公的個人認証
公的機関が発行する電子証明書を用いた本人認証の仕組み。日本ではJPKI(公的個人認証サービス)として実装されている。
概要
公的個人認証は、公開鍵暗号基盤(PKI)を用いて、デジタル空間における「本人であること」と「意思表示」を証明する技術。マイナンバーカードのICチップに格納された電子証明書を使用する。
認証の仕組み
電子署名による本人確認
1. カード内で秘密鍵を使ってデータに署名
↓
2. 事業者が公開鍵で署名を検証
↓
3. J-LISの認証局で証明書の有効性を確認
↓
4. 本人確認完了
知識認証との組み合わせ
- 署名用PIN: 6〜16桁の英数字(知識要素)
- カード所持: 物理的なICチップ(所持要素)
- 秘密鍵: カード内に格納(偽造困難)
この3要素により、高いセキュリティを実現。
電子署名と顔認証の違い
| 観点 | 公的個人認証(電子署名) | 顔認証(生体認証) |
|---|---|---|
| 証明するもの | 本人の意思 | 本人の存在 |
| 認証要素 | 知識(PIN)+所持(カード) | 生体(顔)+所持(カード/書類) |
| カード盗難時 | PIN不明なら悪用不可 | 顔が違えば悪用不可 |
| 法的効力 | 電子署名法により実印相当 | 本人確認の補助手段 |
| UX | PIN入力が手間 | 自撮りで簡単 |
犯収法での位置づけ
ワ方式(最高セキュリティ)
公的個人認証を用いた本人確認は、犯収法のワ方式に該当し、最も強い本人確認として扱われる。
利用シーン:
- 証券口座開設(特定口座、NISA)
- 法人口座開設
- 不動産取引
- 金融機関の高リスク取引
技術的構成
PKI(Public Key Infrastructure)
J-LIS(認証局)
├─ ルートCA証明書
├─ 証明書失効リスト(CRL)
└─ OCSPレスポンダ(リアルタイム検証)
マイナンバーカード(ICチップ)
├─ 署名用電子証明書(公開鍵+基本4情報)
├─ 署名用秘密鍵(外部に出ない)
├─ 利用者証明用電子証明書(公開鍵のみ)
└─ 利用者証明用秘密鍵(外部に出ない)
サービス事業者
└─ 署名検証ライブラリ
セキュリティ特性
- 秘密鍵の非抽出性: ICチップ内で生成され、外部に出ない
- 耐タンパー性: 物理的解析に強い
- 多要素認証: PIN(知識)+カード(所持)
- 証明書チェーン検証: J-LISのルート証明書まで遡及検証
実装上の課題
UXの課題
- PIN入力の手間: 6〜16桁の英数字入力
- PINロック: 5回失敗で役所での再設定が必要
- NFC対応: 対応デバイスが限定的
技術的課題
- 証明書更新: 5年ごとの更新手続き
- 失効確認: CRL/OCSPの通信遅延
- タイムスタンプ: 長期署名の検証インフラ
海外の公的個人認証
| 国 | システム名 | 特徴 |
|---|---|---|
| エストニア | e-ID | 1400万枚以上発行、国民ID統合 |
| ベルギー | eID | 電子署名+行政手続き統合 |
| ドイツ | eID | RFID採用、オンライン認証重視 |
| フィンランド | FINEID | 銀行IDと統合 |
今後の展望
スマホ統合
- モバイルJPKI: ICチップ不要、スマホ内SEに格納
- FIDO2連携: パスキーとの統合
- 生体認証統合: 顔認証・指紋認証との組み合わせ
利用拡大
- 民間サービス: 金融、不動産、人材、医療
- 国際相互認証: eIDAS、SingPassとの接続
- 継続的認証: 一度の認証で複数サービス利用