証明用電子証明書の有効性確認の結果等を連携
・マイナンバーカードの券面事項入力補助APを用いた4情報連携機能も利用可能
・OpenID Connect / OAuth 2.0により簡易な組み込みが可能
(2)署名API(マイナンバーカード内の署名用電子証明書を用いた署名)
・署名値と署名用電子証明書を連携(認証APIと異なり、電子署名の検証は行わない)
・行政機関向けに限り署名用電子証明書の有効性を確認
・マイナンバーカードの券面事項入力補助APを用いた4情報連携機能も利用可能
利用イメージとしては下図のようになります。
デジタル庁,「デジタル認証アプリについて」(令和6年6月21日)より抜粋
2.「デジタル認証アプリ」のプライバシー上の課題と対応について
世間で言われている主な懸念点としては、本アプリを利用することによって、個人がどのようなオンラインサービスをいつ、どのように利用したかという履歴が国(デジタル庁など)に一元的に収集・管理され、その履歴をマイニングすることにより個人のプロファイリングが可能となり、結果個人の選別・差別・監視といった人権侵害、あるいはプライバシー侵害に繋がる恐れがあるということです。
特に電子証明書の発行番号(シリアル番号)はマイナンバカード保有者に一意に割り振られており、かつ本アプリはマイナンバーカードの券面事項入力補助アプリケーションにより利用者の基本4情報(氏名、住所、生年月日及び性別)の読み取り等も行うので、大量の履歴データの名寄せが可能となり、また長期に亘って個人の追跡も可能となります。
この懸念点につき、デジタル庁のパブコメ回答(※2)を見ると、
「デジタル認証アプリにおいては、個人情報を取り扱う場合、個人情報保護法に基づき適切に取り扱い対応します。シリアル電子証明書の発行番号をもとに、氏名等の4情報を照会することは、目的外利用に当たるため行うことができません。」
と記載されています。
また、本アプリの個人情報保護方針(プライバシーポリシー)を確認すると、個人を特定するような情報はデジタル認証アプリサービス提供後に一定時間保有した後は破棄する、と読めます。
しかし世間では不安の声を多々耳にするので、もう少しプライバシー・バイ・デザイン(PbD:Privacy by Design)のコンセプトに沿って本アプリを提供する必要があるのではないかと感じます。
PbDの議論は様々ありますが、その要諦は『データ利活用サービスを事業化する国や企業が、そのサービスの提供プロセスにおいて、利用者への配慮、透明性を確保するなど、利用者のプライバシーが尊重され保護されるようあらかじめ設計すること』といえます。
今回の「デジタル認証アプリ」利活用の場面で考えるなら『利用者への自己情報コントロールの機会付与』、即ち、収集した履歴情報の全部または一部の停止、変更、削除等を簡単に要求出来る仕組みを利用者に提供することが必要ではないかと思います。
そうすれば国民もマイナンバーカードを安心して利用できるのではないかと思います。せっかくのデジタル認証アプリですので大いに活用したいところです。
※1 デジタル認証アプリをリリースします
※2 デジタル庁デジタル社会共通機能グループ,「電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案」に係る意見募集の結果について(令和6年6月12日)