平成28年1月から交付が開始されたマイナンバーカードには、公的個人認証サービスの2種類の電子証明書が搭載されるようになり、マイナンバー制度において、公的個人認証サービスの利用範囲は大きく広がりました。
今月号では、公的個人認証サービスの全体像、電子証明書の検証方法や電子証明書を利用できる電子申請・届出システム等について、ご紹介します。
1 公的個人認証サービスとは
公的個人認証サービスとは、オンラインで行政手続を行う際に、他人による「なりすまし」やデータの改ざんを防いで安全・安心に申請や届出を行うために用いられる本人確認の手段です。地方公共団体情報システム機構(以下「機構」という。)が発行する電子証明書を、マイナンバーカードに搭載することで利用が可能となります。電子証明書には、「署名用電子証明書」と「利用者証明用電子証明書」の2種類があり、それぞれの特徴は図ー1のとおりです。
図-1 電子証明書の種類
2 公的個人認証サービスの全体像(図―2)
公的個人認証サービスでは、住民基本台帳ネットワークシステムにおいて管理している基本4情報1)等の提供を受けることで、機構は電子証明書の発行や失効情報の管理等を行い、市区町村長は電子証明書の発行時等における本人確認業務等を行っています。
公的個人認証サービスを利用して電子申請等を行おうとする者(以下「利用者」という。)は、これに先立ち、電子証明書の発行を受ける必要があります。既に交付されたマイナンバーカードに対して、市区町村窓口で、例として、署名用電子証明書を発行する場合の事務手続を、以下のとおり解説します。
利用者は、署名用電子証明書の発行を申請した市区町村の受付窓口において、住民基本台帳の基本4情報による利用者の実在性の確認と、運転免許証等の公的機関が発行する証明書等に基づく利用者の本人性の確認を受けます。市区町村長は、窓口に設置された住民基本台帳ネットワークの統合端末を用いて、機構に利用者の基本4情報を通知し公開鍵・秘密鍵の鍵ペアの生成及び署名用電子証明書の発行を依頼します。機構は、鍵ペアの生成と署名用電子証明書の発行を行い、当該市区町村長に鍵ペアと署名用電子証明書を通知します。その際、署名用電子証明書には機構の電子署名が付されます。機構の電子署名を付された基本4情報と公開鍵を含む署名用電子証明書及び秘密鍵がマイナンバーカードに搭載され、利用者に交付されます。署名用電子証明書の発行を受けた利用者は、これを用いて行政機関等に対し、インターネット経由で電子申請等を行うことが可能となります。
図-2 公的個人認証サービスの全体像
3 公的個人認証サービスを支える仕組み(公開鍵暗号方式)
公的個人認証サービスでは、電子申請等における通信の安全性を確保するため「公開鍵暗号方式」と呼ばれる暗号技術が使われています。公開鍵暗号方式は、暗号化と復号2)で異なる2つの鍵(公開鍵と秘密鍵)を使用する方式で、公開鍵は基本的に公開可能な他者に利用してもらう鍵であり、秘密鍵は第三者に知られないよう本人によって厳重に管理される鍵です。
公的個人認証サービスで採用しているRSA公開鍵暗号方式は片方の鍵で暗号化したものは、それと対になるもう一方の鍵でなければ復号できない特徴があります。この特徴を活用して電子申請書類の作成者の確認等を行うことが「電子署名」です。電子署名において、署名用電子証明書は、その証明書内に記録される公開鍵が、本人のものであることを機構が証明するものです。
一方、利用者からの署名用電子証明書を受け取った行政機関等は、利用者本人が秘密鍵で暗号化したデータを一対になっている公開鍵で復号できれば、本人が作成したデータであることを検証できるという仕組みを活用して、電子申請書類の作成者確認等を行います。公的個人認証サービスでは、これらの確認行為を「署名検証」、その署名検証を行う行政機関等を「署名検証者」と呼びます。
また、利用者証明用電子証明書の検証を行う検証者は「利用者証明検証者」と呼ばれます。
4 電子証明書の検証
公的個人認証サービスでは、署名検証者及び利用者証明検証者が正確に電子証明書の有効性を確認することができるよう、電子証明書の失効情報を提供しています。
署名検証者は、公的個人認証法3)第17条第1項から第5項までで定める行政機関等に限定されていましたが、平成28年1月から開始されたマイナンバー制度により、行政機関等だけでなく総務大臣が認める民間事業者も、署名検証者及び利用者証明検証者となってインターネット上で提供する各種申請やログインの際、電子証明書を利用することが可能になりました。
電子証明書は、電子証明書の失効を利用者自らが申し出た場合や、電子証明書の記録事項の誤りや電子証明書の二重発行や誤発行が判明した場合に失効されます。
こうした場合、電子証明書の有効性を確認し、公的個人認証サービスの安全性を担保するため、その電子証明書が失効していることを署名検証者に知らせる必要があります。そのための方式として、次の(ア)及び(イ)の2通りがあります。
(ア)OCSP4)レスポンダ方式
特定の電子証明書の照会について、応答用のサーバから当該電子証明書が失効しているかどうか個別に回答する方法です。
(イ)CRL5)(証明書失効リスト)提供方式
一定の範囲の利用者に係る失効情報を定期的(1日1回等)にまとめて提供する方式です。
署名用電子証明書は、利用者の基本4情報の変更等があった場合には、失効します。公的個人認証サービスでは、基本4情報の変更等があった場合、住民基本台帳ネットワークから情報が連携され、証明書失効リストを作成し署名検証者に提供しています。具体的には、電子証明書発行時に利用者の住民票コードとシリアル番号を住民基本台帳ネットワークに送信しておき、住民基本台帳ネットワークの基本4情報に何らかの変更があった場合には、当該住民票コードに紐付くシリアル番号が公的個人認証サービスに送り返されてきて利用者の電子証明書を失効させます。
この送り返されてくる情報が、「異動等失効情報」です。異動等失効情報を利用することにより、利用者は市区町村窓口で住民票記載事項の変更等を行った場合、改めて公的個人認証サービス側に失効の申告を行う必要がなくなるため利便性が向上し、市区町村窓口事務の効率化も図られています。
5 利用できる電子申請・届出システム等
公的個人認証サービスを利用することにより、現在、表-1のような国や地方公共団体等が提供するシステムから、様々な行政手続を利用することができます。
なお、各システムが提供する行政手続等の詳細については、インターネットの公的個人認証サービスポータルサイト(URL:https://www.jpki.go.jp/)に掲載している「ご利用できる行政手続等」をご覧ください。
これら行政手続のほか、表-2に示すサービスについて、民間事業者が公的個人認証サービスを利用し提供しています。この民間事業者が提供するサービスについては、次号で詳しくご紹介します。
表-1 公的個人認証サービスを利用できるシステムの例
表-2 公的個人認証サービスを利用できるサービス(民間事業者)
- 1) 基本4情報とは氏名・住所・生年月日・性別のこと
- 2) 暗号文を平文(暗号化する元の文)に復元すること。
- 3) 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律(平成14年12月13日法律第153号)
- 4) OCSP: Online Certificate Status Protocol
- 5) CRL: Certificate Revocation List