オンラインによる本人確認、このままでいいの?
先日e-Taxを利用して確定申告をしたら、終了時に違和感を覚えました。
「あれ?署名用電子証明書のパスワードは?」
いつも申告書の送信直前に求められる署名用電子証明書のパスワード(6~16文字)を入力せずに終わったんです。
調べてみたら、今年から入力不要になったとのこと。
ただしこんな注釈がついてます。
※過去にマイナンバーカード方式で申告された方が対象です。
注釈から想像するに、オンラインによる本人確認で必要な「身元確認」と「当人認証」のうち、身元確認が簡略化された感じです(過去に1度行っていれば省略可)
身元確認と当人認証について、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」から引用します。
ざっくり言えば、身元確認は「その人が誰であるか」を確認し、当人認証は「手続きをしている人が本当にその人であるか」を確認することです。
技術的なことは専門家に任せるとして、手続き的にはどうなっているのかを確認してみます。
署名用電子証明書は、少なくとも法定手続きのオンライン申請においては必須のイメージでした。理由はデジタル手続法の主務省令です。以下は総務省令ですが、他の府省令においても似たような規定ぶりとなっています。
2020年4月に渋谷区が始めたLINEによる住民票のオンライン請求は、本人確認に署名用電子証明書ではなくeKYCを採用しましたが、本人確認に問題があるとされて総務省から待ったがかかったのは記憶に新しいところです。
渋谷区が根拠とした第4条第2項ただし書きも、「書面により行われる場合にも厳格な本人確認措置までは求めていないようなものについてオンラインで行う場合に、行政機関等が指定する電子署名以外の簡易な方法で本人確認を行うことを認める趣旨から規定されたもの」との理由から適用は認められず、最終的に渋谷区は署名用電子証明書による電子署名を用いた方法に切り替えています。
このような経緯もあって、「署名用電子証明書は法定手続きのオンライン申請においては必須」と思い込んでいたわけです。
それではe-Taxが関係する主務省令はどうなっているのか、見てみましょう。
太字のカッコ書き部分が令和4年度税制改正によって追加されており、明確に署名用電子証明書が不要であることがわかります。
どのような議論を経て2回目以降の署名用電子証明書が不要になったのかわかりませんが、署名用電子証明書による初回の身元確認は維持しつつ、2回目以降は利用者証明用電子証明書による当人認証だけでよいという整理によって、利用者体験は大きく改善されました(なのでもっと宣伝すればいいのにと思う)
行政手続きは住民の権利や利益に関わるものが多いため、多くの場合厳格な本人確認が必要であることは理解できるものの、毎回署名用電子証明書を用いるほどの厳格さが本当に必要かは見直す余地があると思います。
また、自治体独自の手続きにおいても、本人確認ガイドラインを参考に本人確認レベルを決めればいいのですが、このガイドラインをきちんと理解し、適切な本人確認レベルを設定できる団体が果たしてどれだけあるでしょうか。多くの場合、「よくわからないから最高レベル」となってしまうのではないでしょうか。
今後オンライン申請をさらに普及させるうえで、使いやすくかつ適切な本人確認について、もう少し解像度を上げて取り組む必要があると感じた次第です。
なお、電子署名については過去にも取り上げているので、ご興味のある方は合わせてご覧ください。