オンラインによる本人確認、このままでいいの？

先日e-Taxを利用して確定申告をしたら、終了時に違和感を覚えました。
「あれ？署名用電子証明書のパスワードは？」
いつも申告書の送信直前に求められる署名用電子証明書のパスワード（6～16文字）を入力せずに終わったんです。
調べてみたら、今年から入力不要になったとのこと。

国税庁ホームページでの所得税等の申告書等作成・e-Taxがますます便利に！｜国税庁

ただしこんな注釈がついてます。
※過去にマイナンバーカード方式で申告された方が対象です。

注釈から想像するに、オンラインによる本人確認で必要な「身元確認」と「当人認証」のうち、身元確認が簡略化された感じです（過去に１度行っていれば省略可）
身元確認と当人認証について、「行政手続におけるオンラインによる本人確認の手法に関するガイドライン」から引用します。

身元確認
手続の利用者の氏名等を確認するプロセスのこと。この確認プロセスは、一般的には、個人の場合、氏名、住所、生年月日、性別、法人等の場合、商号又は名称、本店又は主たる事務所の所在地、法人番号等について、当該情報を証明する書類の提示を求めるなどにより実施される。

行政手続におけるオンラインによる本人確認の手法に関するガイドライン

当人認証
ある行為の「実行主体」と、当該主体が主張する「身元識別情報」との同一性を検証することによって、「実行主体」が身元識別情報にあらかじめ関連付けられた人物（あるいは装置）であることの信用を確立するプロセスのこと。

行政手続におけるオンラインによる本人確認の手法に関するガイドライン

ざっくり言えば、身元確認は「その人が誰であるか」を確認し、当人認証は「手続きをしている人が本当にその人であるか」を確認することです。

技術的なことは専門家に任せるとして、手続き的にはどうなっているのかを確認してみます。
署名用電子証明書は、少なくとも法定手続きのオンライン申請においては必須のイメージでした。理由はデジタル手続法の主務省令です。以下は総務省令ですが、他の府省令においても似たような規定ぶりとなっています。

（電子情報処理組織による申請等）
第四条　（略）
２　前項の規定により申請等を行う者は、入力する事項についての情報に電子署名を行い、当該電子署名を行った者を確認するために必要な事項を証する電子証明書と併せてこれを送信しなければならない。ただし、行政機関等の指定する方法により当該申請等を行った者を確認するための措置を講ずる場合は、この限りでない。

総務省関係法令に係る情報通信技術を活用した行政の推進等に関する法律施行規則

2020年4月に渋谷区が始めたLINEによる住民票のオンライン請求は、本人確認に署名用電子証明書ではなくeKYCを採用しましたが、本人確認に問題があるとされて総務省から待ったがかかったのは記憶に新しいところです。

LINE使う住民票受け取りサービスは「適法ではない」、問われる厳格な本人確認

渋谷区が根拠とした第４条第２項ただし書きも、「書面により行われる場合にも厳格な本人確認措置までは求めていないようなものについてオンラインで行う場合に、行政機関等が指定する電子署名以外の簡易な方法で本人確認を行うことを認める趣旨から規定されたもの」との理由から適用は認められず、最終的に渋谷区は署名用電子証明書による電子署名を用いた方法に切り替えています。
このような経緯もあって、「署名用電子証明書は法定手続きのオンライン申請においては必須」と思い込んでいたわけです。

それではe-Taxが関係する主務省令はどうなっているのか、見てみましょう。

（電子情報処理組織による申請等）
第五条　（略）当該申請等の情報に電子署名を行い、当該電子署名に係る電子証明書と併せてこれらを送信することにより、当該申請等を行わなければならない。ただし、次の各号に掲げる場合には、当該各号に定める行為をすることを要しない。
一　当該電子情報処理組織の使用に係る情報に個人番号カード（行政手続における特定の個人を識別するための番号の利用等に関する法律第二条第七項に規定する個人番号カードをいう。第六条第一項第三号及び第八条第一項において同じ。）を用いて電子署名を行い、当該電子署名に係る電子証明書と併せてこれらを送信する場合　識別符号及び暗証符号を入力すること（あらかじめ当該申請等を行う者が本人であることを確認するための措置として国税庁長官が定めるものがとられている場合には、識別符号及び暗証符号を入力すること並びに当該申請等の情報に電子署名を行うこと及び当該電子署名に係る電子証明書を送信すること。）。

国税関係法令に係る情報通信技術を活用した行政の推進等に関する省令

太字のカッコ書き部分が令和４年度税制改正によって追加されており、明確に署名用電子証明書が不要であることがわかります。

どのような議論を経て２回目以降の署名用電子証明書が不要になったのかわかりませんが、署名用電子証明書による初回の身元確認は維持しつつ、２回目以降は利用者証明用電子証明書による当人認証だけでよいという整理によって、利用者体験は大きく改善されました（なのでもっと宣伝すればいいのにと思う）

行政手続きは住民の権利や利益に関わるものが多いため、多くの場合厳格な本人確認が必要であることは理解できるものの、毎回署名用電子証明書を用いるほどの厳格さが本当に必要かは見直す余地があると思います。
また、自治体独自の手続きにおいても、本人確認ガイドラインを参考に本人確認レベルを決めればいいのですが、このガイドラインをきちんと理解し、適切な本人確認レベルを設定できる団体が果たしてどれだけあるでしょうか。多くの場合、「よくわからないから最高レベル」となってしまうのではないでしょうか。

今後オンライン申請をさらに普及させるうえで、使いやすくかつ適切な本人確認について、もう少し解像度を上げて取り組む必要があると感じた次第です。

なお、電子署名については過去にも取り上げているので、ご興味のある方は合わせてご覧ください。