行政・民間サービスを効率化するエストニアの「e-ID」

日本も今後数年でデジタルＩＤ先進国の仲間入りする可能性

こんにちは。xIDの日下です。
先日9月27日に32歳を迎え、同時に3年間拠点としていたエストニアから日本への帰国を決意しました。
もうそろそろエストニアの話をすることもなくなるだろうと思っていた矢先、菅政権の下、平井デジタル改革相のリーダシップによるデジタル庁発足の発表で、マイナンバーカードにスポットライトが当たりました。
その結果再度電子政府エストニアでのデジタルIDの状況に注目が集まり、同様の質問を多くいただきましたので、
ちょうど今年7月に週刊金融財政事情で寄稿させていただいた行政・民間サービスを効率化するエストニアの「e-ID」についてお話ししたいと思います。

----------------------------------------------------------------------------

近年、日本からも注目を集めている電子国家エストニア。
そのカギになっているのは「e-ID」と呼ばれる「デジタルID」、つまり日本におけるマイナンバーカードである。

エストニアではe-IDの機能を政府・民間企業が積極的に活用することで、本人確認(身元確認・当人認証)や電子署名をより手軽にできるようになり、国民生活の利便性を向上させている。

本稿では、エストニアにも3年間滞在し拠点を構えていた筆者が、1000近い行政・民間サービスでデジタルIDが活用されるエストニアの現状をひも解き、日本への展開可能性を考察したい。

本人確認(身元確認と当人認証)と電子署名がe-IDで可能に

筆者が拠点を置くエストニアは、バルト三国の北端に位置する人口１３２万人の小国。１９９１年にソ連から独立を果たした。
エストニアは九州地方と同等の４万５０００平方㌔メートルの国土に対し、沖縄県の人口と同等の１３２万人が住んでおり、人口密度が極めて低い。
従って独立後、国土に散らばった国民に対して、限られた行政職員で行政サービスを提供するために、デジタル技術の活用が90年代から検討されていた。
その核となる制度が、政府によって国民一人ひとりに重複のない一意（唯一）の個人番号を割り振る「デジタルID」の導入だった。
エストニアのデジタルＩＤは一般に「e-ID」と呼ばれ、日本の「マイナンバーカード」に相当するものだ。
e-IDはさまざまな機能を持つ。最も分かりやすいのが公的身分証の機能だ。政府はe-IDカードに、氏名や生年月日など個人情報も記載して発行している。エストニアでは保険証や免許証が一体化されているため、身分証として持ち歩くのはe-IDカードのみという人が大半である。

また、e-IDカードに埋め込まれたICチップによって、二つのことが可能となっている。一つが認証、つまりオンラインサービスなどでのログインだ。
e-IDカードの取得時に４桁の暗証番号を設定し（変更可能）、ＵＳＢリーダーを通じてPCと連携することで、さまざまなサービスにログインすることができる。
これはカードを保有していること（所有認証）と暗証番号の入力（知識認証）を組み合わせた二要素認証であり、エストニアでは一般的なログイン方法として定着している。二要素認証はＩＤ・パスワードの組み合わせ（知識認証）よりも安全であるため、セキュリティーレベルは向上した。利用者としても複雑なパスワードをサービスごとに覚える必要がないため、歓迎されている。

二つ目は、別に５桁の暗証番号を用いて電子署名を行えることだ。e-IDカードによって認証することで、本人性を担保したかたちで電子契約を締結することが可能となる。

なお、この発展型として、スマートフォンアプリとe-IDカードを連携することで、ログインや電子署名が可能となる「スマートIDアプリ」も人気だ。
2017年にこのアプリがリリースされてから、国民はいちいちパソコンを開いたり、ＵＳＢカードリーダーを持ち歩く必要がなくなった。登場から丸３年で国民の40％近くが利用している。

e-IDを連携したサービス事例をいくつか紹介したい。代表格は確定申告であろう。これは電子政府黎明期の2000年から提供が開始され、今では国民の96％が利用している。
e-IDカードを用いてログインし、電子署名を付与して提出することで、本人性を担保することができるため、窓口に足を運んだり、署名（捺印）付きの書類を郵送する必要がなくなる。また、申請者の所得は企業から支払われた税金をもとに、e-IDを軸に自動算出されるため、一般の会社員は入力作業をすることなく、内容を確認して電子署名を付与するだけで申告が完結する。そのため個人の確定申告は約３分ですべてが終わる。

金融機関の導入事例もある。
e-IDが導入されて間もない頃、大手銀行は連携して各行一斉にe-IDでのログイン・電子署名システムを導入した。銀行は顧客がマイページにログインする際に、e-IDカードやデジタルIDアプリを用いてログインすることを求め、一定額を超える送金の際に電子署名を要求することで、より安全にオンラインバンキングを利用することが可能となった。
また、送金の限度額を変更する際などは、確実に本人による操作であることを確認するために電子署名を行うことを要求しており、これはマネー・ローンダリング対策としても有効である。金融機関は利用頻度の高い社会インフラであるため、e-IDとの連携は認知度・普及率の大きな一助となった。

加えて、教育機関でもe-IDの活用が進んでいる。それが教育学習プラットフォーム「e-kool」（ エストニア語でeschoolの意）だ。
同サービスは、生徒の出欠や成績、そして生徒や保護者との連絡を行えるクラウドサービス。エストニアの80％以上の学校で採用されており、そのログイン手段としてe-IDやデジタルIDアプリが用いられている。
本人性を担保することができ、成績や保護者と先生のやり取り履歴といった個人情報を守ることが可能になる。

ほかにも、医療機関の受診の際にe-IDカードを提示し、同意することで過去の医療データを医師に提供することが可能であり、スーパーマーケットや映画館の会員証としても活用可能だ。エストニアでは1000近いサービスがe-IDと連携している。

複数サービス間のデータ連携に活用

本人確認や電子署名の利便性もさることながら、筆者はこうしたデジタルIDの真価は別にあると考えている。それが「一意性のあるデジタルIDをアンカーとした、複数サービス間のデータ連携・分析」である。
これまでのデータ分析は、主に二つの潮流があったと考えている。

一つはビッグデータを分析することで全体最適化を図るもの。さまざまなデータ集約させ、匿名化して分析し、大衆の趣向を理解することができる。
しかし、あくまでも「マス」を対象としているため、個人のトレンドを追うことはできない。
一方で、個人の利用情報、個人データなどをもとにして、個別最適を図るニッチ型のデータ分析も最近よく見かける。
しかし、いずれの分析手法も、その結果はあくまでも「個々のサービスの中に閉ざされた結果」となる。
複数の異なるサービスのアカウント情報をつないで複合的なデータ分析をすることができず、本当の意味で、”個人”への個別最適ができているかは疑問が残る。
その点、デジタルIDがもたらす恩恵は大きい。

重複がない一意のIDによって同一個人のデータの突合が可能になるため、複数サービスにまたがる個人データの分析も可能となる。例えば近い将来、税務署・銀行・学習プラットフォームが連携すれば、アルバイトをしている学生とその成績との因果関係を分析することができる（図表１）。

（図表1）デジタルIDによるデータ連携が実現したデータ活用例

なお、エストニアではデータの管理や悪用に関して、非常に厳しい態度を取っている。基本的に、個人情報の所有権はあくまでも「個人」にあるとされ、行政機関や民間企業に対してデータを「提供」する立場を取っている。そのため、エストニア政府のポータルサイト「Eesti.ee」では、「誰がいつどの自分の情報にアクセスしたか」透明性を持って閲覧できるようになっている。
利用者の同意なく個人情報が使われることはなく、利用者の同意を明確に得た上で個人情報は分析される。また、デジタルIDに非可逆な匿名化処理を加えることによって、複数サービス間のデータ連携を行う手法も採用されている。こうしたデータの運用が可能であれば、利用者や国民に寄り添った提案や、それらのデータをEBPM（EvidenceBased Policy Making＝ 証拠にもとづく政策立案）に活用することもできる。

金融機関との連携可能性も

日本でもエストニアと同様に、デジタルID、つまりマイナンバーカードの活用は進むだろうか。
筆者はここ数年、両国の政府動向を間近で見てきた立場として、日本は今後数年で大きくデジタルＩＤ先進国へと前進すると考えている。

日本政府は2023年までにマイナンバーカードを約1億人に普及させることを目指しており、実現すれば世界でも数少ないデジタルID先進国の誕生となる。

ただし、日本では番号法によって、民間企業がマイナンバーを保管・収集することを禁じており、社会保障や税・行政サービスでのみ活用されているのが現状だ。
エストニアではID番号自体を公開・利用することは禁止されておらず、この点にお
いて両国の差は大きい（図表２）。

（図表2）エストニアと日本のデジタルIDの違い

しかし、すでにマイナンバーカードをエストニア同様に一意のIDとして利用する方法はある。マイナンバーカードをトラストアンカーとして新たなデジタルIDを生成することだ。

一例として、当社が提供するデジタルＩＤアプリ「xID（クロスＩＤ）」では、スマホ上で初回登録時にマイナンバーカードで公的個人認証を行い、本人確認をした後、一意のデジタルIDを作成する。　

当社は行政機関や民間企業を対象に、xIDアプリでのログインや電子署名、本人確認をAPIを通じて提供し、エストニアのように国民があらゆるサービスでログインや電子署名をデジタルIDアプリで簡単に行えることを目指している。

クロスIDは今年４月に当社の電子契約サービス「e-sign」に導入し、今年8月12日からは石川県加賀市をはじめとした地方自治体で、オンライン行政手続き、電子申請サービスに導入されている。

デジタルIDアプリは金融機関との相性も良いと考えられている。
認証システムとして採用すれば、自社で二要素認証用のセキュリティトークン端末を発行するコストや郵送コスト、故障の際の顧客サポートも必要なくなる。さらに電子署名を実装すれば、送金や少額の融資手続きなどをオンラインで安全に完結することができる。なりすましや不正アクセスの被害から利用者を守ることも可能だ。

一意なデジタルIDをアンカーとすることで他社と連携し、データ分析を行うことで、より利便性の高い付加価値サービスを提供することも可能になる。

例えば、勤怠情報や勤怠管理をするオンラインサービスと連携すれば、個人融資の際、当人が間違いなく提出された勤務先に在籍、出勤しているのかをリアルタイムに確認することが可能になる。

あるいは、契約書のデジタルデータに間違いなく電子署名データがあることが確認できれば、融資審査の際の契約書の真正性を疑う必要もなく、偽造された決算書や契約書の提出もなくなる。

今後、非金融事業者のフィンテック領域への参入が相次ぎ、金融業界の競争はますます激しくなるだろう。
こうした近未来ではビッグデータによる経営や業務の効率化、データに基づく意思決定が行われる。顧客接点では複数間のサービス利用実態を踏まえたデータ分析によって、利用者の実態に寄り添った個別最適型の提案ができるサービス事業者が生き残ることになるだろう。

行政と金融は両者とも「機関」と名付けられており、社会のインフラでもある。それが今、日本でも「機能・サービス」として分解されようとしている。

デジタルガバメントやAPIによるオープンバンキングといった規制緩和はその第一歩であり、これから本格的に金融と行政はデジタル化し、あらゆるサービスに溶け込んでいくと考えている。
マイナンバー、マイナンバーカードはその際のユーザーの一意性の担保とデータ連携のためのトラストアンカーとして大きな可能性があるだろう。