全5002文字
PR

 マイナンバーカードを活用した認証サービスを手掛けるxID(クロスアイディー、以下xID社)は2021年11月4日午後8時から、同社のデジタルIDアプリ「xID」のサービスを一時停止する。同アプリを巡っては、初回登録時にマイナンバー入力を求める仕様がマイナンバー法(行政手続における特定の個人を識別するための番号の利用等に関する法律)に違反するのではないかとの指摘が出ていた。

 同社は2021年12月中旬にマイナンバーの入力を伴わない仕様でxIDアプリの新バージョンを提供する予定である。それまで現行バージョンでの新規登録やサービス提供を停止する。そもそもなぜマイナンバーを入力する仕様としたのか、マイナンバーをどう使っていたのか。

アプリ登録時にマイナンバーの入力を求める

 xIDアプリはマイナンバーカードの内蔵ICチップに搭載した「公的個人認証サービス(JPKI)」の電子証明書を基に本人認証や署名をできるアプリである。2020年4月に提供が始まった。2020年8月に石川県加賀市が電子申請サービスにおける本人認証の用途で導入し、他の自治体にも広まった。約220の自治体が利用したり、テスト利用したうえで導入を検討したりしており、民間企業でも導入の検討が進んでいた。

 初回登録時は、ユーザーがスマートフォンにマイナンバーカードをかざすと、xIDアプリがJPKIの署名用電子証明書を読み取り、マイナンバーカードとxIDアプリをひも付ける。具体的には、署名用電子証明書に含まれる基本4情報(氏名、生年月日、性別、住所)を暗号化し、xID社のサーバーに送信・保管する。

現行バージョンのxIDアプリにおける初回登録の流れ
現行バージョンのxIDアプリにおける初回登録の流れ
(出所:xIDの資料を基に日経クロステック作成)
[画像のクリックで拡大表示]

 違法性を指摘されたのが、初回登録時にユーザーにマイナンバーを入力させる仕様である。xIDアプリはマイナンバーの入力を求めた後、マイナンバーカードをかざすように求める。

現行バージョンのxIDアプリにおけるマイナンバー入力画面
現行バージョンのxIDアプリにおけるマイナンバー入力画面
(出所:xID)
[画像のクリックで拡大表示]
現行バージョンのxIDアプリにおける、マイナンバーカードをかざすよう求める画面。マイナンバーを入力するとこの画面に遷移する
現行バージョンのxIDアプリにおける、マイナンバーカードをかざすよう求める画面。マイナンバーを入力するとこの画面に遷移する
(出所:xID)
[画像のクリックで拡大表示]

 マイナンバーの入力画面には「提示されたマイナンバーは、一意のID生成のために利用者の端末上でのみ処理されます」と表示されている。だが、マイナンバーを具体的にどう処理するかは示されていない。

 この点について、xID社の日下光社長は次のように説明する。「マイナンバーの一部と他の情報を使い、アカウント作成者が新規登録者であるか、それとも過去にアカウントを登録した人物であるかを確認するための(xIDアプリ独自の)要素である『確認要素』を生成している」。

 確認要素を生成する具体的な手順はこうだ。まず、入力させた12桁のマイナンバーと、マイナンバーカードから読み取った8桁の生年月日を加えた20桁の数字をつくる。これをハッシュ化したうえでバイト配列に変換し、さらにそこから数カ所のバイトを抽出・変換して確認要素とする。ここまでの過程はxIDアプリ内で実行する。

現行バージョンのxIDアプリにおける、マイナンバーを使って「確認要素」を生成する流れ
現行バージョンのxIDアプリにおける、マイナンバーを使って「確認要素」を生成する流れ
(出所:日下光xID社長の説明を基に日経クロステック作成)
[画像のクリックで拡大表示]

 xIDアプリは生成した確認要素のみを、xID社のサーバーに送信し、サーバー側で確認要素とアカウントIDとをひも付けて保管する。同一のユーザーが異なるメールアドレスや異なるスマホを使って、新規にアカウントを登録したとしても、登録時に確認要素を生成することで、1人が複数のアカウントを登録することを防げるというわけだ。ただし、確認要素は一意となるデータではなく、「他人の確認要素と一定確率で衝突する可能性はある」(日下社長)。