マイナンバーカードの電子証明書で個人を特定する方法

近い将来、日本はこのような社会になるのでしょうか。


NTTデータ

 
これはNTTデータのマイナンバーカードを活用した本人確認ソリューション「BizPICO」の説明です。



デジタル庁


NTTデータ

NTTデータ ニュースリリース (2016/7/27)
マイナンバーカードの公的個人認証サービスを活用した本人確認ソリューション「BizPICO」本格提供開始

(1)「署名用電子証明書」を利用した確実な本人確認機能
マイナンバーカード保有者がカード交付時に窓口で設定した暗証番号を入力することで、顧客企業はマイナンバーカード内の署名用電子証明書に含まれる4情報(氏名、住所、生年月日、性別)の確認と併せて、オンラインでの確実な本人確認を実施できます。この本人確認は、犯罪収益移転防止法・携帯電話不正利用防止法でも認められた、厳格な本人確認です。

(2)「利用者証明用電子証明書」を利用したセキュアな利用者認証機能
署名用電子証明書による確実な本人確認を実施後、マイナンバーカード内の利用者証明用電子証明書を利用して利用者本人であることを認証します。本機能は、利用シーンにおけるセキュリティーレベルに応じて顧客企業が暗証番号の入力要否を選択可能です。

(3)証跡データ保管機能
署名用電子証明書、利用者証明用電子証明書それぞれのシリアル番号(電子証明書の発行番号)に加え、確実な本人確認を実施した証跡(利用申込書類や署名等)を保管します。保管した証跡はいつでも参照可能です。

(4)証明書失効通知管理機能(オプション)
保管している署名用電子証明書、利用者証明用電子証明書それぞれのシリアル番号について、公的個人認証サービスの証明書失効情報と突合し、有効と認められなかったものについては、その対象となるお客さまを通知します。

 
マイナンバーカードで電子的に本人確認を行う上で重要なのが、電子証明書のシリアル番号(発行番号)です。


 

総務省 マイナンバーカードを活用したオンライン取引等の可能性について

マイナンバーカードには公的個人認証のための電子証明書が2つ(署名用と利用者証明用)ありますが、それぞれにシリアル番号(発行番号)が登録されています。

そのシリアル番号(発行番号)は、その電子証明書が有効な限り変わることがないので、個人を特定するために利用されます。

NTTデータの「証跡データ保管機能」にあるように、マイナンバーカードの電子証明書を使って本人確認をすると、その度にシリアル番号(発行番号)が記録されるので、その人の行動を監視したり追跡することも可能になります。

 
マイナンバーカードの2つの電子証明書の最大の違いは、基本4情報(氏名、生年月日、性別、住所)があるかないかです。
署名用には基本4情報が入っていますが、利用者証明用には入っていません。

署名用は文書を送信する時に使うことを想定していて、利用者証明用はホームページのログインなどで使うことを想定しているため、そのようになっているようです。


総務省 マイナンバーカードを活用したオンライン取引等の可能性について

利用者証明用電子証明書には基本4情報が入っていないので、いろいろな場面で気軽に使ってもらえるという思惑もあるのかもしれません。

ここでは詳細は割愛しますが、利用者証明用電子証明書は、暗証番号なしで読み出す方法「PIN無し認証」も用意されています。
マイナ保険証の顔認証や目視確認では、その「PIN無し認証」を使って電子証明書を読み出しているようです。

 
利用者証明用電子証明書には氏名などの基本4情報が入っていませんが、一度どこかで氏名等とシリアル番号のひも付けをしてしまえば、その後は誰の証明書か分かるようになります。


総務省 マイナンバーカードを活用したオンライン取引等の可能性について

 
また、J-LIS(地方公共団体情報システム機構)は、署名用電子証明書のシリアル番号(発行番号)を利用者証明用電子証明書のシリアル番号(発行番号)に変換する機能を提供しています。


公的個人認証サービス利用のための民間事業者向けガイドライン1.2版

この機能は、ネット銀行の口座開設のような、最初の手続きの時に署名用電子証明書を使うケースを想定して用意されているようです。


総務省 マイナンバーカードを活用したオンライン取引等の可能性について

 
さらに、J-LISは以前のシリアル番号を現在のシリアル番号にひも付けるサービスも提供しています。

公的個人認証サービス利用のための民間事業者向けガイドライン1.2版

電子証明書の新旧シリアル番号の紐付けサービス
利用者が、署名用電子証明書又は利用者証明用電子証明書を更新した場合、電子証明書のシリアル番号が変わることになる。
この場合、民間事業者はこの「更新前後の電子証明書の同一性」を把握できないため、再度、利用者登録を する 必要性が生じ得る。
しかし、民間事業者も利用者の同意を前提に、機構が提供する電子証明書の新旧シリアル番号の紐付けサービスにより 「更新前後の電子証明書の同一性」を把握することが可能となる。
具体的には、署名用電子証明書又は利用者証明用電子証明書の新しいシリアル番号を利用者から受け付けた場合、当該シリアル番号の一世代前のシリアル番号を機構に問い合わせることで取得が可能となる。


総務省 マイナンバーカードを活用したオンライン取引等の可能性について

この新旧シリアル番号の紐付けサービスによって、電子証明書のシリアル番号と個人情報のひも付けが一度行われると、その後、電子証明書を更新してシリアル番号が変わっても、個人情報のひも付けは続くことになります。

それは便利な面もあるかもしれませんが、もし、電子証明書のシリアル番号に何らかの悪い情報がひも付いてしまったら、10年後も20年後も、もしかしたら一生、それによる不利益を受け続けることになるかもしれません。

マイナンバーカードの電子証明書の取り扱いは、慎重にした方がよさそうな気がします。

電子証明書のシリアル番号は「第2のマイナンバー」と言ってもいい番号だと思います。

朝日新聞(2023/4/25)
マイナカード、目に見えない「もう一つの番号」 規制緩くて大丈夫?


 
マイナンバーカードには12桁のマイナンバー(個人番号)とは別に、「もう一つの番号」が存在する。
実は私たちが「マイナンバーカードを利用する」と言うときに、主に使われているのはこちらの番号だ。マイナンバーと同じように個人を特定することができるが、厳しい利用制限はなく、民間企業にも開放されている。
カードの利便性向上のカギとなるその番号を通じて、個人データが本人の知らないところで必要以上にひもづけられる「名寄せ」に使われると、プライバシー侵害につながるおそれがあると指摘する声がある。

 
最近、マイナンバーカードの返納の意味について議論になっているようです。

ニッポン放送NEWS(2023/7/6)
マイナンバーカード「返納したところで、システムから離脱できるわけではない」辛坊治郎が“勘違い”を指摘

カードを返納したところで、マイナンバーのシステムから離脱できるわけではありません。単に任意で発行されたカードを失うにすぎません。つまり、カードに紐づいた利便性を失うだけです。カードを返納しても、マイナンバー制度の中に組み込まれている状況は変わりません。
では、カードを返納することに、どれだけの社会的な意味があるのでしょう。それは、デモンストレーションや政治運動です。ですから、カードを返納したらマイナンバー制度から離脱できると思っている人がいるのだとしたら、カードの返納は政治的なパフォーマンスでしかないということを認識しておいたほうがいいと思います。

この手の議論や意見をいろいろな記事や動画で見かけますが、マイナンバーカードの電子証明書について語っているのをほとんど見たことがありません。

電子証明書やシリアル番号(発行番号)の事を知らないのか、知っていて無視しているのか、分かりませんが、電子証明書の事を一切語らない場合は、話半分に聞いておいた方がいいと思います。

マイナンバーカードを返納すると、電子証明書も失効することは重要な点だと思います。


総務省 マイナンバーカードを活用したオンライン取引等の可能性について

マイナンバーカードを持っていると、何かの手続きで電子証明書を使う(使わされる)可能性があるかもしれません。
電子証明書を使う度に、その情報がシリアル番号と共に記録される可能性があります。
そして、その記録が将来、どこでどのように使われるのか、分からないという不安があります。

昨今のマイナンバーカードにまつわるトラブルを考えると、知らないうちに、電子証明書のシリアル番号に誤った情報や別人の情報がひも付けられる可能性も否定できないと思います。

電子証明書が失効していれば、その電子証明書のシリアル番号に個人情報がひも付くことはないはずです。
(失効前にひも付いた情報がどうなるかは分かりませんが)
それだけでも、マイナンバーカードを返納する意味はあるのではないでしょうか。

 
ちなみに、先日、河野デジタル大臣はテレビで大嘘をついていたようです。

FNNプライムオンライン(2023/6/30)
【一問一答】河野太郎デジタル相をめざまし8スタジオで生直撃!「マイナ保険証」問題 現役医師が直接“訴え”「メリットよりデメリットの方が多い」

河野太郎デジタル相:
誤解があって、マイナンバーカードのICチップの中に自分の医療情報とか税金の情報が入っている、だから怖いとおっしゃるんですが、あのICチップに入っているのはマイナンバーカードに出ている名前と住所、生年月日と性別、それとご自身の顔写真だけで、それを使っていろんな行政機関にアクセスすると、マイナポータルで皆さんの情報を見ることができるという仕組みになっていますので、あのカードに中に入っている情報はそれだけです。

ICチップに入っているのはマイナンバーカードに出ている名前と住所、生年月日と性別、それとご自身の顔写真だけ

マイナンバーカードのICチップの中で一番重要と言ってもいい「電子証明書」の事を完全に隠しています。
この後の発言では電子証明書の事も出てくるので、電子証明書のことを知らないわけではなさそうです。

もう、悪意すら感じます。
こんな人がデジタル庁のトップにいていいのでしょうか・・