今度はスマホにマイナンバーカードの機能が搭載されるようです。要は、マイナンバーカードの読み取り機にかざさなくても、スマホに本人認証済みのトークンを格納して、カード同等のことができるようにするのだと想像できます。
- ログインのキーでありキャッシュカードであり、身分証にも
- いずれも「当人認証」用途だが、今回は「身元確認」機能も
- 当人認証は3要素を組み合わせる
- 身元確認の方法は限られていた
- 本質的にヒトをユニークに特定する方法
ログインのキーでありキャッシュカードであり、身分証にも
考えてみると、ここまでスマホにいろいろな機能を盛り込むというのは恐ろしいことです。Webサービスへのログインには、SMS認証やGoogle認証システム、昨今増えているFIDO認証など、スマホをキーに使うのが標準化してきています。
じぶん銀行に続いて住信SBIネット銀行もスマホアプリをキャッシュカードの代わりに使える機能をスタートさせており、お金を下ろすためにも使います。そしてもちろん、株式の売買などもスマホで指示を出すのが当たり前になってきますね。
電子マネーや暗号資産=クリプトにいたっては、スマホ内部に保存された秘密鍵が、資産そのものです。認証のキーというようよりも、資産そのものがスマホに詰まっている感じです。
いずれも「当人認証」用途だが、今回は「身元確認」機能も
このようにいろいろな機能が盛り込まれつつあるスマホですが、マイナンバーカード機能の搭載というのは、ちょっと毛色が違います。これまでの要素が、「当人認証」のための機能だったのに対し、今回は「身元確認」を行える可能性があるからです。
ちょっとわかりにくい話ですが、本人確認は大きく2つに分かれます。1つは「当人認証」で、これは本当にその人がアクセスしているかどうかを確認するものです。そしてもう1つは「身元確認」と呼ばれるもので、これはその人がどこに住んでいる誰なのかを確認するものです。
※経産省資料より
証券口座開設時などに求められるKYCは、正確には「身元確認」を指します。身元確認には、公的な身分証と顔などを使って、どこの誰なのかを把握します。
当人認証は3要素を組み合わせる
もう一方の当人認証は、登録済みの本人がアクセスしているかどうかを判別するために、大きく3つの要素を使います。
最も古典的なのは「生体認証」ですね。いわゆる顔パスです。この人の顔は知っている。だからOKというものです。そしてネットなどで古くから使われてきたのが「知識認証」です。いわゆるIDとパスワードや、生年月日などの情報です。この知識認証は、人に教えることができてしまうので、漏れやすく、なりすましされやすいために、昨今さまざまなところで問題が起きています。
そして3つめが「所持情報」になります。古くは会員証などがそれです。家のカギなどもそうですね。これは、知識情報とはまた性質が違い、他人に渡すことができます。そして盗まれることもあります。それによって、本当は本人ではないのに家に入られてしまったりするわけです。
この3つの認証要素は、それぞれに特徴が違うため、組み合わせて使われてきました。キャッシュカードであれば「所持情報」+暗証番号という「知識情報」。ちょっとした会員証であれば「所持情報」+顔写真という「生体認証」だったりします。
そして昨今普及が進みつつあるのが、ID/パスワードという「知識情報」にスマホという「所持情報」を付け加えたものです。さらにスマホのアクセスには顔認証や指紋認証といった「生体情報」が使われていますが、これはスマホのパスコードという「知識情報」でも突破できてしまうので簡便性のためのものと考えるべきでしょう。
このように、多くのサービスがスマホをキーにしつつありますが、それはこれまでの「知識情報」一辺倒に限界が生じ、そこで簡単に出し入れできる「所持情報」としてスマホに白羽の矢が立ったと考えれば、シンプルに理解できます。いずれも、本当に登録している人がアクセスしてきているのか? という当人認証を行うための仕組みです。
身元確認の方法は限られていた
一方で、身元確認の方法は限られていました。ポピュラーなのは公的な身分証明書です。免許証やパスポート、マイナンバーカードが典型例ですね。免許証やパスポートは、顔写真をつけることで、「所持情報」+「生体情報」で認証する仕組みです。一方マイナンバーカードはICチップに3種類のパスコードを記録することで、「所持情報」+「生体情報」+「知識情報」という3要素を用意しています。
今回の「スマホにマイナンバーカード機能搭載」が、具体的にどんな意味かはわかりませんが、スマホが身元確認に使えるようになると考えていいでしょう。免許証を撮影したり、コピーを送ったりしてKYCをしていましたが、いったんマイナンバーカードをスマホに取り込めば、スマホの操作でそれが完了することが想像できます。
でも、そもそも「身元確認」ってなんだろう?と考えると、けっこう奥が深いことが分かります。古来からの身元確認では、名前、住所、生年月日をもとにして、その人が唯一ユニークな人物であることを特定してきました。
住所は変更になる場合がありますが、同じ場所に複数人は(家族でもない限り)居住していませんので、ユニークな情報です。名前と生年月日は、他人と重複することはありますが、いずれも変更になることはありません(名前は変えることができますが)。この3つの要素を使えば、まぁユニークに特定できるだろうという考え方なのだと思います。
そして、名前と生年月日は、出生証明書をもとにした住民票をもとに、各公的身分証明書はできています。住所は、郵便を送って届くかどうかで確認していますね。身元確認というと、すごく複雑なことをしているように思いますが、大本を正すと、意外とシンプルな話なわけです。
本質的にヒトをユニークに特定する方法
ではちょっと想像力を膨らませて、住所でも名前でも生年月日でもなく、本質的にユニークな、確実に人によって異なる、これを使えば、その人が誰であるかを特定できる情報はないか、考えてみましょう。
遺伝子≒DNA? 確かに有力な候補ですが、一卵性の双子の場合、DNAは完全に一致してしまいます。指紋は一卵性双生児でも異なってくるため、有力な候補です。
そして、本当にユニークなものとしては、免疫があります。その人以外の何かが入ってきたら、異物として戦う仕組みですね。実は、その人とその人以外の境界を決めるのは、この免疫だと言われています。自己とは何か? というととても哲学的な話ですが、生物学的にはこれが自己、ユニークなその人であることを定めているということです。
