晴耕雨読

work in the field in fine weather and stay at home reading when it is wet

マイナンバーカードの技術仕様

マイナンバーカードの技術仕様 (ICカード規格、搭載情報、セキュリティ対策) や利活用方法、今後期待される展開などについて説明します。

2016年1月からマイナンバー(個人番号)の利用とマイナンバーカードの交付が開始しました。 マイナンバーは社会保障や税、災害対策の分野で行政の効率化と国民の利便性向上を目的としています。 マイナンバーは国民一人ひとりに与えられた12桁の番号のことです。 特に、公的個人認証 はPKI (Public Key Infrastructure : 公開鍵基盤) 技術に基づき、インターネット経由でのセキュアな本人認証や電子申請を可能とする点で、今まで押印するところに取って代わる技術なので、様々なシーンでの利用が期待されています1

技術仕様

マイナンバーカードの技術仕様について説明します。

券面

マイナンバーカードの表面には以下の情報が書かれています。

  • 氏名、住所、生年月日、性別 (基本4情報)
  • 顔写真
  • 電子証明書の有効期限
  • セキュリティコード

券面の偽造対策については、次のことが施されています2 3

  • 複雑な彩紋パターンが施されています。
  • パールインキを利用しているので、光の加減で別の色に見える部分があります。
  • コピー時に「複写」の文字が浮かび上がるようになっています。
  • レーザーエングレーブという技術を用い、レーザー光でカード基材を黒く変質させることで印字する技術で、偽変造が困難になります。
  • 写真はシェーディング加工により顔写真のエッジにぼかし加工を施すことで、顔写真の貼り替えが困難になります。
  • 特定の箇所に通常のコピー機やプリンターでは印刷できないマイクロ文字という微細な文字を配置することにより、偽造が困難になります。

ICチップ

マイナンバーカードは接触・非接触の両方のインターフェースを持ちます。 いわゆる、コンビネーション型のICカードです。

  • 接触インターフェース (カード裏面の黒帯の部分) は ISO/IEC 7816 準拠
  • 非接触インターフェース (カード内部) は ISO/IEC 14443 TypeB 準拠

非接触インターフェースの分類は以下の通りです。

分類 準拠規格 概要
TypeA ISO/IEC 14443
ISO/IEC 18092
低機能、小容量の安価なカード。古くから採用されている。
例) 入退室専用カード、taspo
TypeB ISO/IEC 14443 高機能、高セキュリティのカード。PKIに対応したものが多い。
例) パスポート、運転免許証、マイナンバーカード
FeliCa ISO/IEC 18092 低機能、小容量の安価なカード。交通系や電子マネーで採用。
例) Suica、楽天Edy、nanaco

ICチップにはカードOSと呼ばれるICチップ専用のOSが搭載されています。 カードOS上では各種カードアプリケーション (以下、カードAP) を動作させることができます。 カードAP内に格納されたデータへのアクセスには暗証番号 (PIN : Personal Identification Number) による認証が必要です。 また、カードは耐タンパ性を備えているので、物理的な解析に対しては自動的に内部の情報が削除されるようになっています。 さらに、暗証番号はカードAP毎に異なり、暗証番号の入力を一定回数以上間違えるとカードがロックされます4

カードAP

マイナンバーカードには以下の4つのカードAP (カードアプリケーション) が標準搭載されています。 これら以外にも空き領域に各種業務APを搭載することも可能です。

(1) 公的個人認証サービスによる電子証明書アプリケーション(JPKI-AP)

JPKI-APは、PKIの電子証明書による電子署名や本人認証を行うためのカードAPです。 搭載される電子証明書には、署名用電子証明書と利用者証明書電子証明書の2種類があります。 これらを利用するときには暗証番号 (PIN) の入力が必要になります。 署名用電子証明書は6〜16桁の英数字、利用者証明用電子証明書は4桁の数字が暗証番号としてマイナンバーカードの利用者が設定します (暗証番号は、カード受け取り時に役所の職員には見えない形で入力します)。

(2) 券面アプリケーション(券面AP)

カードの画像データを保持するカードAPで、基本4情報、顔写真、個人番号の画像を格納していて、券面偽変造の有無を確認できます。 なお、情報の読み出しには4桁の暗証番号によるアクセス制限が施されています。

(3) 券面事項入力補助アプリケーション(券面入力補助AP)

個人番号や基本4情報をテキストデータとして保持するカードAPで、これらの情報を各種業務APに入力する場合に利用できます。ただし、個人番号は法令で認められる場合のみ利用できます。 なお、情報の読み出しには4桁の暗証番号によるアクセス制限が施されています。

(4) 住基アプリケーション(住基AP)

住民票コードを保持するカードAPで、自治体の利用に制限されます。 なお、情報の読み出しには4桁の暗証番号によるアクセス制限が施されています。


マイナンバーカードの利活用

マイナンバーは社会保障、税金、災害対策などの法令で定められた業務以外では利用が禁止されています。しかし、マイナンバーカードを公的個人認証として利用する分には問題ありません。 これからマイナンバーカードで法令で定められた用途以外の何かやろうと考えている人は、次の点に注意をする必要があります。

  • カメラなどを使用する際はマイナンバーカードの表面のみを撮影します。カードカバーが付いていても、裏面のQRコードの部分を読み取ると個人番号が取得できてしまうので、絶対に裏面を撮影してはいけません。
  • 券面事項入力補助APを利用する場合は、個人番号を使わないシステムを作る必要があります (例えば、テーブルの主キーを個人番号にしない、など)。

マイナンバーは法令で定められた用途以外で利用できません

マイナンバーカードの裏面には、マイナンバー (個人番号) が記載されています。これは、法令で定められた用途以外での利用が禁止されています。本人確認として使う際には、顔写真のある表面のみを使うことになります。これがわざわざ「表面」と強調している理由です。

電子証明書

マイナンバーカードには2種類の電子証明書があり、電子署名と本人認証に利用できます。 署名用電子証明書は、電子文書に対して電子署名をすることができ、電子申請が本人から申請されたものであることや改ざんされていないことが確認できます。そのため、押印の代わりになることができます。現在、署名用電子証明書は e-Tax で利用されています。 また、利用者証明用電子証明書は、Webサイトへのログインなどで使うことができ、パスワードによるログイン認証に比べてセキュリティの高い本人認証ができるようになります。

電子証明書の検証はサービス事業者が行います。 また、電子証明書の発行、失効は J-LIS (地方公共団体情報システム機構) が管理しています。 企業が公的個人認証を使ったサービスを提供する際には、サービスの中で署名の検証を行い、J-LISが管理する情報を使って証明書の有効性を判断します。

 myNumberCard
      : NFC
      V             [client]  userInfo   [server]      query    [J-LIS]
  CardReader --------> PC --------------> system ---------------> DB
                          <--------------        <---------------
                              authorize                CRL

空き領域の利用

空き領域は「地域住民向け領域」と「拡張利用領域」に分かれています。 独自のカードAPを搭載するときに使います。 地域住民向け領域は各自治体が利用でき、拡張利用領域は国、都道府県、市区町村、民間企業等が利用できます (民間企業が利用する際には、総務大臣への認可申請が必要となります)。 J-LISによると、次のような利用方法を想定しているようです。

  • 地域住民向け領域 : 広域交付サービス、図書館サービス、印鑑登録証サービスなど 5
  • 拡張利用領域 : 公務員身分証、社員証、出退勤、ポイントサービスなど 6


今後期待される展開

マイナンバーカードの普及とマイナンバーの利活用の促進に関する方針(案)(2019/6) 7 によると、以下のことが行われることが予想されます。

  • 2020年 : マイナンバーカードを活用した自治体ポイントによる消費活性化策
  • 2021年3月 : マイナンバーカードの健康保険証利用
  • 2021年3月 : マイナポータルにおいて特定健診の情報の閲覧を開始
  • 2021年10月 : マイナンバーカードのお薬手帳としての利用
  • 2021年10月 : マイナポータルにおいて薬剤情報、医療費情報の閲覧を開始

また、マイナンバーカードと健康保険証の一体化への安全性について、文書7 によると、医療機関などでは患者さんがICカードリーダと暗証番号の入力を通して、カードのICチップの中の電子証明書を医療機関に渡して本人認証を行うので、マイナンバーと診察情報が紐付くことはない。とのことです。

(ただし、利用者証明用電子証明書の暗証番号と、券面入力補助AP(マイナンバー)の暗証番号を同じにしている場合は、悪意のあるサービスによってマイナンバーと診察情報を紐付けることが可能になりますが…)

今後、政府にはマイナンバーカードを基盤とした安全で利便性の高いデジタル社会と効率的な行政の構築を目指してもらいたいと思っています。

以上です。